ArchivDeutsches Ärzteblatt6/2008Tele­ma­tik­infra­struk­tur der elektronischen Gesundheitskarte: Basis für sichere Datenspeicherung

THEMEN DER ZEIT

Tele­ma­tik­infra­struk­tur der elektronischen Gesundheitskarte: Basis für sichere Datenspeicherung

Dtsch Arztebl 2008; 105(6): A-268 / B-240 / C-236

Gundermann, Lukas

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Foto: Fotolia/Marc Dietrich
Foto: Fotolia/Marc Dietrich
Die elektronische Gesundheitskarte blieb bislang von der Kritik der Datenschützer verschont – aus gutem Grund, weil sie aus deren Sicht die Anforderungen des informationellen Selbstbestimmungsrechts geradezu vorbildlich umsetzt.

Es ist bekannt, dass die Datenschutzbeauftragten von Bund und Ländern gegen die mittlerweile vom Bundestag beschlossene Vorratsdatenspeicherung von Telekommunikationsdaten kritisch argumentieren (1, 2). Warum, mag sich da manche Ärztin, mancher Arzt fragen, hört man von den Datenschutzinstitutionen keine gleichartige Kritik an der elektronischen Gesundheitskarte (eGK)? Wo doch einige behaupten, Letztere stelle eine fast noch bedenklichere Entwicklung dar. Haben die beamteten Datenschützer vielleicht das Wichtigste verschlafen? Bedarf es erst des Weckrufs durch entschlossene und besser informierte Ärzte?

Leider wird die Diskussion im Zusammenhang mit der Einführung der eGK immer noch zu einem nicht unerheblichen Teil mit Argumenten bestritten, die auf Fehlinformationen beruhen. Exemplarisch lässt sich dazu eine Äußerung der „Freien Ärzteschaft“ herausgreifen, die auf einer Kundgebung gegen die Vorratsdatenspeicherung gefallen ist (3):

Die Karte ist vielmehr der Schlüssel zu einer gigantischen Vernetzung des Gesundheitswesens über das Internet – mit zentraler Speicherung auf Zentralservern – auch der intimsten Patientendaten, intimer Daten der Menschen, unserer Patienten. Wichtige Informationen über Gesundheit und Krankheit werden der Obhut der Ärzte entzogen, und die patientenbezogenen Daten verlieren den Schutz durch die ärztliche Schweigepflicht.

Nervenzusammenbruch, Aids, Alkoholabhängigkeit, Herzkrankheit oder Brustkrebs – demnächst im Internet.
Nach Schätzungen werden zwei Millionen Personen Zugriffsrechte auf dieses System und die Krankheitsdaten haben.
Diese sollen in Zukunft in Form elektronischer Patientenakten gleich beim Kostenträger Krankenkasse gespeichert werden. So entsteht in naher Zukunft nicht nur der gläserne Patient, sondern auch der gläserne Arzt. Die Versicherten können so in Risikoklassen eingeteilt werden. Kostenintensive Patienten werden leicht ausgemacht, und es kann kontrollierend an den Menschen gespart werden.

Dieses Zitat, das durchaus keine Einzelmeinung darstellt (4), soll dazu dienen, die Struktur der vermeintlichen Bedrohung zu beleuchten – und zu widerlegen.

Wahrung des Selbstbestimmungsrechts
Tatsächlich wurde die Diskussion um die Einführung von Chipkarten im Gesundheitswesen von Datenschutzseite schon seit Mitte der 1990er-Jahre geführt. (5) Bereits im Vorfeld der Regelungen in § 291 a Sozialgesetzbuch (SGB) V, die 2003 vom Bundestag im Rahmen des GKV-Modernisierungsgesetzes beschlossen wurden, hatten sich die Datenschutzbeauftragten zu Wort gemeldet (6, 7).

Als dann die Regelungen zur Einführung der eGK vom Bun­des­ge­sund­heits­mi­nis­ter­ium vorgelegt wurden, konnten die Datenschützer erfreut feststellen, dass praktisch alle zentralen Forderungen aufgegriffen worden waren (8). Damit war auf normativer Ebene sichergestellt, dass das informationelle Selbstbestimmungsrecht der Patienten, das letztlich einen Teil der Patientenautonomie darstellt, durch die Einführung der Karte nicht eingeschränkt wird (9).

Abgesehen von dem auf der Kartenrückseite aufgedruckten Berechtigungsnachweis zur Inanspruchnahme von Leistungen im europäischen Ausland unterstützt die eGK die folgenden Anwendungen:
- die elektronische Verordnung (eVerordnung)
- einen Not­fall­daten­satz
- den elektronische Arztbrief
- Daten zur Prüfung der Arznei­mittel­therapie­sicherheit, das heißt eine Arzneimitteldokumentation
- die elektronische Patientenakte
- das vom Patienten selbst zu bestückende elektronische Patientenfach
- die elektronische Patientenquittung.

Mit Ausnahme der eVerordnung ist keine dieser Anwendungen verpflichtend. Entscheidet sich der Karteninhaber für eine oder mehrere der freiwilligen Anwendungen, hat er weiterhin das Recht zu bestimmen, welche Informationen gespeichert werden. Darüber hinaus kann er fallweise die Anzeige bestimmter Informationen unterdrücken. Dies gilt auch bei der Pflichtanwendung eVerordnung, wo der Patient (genau wie in der Offlinewelt) einzelne Verschreibungen löschen oder so verbergen kann, dass sie in der aufgesuchten Apotheke nicht sichtbar sind.

Von Bedeutung ist weiter, dass Ärzte und die anderen in § 291 a Abs. 4 SGB V genannten Heilberufler nur dann auf die Daten eines Patienten zugreifen können, wenn sie sich mit ihrem von der Kammer ausgestellten Heilberufsausweis (HBA) authentisieren und legitimieren. Es müssen also immer beide Karten – eGK und HBA – gleichzeitig in die speziellen Lesegeräte gesteckt werden, damit ein Datenzugriff hinsichtlich eines bestimmten Patienten möglich wird. Die gesetzlichen Vorgaben an das System sorgen also dafür, dass der Patient die Befugnis behält, selbst zu steuern, welchem Arzt („Leistungserbringer“) er welche Information offenbart.

Die technischen Spezifikationen zur eGK stehen offen zur Verfügung (10). Es handelt sich um eine enorme Menge an Details, verteilt über Tausende Seiten. Allerdings gibt es Papiere, die die Übersicht ermöglichen (11). Auf dieser Grundlage ist zunächst festzustellen, dass die Konzeptpapiere die Anforderungen an eine sichere Speicherung klar definieren. Entsprechende Aussagen im Hinblick auf die in der Testung am weitesten fortgeschrittene Anwendung findet man im „Fachkonzept Verordnungsdatenmanagement“, das die Anforderungen an die elektronische Verordnung festlegt. Dort heißt es: „Eine eVerordnung MUSS in verschlüsselter Form auf den VODD (= Verordnungsdatendienst) übertragen und dort gespeichert sein. Den Schlüssel zum Entschlüsseln der eVerordnungen besitzt der Versicherte.“ (12) Schon auf dem Übertragungsweg muss die elektronische Verordnung gegen unberechtigten Zugriff geschützt sein. Daher muss sie vor dem Transport verschlüsselt werden.

Daneben werden noch andere Vorgaben zur Sicherheit der Speicherung gemacht. So darf der Speicherort der eVerordnung innerhalb der Tele­ma­tik­infra­struk­tur für Unberechtigte nicht erkennbar sein. Personen, die von ihrer Rolle her grundsätzlich zum Zugriff berechtigt sind (etwa Apotheker), müssen sich für den Zugriff darauf authentifizieren und die Autorisierung nachweisen; dies geschieht mittels des HBA. Ein weiteres Element zur Absicherung der Speicherungen im System besteht
in der Protokollierung der letzten 50 Zugriffe. 1 Auf diese Weise lässt sich im Nachhinein prüfen, ob die Zugriffe (die technisch erzwungen nur von Berechtigten erfolgen können) auch legitimiert waren. Daneben findet man noch die Aussage, dass eine Profilbildung bezüglich des Versicherten oder des Arztes auf dem VODD nicht möglich sein darf. Das Konzept wird in konkrete technische Anweisungen umgesetzt in der „Facharchitektur Verordnungsdatenmanagement“ (13).

Alleinige Hoheit des Versicherten
Vergleichbare Aussagen gibt es auch in einem der wichtigsten Dokumente, der Beschreibung der Gesamtarchitektur. Die Anforderungen an die Verschlüsselung werden dort konkretisiert: „Online gespeicherte medizinische Daten MÜSSEN hybrid verschlüsselt werden, d. h., der für einen Datensatz spezifische (symmetrische) Schlüssel wird wiederum mit dem öffentlichen Verschlüsselungsschlüssel der eGK (...) verschlüsselt. Eine unverschlüsselte Speicherung des spezifischen Schlüssels DARF NICHT erfolgen.“ (14) Das Konzept wird dann noch weiter ausgeführt (Kasten) (15).

Darüber hinaus gibt es ein umfassendes Sicherheitskonzept zum Verfahren. Auch dort werden die Aussagen zur Verschlüsselung in etwas anderen Worten wiederholt: „Die Daten der Versicherten gemäß § 291 a Absatz 2 und Absatz 3 sind in der Tele­ma­tik­infra­struk­tur immer verschlüsselt. Die Verschlüsselung der medizinischen Daten eines Versicherten erfolgt individuell für diesen Versicherten, und die zur Entschlüsselung notwendigen Schlüssel liegen in der alleinigen Hoheit des Versicherten. Der Versicherte kann damit steuern, wem er welche seiner Daten unter welchen Bedingungen herausgibt.“ (16)

Asymmetrische und hybride Verschlüsselung
Das kryptografische Verfahren der asymmetrischen Verschlüsselung kann hier nicht im Detail erläutert werden (17). Hervorgehoben werden soll lediglich, dass es damit möglich wird, zur Verschlüsselung von Nachrichten einen anderen Schlüssel zu benutzen als zur Entschlüsselung, wobei beide Schlüssel jeweils zusammengehören und ein sogenanntes Schlüsselpaar bilden. Daraus folgt, dass der eine Schlüssel öffentlich verteilt und von jedermann verwendet werden kann, um dem Inhaber des Schlüssels Nachrichten zu senden, die gegen den Zugriff Dritter abgesichert sind. Der Empfänger kann diese ausschließlich mit dem Gegenstück, dem zweiten Schlüssel des Schlüsselpaars entschlüsseln. Solange der Inhaber des Schlüsselpaars dafür sorgt, dass dieser zweite (geheime oder private) Schlüssel in seiner alleinigen Verfügungsgewalt bleibt, kann auch nur er die Nachrichten entziffern. Auf der eGK sind beide Schlüssel des Schlüsselpaars gespeichert. Dabei ist aber nur der öffentliche Schlüssel für andere Systeme lesbar. Der private Schlüssel kann die eGK konstruktionsbedingt nie verlassen. Er kann nur vom Karteninhaber auf der Karte selbst mit der mindestens sechsstelligen PIN-Eingabe zur Entschlüsselung aktiviert werden. Nach drei Fehlversuchen wird der Zugang gesperrt (18).

Hybride Verfahren kombinieren den Einsatz von asymmetrischen mit symmetrischen Verfahren. Danach wird beim Einsatz der eGK,
etwa bei der Ausstellung eines elektronischen Rezepts, der dazu erzeugte Datensatz zunächst mit einem eigens für diesen Zweck jeweils neu erzeugten Schlüssel nach einem symmetrischen Verschlüsselungsverfahren verschlüsselt.2 Die Entschlüsselung des Datensatzes ist nur mit diesem Schlüssel möglich. Der symmetrische Schlüssel wird nirgendwo im System gespeichert, sondern sofort mit dem öffentlichen Schlüssel des Karteninhabers verschlüsselt; das so erzeugte Chiffrat wird im Telematiksystem hinterlegt. Der verwendete öffentliche Schlüssel ist Teil eines Schlüsselpaars in einem asymmetrischen Verschlüsselungsverfahren (19). Die Entschlüsselung dieses Datensatzes ist nur möglich, wenn der Karteninhaber seine Karte in ein an die Infrastruktur angeschlossenes Lesegerät steckt und seinen PIN-Code eingibt. Damit wird der private Schlüssel zur Entschlüsselung aktiviert. Der Speicherort des Chiffrats des symmetrischen Schlüssels und der mit diesem verschlüsselten Verordnung wird über ein sogenanntes Ticket wiedergefunden, das auf der eGK selbst gespeichert wird. (Gleichzeitig muss eine HBA eines Apothekers gesteckt sein.) (Grafik)

Vor diesem Hintergrund wird deutlich, dass sich der Schutz gegen einen unberechtigten Zugriff auf die Datensätze zu einem wesentlichen Teil aus der Qualität der verwendeten Verschlüsselung speist. Es ist anerkannt, dass sich moderne kryptografische Verfahren mit hinreichender Schlüssellänge nicht brechen lassen. Auf dieser Tatsache basiert nicht nur eine Vielzahl von Sicherheitsmechanismen in der Computertechnik. Die Sicherheit der hier verwendeten Algorithmen liegt auch der elektronischen Signatur zugrunde, die seit einiger Zeit verwendet werden kann, um die herkömmliche schriftliche Form zu ersetzen (20). Sollten sich die Algorithmen brechen lassen, könnte der Signierschlüssel einer Person gefälscht werden und jemand anderes in ihrem Namen rechtsverbindliche Erklärungen abgeben, die mit einer erheblichen Beweiserleichterung versehen sind (21).

Ein weiteres Indiz für die Wirksamkeit von Verschlüsselungsverfahren ist die zurzeit stattfindende Diskussion über die Einführung einer Onlinedurchsuchung auf Computern von Zielpersonen. Eines der Argumente für deren Notwendigkeit lautet, dass Kriminelle beim Austausch von Nachrichten über öffentliche Netze zunehmend von den Möglichkeiten der Verschlüsselung Gebrauch machen würden. Diese Nachrichten seien dann dem Zugriff der Sicherheitsbehörden entzogen. Selbst wenn der Datenstrom überwacht und kopiert werde, ließe sich im Falle der Verschlüsselung sein Inhalt nicht lesen. Deswegen wolle man auf die Computer der betroffenen Personen zugreifen, um Daten vor ihrer Verschlüsselung lesen zu können (22). Die Einzelverschlüsselung jedes medizinischen Datensatzes unter der alleinigen Kontrolle des Karteninhabers stellt einen sehr starken Schutz gegen den Zugriff durch Dritte dar. Daher kommt es nicht darauf an, wo genau der Server, der diese Daten speichert, tatsächlich steht. Die legendären „zentralen Server“ sind damit kein realistisches Schreckenszenario. Trotzdem wird es schon aus Performanzgründen kaum zur Speicherung „aller E-Rezepte“ auf einem Server, womöglich noch im Rechenzentrum einer Krankenkasse, kommen.

Geschützte Schweigepflicht
Zusätzliche Sicherheitsmechanismen richten sich deshalb vor allem auf den Schutz der Metadaten. So ist bei der Ausgestaltung der Speicherung in der Tele­ma­tik­infra­struk­tur sicherzustellen, dass eine Profilbildung bezüglich des Versicherten und des Verordnungsgebers nicht möglich ist. Der Speicherort der eVerordnung innerhalb der Tele­ma­tik­infra­struk­tur darf für Unberechtigte nicht erkennbar sein (23).

Hervorzuheben ist weiterhin, dass der Gesetzgeber im Zusammenhang mit der Einführung der eGK den Beschlagnahmeschutz erweitert hat. Ausgangspunkt ist das gesetzliche Zeugnisverweigerungsrecht des Arztes nach § 53 Abs. 1 Nr. 3 Strafprozessordnung (StPO) „über das, was (ihm) in dieser Eigenschaft anvertraut worden oder bekannt geworden ist“ (24). Voraussetzung dafür ist selbstverständlich, dass der Patient den Arzt nicht von der Schweigepflicht entbunden hat. Konsequenterweise ist auch die Beschlagnahme von Aufzeichnungen verboten, die Ärzte „über die ihnen vom Beschuldigten anvertrauten Mitteilungen oder über andere Umstände gemacht haben, auf die sich das Zeugnisverweigerungsrecht erstreckt“. Beschränkte sich das Beschlagnahmeverbot früher nach § 97 Abs. 2 StPO nur auf solche Materialien, die sich im Gewahrsam des Arztes selbst oder eines Krankenhauses befanden (zum Beispiel die Patientenkartei in der Arztpraxis), so weitet die Neuregelung den Schutz auf alle Daten aus, die direkt auf der eGK gespeichert sind oder die sich im Gewahrsam eines Dienstleisters befinden, der Teile der Tele­ma­tik­infra­struk­tur (oder eines beliebigen anderen E-Health-Netzwerks) betreibt und so Daten der Patienten speichert. Der Gesetzgeber hat also den Schutz des Zeugnisverweigerungsrechts konsequent an die neuen technischen Gegebenheiten angepasst. Die Daten werden nicht den Schutz der Schweigepflicht verlieren.

Die Einführung der eGK führt nicht zu einer erweiterten Profilbildung über Versicherte oder Ärzte. Tatsache ist allerdings, dass bereits seit dem Inkrafttreten des GKV-Modernisierungsgesetzes 2004 die Krankenkassen die Behandlungsdaten nicht nur – wie zuvor – arztbezogen erhalten, sondern nunmehr auch die Versichertennummern mitgeliefert bekommen – mit sämtlichen technischen Auswertungsmöglichkeiten, die sich daraus ergeben. Zulässig ist die Nutzung der Daten allerdings nur für ausgewählte Zwecke, darunter immerhin auch die Werbung für Disease-Management-Programme (25). Entsprechendes gilt für die Abrechnung der Apotheken über die Apothekenrechenzentren. Auch hier werden die Daten schon seit Langem aus den eingereichten Papierrezepten gescannt und digitalisiert. Die Krankenkassen sind also bereits im Besitz der Daten, die für eine Profilbildung der Versicherten und Einteilung in Risikoklassen benutzt werden könnten. Dies ist aus Datenschutzsicht selbstverständlich kritisch zu beurteilen. Es hat allerdings nichts mit der eGK zu tun. Dasselbe gilt für den auch von Datenschutzseite vielfach kritisierten morbiditätsorientierten Risiko­struk­tur­aus­gleich (26).

Der eGK wird nachgesagt, sie führe zu zusätzlicher Arbeit und einem Mehr an Kosten aufseiten der Ärzte, wogegen die alleinigen Profiteure der vereinfachten Prozesse die Krankenkassen seien. Wie weit dies zutrifft, kann hier nicht untersucht werden. Festzuhalten ist aber: Der Unmut der Ärzte an der Einführung der eGK mag berechtigt sein – mit Versäumnissen beim Datenschutz kann er nicht begründet werden. Hier muss die eGK geradezu als Modellvorhaben angesehen werden, bei dem die Anforderungen des informationellen Selbstbestimmungsrechts vorbildlich umgesetzt werden. Andere Vorhaben, wie die Vorratsdatenspeicherung, die Onlinedurchsuchung oder die Speicherung von Passagierdaten zu unbestimmten Zwecken, sind die wirklichen Bedrohungen für eine freie Gesellschaft.

Zitierweise dieses Beitrags:
Dtsch Arztebl 2008; 105(6): A 268-71
Anschrift des Verfassers
Lukas Gundermann, Unabhängiges Landeszentrum für Datenschutz, Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
E-Mail: LD4@datenschutzzentrum.de

1„Es MUSS sichergestellt werden, dass alle Arten von Zugriffen auf die eVerordnungen protokolliert werden.“ Fachkonzept Verordnungsdatenmanagement (VODM), S. 85.

Weitere Literatur im Internet:
www.aerzteblatt.de/lit0608
Anzeige
1.
Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007, BGBl. I 3198.
2.
Vgl. z.B Presseerklärung des ULD Schleswig-Holstein, https://www.datenschutzzentrum.de/ presse/20071107-vorratsdatenspeicherung.htm
3.
www.die-krankheitskarte.de/index.php?/archives/348-Gegen-Vorratsdatenspeicherung-und-elektronische-Gesundheitskarte.html oder kurz: http://tinyurl.com/2luf3s
4.
Siehe auch die underDOCs („Wir Ärzte wehren uns!“), www.underdocs.de, sowie der Newsletter 17/07 der Internationalen Ärzte für die Verhütung des Atomkrieges, Ärzte in sozialer Verantwortung e.V.
5.
Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom März 1994 (http://www.datenschutz-berlin.de/ jahresbe/ 94/ anlage/ an2_2.htm); Entschließung der 50. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom November 1995 (www.datenschutz-berlin.de/jahresbe/95/anlage/ an2_10.htm)
6.
Nachzulesen unter http://bundesrecht.juris.de/sgb_5/__291a.html
7.
BGBl. I 2003, 2190
8.
Vgl. Entschließung der 66. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 25./26. September 2003 (www.datenschutz-berlin.de/doc/de/konf/66/gesundheit.htm)
9.
Vgl. Weichert T: Die elektronische Gesundheitskarte. DuD 2004, S. 391.
10.
Download der einschlägigen Dokumente, Stand vom 14.01.2008: www.gematik.de/ Uebersichtsseite___Release_2_3_2.Gematik
11.
Sog. Dokumentenlandkarte, www.gematik.de/upload/ gematik_Qhb_Dokumentenlandkarte_Rel2_3_2_080114_3003.pdf
12.
Fachkonzept Verordnungsdatenmanagement (VODM) Version: 2.4.0, Stand: 20.12.2007, gematik_VOD_Fachkonzept_VODM_V2_4_0.doc, S. 85 f.
13.
Facharchitektur Verordnungsdatenmanagement (VODM) Version: 1.3.0, Stand: 20.12.2007, gematik_VOD_Facharchitektur_VODM_V1_3_0.doc
14.
Gesamtarchitektur Version: 1.1.0, Stand: 18.12.2007, gematik_GA_Gesamtarchitektur_V1_1_0.doc, S. 42.
15.
Gesamtarchitektur S. 268.
16.
Übergreifendes Sicherheitskonzept der Tele­ma­tik­infra­struk­tur Version: 2.1.0 Stand: 10.12.2007, gematik_DS_Sicherheitskonzept_V2_1_0.doc, S. 36.
17.
Vgl. bei Interesse http://de.wikipedia.org/wiki/Hybride_Verschl%C3%BCsselung
18.
Die Anforderungen an das PIN-Verfahren finden sich in der "Beschreibung der zulässigen PIN- und PUKVerfahren für die eGK" Version: 1.1.0 Stand: 20.12.2007, gematik_CMS_Kartenmanagement_eGK_PIN-PUK-Verfahren_V1_1_0.doc
19.
Die Schlüssellänge im hier verwendeten Verfahren RSA beträgt 2048 Bit. Zur Sicherheit vgl. http://www.staff.uni-mainz.de/ pommeren/ DSVorlesung/ KryptoBasis/ RSAsich.html.
20.
§ 126a BGB, http://bundesrecht.juris.de/bgb/__126a.html
21.
§ 371a Zivilprozessordnung, http://bundesrecht.juris.de/zpo/__371a.html
22.
Interview Präsident des BKA Jörg Zierke in der TAZ vom 26.03.2007, http://www.taz.de/index.php?id=archivseite&dig=2007/03/26/a0119
23.
Fachkonzept Verordnungsdatenmanagement (VODM), S. 83 ff..
24.
Siehe unter http://bundesrecht.juris.de/stpo/__53.html
25.
Vgl. § 284 SGB V, http://bundesrecht.juris.de/sgb_5/__284.html
26.
Vgl. https://www.datenschutzzentrum.de/medizin/arztprax/integrierteversorgung.htm unter V.
„Servergespeicherte medizinische Daten, die innerhalb der §-291-a-Anwendungen der Tele­ma­tik­infra­struk­tur gespeichert werden, MÜSSEN verschlüsselt gespeichert werden, und es MUSS nur dem Versicherten selbst oder einer von ihm autorisierten Person möglich sein, diese Daten wieder zu entschlüsseln. Die Implementierung der Verschlüsselung MUSS durch die Verwendung von Hybridschlüsseln implementiert werden. Für die Verwendung von Hybridschlüsseln MUSS jedes medizinische Objekt mit einem symmetrischen Schlüssel verschlüsselt werden. Dieser symmetrische Schlüssel MUSS dann mit dem öffentlichen Schlüssel jedes Zugriffsberechtigten verschlüsselt werden. Eine unverschlüsselte Speicherung des symmetrischen Schlüssels DARF NICHT erfolgen. Die Verwaltung von Hybridschlüsseln und Zugriffsrechten auf medizinische Objekte MUSS durch den das medizinische Objekt speichernden Fachdienst erfolgen. Innerhalb der Tele­ma­tik­infra­struk­tur DÜRFEN KEINE rollenbezogenen Gemeinschaftsschlüssel verwendet werden. Die Verschlüsselung von Daten muss somit immer für eine Identität und kann nie für eine Rolle erfolgen.“
„Servergespeicherte medizinische Daten, die innerhalb der §-291-a-Anwendungen der Tele­ma­tik­infra­struk­tur gespeichert werden, MÜSSEN verschlüsselt gespeichert werden, und es MUSS nur dem Versicherten selbst oder einer von ihm autorisierten Person möglich sein, diese Daten wieder zu entschlüsseln. Die Implementierung der Verschlüsselung MUSS durch die Verwendung von Hybridschlüsseln implementiert werden. Für die Verwendung von Hybridschlüsseln MUSS jedes medizinische Objekt mit einem symmetrischen Schlüssel verschlüsselt werden. Dieser symmetrische Schlüssel MUSS dann mit dem öffentlichen Schlüssel jedes Zugriffsberechtigten verschlüsselt werden. Eine unverschlüsselte Speicherung des symmetrischen Schlüssels DARF NICHT erfolgen. Die Verwaltung von Hybridschlüsseln und Zugriffsrechten auf medizinische Objekte MUSS durch den das medizinische Objekt speichernden Fachdienst erfolgen. Innerhalb der Tele­ma­tik­infra­struk­tur DÜRFEN KEINE rollenbezogenen Gemeinschaftsschlüssel verwendet werden. Die Verschlüsselung von Daten muss somit immer für eine Identität und kann nie für eine Rolle erfolgen.“
Verschlüsselung im Detail
„Servergespeicherte medizinische Daten, die innerhalb der §-291-a-Anwendungen der Tele­ma­tik­infra­struk­tur gespeichert werden, MÜSSEN verschlüsselt gespeichert werden, und es MUSS nur dem Versicherten selbst oder einer von ihm autorisierten Person möglich sein, diese Daten wieder zu entschlüsseln. Die Implementierung der Verschlüsselung MUSS durch die Verwendung von Hybridschlüsseln implementiert werden. Für die Verwendung von Hybridschlüsseln MUSS jedes medizinische Objekt mit einem symmetrischen Schlüssel verschlüsselt werden. Dieser symmetrische Schlüssel MUSS dann mit dem öffentlichen Schlüssel jedes Zugriffsberechtigten verschlüsselt werden. Eine unverschlüsselte Speicherung des symmetrischen Schlüssels DARF NICHT erfolgen. Die Verwaltung von Hybridschlüsseln und Zugriffsrechten auf medizinische Objekte MUSS durch den das medizinische Objekt speichernden Fachdienst erfolgen. Innerhalb der Tele­ma­tik­infra­struk­tur DÜRFEN KEINE rollenbezogenen Gemeinschaftsschlüssel verwendet werden. Die Verschlüsselung von Daten muss somit immer für eine Identität und kann nie für eine Rolle erfolgen.“
1. Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007, BGBl. I 3198.
2. Vgl. z.B Presseerklärung des ULD Schleswig-Holstein, https://www.datenschutzzentrum.de/ presse/20071107-vorratsdatenspeicherung.htm
3. www.die-krankheitskarte.de/index.php?/archives/348-Gegen-Vorratsdatenspeicherung-und-elektronische-Gesundheitskarte.html oder kurz: http://tinyurl.com/2luf3s
4. Siehe auch die underDOCs („Wir Ärzte wehren uns!“), www.underdocs.de, sowie der Newsletter 17/07 der Internationalen Ärzte für die Verhütung des Atomkrieges, Ärzte in sozialer Verantwortung e.V.
5. Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom März 1994 (http://www.datenschutz-berlin.de/ jahresbe/ 94/ anlage/ an2_2.htm); Entschließung der 50. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom November 1995 (www.datenschutz-berlin.de/jahresbe/95/anlage/ an2_10.htm)
6. Nachzulesen unter http://bundesrecht.juris.de/sgb_5/__291a.html
7. BGBl. I 2003, 2190
8. Vgl. Entschließung der 66. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 25./26. September 2003 (www.datenschutz-berlin.de/doc/de/konf/66/gesundheit.htm)
9. Vgl. Weichert T: Die elektronische Gesundheitskarte. DuD 2004, S. 391.
10. Download der einschlägigen Dokumente, Stand vom 14.01.2008: www.gematik.de/ Uebersichtsseite___Release_2_3_2.Gematik
11. Sog. Dokumentenlandkarte, www.gematik.de/upload/ gematik_Qhb_Dokumentenlandkarte_Rel2_3_2_080114_3003.pdf
12. Fachkonzept Verordnungsdatenmanagement (VODM) Version: 2.4.0, Stand: 20.12.2007, gematik_VOD_Fachkonzept_VODM_V2_4_0.doc, S. 85 f.
13. Facharchitektur Verordnungsdatenmanagement (VODM) Version: 1.3.0, Stand: 20.12.2007, gematik_VOD_Facharchitektur_VODM_V1_3_0.doc
14. Gesamtarchitektur Version: 1.1.0, Stand: 18.12.2007, gematik_GA_Gesamtarchitektur_V1_1_0.doc, S. 42.
15. Gesamtarchitektur S. 268.
16. Übergreifendes Sicherheitskonzept der Tele­ma­tik­infra­struk­tur Version: 2.1.0 Stand: 10.12.2007, gematik_DS_Sicherheitskonzept_V2_1_0.doc, S. 36.
17. Vgl. bei Interesse http://de.wikipedia.org/wiki/Hybride_Verschl%C3%BCsselung
18. Die Anforderungen an das PIN-Verfahren finden sich in der "Beschreibung der zulässigen PIN- und PUKVerfahren für die eGK" Version: 1.1.0 Stand: 20.12.2007, gematik_CMS_Kartenmanagement_eGK_PIN-PUK-Verfahren_V1_1_0.doc
19. Die Schlüssellänge im hier verwendeten Verfahren RSA beträgt 2048 Bit. Zur Sicherheit vgl. http://www.staff.uni-mainz.de/ pommeren/ DSVorlesung/ KryptoBasis/ RSAsich.html.
20. § 126a BGB, http://bundesrecht.juris.de/bgb/__126a.html
21. § 371a Zivilprozessordnung, http://bundesrecht.juris.de/zpo/__371a.html
22. Interview Präsident des BKA Jörg Zierke in der TAZ vom 26.03.2007, http://www.taz.de/index.php?id=archivseite&dig=2007/03/26/a0119
23. Fachkonzept Verordnungsdatenmanagement (VODM), S. 83 ff..
24. Siehe unter http://bundesrecht.juris.de/stpo/__53.html
25. Vgl. § 284 SGB V, http://bundesrecht.juris.de/sgb_5/__284.html
26. Vgl. https://www.datenschutzzentrum.de/medizin/arztprax/integrierteversorgung.htm unter V.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Anzeige