Heiß diskutiert und noch lange nicht in der gewünschten Form auf dem Markt: Die elektronische Gesundheitskarte. Foto: ddp

Alle Fragen kann auch dieser Artikel nicht beantworten. Zu viele Möglichkeiten treffen auf fehlende Tests und die Tatsache, dass schlicht zu wenig konkrete Erfahrungen mit der umstrittenen Karte vorliegen. Dabei existiert für die Gesundheitskarte ein ausgeklügeltes Sicherheitskonzept. Verantwortlich für dieses ist die Betriebsorganisation Gematik, welche sich um die Einführung, Pflege und Weiterentwicklung der Gesundheitskarte kümmert.

Gematik-IT-Spezialist Sven Marks und Daniel Poeschkens, Presseprecher der Gematik haben news.de Antworten auf die wichtigsten Fragen und Unsicherheiten zum Datenschutz der Gesundheitskarte gegeben.

Warum gibt es so viele Unsicherheiten zum Schutz der Gesundheitsdaten?

Sven Marks formuliert das Problem so: «Es gab viele pauschale Vorwürfe und kaum Zuhörer». Schaut man sich die Art der Kritik am System der Gesundheitskarte genauer an, wird das auch deutlich. Teilweise führten in der Vergangenheit Unsicherheiten und nicht hinterfragte Fehlannahmen zu einer wahren Hysterie und einer falschen Sicht auf das Prinzip der Gesundheitskarte. Bestes Beispiel ist die stark kritisierte Speicherung der Daten auf zentralen Servern – die war so nie vorgesehen. Dazu kommt, dass bis heute viele weitergehende und künftigte Details zur Austattung der Karte nicht geklärt sind, obwohl diese in einer abgespeckten Version schon in der Testphase oder im Einsatz ist.

«Die Gesundheitskarte hat ein Vermittlungsproblem», sagt Marks, «und es gibt auf viele einfache Fragen derzeit nur komplexe technische Antworten. Hier sind auch die anderen Beteiligten am Projekt Gesundheitskarte in der Pflicht, die Antworten zu kommunizieren, die Gematik ist eigentlich nur ein technischer Dienstleister.» Auch eine «kampagnenhafte Instrumentalisierung» des Themas Datenschutz bei der Gesundheitskarte hat man bei der Gematik beobachtet, welche einem sachlichen Umgang mit dem sensiblen Thema im Wege steht.

Ende August begann auf den Wunsch des Deutschen Ärztetages die Erstellung eines externen Sicherheitsgutachtens, in dessen Rahmen Experten die Arbeit der Gematik überprüfen. Sven Marks weist auf die öffentliche Verfügbarkeit der Pläne hin und betont: «Es gilt: Jeder, der sich die technische Umsetzung der Sicherungen der Gesundheitskarte anschauen will, ist willkommen. Wir sind uns der gesellschaftlichen Relevanz der Datenschutzfragen hier deutlich bewusst.»

Wie wird bisher mit vertraulichen Patientendaten umgegangen?

Bisher werden Daten per Arztbrief, per Fax oder gar per E-Mail verschickt. Letztere ist Normalfall nicht verschlüsselt, somit prinzipiell für Dritte im Internet einsehbar und damit unsicherer als der Weg, den die Gesundheitskarte einschlagen soll. Auch Faxe und Arztbriefe kann jeder lesen, der sie in die Hände bekommt.

Wie sicher ist die Gesundheitskarte denn nun wirklich?

Die Sicherheitsbedenken beruhen vor allem auf einem Missverständnis, wie Sven Marks erklärt: «Unberechtigte Zugriffe sind nicht so einfach möglich, wie viele Menschen glauben. Es ist nicht wie bei einer Bank oder bei den Kundendaten eines Unternehmens - wo die Benutzerdaten für den Angreifer offen da liegen, wenn der Server einmal geknackt ist. Denn Gesundheitsdaten werden persönlich verschlüsselt und nicht nur über einen geschützten Rechner, auf dem sie liegen. Dringt jemand in einen Server mit Gesundheitsdaten ein, findet er verschlüsselte und anonymisierte Daten vor, mit denen er nichts anfangen kann.»

Zudem wird es keine zentralen Server mit allen Daten geben, so Marks. Stattdessen liegen die Patientenakten auf verteilten Servern bei den jeweiligen Dienstleistern und nicht jedes System könne mit einem beliebigen anderen kommunizieren. Zudem ist zum Lesen und Versenden von Daten immer auch der Heilberufsausweis des Behandelnden und die Zustimmung des Patienten nötig – zum Beispiel über eine persönliche Pin-Nummer, die dieser zusätzlich eingeben muss.

Der Austausch der Daten zwischen Behandelndem und Patient erfolgt mit einer sogenannten gemischten Verschlüsselung. Diese kombiniert die Eigenschaften aktuell verwendeter Verfahren und arbeitet unter anderem mit einmalig verwendeten Codes bei der Übermittlung von Daten, welche zusammen mit dauerhaften Codes zusammen noch einmal verschlüsselt sind.

Etwas vereinfacht ausgedrückt: Verfahren, die schon heute von Krankenkassen, Behörden, Unternehmen und auch Privatnutzern zur sicheren Übermittlung von E-Mails genutzt werden können, werden im System der Gesundheitskarte verstärkt und mehrfach angewendet. Schon der Versand von einfach verschlüsselten E-Mails gilt als sicher und bei korrekter Anwendung als fast unknackbar. Privatanwender können das mit der Enigmail-Erweiterung für Thunderbird selbst prüfen.

Die technischen Maßnahmen zur Verschlüsselung der Daten basieren dabei auf quelloffener Software (Open-Source-Software). Deren Code ist offen verfügbar und kann somit von jedem Sachverständigen auf Sicherheitsmängel überprüft werden - also auch von den Kritikern. Die Verschlüsselung der Daten erfolgt dabei grob gesagt mit einem Zigfachen jener, die beim Onlinebanking über den Browser zum Einsatz kommt. Als Beispiel zitiert ein Dokument der Gematik:

«Der Schlüssel ist so komplex wie möglich gewählt: Seine Länge beträgt im Moment 2048 Bit. Wie sicher ist das? Im Jahr 2004 gelang es Forschern der Universität Bonn, einen 576-Bit-Schlüssel zu knacken. Es brauchte dazu einen Verbund von mehreren hundert Computern, die fast ein Jahr lang Tag und Nacht rechneten, um alle möglichen Schlüssel durchzuprobieren. Im Jahr danach gelang es dem Bundesamt für Sicherheit in der Informationstechnik, einen 640-Bit-Schlüssel aufzubrechen. Das ist bis heute der längste Schlüssel, der jemals geknackt wurde.»

Da die Experten sich nicht auf diesen Werten ausruhen, wird die Verschlüsselung regelmäßig überprüft und aktualisiert und orientiert sich auch an den Erkenntnissen unabhängiger Experten. Die Überprüfungszeiträume sind dabei variabel, so dass auf aktuelle Entwicklungen schnell reagiert werden kann.

Darüber hinaus sorgen zusätzliche Strategien für Sicherheit und sollen vor allem vor einem schützen: vor der sogenannten Profilbildung, also dem Sammeln und Zuordnen von Daten zu einer Person.

Das Prinzip Pseudonymisierung sorgt dafür, dass die Daten, die jeder Versicherte auf der Karte pflichtgemäß angeben muss, mit einem Pseudonym versehen werden und somit besonders geschützt sind.

Die Prinzipien Datenvermeidung und Zweckbindung sorgt dafür, dass Daten nur dann verfügbar sind und abgerufen werden können, wenn sie benötigt werden. Einer behandelnden Institution stehen also nicht automatisch alle Informationen der Karte zur Verfügung und die Gefahr des Datenmissbrauchs wird eingeschränkt.

Wie sieht es mit den Daten im Notfall aus?

Dieser Punkt ist geklärt, Entwürfe dazu basieren aber auf freiwilligen Angaben des Karteninhabers. Der muss zudem abwägen zwischen Datenschutz und Verfügbarkeit wichtiger Notfalldaten, wie Sven Marks erklärt. Es handelt sich bislang nur um Textdaten, auf die aber nur ein ein Behandelnder mit Heilberufsausweis zugreifen kann. Das, so Marks, sei allemal geschützter als ein Zettel in der Brieftasche.

Wieviel Daten passen überhaupt auf die Karte?

Nicht so viele, wie in vielen Fällen nützlich wäre – umfangreiche Daten wie Röntgenbilder finden keinen Platz. Deshalb wird auch laut über den Einsatz von externen Speichermeiden wie USB-Sticks nachgedacht. Deren Nachteile liegen auf der Hand – zum Beispiel der Verlust des Sticks, die Anfälligkeit für Viren und die Handhabung auch durch Ältere. Das sind auch für die Gematik Punkte, die noch geklärt werden müssen – von allen Beteiligten an der Gesundheitskarte, wie Sven Marks betont. Es gibt bislang weder Studien noch Erkenntnisse auf diesem Gebiet, nur Überlegungen.

Die reine Datensicherheit auf einem Stick sieht Marks wie auch bei der sonstigen Kommunikation gewährleistet, wenn zum Datenlesen die Gesundheitskarte und der Heilberufsausweis nötig sind. Künftige Generationen der Gesundheitskarte mit mehr Speicherplatz könnten dieses Problem eleganter lösen.

Das news.de-Fazit: Mit etwas Wissen zu den Grundlagen der Verschlüsselung von Daten lässt sich feststellen, dass die Gematik der Gesundheitskarte alles Wichtige mit auf den Weg gegeben hat. Sie ist mit weltweit anerkannten Verfahren auf Sicherheit getrimmt. Statt einem leichtfertigen Umgang mit dem Vertrauen der Patienten traf news.de bei der Gematik auf transparente Prozesse und auf ein Bewusstsein für die Sorgen der Bürger. Die Gesundheitskarte hat derzeit kein Sicherheitsproblem, sie hat ein handfestes Kommunikationsproblem - dank fehlender oder von Lobbyisten gesteuerter Aufklärung.