Ein Gesundheitssystem ist keine Telebank
Tests mit elektronischen Arztausweisen haben begonnen, offen sind weiterhin die datenschutzrechtlichen Fragen
Der Startschuss ist gefallen. Im Zuständigkeitsgebiet der Kassenärztlichen Vereinigung (KV) Westfalen-Lippe werden zum bundesweit ersten Mal in einem von den offiziellen Gremien der ärztlichen Selbstverwaltung abgesegneten Pilotversuch elektronische Arztausweise getestet. Weitere Piloten in anderen KV-Bezirken werden noch in diesem Jahr folgen. Aufwind erhält durch diese Entwicklung auch die Idee der elektronischen Patientenkarte. Doch je mehr sensible Daten elektronisch verschickt oder gespeichert werden, desto höher werden aber auch die Anforderungen an die Sicherheit der Systeme. Eine janusköpfige Perspektive, denn der Datenschutz in einem elektronischen Aktenwesen geht im Gesundheitssystem Hand in Hand mit der Entstehung einer Kluft zwischen Insidern und Outsidern.
Was lange währt: Die Kassenärztlichen Vereinigungen - sie sind als Verhandlungspartner der Krankenkassen die politischen Organe der niedergelassenen Ärzte in der ärztlichen Selbstverwaltung - haben mit dem Gedanken an einen elektronischen Arztausweis ("Health care Professional Card", kurz HCP) schon gespielt, als das Signaturgesetz noch in weiter Ferne lag. Koordiniert wurden diese Überlegungen von ärztlichen Standesvertretern des "Zentralinstituts für die kassenärztliche Versorgung" (ZI), einem seit 1973 bestehenden Forschungsinstitut der "Kassenärztlichen Bundesvereinigung", die wiederum eine Art Dachverband aller deutschen KVen ist. Das ZI beschäftigt sich unter der Federführung des Arztes Jürgen Sembritzki intensiv mit dem Einsatz von Kommunikationstechnologien in der Medizin (Näheres dazu auf den Webseiten des ZI via "Themen" und dann "IT-Technologie").
Vorläufiges Ende der Überlegungen war der erste Entwurf des sogenannten HCP-Protokolls, das die Eigenschaften eines elektronischen Arztausweises beschreibt, wie er in insgesamt vier Pilotversuchen in der ärztlichen Praxis erprobt werden soll, und zwar in Bayern, Baden-Württemberg, Niedersachsen und Westfalen-Lippe. Vor zwei Wochen nun preschten die Westfalen etwas überraschend vor, denn eigentlich war die endgültige Fassung des HCP-Protokolls erst für diesen Sommer angekündigt. Während die anderen drei KVen noch über Organisatorischem brüten, schaffte die KV Westfalen-Lippe Fakten, indem sie vierzig elektronische Arztausweise an ausgewählte Mitglieder verteilte. Neuntausend weitere sollen folgen. Auch Vertreter der KV Bayern kündigten daraufhin die Verteilung von mehreren hundert HCP-Karten an interessierte Ärzte noch in diesem Jahr an.
"Authentizität", "Integrität" und "Vertraulichkeit" waren die Ansprüche an den elektronischen Arztausweis, getreu den vom deutschen Signaturgesetz 1997 in Gesetzestext gegossenen Forderungen an eine sichere elektronische Datenübertragung. Mit Hilfe der HCP-Karten soll Ärzten die Möglichkeit gegeben werden, Arztbriefe, einzelne Befunde oder auch Röntgenbilder digital zu versenden. Das ist mit dem Einverständnis des Patienten zwar auch ohne die Karte möglich. Es wurde und wird auch vereinzelt praktiziert. Nach Ansicht der ärztlichen Selbstverwaltungen sollte ein so sensibles Thema wie die elektronische Übermittlung von Patientendaten jedoch einheitlich geregelt werden.
Mit einer "offiziellen" HCP ausgestattete Ärzte können nun Patientendaten mit Hilfe eines Systems aus privaten und öffentlichen Schlüsseln erstens digital signieren und zweitens verschlüsseln. Anders gesagt beweist der Einsatz der HCP-Karte die Identität des sendenden Arztes und die Echtheit der übertragenen Daten, während mit ihrer Hilfe gleichzeitig Unbefugte daran gehindert werden können, sich die "digitale Postkarte" anzusehen. Verwendet werden dazu 1024-Bit-Schlüssel. Zumindest nach Ansicht von Ulrich Schoch, Leiter des Bereichs Telemedizin bei der Deutschen Telekom, die in Westfalen-Lippe und voraussichtlich auch bei den anderen Pilotprojekten die Funktion des Trustcenters übernimmt, sind diese Schlüssel gegenwärtig auch für gewiefte Hacker nicht zu knacken.
Ohne Akten, ohne Sinn - der elektronische Arztausweis schreit nach virtuellen Aufzeichnungen
Nun ist mit der digitalen Übertragung alleine noch nicht viel gewonnen. Allenfalls spart man sich damit anderthalb Tage Posttransport, was in Einzelfällen - vor allem im Notfallmanagement - hilfreich sein mag, im großen und ganzen aber auch in der Medizin keine conditio sine qua non ist. Interessant wird das alles erst, wenn Absender und Empfänger der Daten über rein elektronische Patientenakten verfügen, die den sogenannten Medienbruch verhindern.
"Medienbruch" beschreibt in der Medizin den Vorgang, bei dem die Arzthelferin oder die Stationssekretärin die einkommende Datei öffnet, ihren Inhalt ausdruckt, die Zettel locht und sie schließlich auf irgendeiner Ablage deponiert, wo sie auf den Haken und das unleserliche Kürzel des Arztes warten, bevor sie endgültig in dicken Pappmappen verschwinden. (Ein nur halb spaßig gemeinter Arzt-Einwand gegen elektronische Akten besagt übrigens, dass sie sich schon deswegen nicht durchsetzen werden, weil sie nicht den Ärzten, sondern nur dem Praxispersonal Arbeit abnehmen.) Demzufolge nehmen an dem jetzt angelaufenen Pilotprojekt in Westfalen-Lippe auch nur Ärzte eines schon länger bestehenden Netzes teil, dem CHIN-Projekt Ostwestfalen-Lippe, bei dem niedergelassene Kardiologen mit Klinikärzten auf der Basis von elektronischen Patientenakten zusammenarbeiten, um die Betreuung Herzkranker zu verbessern.
"Auch Patienten brauchen Karten!"
Die Einführung der elektronischen Arztausweise in lokalen, mit elektronischen Akten arbeitenden Netzen, wird in die lange Zeit stockend verlaufende Diskussion über eine Elektronisierung des gesamten Gesundheitswesens erheblichen Schwung bringen. Auf der Abschlusskonferenz des Global Healthcare Application Project, die vor einigen Wochen in Berlin stattfand, forderten Vertreter der Bundesvereinigung deutscher Apothekerverbände ABDA die Ärzteschaft auf, nun auch den Weg für elektronische Patientenchipkarten frei zu räumen.
Ein Konzept zur Gestaltung solcher Patientenkarten, die unter anderem die elektronische Rezeptierung ermöglichen würden, liegt bereits seit Längerem in der Schubladen der ABDA. Die Apotheker denken dabei an eine Erweiterung der Krankenversicherungskarte durch einen zweiten Chip, alternativ an eine komplette zweite Karte. Auf dieser soll der Arzt die Medikamente, die der Patient erhält, abspeichern können. Der Patient müsste nichts anderes tun, als mit dieser Karte zu seiner Apotheke rennen, die wiederum die Karte einliest und die Medikamente ausgibt.
Die Karte soll allerdings etwas mehr sein als nur eine Kreditkarte für das papierlose Medikamentenshopping. Gespeicherte persönliche Daten wie chronische Erkrankungen, Alter oder Geschlecht sollen es möglich machen, eine Art therapeutisches Frühwarnsystem zu installieren: Verträgt sich ein Medikament nicht mit einem Leiden des Patienten, etwa ein Kalziumantagonist mit einer bekannten koronaren Herzerkrankung oder ein Betablocker mit einem Asthma bronchiale, so warnt das System den Apotheker oder den Arzt sofort. Gleiches gilt für falsch dosierte Arzneimittel, etwa bei bekannten Nierenerkrankungen oder bei Kindern. Das Non-plus-ultra - auch wenn darüber gegenwärtig noch nicht diskutiert wird - wäre es sicherlich, die individuelle genetische Ausstattung ebenfalls auf der Karte zu speichern, zumindest bei den Enzymen, die die Medikamente im Körper abbauen. Eine datenbankgestützte individuelle Dosierung würde dadurch möglich.
Vom Kommunikationsmittel zur Eintrittskarte ins Gesundheitswesen
Im abgeschlossenen Rahmen lokaler Netze sind datenschutzrechtliche Fragen vergleichsweise simpel zu regeln: Durch eine Zustimmung signalisierende Unterschrift des Patienten, der ja optimal betreut werden möchte und deshalb meist gerne subskribiert, ist schon fast alles gewonnen. Spätestens allerdings wenn einmal viele - alle? - Einrichtungen des Gesundheitswesens vernetzt werden, also Arztpraxen und Apotheken, Rehazentren, Therapeuten und Krankengymnasten - und erst dann machen elektronische Arzt- und Patientenausweise wirklich Sinn -, wird sich in einem Chipkartensystem zusätzlich zur Frage der Datensicherheit die Frage der Zugangskontrolle stellen.
Das HCP-Protokoll als Rahmenplan für die ersten Versionen elektronischer Arztausweise kümmert sich um diese sogenannte Client-Server-Authentifizierung nicht, genauso wenig der Vorschlag der ABDA zur elektronischen Rezeptierung. Die Frage also, wie sichergestellt werden kann, dass derjenige, der die Karte benutzt auch derjenige ist, der das Recht dazu hat, ist gegenwärtig unbeantwortet, weil sie sich in abgeschlossenen Systemen wie gesagt kaum stellt.
Bei den elektronischen Arztausweisen ist das Problem vergleichsweise einfach: Ein Passwortsystem liegt nahe und wird wohl auch irgendwann eingeführt werden, wenn die Karten einmal im Umlauf sind. Weil aber elektronische Arztausweise nach elektronischen Akten rufen, weil elektronische Akten nach elektronischen Patientenkarten rufen und weil beides zusammen letztlich nach einer wie auch immer gestalteten, zentral oder dezentral gelagerten, jedenfalls über das Netz zugänglichen Patientendokumentation geradezu schreit, wird sich auch für elektronische Patientenkarten irgendwann massiv die Frage nach der Client-Server-Authentifizierung stellen.
Nur: Passwortsysteme werden hier nicht funktionieren. Sie werden deswegen nicht funktionieren, weil es jenseits der Arztschreibtische eine gar nicht so kleine Anzahl an Patienten gibt, die sich Passworte, die komplex genug sind, um die (lebenslange?) Dokumentation der persönlichen Krankengeschichte sicher zu schützen, nicht werden merken können. Und sie werden deswegen nicht funktionieren, weil es auch unter denen, die sich Passworte im Prinzip merken könnten, eine ganze Reihe gibt, die in dem Augenblick, in dem sie in Kontakt mit dem Gesundheitssystem treten, ein Passwort nicht werden eingeben können, selbst wenn sie es wollten. Vor allem aus letzterem Grund haben abgeschlossene Netze, die schon mit elektronischen Akten arbeiten, meist einen Notfallknopf, der die Daten im Zweifel frei schaltet. In großen, anonymen Systemen mit womöglich zentral gelagerten Daten wird es solche Knöpfe nicht geben können. Was also bleibt?
Auch wenn die im Augenblick unternommenen ersten Gehversuche auf dem Gebiet der Biosensorik - elektronisches Scanning der Regenbogenhaut etwa oder Rotlichtdurchleuchtungen des Bindegewebes - nicht präzise genug zu sein scheinen: Letztlich sind Methoden dieser Art die einzige Möglichkeit, ein Authentifizierungssystem aufzubauen, das erstens ausreichend sicher ist, zweitens keine Gedächtnisleistungen benötigt und drittens im Notfall und nur bei (körperlicher) Anwesenheit des Patienten knackbar ist. Wie genau solche Systeme letzen Endes aussehen werden, weiß heute niemand, aber der genetische Fingerabdruck ist zumindest ein Modell, das präzise genug wäre, und in absehbarer Zeit auch einmal billig genug sein wird.
Ein Gesundheitssystem ist keine Telebank
Warum ist eine solche Entwicklung problematisch? Weil etwas, worüber sich an seinem Bankautomaten ein jeder freuen würde, nämlich die Sicherheit zu haben, dass er oder sie und niemand anders Zugang zum Konto hat, in seiner Anwendung auf den Zugang zu einem Gesundheitssystem inhuman wird, jedenfalls dann, wenn nicht an anderer Stelle Vorsorge für die getroffen wird, die aus welchen Gründen auch immer diese Zugangsberechtigung nicht haben.
In Deutschland trifft das gegenwärtig vor allem Illegale, in Amerika das Heer derer, die keine Krankenversicherung haben, weil sie sich keine leisten können. In einem elektronischen Gesundheitssystem mit einer perfekt funktionierenden Patientenidentifizierung, und im Sinne des Schutzes meiner persönlichen Daten müsste ich eine solche eigentlich fordern, ist "Missbrauch" kaum möglich. Krankenscheine konnte früher und die im Augenblick gängigen Versicherungskarten kann jetzt im Prinzip benutzen, wer will. Was von den Krankenkassen in Intervallen immer mal wieder angeprangert wird, und was bei EC-Karten zugegebenermaßen eine Katastrophe wäre, dass nämlich Versicherungskarten von Patienten benutzt werden, deren Name gar nicht drauf steht, ist im Gesundheitssystem ein Stück Humanität, das vielen kartenlosen Patienten und auch dem einen oder anderen Arzt das Leben leichter macht.
Es mag für manchen abstrus klingen, Einwände gegen die Virtualisierung zu hören, die nicht vor Missbrauchsmöglichkeiten warnen, sondern davor, dass solche verschwinden. Doch ein Gesundheitssystem ist eben keine Telebank, und brennenden Fragen wie die der Versorgung von Kranken ohne Krankenversichertenkarte, denen die Politik im Augenblick nur deswegen ausweichen kann, weil es leicht zugängliche Missbrauchsmöglichkeiten gibt, werden zwangsläufig aktueller, je mehr man diese verbaut.