Die Krux der Telematikinfrastruktur
30.03.2023 - Die TI soll eine schnelle und sichere Kommunikation zwischen Ärzten, Psychotherapeuten und Krankenhäusern ermöglichen. Debatten laufen längst.
Die elektronische Patientenakte (ePA) startete im Januar 2021 mit freiwilligen Teilnehmern. Sie soll etwa Befunde, Röntgenbilder oder Laborwerte enthalten und den Ärzten zugänglich machen, die ihre Patienten dafür freischaltet. Das E-Rezept sollte eigentlich mit Beginn des laufenden Jahres Pflicht werden. Dies wurde aber verschoben. Ende August hatte die Gesellschafterversammlung der Gematik das Verfahren als dritten Einlöseweg nach App und Ausdruck beschlossen. Eigentlich noch in diesem Jahr sollte ermöglicht werden, dass Versicherte Rezepte, die vom Arzt auf dem E-Rezept-Fachdienstserver in der TI abgelegt wurden, mittels ihrer eGK in der Apotheke einlösen können. Faktum ist: Nur ein winziger Bruchteil der 73 Millionen gesetzlich Krankenversicherten in Deutschland kann das E-Rezept so nutzen, wie es eigentlich vorgesehen ist, nämlich nicht als Papierausdruck, sondern als digitale Übertragung vom Arzt in die Smartphone-App des Patienten und von dort digital in eine Apotheke.
Datenschutz ist prominent
Anfang September erklärte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, aufgrund gravierender Sicherheitsmängel im Design des Verfahrens kein Einvernehmen erteilen zu können. Nach Darstellung der Gematik bestehen die beanstandeten Mängel darin, dass Apothekenpersonal mit Kenntnis der Versichertennummer von Patienten Manipulationen an der Warenwirtschaftssoftware vornehmen könnte, um unberechtigten Zugriff auf Verordnungen zu erhalten. Aus Sicht Kelbers und des BSI sind deshalb erhebliche Nachbesserungen notwendig, während die Gematik nach eigenen Angaben weiter auf das Verfahren setzen will. „Die Gesellschafter der Gematik halten grundsätzlich an ihrem Beschluss fest, den Einlöseweg des E-Rezepts via eGK schaffen zu wollen“, erklärte ein Gematik-Sprecher. Demnach laufen derzeit „intensive Gespräche mit allen Beteiligten, um eine praktikable Lösung zu finden“. Ziel sei, die Nutzung für Patienten und Apotheker so leicht wie möglich zu machen und dabei auf eine noch sicherere Lösung zu setzen.
Schnelle Lösungen in Sicht?
„Die Gematik hat auf das BfDI-Schreiben und die Vorschläge des BfDI reagiert und umgehend eine ‚Härtung‘ – also ein weiteres ‚Sicherheitsschloss‘ für die Spezifikation vorgeschlagen“, erläuterte ein Sprecher. „Dazu stehen wir aktuell im engen fachlichen Austausch insbesondere mit BfDI und BSI.“ Dr. Markus Leyck Dieken, Geschäftsführer der Gematik, erklärte, er hoffe auf eine Duldung bis zur Implementierung des neuen Verfahrens voraussichtlich Mitte kommenden Jahres. Bei einer Veranstaltung des Vereins Berliner Kaufleute und Industrieller hatte er sich ausführlich über die aus seiner Sicht praxisfremden Haltungen deutscher Datenschutzbehörden beklagt. So würden beispielsweise die hohen Anforderungen, die an die Authentifizierung zur Nutzung der Gematik-E-Rezept-App gestellt werden, deren flächendeckender Nutzung im Wege stehen. „Wir haben diese App umzingelt mit Unzugänglichkeiten“, kritisierte er. „So können wir das demokratisch nicht durchhalten. Wir würden als einziges Land eine App haben, die für die Anwender nicht attraktiv ist.“ Deutschland stehe an einem Kulminationspunkt, der bald ausdiskutiert werden müsse. „Wir haben ein Verständnis von Datenschutz, das so hochgeschraubt ist, dass es uns verbietet, nutzerorientierte Produkte zu entwickeln.“ Die Politik habe das erkannt, agiere bisher aber zu mutlos. Leyck Dieken erklärte, er setze deshalb große Hoffnungen in das geplante Gesundheitsdatennutzungsgesetz: Mit dem könnten Anpassungen an den Zuständigkeiten und Befugnissen der Datenschutzbehörden im Bereich Gesundheitsdaten vorgenommen werden, die künftig eine praxisnähere Umsetzung ermöglichen.
Die Zeit läuft davon
Die von der Gematik geplante Lösung zur Nutzung von nicht Pin-fähigen elektronischen Gesundheitskarten (eGK) im Kontext des elektronischen Rezeptes (E-Rezeptes) erhalten sowohl vom BfDI als auch vom BSI nicht das notwendige Einvernehmen. Dies geht aus einem Schreiben des BfDI an die Gematik und das BMG hervor. Die infrage gestellte Spezifikation der Gematik sieht vor, dass ein Abruf von E-Rezepten aus dem entsprechenden Fachdienst unter Nutzung der Krankenversichertennummer und eines unsignierten Prüfungsnachweises des Versichertenstammdatenmanagement (VSDM)-Dienstes ermöglicht werden soll. Die Behörde des BfDI warnt in dem Schreiben davor, dass der unsignierte Prüfungsnachweis „prinzipiell manipulierbar“ sei. Angreifern könne so der unberechtigte Zugang zum E-Rezept-Fachdienst mit den dort gespeicherten Rezepten ermöglicht werden. „Diese Sicherheitsschwachstelle erachte ich angesichts der damit drohenden erheblichen Risiken für die besonders schutzwürdigen Gesundheitsdaten der Bürgerinnen und Bürger für so gravierend, dass ich insoweit derzeit keine Freigabe erteilen kann“, schreibt der Bundesdatenschutzbeauftragte. Das BSI hält den Mangel Kelber zufolge ebenfalls für so gravierend, dass es kein Einvernehmen erteilen wird. Kelber betonte, man begrüße prinzipiell eine barrierearme Möglichkeit, E-Rezepte in den Apotheken einzulösen, die die bestehenden Möglichkeiten (Zuweisung per App und Vorzeigen des E-Rezept-Tokens in einem 2D-Code oder Papierausdruck) ergänzt. Durch „technisch-organisatorische Maßnahmen“ – hierzu bietet das BfDI in dem Schreiben Beratung an – könnten die dargelegten Schwachstellen „von vornherein und effektiv unterbunden“ werden. In einem weiteren Schreiben an die Gematik und das BMG weist das BfDI darauf hin, dass man die zum 31. Dezember 2022 auslaufende Duldung des Authentifizierungsverfahrens für die elektronische Patientenakte (ePA) auf Basis der Alternativen Versichertenidentität (al.vi-Verfahren) nicht verlängern werde. Das Verfahren, das den Versicherten einen Zugriff auf die ePA ohne Einsatz ihrer eGK ermöglicht, erfülle die notwendigen rechtlichen Anforderungen nicht – darauf sei auch „über Jahre“ in den entsprechenden Spezifikationsverfahrensrunden gegenüber der Gematik hingewiesen worden. Die Duldung erfolgte demnach „ausschließlich mit Blick auf die mehrfach als bevorstehend angekündigte Ergänzung der bestehenden Anmeldeverfahren“ durch ein neues und dem für ePA-Zugriffe ebenfalls einem hohen Schutzstandard zu entsprechenden Verfahren der digitalen Identität, wie es der Gesetzgeber für den 1. Januar 2023 als Angebot der Krankenkassen angekündigt habe.
Kreativität und Aktion sind gefragt
Seitens der Gematik liegen mehrfach angekündigte Verfahren und die erforderlichen Spezifikationen einer sicheren digitalen Identität nach wie vor nicht vor. „Inzwischen gehen Ankündigungen von einer möglichen Realisierung frühestens im 3. Quartal 2023 aus“, heißt es im BfDI-Schreiben. Es geht im Kern um das geplante alternative Authentifizierungsverfahren „al.vi“. Über dieses sollen Versicherte dem BMG zufolge auf eigenen Wunsch die Möglichkeit erhalten, ohne elektronische Gesundheitskarte mit Hilfe eines Smartphones auf die elektronische Patientenakte zugreifen zu können. Das al.vi-Verfahren ist nach Angaben des BfDI nicht alternativlos. So sei der eigentliche Zugang per eGK und PIN „ausbaufähig“. Auch könne der elektronische Personalausweis für die Authentifizierungsverfahren zum Einsatz kommen. Hierzu fänden inzwischen auch erste Gespräche zwischen gematik und BSI sowie BfDI statt. Kassenärzte-Chef Dr. Andreas Gassen forderte einen kompletten Neustart bei der Digitalisierung der Arztpraxen. Weder die elektronische Patientenakte noch das elektronische Rezept funktionierten bisher. „Man muss jetzt den Mut haben, offenkundig dysfunktionale Technologien zu beenden, frisches Geld in die Hand zu nehmen und das Ganze noch mal neu aufsetzen“, so Gassen.
Autor: Hans-Otto von Wietersheim, Bretten