Datenschutz und IT-Sicherheit bei der elektronischen Patientenakte
der Abgeordneten Kathrin Vogler, Anke Domscheit-Berg, Susanne Ferschl, Gökay Akbulut, Matthias W. Birkwald, Ates Gürpinar, Pascal Meiser, Sören Pellmann, Heidi Reichinnek, Jessica Tatti und der Fraktion DIE LINKE.
Vorbemerkung
Seit langer Zeit wird die elektronische Gesundheitskarte (eGK) als Identitätsnachweis hinterfragt (www.aerzteblatt.de/archiv/154648/KBV-Vermerk-zur-Gesundheitskarte-Rechtliche-Bedenken). Die Fraktion DIE LINKE. hatte das Thema bereits 2015 aufgegriffen und massive Datenschutzlecks angeführt (vgl. Bundestagsdrucksache 18/6928). Datenschutz und Datensicherheit hätten für die Bundesregierung oberste Priorität (ebd., Vorbemerkung der Fragesteller). Bis heute wird die Identität der Versicherten beim Bezug einer eGK nicht überprüft. Das heißt, es ist leicht und ohne technische Hacker-Kenntnisse möglich, sich die eGK einer anderen Person zu beschaffen. Bislang waren die real genutzten Online-Funktionen der eGK überschaubar. Die elektronische Patientenakte (ePA) wird nicht in nennenswertem Umfang genutzt (www.aerzteblatt.de/nachrichten/141004/Nutzung-der-elektronischen-Patientenakte-eingebrochen#:~:text=Zwar%20ist%20die%20Zahl%20der,aller%20gesetzlich%20Versicherten%20in%20Deutschland). Das eRezept sollte ursprünglich mit der App der Betreibergesellschaft gematik verwendet werden. Dieses Verfahren wurde wegen des „zu komplexen Zugangsverfahrens“ als „nicht massentauglich“ eingeschätzt (www.pharmazeutische-zeitung.de/datenschuetzer-blockieren-e-rezeptvia-egk-135918/). Alternativ soll die eGK als Identitätsnachweis in der Apotheke ausreichen. Doch dieses Verfahren ist von dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) zunächst wegen Unvereinbarkeit mit der Datenschutz-Grundverordnung (DS-GVO) gestoppt worden (www.pharmazeutische-zeitung.de/loesung-fuer-egk-verfahren-in-sicht-138271/). Der Gesetzgeber hatte im Nachgang dieser Debatte ein Vetorecht des BfDI sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI) bei Neuregelungen der Telematikinfrastruktur (TI) eingeführt (www.pharmazeutische-zeitung.de/mehr-mitspracherechte-fuer-datenschuetzer-beim-e-rezept-137049/seite/alle/). Nun soll allerdings das verbindlich herzustellende Einvernehmen mit dem BSI und BfDI wieder abgeschafft werden (www.bundesgesundheitsministerium.de/presse/pressemitteilungen/digitalisierungsstrategie-vorgelegt-09-03-2023.html).
Ab Januar 2024 soll mit Einführung einer GesundheitsID alternativ auch der Personalausweis als Schlüssel zur TI und ihren Anwendungen wie der ePA etc. dienen können (§ 291 Absatz 8 des Fünften Buches Sozialgesetzbuch – SGB V, www.heise.de/select/ct/2023/6/2304616562947805407). Weiterhin soll die eGK ausreichen, um standardmäßige Anwendungen der ePA wie das Lesen, Schreiben oder Löschen von sensiblen Behandlungsdaten zu autorisieren. Ab Januar 2024 soll mit Einführung der digitalen Identität (GesundheitsID) alternativ auch der Personalausweis als Schlüssel zur TI und ihren Anwendungen wie der ePA etc. dienen (§ 291 Absatz 8 SGB V, www.heise.de/select/ct/2023/6/2304616562947805407).
Gemäß der Datenschutz-Grundverordnung (DSGVO) der EU genießen personenbezogene Gesundheitsdaten, genetische Daten, biometrische Daten und Daten zum Sexualleben besonderen Schutz. So schreibt Artikel 9 DSGVO vor, dass deren Verarbeitung grundsätzlich verboten ist und dass zu ihrem Schutz gemäß Artikel 32 DSGVO „geeignete technische und organisatorische Maßnahmen“ nach dem Stand der Technik („state of the art“) ergriffen werden müssen.
Wir fragen die Bundesregierung:
Fragen45
Wie viele Versicherte besitzen momentan nach Kenntnis der Bundesregierung die elektronische Patientenakte (ePA), und wie viele davon sind auch mit Daten befüllt?
Wie bewertet die Bundesregierung die aktuellen Nutzungszahlen der ePA im Vergleich zu den Vorjahreszahlen, und welchen konkreten Handlungsbedarf identifiziert sie, damit Gesundheitseinrichtungen – entgegen der aktuellen Tendenz – aktiv bei Versicherten für die Nutzung einer ePA werben (www.aerzteblatt.de/nachrichten/141004/Nutzung-der-elektronischen-Patientenakte-eingebrochen#:~:text=Zwar%20ist%20die%20Zahl%20der,aller%20gesetzlich%20Versicherten%20in%20Deutschland)?
Wie viele elektronische Gesundheitskarten (eGK) sind von den Krankenkassen mit Identitätsüberprüfung der Versicherten ausgegeben worden (bitte tabellarisch nach Jahr und mit vergleichender Angabe zur Anzahl und zu den Gesamtausgaben für eGK auflisten)?
Wie viele Heilberufsausweise (HBA) sind bislang mit Identitätsüberprüfung ausgegeben worden (bitte tabellarisch nach Jahr und mit vergleichender Angabe zur Anzahl und zu den Gesamtausgaben für HBA auflisten)?
Ist es nach Kenntnis der Bundesregierung richtig, dass elektronische Praxisausweise (SMC-B) bis zum 1. April 2023 im Regelfall ohne Identitätsprüfung ausgegeben wurden und dass ab dem 1. April 2023 eine Identitätsprüfung vorgesehen ist?
Wie viele SMC-B sind nach dem 1. April 2023 mit Identitätsprüfung ausgegeben worden?
Werden alle vor dem 1. April 2023 ausgegebenen SMC-B aufgrund der fehlenden Identifizierung bei Beantragung in diesem Zusammenhang für ungültig erklärt?
Wie viele persönliche Identifikationsnummern (PINs) für den Zugang zur TI sind nach Kenntnis der Bundesregierung bislang vergeben worden?
Inwiefern bleibt die Bundesregierung bei ihrer Aussage, dass die „Identifizierung des Versicherten […] bereits im Rahmen der gesetzlichen Meldebestimmungen bei Eintritt in die gesetzliche Krankenversicherung“ erfolgt und damit „eine ausreichende Identifizierung der Pflichtversicherten sichergestellt“ sei (vgl. Bundestagsdrucksache 18/6928)?
Welche Kenntnisse hat die Bundesregierung zur Umsetzung des § 217f Absatz 4b SGB V in den einzelnen Krankenkassen?
Bei welchen Krankenkassen können Versicherte nach wie vor Stammdaten (wie etwa ihre Adresse) telefonisch und/oder elektronisch (per Internet bzw. E-Mail) ohne Umsetzung des § 217f Absatz 4b SGB V ändern?
Welche Kenntnisse hat die Bundesregierung über die Aktivitäten der Rechtsaufsicht der bundesunmittelbaren Krankenkassen zur Einhaltung von § 217f Absatz 4b SGB V?
Falls Anwendungen ohne PIN geplant sind, wie soll in dem Fall sichergestellt werden, dass eine Datenabfrage ausschließlich durch Berechtigte durchgeführt wird?
Teilt die Bundesregierung die Aussage der Vorsitzenden des GKV-Spitzenverbandes, dass die eGK kein Identitätsnachweis ist (vgl. Protokoll der Anhörung des Gesundheitsausschusses am 4. November 2015, Ausschussdrucksache 18/58)?
Welche Anwendungen der Telematikinfrastruktur sollen jetzt bzw. in Zukunft nur mit der eGK ohne PIN, welche mit eGK plus PIN und welche mit digitaler Identität (§ 291 Absatz 8 SGB V) möglich sein?
Welche weiteren Möglichkeiten zur Authentifizierung für TI-Anwendungen sind nach Kenntnis der Bundesregierung zulässig, und wie bewertet sie das jeweilige Datenschutz- und Datensicherheitsniveau?
Ist es nach Kenntnis der Bundesregierung korrekt, dass die gematik für Sozial- und Gesundheitsdaten, die über die TI übertragen werden, immer das Vertrauensniveau „hoch“ festgelegt hat?
Inwiefern plant die Bundesregierung eine (teilweise) Absenkung des Vertrauensniveaus von „hoch“ auf „substanziell“?
Unter welchen Voraussetzungen erfüllen Video-Ident-Verfahren nach Kenntnis der Bundesregierung das Vertrauensniveau „hoch“, und gibt es nach Kenntnis der Bundesregierung derzeit Video-Ident-Verfahren, die das Vertrauensniveau „hoch“ erfüllen?
Wie, und durch wen wird der Stand der Technik („state of the art“) gemäß Artikel 32 DS-GVO in Bezug auf den Schutz der Gesundheitsdaten und insbesondere im Hinblick auf den Schutz der Identität und eine sichere Authentifizierung bei der ePA-Nutzung festgelegt?
Inwiefern entsprechen die organisatorischen Maßnahmen zum Schutz der Gesundheits- und Sozialdaten, die über die TI übermittelt und gespeichert werden, nach Ansicht der Bundesregierung dem Stand der Technik („state of the art“) im Sinne des Artikels 32 DS-GVO?
Inwiefern hat die geplante automatische Zuweisung einer ePA für alle Versicherten (Opt-out-Lösung) nach Ansicht der Bundesregierung datenschutzrechtlich oder politisch Einfluss auf die Anforderungen an die Datensicherheit und den Datenschutz der gespeicherten Gesundheitsdaten?
Inwiefern setzt nach Ansicht der Bundesregierung ein wirksamer Widerruf bei der ePA (opt-out) voraus, dass die Person, die den Widerruf ausspricht, sicher identifiziert wurde?
Falls keine Identifizierung notwendig ist, wie ist es nach Einschätzung der Bundesregierung möglich, zu verhindern, dass unbekannte Personen die (möglicherweise bereits genutzte) ePA einer bzw. eines anderen Versicherten ohne deren bzw. dessen Zustimmung löschen?
Inwiefern ist es nach Ansicht der Bundesregierung erforderlich, alle eGKs nur mit einem Identifizierungsverfahren auszugeben, wenn es ein wirksames und niedrigschwelliges Opt-out-Verfahren geben soll?
Welche Prozedere wären nach Ansicht der Bundesregierung geeignet, einen wirksamen Widerruf auszusprechen, und wären insbesondere a) ein postalischer Brief an die Krankenkasse, b) eine nichtsignierte E-Mail an die Krankenkasse, c) eine signierte E-Mail an die Krankenkasse, d) eine Willensbekundung in einer Krankenkassenfiliale mit Ausweisvorlage, e) eine Willensbekundung in einer Arztpraxis bzw. Apotheke mit eGK-Vorlage, f) eine Willensbekundung in einer Arztpraxis bzw. Apotheke mit eGK und PIN ausreichend für einen wirksamen Widerspruch? Inwiefern gilt diese Einschätzung jeweils für das Vertrauensniveau „hoch“ und „substanziell“?
Inwiefern ist es nach Ansicht der Bundesregierung mit der DSGVO vereinbar, dass sich Menschen einem Identifizierungsverfahren unterziehen müssen, nur um der ePA rechtswirksam widersprechen zu können?
Inwiefern ist es nach Ansicht der Bundesregierung politisch wünschenswert, dass sich Menschen einem Identifizierungsverfahren unterziehen müssen, nur um der ePA rechtswirksam widersprechen zu können?
Welche Voraussetzungen müssen nach Kenntnis der Bundesregierung gegeben sein, damit beim Zugang mit mobilen Endgeräten (z. B. Smartphones und Tablets) das Vertrauensniveau „hoch“ beim Zugang zur ePA und dem Erteilen von Zugangsrechten für Dritte erreicht werden kann? Sind diese Voraussetzungen nach Ansicht der Bundesregierung realistisch umsetzbar ohne Identifizierungsverfahren bei der eGK- oder PIN-Vergabe und NFC-fähiger (NFC = Nahfeldkommunikation) eGK?
Plant die Bundesregierung, für die Ausgabe aller eGK künftig ein Identifizierungsverfahren vorzuschreiben (bitte begründen)?
Unter welchen technischen und organisatorischen Voraussetzungen sind momentan und in Zukunft in Arztpraxen Identitätsprüfungen unter Vorlage des Ausweises möglich (bitte begründen), und sind diese Voraussetzungen derzeit nach Kenntnis der Bundesregierung erfüllt?
Unter welchen technischen und organisatorischen Voraussetzungen sind in Filialen von Krankenkassen Identitätsprüfungen unter Vorlage des Ausweises möglich (bitte begründen), und sind diese Voraussetzungen derzeit nach Kenntnis der Bundesregierung erfüllt?
Inwiefern soll der Zugriff auf die ePA nach den Plänen der Bundesregierung auch dauerhaft ohne GesundheitsID-Nutzung durch die Versicherten erfolgen können?
Inwiefern ist es nach Ansicht der Bundesregierung möglich und wünschenswert, die Daten der Meldebehörden mit ihren gesicherten Identifizierungsverfahren zur Vergabe der eGK zu verwenden, und gibt es entsprechende Pläne in der Bundesregierung?
Inwiefern wäre es nach Kenntnis der Bundesregierung möglich und datenschutzrechtlich unbedenklich, z. B. durch Ident-Verfahren privater Anbieter eine Überprüfung der eGK und bei Vorlage des Ausweises zu initiieren und so die Inhaberinnen bzw. Inhaber der eGK sicher mit den aufgedruckten Angaben und dem Foto in Übereinstimmung zu bringen?
Ist es nach Kenntnis der Bundesregierung korrekt, dass die Einlösung eines elektronischen Rezepts (eRezept) nur mit Lesen der eGK („Stecklösung“) geplant ist?
Stimmt die Bundesregierung zu, dass die „Stecklösung“ für die Apotheke offenlässt, ob die Person, die das eRezept einlöst, auch diejenige ist, für die die Verordnung ist oder ob sie von ihr autorisiert wurde?
Wie hoch ist die Wahrscheinlichkeit, dass aufgrund der aktuellen Verfahren der Krankenkassen zur Beantragung und Ausgabe von eGKs sowie der Möglichkeit zur Änderung von Stammdaten, sich Unberechtigte eine eGK eines beliebigen Versicherten verschaffen können und damit auf Gesundheitsdaten (z. B. eRezepte) zugreifen können?
Welche Planungen gibt es für eine wirksame Autorisierung von Dritten für das Einlösen eines eRezepts?
Wie lange wird das eRezept online gespeichert werden?
Sieht die Bunderegierung es grundsätzlich als datenschutz- und IT-sicherheitsseitig vertretbar an, die GesundheitsID perspektivisch a) mit der geplanten Smart eID, und b) mit der in der eIDAS-VO (eIDS = electronic Identification, Authentication and trust Services) vorgesehenen ID Wallet zu verknüpfen oder zu integrieren? Wenn ja, gilt dies auch in dem Fall, dass die Smart eID bzw. ID Wallet Verknüpfungen zu Identitäten der Privatwirtschaft, wie z. B. ein Google-Konto, enthält?
Mit welchen Abbruchraten bei der Nutzung der GesundheitsID (App-Einrichtung, App-Nutzung allgemein, NFC-Verbindungsaufbau und NFC-Verbindungsstabilität) rechnet die Bundesregierung aufgrund bisheriger Erfahrungen mit der AusweisApp2 und ähnlichen Apps mit hohen Sicherheitsanforderungen? a) Mit welchen Maßnahmen plant die Bundesregierung, die Nutzungssicherheit zu erhöhen? b) Geht die Bundesregierung davon aus, dass schon 2024 die Mehrzahl der verwendeten Mobilgeräte geeignete und zugängliche hardwaresecure-elements besitzen, um die GesundheitsID ohne Chipkarte nutzen zu können? c) Erwägt die Bundesregierung, geeignete Kartenlesegeräte als Teil der öffentlichen Grundversorgung bereitzustellen, um allen Haushalten die Möglichkeit zu geben, zuverlässig und sicher Funktionen der GesundheitsID, des elektronischen Personalausweises allgemein und sichere Finanztransaktionen zu nutzen?
Wann wird es eine Desktop-Version der ePA geben?
Auf welchen Servern werden die Daten der ePA gespeichert, und welche Einschränkungen bestehen dabei zur Gewährleistung einer DSGVO-konformen Datenverarbeitung?
Wie viel Personal (Stellenäquivalente) arbeitet in der Bundesregierung am Thema Informationssicherheit und Datenschutz der ePA und Gesundheits-ID?