Donnerstag, 13. März 2014

Elektronische Gesundheitskarte rechtswidrig

Wie das Hamburger Abendblatt berichtete, verstößt die Anfang 2014 eingeführte Gesundheitskarte mit Bild laut eines Gutachtens der Kassenärztlichen Bundesvereinigung (KBV) gegen das Gesetz. Die Krankenkassen hätten es versäumt, die Fotos zu überprüfen. 

Aufgefallen war dies als Mitglieder Fotos des "Star Wars"-Charakters "Darth Vader" oder berühmter Persönlichkeiten, wie Brad Pitt oder Lady Gaga eingereicht hatten. Derzeit sind zwischen 55 und 60 Millionen E-Cards im Umlauf. Wie viele davon ungültig sind, ist nicht bekannt. Deshalb müssten prinzipiell alle Karten eingezogen oder nachgerüstet werden, da sie so keine gesetzlich gültigen Identitätsnachweise darstellen. 

Die Aktion "Stoppt die e-card", ein Bündnis aus 54 Bürgerrechtsorganisationen, Datenschützern, Patienten- und Ärzteverbänden, fordert seit Langem die Abschaffung der Karte. Dr. Manfred Lotze, Vertreter der IPPNW im Bündnis, warnt: "Die NSA hat vorgemacht, wie schnell Daten zu entschlüsseln sind – das sollte auch den letzten Sicherheitsgläubigen eines Besseren belehren." Trotz allem ist das Bundesministerium für Gesundheit der Ansicht, die Krankenkassen hätten keinen Fehler gemacht, da die Verifizierung der Daten nicht zwingend während der Übermittlung des Lichtbilds geschehen müsste. [Hervorhebung von mir] Informationen darüber, wann die Überprüfung stattfinden müsse, gibt es allerdings nicht. 
ippnw forum nr137, märz2014



Eine Zusammenfassung des zeitlichen Ablaufs (alle Infos aus Wikipedia, abgerufen am 13.03.2014): 
In dem Gesetz zur Modernisierung der gesetzlichen Krankenversicherung vom 14. November 2003 (Inkrafttreten am 1.1.2004) wurde die Einführung der eGK zum 1. Januar 2006 in § 291a SGB V gesetzlich festgeschrieben.

Die Vorlage zum Gesundheitsmodernisierungsgesetz von 2003 fordert das Aufbringen eines Lichtbildes, um Missbrauch zu verhindern.[21] [A 5]
Gemäß dem verbindlichen Sicherheitskonzept der gematik [22] sind die Krankenkassen als Herausgeber der eGK für die Einhaltung der gesetzlichen Anforderungen und den Spezifikationen der gematik GmbH verantwortlich. [A 6] Jede Krankenkasse verantwortet selbst die Einhaltung der datenschutzrechtlichen Bestimmungen und berücksichtigt neben dem Sicherheitskonzept der gematik GmbH die Anforderungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und die europäischen Vorgaben.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar fordert am 3. Juni 2009 in der Tagesschau, dass „die Krankenkassen dafür Sorge tragen müssen, dass die Fotos den Betroffenen zuzuordnen sind“.

Im Januar 2005 [also ein Jahr vor der im Gesetz geplanten Einführung, Anmerkung von mir] gründeten die Spitzenverbände der Selbstverwaltung [wer das außer der Kassenärztlichen Bundesverwaltung noch ist, ist für mich nicht eruierbar] im Januar 2005 die Betriebsorganisation gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH).

Der 110. Deutsche Ärztetag beschloss im Mai 2007, die eGK in der heute vorliegenden Form abzulehnen und neue Wege zu gehen, die eine größere Datensicherheit und eindeutige Aussagen über die Finanzierbarkeit aufweisen. Der 111. Ärztetag erneuerte im Mai 2008 seine Kritik an der elektronischen Gesundheitskarte in der jetzigen Form und verlangte einen Stopp der Tests. Bei der Mehrheit der Delegierten überwogen die datenschutzrechtlichen Bedenken gegen die zentrale Speicherung der Patienteninformationen.  
Der Verband der privaten Krankenversicherer stieg unter Hinweis auf die fehlende Investitionssicherheit im Juli 2009 aus der Teilnahme am Basis-Rollout der neuen Chipkarten-Lesegeräte aus. (Der entsprechende Link bei Wikipedia funktioniert nicht mehr.)
Der 113. Deutsche Ärztetag beschloss am 14. Mai 2010, das Projekt Gesundheitskarte „in der weiterverfolgten Zielsetzung endgültig aufzugeben“.
Auch der 116. Deutsche Ärztetag im Mai 2013 in Hannover bekräftigte die in seinen Beschlüssen der letzten Jahre formulierte Ablehnung des Großprojektes „Elektronische Gesundheitskarte“. „In den vergangenen 7 Jahren hat sich herausgestellt, dass das eGK-Projekt nicht geeignet ist, eine moderne, sichere, patienten- und arztdienliche elektronische Kommunikation im Gesundheitswesen zu befördern. Die bisher investierten Gelder sind der medizinischen Versorgung verloren gegangen.“ [10]

Die Artikel-29-Datenschutzgruppe (das unabhängige Beratungsgremium der Europäischen Gemeinschaft in Fragen des Datenschutzes) fordert, dass „Patienten absolut zweifelsfrei identifizierbar sein müssen".

Die Anlage 4a des Bundesmantelvertrags [A 7] setzt die Umsetzung der MUSS-Anforderungen des Sicherheitskonzeptes der gematik voraus. Die Ärzteschaft ist zur Identitätsprüfung verpflichtet [Hervorhebung von mir], kann diese aber ohne vorausgegangene zweifelsfreie Zuordnung der eGK zur Person durch Bestätigung durch eine vom Benutzer unabhängige Instanz nicht erfüllen. Der 112. Deutsche Ärztetag vom 19 - 22. Mai 2009 hat deshalb folgende Entschließung gefasst: „Die Krankenkassen werden aufgefordert sicherzustellen, dass die Fotos, die die Versichertenkarten schmücken sollen, tatsächlich den Versicherten darstellen.“[27]
 
Die für die Ausgabe der eGK verantwortlichen Krankenkassen haben entgegen dem gültigen Sicherheitskonzept der gematik, den Forderungen der Datenschutzgruppe der EU, den Anforderungen des Bundesdatenschützers und damit auch entgegen den relevanten Gesetzen keine Bestätigung der Identität durch eine vom Benutzer unabhängige Instanz etabliert und für die Lichtbilder keine Identitätsprüfung vorgesehen. Sie verlassen sich ausschließlich auf ungeprüfte Selbstangaben der Versicherten. Die im gematik-Sicherheitskonzept geforderte Adressprüfung durch eine vom Benutzer unabhängige Instanz ist in den derzeitigen (Stand 2012) Verfahren gleichfalls nicht vorgesehen. Gemäß dem verbindlichen Sicherheitskonzept der gematik sind die Krankenkassen als Herausgeber der eGK für die Einhaltung der Anforderungen verantwortlich. „Die Erreichung der Schutzziele und die Wirksamkeit und Konsistenz der gewählten Prozesse sowie der einzelnen Prozessschritte ist vom Kartenherausgeber zu gewährleisten.“[28] [Hervorhebung von mir

Während auf der KVK nur die oben genannten Daten gespeichert werden durften, muss die eGK geeignet sein, ärztliche Verordnungen (sog. eRezept) und den Berechtigungsnachweis für EU-Ausländer (sog. Europäische Krankenversicherungskarte) zu speichern.[G 11]
Darüber hinaus muss die Gesundheitskarte geeignet sein, folgende freiwillige Anwendungen zu unterstützen, insbesondere das Erheben, Verarbeiten und Nutzen von

  1. medizinischen Daten, soweit sie für die Notfallversorgung erforderlich sind (Notfallversorgungsdaten),
  2. den sogenannten elektronischen Arztbrief,
  3. Daten zur Prüfung der Arzneimitteltherapiesicherheit (persönliche Arzneimittelrisiken und -unverträglichkeiten),
  4. die sogenannte elektronische Patientenakte,
  5. weitere von Versicherten selbst oder für sie zur Verfügung gestellte Daten (Patientenfach), sowie
  6. Daten über in Anspruch genommene Leistungen und deren vorläufige Kosten für die Versicherten.
Dabei können, weil der Speicherplatz – nicht nach den gesetzlichen Vorgaben, aber nach der geplanten technischen Umsetzung – auf der eGK begrenzt ist (32 kB), nur bis zu 8 eRezepte und die Notfalldaten[30] auf der eGK selbst speicherbar sein. Die übrigen freiwilligen Anwendungen wie z. B. eine Patientenakte werden auf Servern der sog. Telematik-Infrastruktur abgelegt. [Hervorhebungen von mir]


Zusammenfassung der Zusammenfassung:

- Anfang 2004 tritt ein Gesetz in Kraft, welches die Einführung einer elektronischen Gesundheitskarte für 2006 vorsieht. Die geplante Chipkarte soll die Identität des Inhabers sicherstellen sowie verwaltungstechnische und medizinische Daten (z.B. Notfalldaten wie »Bluter« oder »Diabetiker«) speichern können.
- 2005 wird eine Gesellschaft gegründet, die das Ganze organisieren und umsetzen soll.
- Das Rollout wird 2009/2010 gegen die Kritik von Datenschützern und den Widerstand der Ärzteschaft erzwungen, etwa 120.000 Arztpraxen in Deutschland müssen neue Lesegeräte anschaffen, obwohl grundlegende gesetzliche Forderungen nicht eingehalten werden und diese Tatsache über Jahre hinweg bekannt ist. 
- Die Speicherfähigkeit der E-Card ist mit 32 kB äußerst begrenzt.
- Alle freiwilligen Daten, für deren Speicherung die Kapazität der E-Card schon von vorneherein nicht ausreicht, sollen in einer »Cloud« gespeichert werden.
- Fünf Jahre nach dem Beginn des Lesegeräte-Rollouts stellt ein Gutachten fest, daß das Handling der E-Card durch die Krankenkassen die gesetzlichen Bestimmungen nicht einhält. Anscheinend kann niemand dafür verantwortlich gemacht werden, daß eine Identitätsprüfung der Chipkarteninhaber nicht möglich ist, obwohl dies die Voraussetzung für die Einführung der Chipkarte war. Laut obigem Artikel ist aber das BGM der Meinung, die Krankenkassen hätten keinen Fehler gemacht. (Die Erfahrung zeigt, daß man sowas nur lange genug behaupten braucht…)
Link zu den Kostenerwartungen (Wikipedia)



Was für ein Herumgemache! Ein eindrucksvolles Beispiel dafür, mit wie heißer Nadel dieses Gesetz gestrickt und wie stümperhaft und borniert es umgesetzt wurde.
Es dürfen Wetten abgegeben werden: 
Wenn also in ein paar Jahren stabile juristische Verhältnisse geschaffen sein werden, wird es dann neue Chipkarten-Lesegeräte geben, die angeschafft werden müssen? 
Den Firmen, die die Chipkarten-Lesegeräte produzieren, wären ja doof, hätten sie Geräte hergestellt, die Chipkarten mit größerer Speicherkapazität lesen könnten. Die Arztpraxen in Deutschland dürfen sich also schon auf das nächste Roll-Out freuen!
Eigentlich gehört dieser Post auf den 1. April. Mal sehen…