Dezentrale, resiliente und datenschutzfreundliche eHealth-Konzepte

Alternativen zum zentralistischen Ansatz der Gesundheitstelematik

Inhaltsverzeichnis

1 Zusammenfassung

2 Einleitung
2.1 Danksagungen
2.2 Zielsetzung
2.3 Rahmenbedingungen und Grenzen
2.4 Über den Autor
2.5 Positionsbestimmung eHealth

3 Patientengesteuerte Kommunikation
3.1 eGK und VSDM
3.2 eRezept
3.3 eAU
3.4 Notfalldatensatz / Medizin. Kerndaten

4 ePatientenakte
4.1 Daten-Portierbarkeit
4.2 Patientenakte in eigener Hoheit

5 Medizinische Forschung und Medikamentenwarnungen
5.1 Illustration der technischen Abläufe und Möglichkeiten
5.2 Medizinische Szenarien

6 eArztbrief

1 Zusammenfassung

Dieses Grobkonzept skizziert eine datenschutzfreundliche, dezentralisierte und damit hoch-resiliente, sektorenübergreifende Digitalisierung des Gesundheitswesens. Ihr Funktionsumfang im Vollausbau übertrifft die Möglichkeiten der Gesundheitstelematik. Gleichzeitig kann das Konzept in evolutiven Schritten und mit geringerem Aufwand implementiert werden. Es ist damit eine Alternative zur zentralistischen - und damit inhärent ausfallträchtigen -, wenig agilen Gesundheitstelematik.

Das Dokument bietet eine detailliertere Darstellung der Vorschläge, die vom Autor bereits 2005 im Rahmen des 22. Chaos Communication Congress vorgetragen wurden, aber immer noch auf der Höhe der Zeit sind.

2 Einleitung

Vorweg einige Hinweise zur Darstellung: Fachbegriffe, IT-übliche Anglizismen und Fremdworte werden als Fachbegriff hervorgehoben. Wo eine Begriffsklärung angebracht scheint, erscheint sie bei der ersten Nennung des Begriffs je nach Umfang entweder in Klammern oder als Fußnote.

2.1 Danksagungen

Besonderen Dank sage ich den zahlreichen Ärzten, Pflegekräften und Juristen, die mich an ihrer jeweiligen Expertise teilhaben ließen, insbesondere denen, die kurzfristig bereit waren, dieses Dokument kurz vor Fertigstellung fachlich korrekt zu lesen. Ohne diese interdisziplinäre Zusammenarbeit hätte dieses Konzept nicht entstehen können.

Ebenfalls danke ich all den Techniker-Kollegen, die als kritische Sparring-Partner die technischen Ideen prüften.

Die Fehler, die verbleiben, sind die meinen.

2.2 Zielsetzung

Dieses Konzept soll die Voraussetzungen für eine agile und akzeptierte Digitalisierung des Gesundheitswesens schaffen, indem innerhalb eines Gesamtkonzepts einander ergänzende und aufeinander aufbauende Schritte definiert werden, die wiederum konsequent die folgenden, einander wechselseitig stützenden Prinzipien befolgen:

  • Hohe Resilienz und Robustheit - das Gesundheitswesen ist insgesamt eine kritische Infrastruktur, dessen Funktion unter widrigsten Bedingungen möglichst weitgehend gewahrt bleiben sollte. Es ist unter Aspekten des Cyber-Warfare wie des Cyber-Terrorismus ein hochattraktives Angriffsziel - auch zur Wirkungsverstärkung realer Waffeneinsätze. Daher ist wesentliches Entwurfsziel, ein Funktionieren mit moderaten Effizienz- und Qualitätseinbußen auch bei "Kerzenschein" zu gewährleisten: Das weitestgehende Funktionieren des Gesundheitswesens ist gerade in Krisenlagen essentiell - seien es Natur- oder Technikkatastrophen, Pandemien, Terror oder bewaffnete Auseinandersetzungen.

  • Dezentralisierte Strukturen - ermöglichen
  • inhärent resilientere Systeme, weil es keinen "Single Point of Attack" gibt und die wechselseitigen Abhängigkeiten in der Fläche reduziert werden, wodurch die autonome Handlungsfähigkeit der dezentralen Strukturen gewahrt bleibt.
  • datenschutzfreundlichere Implementierungen, da die Bildung großer zentraler Datensammlungen vermieden wird, und - bei gleicher Sicherheit - ein Sicherheitsversagen wesentlich geringere Folgen hat und insbesondere weitaus weniger Personen betrifft.
  • die Aufrechterhaltung des Arztgeheimnisses, welches als über 2500 Jahre altes Kulturgut nicht nur einen wesentlichen Akzeptanzfaktor darstellt, sondern Grundlage des Patientenvertrauens und damit Voraussetzung für den Therapieerfolg ist.
  • individuell zurechenbare Verantwortung.

  • Flexible und interoperable Lösungsbausteine - auch mit umfassenden Kenntnissen über das Gesundheitswesen kann sich kein Informatiker anmaßen, optimale Prozesse für das Gesundheitswesen zu definieren - schlicht, weil es sie nicht geben kann, schon gar nicht dauerhaft: Jeder Patient hat in jeder Krankheitssituation andere Einschränkungen und damit Fähigkeiten, Technik zu nutzen. Auch die im sozialen Umfeld abrufbare Unterstützung ist individuell und nicht konstant. Je nach Sektor, Fach, regionaler Struktur und Kooperation, aber auch individueller Disposition des Heilberuflers werden die Anforderungen an optimale Prozesse, die die Patientenversorgung verbessern und nicht behindern, ebenfalls variieren … Die professionelle Antwort des Informatikers auf dieses Dilemma ist,
  • die größtmögliche Flexibilität und Interoperabilität der Lösungsbausteine.
  • das Vertrauen in die Lösungskompetenz der Akteure im Gesundheitswesen, in diesem breiten Spektrum an Möglichkeiten immer wieder die jeweils geeigneten Lösungen zu finden - im Lichte sich verändernder Anforderungen und neuer technischer Entwicklungen.
  • die Demut, zuzulassen, dass aus dieser Flexibilität Lösungen entstehen, die die eigene Vorstellungskraft übersteigen.

  • Evolutionäres Vorgehen - eine Umsetzung in kleinen Schritten mit unmittelbar absehbaren Vorteilen, ausgehend von den aktuellen Gegebenheiten, fördert
  • eine bessere Akzeptanz - ausdrücklich auch im Sinne einer freiwilligen Teilnahme aus Eigeninteresse - indem die Veränderungen klein und graduell sind, wodurch sowohl Vorteile schnell vermittelt als auch Ängste vermieden werden.
  • eine hohe Umsetzungsgeschwindigkeit - da nur kleine, überschaubare Änderungen mit geringem Implementierungsaufwand notwendig werden.
  • eine gesteigerte Agilität - durch das Baukastenprinzip kann auf Praxiserfahrungen oder Änderungen der Rahmenbedingungen schnell reagiert werden und eine Anpassung der nächsten Schritte erfolgen, ohne die Gesamtstruktur zu gefährden.
  • die weitestgehende Erhaltung etablierter und funktionierender Abläufe, wodurch die Projektrisiken sowie Umstellungsaufwände und -ängste reduziert werden.

  • Barrierefreie Gestaltung - der Zugang zum Gesundheitswesen muss ungehindert möglich sein
  • für Patienten mit körperlichen oder geistigen Einschränkungen - seien sie dauerhaft oder vorübergehend, krankheits- oder altersbedingt.
  • unabhängig von Technikkompetenz, -wissen und -besitz.
  • für Leistungserbringer und Lösungsanbieter, da die Vorteile der Marktwirtschaft - Bedarfsorientierung, Lösungsvielfalt, Kosteneffizienz und Innovationskraft - nur zum Tragen kommen, wenn der Markt nicht von einem Oligopol beherrscht wird, sondern viele kleine und mittlere Unternehmen teilnehmen können.

  • Datenschutzfreundliche Gesamtarchitektur - medizinische Daten sind hochbrisant und schutzbedürftig, der Datenschutz ist ein hohes Rechtsgut und kurz- wie langfristig entscheidend für die Akzeptanz der Digitalisierung im Allgemeinen und im hochsensiblen Gesundheitswesen ganz besonders.

2.3 Rahmenbedingungen und Grenzen

Dargestellt ist derzeit nur eine Skizze. Das Grobkonzept ist aber schon in einiger Tiefe durchdacht und kann zügig in ein Detailkonzept ausgebaut werden.

Das Dokument dient dazu, für jeden Aspekt der zentralistischen IT entweder eine dezentrale und datenschutzfreundlichere Alternative zu bieten, oder die grundsätzliche Unsinnigkeit bzw. Unsicherheit eines solchen Aspekts nachzuweisen.

Nach meinem Verständnis der Rolle des Informatikers, und gemäß meiner Ausbildung und Erfahrung, entscheidet über die Sinnhaftigkeit und Realisierungswürdigkeit von Funktionen die Fachseite - also die Mediziner und die Organisationsfachleute im Gesundheitswesen. Das Angebot von Alternativen fußt auf der impliziten Annahme, dass die TI nur Funktionen anbietet, die tatsächlich fachlich sinnvoll sind - obwohl mir bewußt ist, dass eben dies strittig ist. Dieses Defizit der TI sollte dringend durch einen fruchtbaren und respektvollen Austausch zwischen allen beteiligten medizinischen und technischen Fächern abgelöst werden, um zu wirklich tragfähigen Lösungen zu gelangen.

2.4 Über den Autor

Bei einem so weitreichenden Konzept stellt sich der Leser berechtigterweise die Frage nach der Qualifikation des Autors. Dazu einige Eckpunkte: Thomas Maus ist Diplom-Informatiker und studierte an der Uni Karlsruhe, wo er bis 1993 am E.I.S.S. (Europäisches Institut für System-Sicherheit) an der Sicherheitsforschung mitwirkte.

Seit 1993 berät er freiberuflich und produktneutral Behörden und Unternehmen - von Start-Ups bis zu Weltkonzernen, im Finanz-, Gesundheits-, Energie- und IT-Sektor sowie einigen exotischen Branchen - in den Bereichen IT-Sicherheit, System-Performance und Management großer, heterogener, unternehmenskritischer Installationen. Tätigkeits- und Interessenschwerpunkt ist dabei eine praktikable, lösungsorientierte IT-Sicherheit, die auf langjähriger IT-Erfahrung fußt. Neben Vorträgen bei Konferenzen wie CCC, DeepSec, Bullet-Proof und einigen anderen, ist er auch als Fachautor, -lektor und -gutachter für Fachverlage im Buch- und Zeitschriftensektor tätig.

Seine Tätigkeiten spannen nach fast 40 Jahren praktischer IT- und IT-Security-Erfahrung einen weiten Bogen von der Planung, Inbetriebnahme und Betriebsführung großer Anwendungskomplexe, technischer Projektleitung, organisatorischem und technischem Trouble-Shooting über Sicherheitskonzepte und -analysen etwa für Broker-Handelsräume, Incident-Handling bei weit über 100 Fällen, Aufbau und Anleitung von Pen-Test-Teams in Weltkonzernen, Entwicklung und Review von Security-Policies, Einführung von ISMS von der Policy-Ebene bis zur konkreten Systemhärtung nach verschiedenen Standards bis hin zum Training internationaler Polizeikräfte zur Cyber-Crime-Bekämpfung.

Er hatte das große Glück, sein gesamtes Lebenseinkommen - mit Ausnahme des Betrags für die Bauteile des ersten selbst gelöteten Computers - mit innovativer IT verdienen zu können, und das noch größere Glück, meist seiner Leidenschaft frönen zu dürfen, IT sicher, cleverer und den Menschen dienlicher zu machen.

Einen hochwertigen europäischen Datenschutz wie die DSGVO hält er nicht für einen Standortnachteil, sondern für das entscheidende Alleinstellungsmerkmal europäischer IT-Lösungen und ihre einzige Chance im internationalen Markt: Der First-Mover-Vorteil ist im Bereich der Digitalisierung enorm und damit jedes Hinterherlaufen unsinnig. Clevere Lösungen mit wirklich hochstehendem Datenschutz- und Sicherheitsniveau sind aber hochattraktiv für all jene, die sich nicht zur Daten-Kolonie herabwürdigen und ausbeuten lassen wollen - und damit die große Chance für europäische IT-Lösungen Neuland zu betreten und als First-Mover zu besetzen.

Mit dem diametralen Entwurf der Gesundheitstelematik kam der Autor 2003 in Kontakt. Seit 2004 setzt er sich öffentlich in zahlreichen Fachartikeln sowie Vorträgen vor IT-Security-Spezialisten, IT-Technikern, Medizinern wie Bürgern und Patientenorganisationen kritisch mit den Projektrisiken auseinander.1 Im Rahmen der Vorlesung "IT-Fallstudien - Was wir aus gescheiterten Projekten lernen können" von Professor Werner Zorn am Hasso-Plattner-Institut hatte der Autor die Ehre, jeweils die Gastvorlesung zur Gesundheitstelematik zu halten.2

2.5 Positionsbestimmung eHealth

Als Kontext zum besseren Verständnis der Vorschläge sowie um in den interdisziplinären Dialog einzutreten und um Mißverständnisse zu vermeiden, skizziere ich hier einige Grundzüge meiner Wahrnehmung des Themenkomplexes "Digitalisierung im Gesundheitswesen":

Das Gesundheitswesen ist bereits hochgradig digitalisiert und in den 40 Jahren, die ich bisher den IT-Einsatz in allen möglichen Branchen beobachten durfte, waren Ärzte mehrheitlich eher besonders innovations- und experimentierfreudig - zumindest dort, wo Nutzen für ihr ärztliches Handeln und ihre Patienten erkennbar war. Soweit ich das überblicke, wurde jede Innovation schnell und mit Begeisterung in der Breite angenommen, sobald die Patientensicherheit und die Bezahlbarkeit gewährleistet waren: bildgebende Diagnostik, computergestützte Planung von Strahlentherapien, der Vermessung von Zahnkavitäten, Robotik in der Urologie, 3D-Modellierung von Koloskopien, PCR-Analytik, u. v. a. m.

Gewiß, vor über einem Jahrhundert war der Überschwang größer - aber der blinde Enthusiasmus etwa bei Röntgenstrahlen oder innovativen Medikamenten wie Contergan hat sich bitter gerächt. Er wird heute durch das Primat der Patientensicherheit in geordnete Bahnen gelenkt, offenkundig in unser aller Interesse - kein verantwortungsbewußter Mensch kann darin Innovationsfeindlichkeit, Rückständigkeit oder gar Maschinenstürmerei sehen.

Wenn es an Digitalisierung im Gesundheitswesen eigentlich nicht mangelt, woran fehlt es dann?

Nach meiner Wahrnehmung gibt es viele - in sich vielfach beeindruckende - Digitalisierungsinseln, aber es mangelt an einer Integration in der Tiefe, also entlang der typischen Prozesse und über die Grenzen verschiedener Akteure hinweg.

Die Ursache ist aber weniger das Fehlen einer "Daten-Autobahn", sondern eher mangelnde Interoperabilität, Daten-Portabilität und Kompatibilität - also mangelnde staatliche Regulierung bei den Produktherstellern. Produkthersteller neigen dazu, durch proprietäre Formate und Protokolle sowohl Markteintrittsbarrieren zu schaffen als auch den Kunden den Wechsel zu Konkurrenzprodukten zu erschweren - eine Deformation des Marktes, die sowohl die Innovation, als auch die Interoperabilität, Daten-Portabilität und Kompatibilität gefährdet, wenn der Gesetzgeber nicht regulierend eingreift - zumindest im Bereich der staatlichen Daseinsvorsorge, in den das Gesundheitswesen fällt.

Nicht jede Form von IT-Einführung erzeugt automatisch und tatsächlich Nutzen - der Nutzen entsteht meist daraus, dass die für die IT-Einführung notwendige detaillierte Analyse der Prozesse zur Optimierung dieser Prozesse führt, und der daraus entstehende Nutzen die aus der Datenerfassung, Mitarbeiterschulung und Systempflege entstehenden Mehraufwände überkompensiert. Sowohl die naive Abbildung bestehender Prozesse in IT wie auch die technikgetriebene Änderung von Prozessen ohne intensive Beteiligung der Fachseite, hier also der Praktiker im Gesundheitswesen, birgt große Projektrisiken - sowohl hinsichtlich des Erfolges als auch der Wirtschaftlichkeit und Effizienz.

Ein zweiter entscheidender Einfluss auf den Erfolg von IT-Projekten ist die Natur der digitalisierten Prozesse: Sind die Prozesse datenzentriert, also sowohl die Informationsquellen wie die -senken technischer Natur, und gleichzeitig wenig menschliche Entscheidungsprozesse involviert, ist es meist trivial, mittels IT Nutzen zu generieren - wie in der IT-Industrie selbst.

Die digitale bildgebende Diagnostik ist noch relativ nah an diesem Idealmodell und wenig überraschend ist der Nutzen groß: Die Informationsquelle, ein technisches Gerät, liefert große Datenmengen, die aufbereitet werden müssen, ehe sie dann dem Arzt als "Informationssenke"3 präsentiert werden können, der in Kenntnis aller Umstände mittels seiner Expertise fachliche Aussagen ableitet und damit eine höherwertige Informationsquelle darstellt.

Die wesentlichen Informationsquellen und -senken im Gesundheitswesen sind also Menschen - Patienten und Ärzte - und im Mittelpunkt der Prozesse stehen nicht Daten, sondern Menschen und menschliches Verständnis. Unterschiedliche Menschen werden - je nach Rolle und Expertise - den selben Sachverhalt verschieden beschreiben, und die selbe Sachverhaltsbeschreibung wird von verschiedenen Menschen verschieden verstanden werden. Blinde Datengläubigkeit4 führt zu zahlreichen eHealth-Risiken, unter anderem e-Iatrogenesis5. Das notwendige Verständnis entsteht nicht aus Datengebirgen, sondern aus Kommunikation und Rückfragen zwischen Menschen (was digital natürlich durch Tele-Konsile unterstützt werden kann).

Gerade das Gesundheitswesen besitzt darüber hinaus viele über Jahrzehnte optimierte Abläufe hoher Effizienz, die zudem sehr schwer zu ändern sind, weil eine Vielzahl von Beteiligten und Geräten verändert werden müssen und gleichzeitig wenig Flexibilität existiert, weil alles im engen und starren Korsett des SGB ablaufen muss. Ein zentralistischer, dirigistischer Big-Bang-Ansatz birgt nicht nur erhebliche Risiken, er führt zu weiterer Erstarrung und ist letztlich sogar innovationsfeindlich.

Deswegen ist der im Gesundheitswesen bisher praktizierte evolutive Ansatz meines Erachtens der einzig richtige und zielführende.

Die vielgepriesene "Disruptive Innovation" ist ebenfalls ein zweischneidiges Schwert: Sicherlich haben einige Firmen, wie etwa Amazon, mittels disruptiver Innovation einen außerordentlichen betriebswirtschaftlichen Erfolg erzielt - wie dies volkswirtschaftlich und (kultur)politisch zu bewerten ist, ist zumindest sehr strittig. Wesentlich für diesen Erfolg war in der Regel, dass die Unternehmen auf der "grünen Wiese" starten konnten - entweder indem sie gänzlich neue Geschäftsfelder besetzen konnten, oder indem sie als völlig neuer Marktteilnehmer ihre eigenen Prozesse optimal auf die verfügbare Technologie optimieren konnten.

Aber die Mehrzahl disruptiver Innovationen ist gescheitert - es sei hier nur an den "Neuen Markt" und die "Dot.com"-Blase der Jahrtausendwende erinnert: Die Masse der damaligen Innovatoren scheiterte mit großen Kollateralschäden und selbst Sun Microcomputers - ein die IT-Innovation damals erheblich antreibender Großkonzern - versank in die Bedeutungslosigkeit und ging als Innovationstreiber verloren.

Das Gesundheitswesen ist meines Erachtens Teil der staatlichen Daseinsvorsorge, die - wie viele Kommunen bei der Privatisierung der Wasserversorgung bitter lernen mussten - nicht von einzelnen Markteilnehmern beherrscht werden sollte, und die auch keine Disruption verträgt.

Eine aussichtsreiche und akzeptable eHealth-Strategie sollte daher den Menschen als Ziel und Zweck in den Mittelpunkt stellen - nicht die Daten!

3 Patientengesteuerte Kommunikation

Traditionell erfolgt ein Großteil der Kommunikation im Gesundheitswesen über den Patienten durch patientenbegleitende Dokumente. Dies ist keinesfalls ein rückständiger Notbehelf, sondern natürlicher Ausdruck und Implementierung der Autonomie des Patienten.

Indem den Patienten Dokumente wie Rezepte, Überweisungen, etc. ausgehändigt werden, wird ihnen auch symbolhaft ein Instrument für und eine Mitwirkungaufgabe am Heilerfolg übertragen.

Indem der Patient diese Dokumente eigenverantwortlich an den Empfänger seiner Wahl übergibt, übt er nicht nur seine freie Apotheken-, Arzt- und Behandlerwahl aus, sondern erklärt per freier Willenserklärung sowohl seinen Mitwirkungswillen als auch konkludent die Einwilligung zur Verarbeitung seiner Daten.

Mit der Verfügungsgewalt über diese Dokumente kann der Patient diese auch in ein eigenes Gesundheitsprotokoll integrieren. Wichtiger noch: Kranke können diese Dokumente leicht einem Stellvertreter übertragen, der ihnen Gänge ersparen kann.

Das Verfahren ist hochresilient: In dem Moment, in dem der Patient das Dokument erhalten hat, ist er autonom handlungsfähig und das Dokument bei jedem Empfänger uneingeschränkt lesbar.

Es hat sich auch als zukunftsfähig erwiesen, wie etwa der Transport von diagnostischen Bilddaten wie Röntgen-, CT-, MRT- und anderen Aufnahmen auf CDs seit vielen Jahren zeigt - während in der geplanten ePA derzeit nicht-befundungsfähige PDFs vorgesehen sind.

Dieses System ist von Allen gut verstanden, gut akzeptiert, funktioniert sehr gut und löst viele wichtige Fragen auf elegante Weise - es ist also naheliegend, es beizubehalten und behutsam weiterzuentwickeln.

Darüber hinaus bringt jede Form computerbasierter Vernetzung mit der Außenwelt für die betroffene Institution erhebliche Sicherheitsaufgaben und -aufwendungen mit sich und steigert die Risiken für die hochschutzbedürftigen Daten- und Funktionsbestände in der Institution deutlich. Gerade für die kleinen Einheiten im deutschen Gesundheitswesen, die sich als wertvoller Strukturvorteil in der Corona-Krise erwiesen haben, - etwa die Praxen von Ärzten, Zahnärzten, Psychotherapeuten, Physiotherapeuten, … sowie die kleinen Apotheken in der Fläche - stellt sich volkswirtschaftlich wie strukturpolitisch die Frage, ob man ihren Untergang riskieren will.

Dabei existiert seit langem ein eleganter Lösungsansatz:

Es wird ein digital aufgewertetes Papierdokument erstellt, welches für Menschen und Maschinen gleichermaßen lesbar ist, indem der Inhalt als normaler Text gedruckt wird - ergänzt durch einen 2D-Code, der die selben Daten noch einmal maschinenlesbar und durch eine digitale Signatur gesichert enthält.

Was beim DB-Online-Ticket, ePorto, in der Logistik und bei Mobile Tags als bewährt, nützlich und innovativ gilt, kann im Gesundheitswesen wohl kaum rückständig sein. Diese digitale Lösung fügt sich natürlich ein und bietet zahlreiche Vorteile:

  • indem das Dokument weiterhin unterschrieben und gestempelt wird, behält es den Status einer Urkunde - Manipulation und Mißbrauch fallen somit weiter unter den Tatbestand der Urkundenfälschung.

  • gleichzeitig erhöht die digitale Signatur die Fälschungssicherheit beträchtlich, wobei durch die flankierende Unterschrift gleichzeitig ein Überwinden der technischen Sicherheitsmaßnahme entschärft wird.

  • die Kombination menschlich und maschinell lesbarer Daten und prüfbarer Sicherheitsmerkmale
  • vermeidet sowohl Medienbrüche einerseits wie technische Zugangshürden andererseits.
  • wahrt die bekannte Handhabung, Nachvollziehbarkeit und Prüfbarkeit für alle Bevölkerungsgruppen und reduziert dadurch Berührungsängste, was die Akzeptanz fördert.
  • garantiert die notwendige Ausfallsicherheit, weil das Dokument - einmal ausgestellt - beim Empfänger - unabhängig von der Verfügbarkeit von Strom, Telekommunikation oder technischem Gerät - geprüft und verwendet werden kann. Die Sicherheitsdimensionen Authentizität und Integrität werden hier bewußt hinter die Sicherheitsdimension der Verfügbarkeit zurückgestellt: dies dient einerseits der Patientensicherheit und vermeidet gerade in Katastrophen- oder Sicherheitskrisenlagen, in denen die Beeinträchtigung zentraler Infrastrukturen besonders wahrscheinlich ist, Zusatzbelastungen des medizinischen Personals durch die Ausstellung von Ersatzdokumenten (siehe eRezept).
  • erlaubt einen graduellen und freiwilligen Übergang aller Teilnehmer in die Digitalisierung (die individuell erhöhten Betrugsrisiken durch Nicht-Nutzung digitaler Sicherheitsmerkmale verlagern sich dann graduell genauso auf die Nicht-Digitalisierten wie sich die digitalen Risiken auf die Digital-Nutzer verlagern).
  • ermöglicht die internationale Nutzung der Dokumente - gerade im Grenzbereich zu europäischen Nachbarn - und
    - wirbt, die digitale deutsche Lösung zu erproben und zu übernehmen.
    - vermeidet, Dokumente (z.B. Impfausweis) fehlerträchtig parallel auf Papier und digital führen zu müssen (im Informatiker-Jargon: Wahrung des Uni-Quellen-Prinzips).

  • durch eindeutige Nummerierung der Dokumente lassen sich verbotene Mehrfacheinlösungen von Kopien nachträglich erkennen und u.a. als Urkundenfälschung ahnden - ohne die Notwendigkeit einer Online-Prüfung.

  • wie bei Internet-Porto und DB-Online-Ticket ist auch eine rein digitale, nicht-körperliche Bereitstellung möglich - bei reduzierter Sicherheit vor allem im Bereich der Verfügbarkeit und Echtheitsprüfung.

Angriffe über manipulierte 2D-Codes sind zwar denkbar, doch wird für alle Anwendungen nur ein entsprechendes Modul gebraucht, welches sinnvoll konzipiert (erst Validierung der Signatur, ehe der Inhalt syntaktisch auf Korrektheit geprüft wird) und intensiv getestet werden kann. Sinnvollerweise wird dieses in mindestens zwei unabhängigen Open-Source-Implementierungen bereit gestellt, so dass bei der Entdeckung einer Schwachstelle in einer Implementierung eine Reserve besteht. Selbst wenn eine Schwachstelle ausgenutzt werden kann, sind die Einwirkmöglichkeiten des Angreifers deutlich eingeschränkt - zumindest solange die patientendaten-tragenden Systeme keinen Internet-Zugang haben (siehe auch eArztbrief).

Die gesamte technische Grundlage ist wohletabliert - eine generalisierte Lösung binnen relativ kurzer Zeit implementierbar.

Auf die beschriebene Weise lassen sich sehr einfach eGK und VDSM ersetzen sowie eRezept, eÜberweisung, Notfalldatensatz bzw. -ausweis, eImpfpass, eMutterpass, eMedikationsliste, eAU, etc. realiseren. Einige dieser Realisierungen werden nachfolgend näher erläutert - vor allem, um Einblick in Realisierungsvarianten sowie -abwägungskriterien zu geben und zu illustrieren, dass eine sinnhafte, innovative, praxistaugliche Lösung kein rein technisches Problem ist, sondern nur aus dem lösungsorientierten Zusammenwirken aller Fächer entsteht.

3.1 eGK und VSDM
3.1.1 Sicherheitserwägungen

Die Krankenkassen stellen ihren Mitgliedern (und jeweils den Familienversicherten) quartalsweise einen individuellen Versicherungsnachweis je für Arzt- und Zahnarzt-Praxis auf Papier bereit. Das Dokument selbst ist durch die digitale Signatur fälschungssicher - es kann höchstens kopiert werden, was unproblematisch ist:

Verbotene Mehrfacheinlösungen sind in den Abrechnungen klar erkennbar und zurechenbar, weil jeder Versicherungsnachweis eine eindeutige Nummer hat. Die Krankenversicherer können dieses Thema mit ihrem Versicherten im Innenverhältnis klären, ohne das gesamte Gesundheitswesen zu involvieren.

Die Überprüfung der Versichertenidentität ist Aufgabe der Krankenkassen. Die notwendige Sorgfalt ergibt sich dabei einerseits aus der Sensibilität der Daten auf dem Versichertennachweis - diagnoseähnliche Informationen wie die Teilnahme an DMPs oder bestimmten Selektivverträgen steigern die Sorgfaltspflichten natürlich -, andererseits der wirtschaftlich sinnvollen Mißbrauchsvermeidung.

3.1.2 Innovations- und Wettbewerbsfreiräume

Die Krankenkassen sind in weitem Rahmen in der Gestaltung frei - und können damit auch in kreativen und produktiven Wettbewerb treten:

  • Zustellmöglichkeiten
  • per Post - impliziert eine Adresskontrolle! Ein sinnvoller Validierungsschritt nach Adressänderungen …
  • per SmartPhone-App (wenn die Sicherheitsrisiken akzeptiert werden - der 2D-Code wird in der Praxis vom SmartPhone-Display eingelesen)
  • per Web-Self-Service (Versicherter hat persönlichen Login auf einer Web-Anwendung der Krankenkasse)
  • per verschlüsselter Mail
  • (im Ausnahmefall) per Fax/Crypto-Mail/Web-Self-Service (authentisiert) an Arztpraxis

  • Mit oder ohne Kosten für den Versicherten
  • Unterschiedliche Wege der Bereitstellung
  • auf Anforderung (telefonisch, App, Web-Self-Service, …)
  • quartalsweise automatisch
  • mehrere für mehrere Quartale
  • spezielle Vorsorge-Scheine
  • Stammdatenpflege für versichertenseitige Daten wie Adressen
  • per Web-Self-Service (falls Risiken akzeptiert werden)
  • per SmartPhone-App (falls Risiken akzeptiert werden)
  • telefonisch

Offenkundig sind vor allem bei Neu-Versicherten sowie bei Änderung der Zustellmodalitäten intensivere Maßnahmen zur Identitätssicherung geboten. Auch im Fall von Regelverstößen wird eine engmaschigere Kontrolle und eine Reduktion des Mißbrauchspotentials angezeigt sein: etwa, indem die Quartalsnachweise nur nach Anfrage zugestellt werden.

Umgekehrt können die Krankenkassen ihre Praxis bei langjährigen verlässlichen Versicherten legerer, bequemer und kostengünstiger gestalten und die Nachweise für das gesamte Jahr im Dezember mit den Neujahrsgrüßen ausliefern.

Vor allem aber lassen sich Lösungen finden - und sollten unbedingt gefunden werden -, die die ambulante und stationäre Altenpflege am Quartalsanfang erheblich entlasten: Die Sicherstellung des rechtzeitigen Versichertennachweises bei den behandelnden Ärzten erzeugt derzeit signifikanten Aufwand, der sich mit der skizzierten Lösung auf mannigfaltige Weise reduzieren ließe und damit bei Patienten, Ärzten und Pflegekräften spürbaren Nutzen generieren würde.

3.1.3 Zeithorizont

Das Verfahren wäre m. E. binnen 1-2 Jahren in die Fläche zu bekommen - könnte also seit 2008 im Einsatz sein (und hätte laut BMG-Presseerklärung von 2006 Versichertenkartenbetrug von jährlich rund 2 Mrd. € eingespart!).

3.2 eRezept
3.2.1 Sicherheitserwägungen

Mehr noch als beim Versichertennachweis muss beim eRezept die Sicherheitsdimension Verfügbarkeit gewährleistet werden.

Das von Menschen wie Maschinen gleichermaßen lesbare Papier-eRezepte ist hoch-resilient, weil der Betrieb auch bei Strom- und Kommunikationsausfall notfalls auch im Schein einer Kerze noch tadellos funktioniert. Im Gegensatz zum Gesundheitstelematik-eRezept ist sichergestellt, dass der Patient seine Medikamente erhalten kann, selbst wenn auf dem Weg von der Praxis zur Apotheke Naturkatastrophen, Technikhavarien oder Angriffe technische Infrastrukturen außer Gefecht setzen. (Beim Gesundheitstelematik-eRezept wird das medizinische Personal gerade in solchen Krisen unpassenderweise mit der Wiederholung der Rezeptausstellung belastet ebenso wie der Patient. Völlig unklar ist übrigens, wie beim Gesundheitstelematik-eRezept dann eine Doppeleinlösung des originalen und des Ersatz-Rezepts vermieden werden soll.)6

Das Papier-eRezept gewährleistet diese optimale Verfügbarkeit ohne Abstriche in anderen Sicherheitsdimensionen: Rezeptbetrug lebt wesentlich davon, dass bisher mögliche Manipulationen am Rezept keinem der Protagonisten sicher nachweisbar ist.

Durch die Signatur des Arztes ist Manipulationen seitens Patient oder Apotheker vorgebeugt. Kopieren ist möglich, führt aber - wegen einer eindeutigen Rezeptnummer - wieder zu klar zurückverfolgbaren Mehrfacheinlösungen.

Da sowohl Arzt, Patient oder Apotheker Urheber der Kopie sein könnten, wäre hier ein wenig Detektivarbeit gefragt. Da alle 3 Protagonisten Vertragspartner der Krankenkassen sind, kann man entsprechende Auskünfte verlangen, die natürlich auch eine abschreckende Wirkung haben. Im kleinen Stil mag man mit Rezeptbetrug durchkommen - dann ist der Schaden für die Versichertengemeinschaft aber auch gering. Allerdings sollten sich bei Rezeptbetrug in größerem Stil schnell klare Muster ergeben und wirksame Fallen stellen lassen.

3.2.2 Zeithorizont

Auch dieses Verfahren kann m. E. binnen 1-2 Jahren in breiten Einsatz kommen, insbesondere wegen der Synergien mit allen anderen Anwendungen des Verfahrens, wie etwa dem Versichertennachweis.

3.2.3 Detailabwägungen

Der Platzbedarf eines 2D-Barcodes ergibt sich dabei aus

  • dem benötigten Dateninhalt und damit Datenvolumen (2 Kilobyte sind ohne weiteres möglich)
  • der Mindestgröße des einzelnen 2D-Code-Punkts – je kleiner, desto höher die Anforderungen an Drucker und Scan-Einrichtungen sowie die Anfälligkeit für Verschmutzungen oder Knicke des Papiers
  • dem Ausmaß der impliziten Fehlerkorrektur im 2D-Code, die wiederum Lesefehlern entgegenwirkt und kleinere 2D-Code-Punkte erlaubt

Nun sind Rezepte sicherlich einer der optimiertesten Prozesse im Gesundheitswesen und die derzeitigen Papierrezepte mit DIN A6 ziemlich klein und ziemlich gut ausgenutzt.

Während des ersten Entwurfs der Gesundheitstelematik in den 1990er Jahren mag das Thema "Medienbruch" bzw. OCR-Probleme noch relevant gewesen sein - spätestens 2005 war OCR7 im Rezeptbereich sehr gut beherrscht.

Beim eRezept könnte man also nur die elektronische Signatur der ansonsten per OCR zugänglichen Daten im 2D-Code hinterlegen und so das Platzproblem adressieren. Allerdings erschwert eine solche Maßnahme die einfache digitale Erfassung des Rezepts, etwa durch den Patienten.

Für Pflegedienste und -heime wie auch für Patienten mit Dauermedikation wäre die digitale Bereitstellung der Rezepte durch die Ärzte (via eArztbrief) - eventuell auch direkt an eine hinterlegte Stammapotheke - eine Erleichterung.

3.3 eAU

Die Effizienz und Eleganz des klassischen 4-seitigen Durchschlagformulars auf einem Nadeldrucker zu schlagen, ist schwer.

Ohne Nadeldrucker werden zwar mancherorts 4 einzelne Seiten gedruckt, doch diese einfach um einen 2D-Code zu ergänzen und die Abläufe gleich zu lassen, ist relativ unelegant.

Als Informatiker ist man natürlich versucht, eine weitestgehende Automatisierung anzustreben, und die eAU gleich aus der Arztpraxis sowohl an Krankenkasse wie auch den Arbeitgeber zu versenden - vordergründig schon alleine deswegen eine schöne Idee, weil man dem Kranken dieses Thema abnehmen kann.

Tiefgründigere Analyse zeigt aber ein Problem - diese Automatisierung ist keinesfalls immer im Interesse des Patienten! Einige Beispiele:

  • Ist die Arbeitsunfähigkeitsbescheinigung etwa mit dem Praxisstempel eines Neurologen oder Psychiaters versehen, kann sie auch ohne Diagnose beim Arbeitgeber diskriminierend wirken. Deswegen gehen viele Patienten mit solchen AUs zu ihrem Hausarzt, um sich von diesem eine neutrale AU geben zu lassen.

  • Verletzt sich ein Arbeitnehmer am vorletzten Tag vor seinem gebuchten Urlaub geringfügig und hat am nächsten Tag ohnehin dienstfrei, wird er seine AU über 2 Tage wahrscheinlich nicht beim Arbeitnehmer einreichen wollen, weil aus der Arbeitsunfähigkeit ein Urlaub nicht angetreten werden darf.

Wir stehen vor der Wahl:

  • das bisherige Verfahren mit mehreren Durchschlägen beizubehalten…

  • in jedem Einzelfall die Einwilligung des Patienten zum Versand einzuholen und zu dokumentieren, und zu hoffen, dass die unvermeidlichen vereinzelten Fehler beim Versand oder Nicht-Versand von Krankenkassen und Datenschutzbeauftragten verständnisvoll behandelt werden…

  • einen neuen, besseren Prozess zu definieren, der die Möglichkeiten des Digitalen nutzt…

Letzteres reizt den Informatiker am meisten und mein Vorschlag sieht so aus: Wir orientieren die Kommunikation entlang der bestehenden primären Vertragsverhältnisse - was meistens eine gute Idee ist. Es kommunizieren also nur Vertragspartner miteinander.

Die neue eAU besteht aus 3 Teilen, wird auf einem vorperforierten DIN A4-Blatt gedruckt und dem Patienten ausgehändigt:

  • Der Teil für den Patienten enthält als einziger Klartext, Arztunterschrift, Praxisstempel und signierten 2D-Code.

  • Der Teil für die Krankenkasse besteht nur aus 2D-Code und ist mittels des öffentlichen Schlüssels der Krankenkasse verschlüsselt (die Daten innerhalb der Verschlüsselung sind vom Arzt digital signiert). Da dieses Dokument schon stark verschlüsselt ist (analog dem eArztbrief), kann der Patient es über jeden beliebigen, auch unsicheren, Kommunikationskanal seiner Wahl an die Krankenkasse leiten - egal ob Brief, Fax, unverschlüsselte Mail, Web-Service, Smart-Phone-APP, öffentliche eService-Stellen im Bürgerbüro … Der Patient kann auch den Krankenkassen-Teil der Praxis zum Versand übergeben, wenn der Arzt diesen Service anbietet.

  • Der Teil für den Arbeitgeber enthält nur ein Abhol-Token (Nonce) für die Bestätigung der AU durch die Krankenkasse - einmal als Mobile Tag sowie als Klartext zum Abtippen oder Diktieren. Diese Daten sind nicht durch den Arzt signiert, weil sonst der Arzt dem Arbeitgeber bekannt wird!

Der Arbeitnehmer kann diesen Arbeitgeber-Abschnitt dem Arbeitgeber zukommen lassen - auch hier ist, je nach persönlicher Risikoabwägung, praktisch jede Kommunikationsform möglich, die der Arbeitgeber akzeptiert: Mehr als der Fakt der Existenz einer AU ist nicht ableitbar.

Mittels des Abhol-Token kann der Arbeitgeber die Echtheit der AU bei der Krankenkasse prüfen. Hierzu sind verschiedene Lösungen möglich - der Arbeitnehmer muss für seine Risikoabwägung nur wissen, welche Lösung zwischen Arbeitgeber und Krankenkasse vereinbart ist.

Die Auskunft der Krankenkasse bestätigt nur den AU-Zeitraum ohne Angaben zur Diagnose oder ausstellenden Arzt - die Krankenkasse gewährleistet also die Echtheit der AU und anonymisiert den ausstellenden Arzt - sowie eine Identifikation des Mitarbeiters. Die Identifikation des Mitarbeiters erfolgt idealerweise über die Versicherungsnummer oder ein zusätzliches Personenkennzeichen, welches nur beim Arbeitgeber auflösbar ist.

Als Zugang kann die Krankenkasse eine Arbeitgeber-APP, einen Web-Self-Service oder eine Web-API anbieten - beides mit zusätzlicher Authentisierung und Brute-Force-Prävention, idealerweise als Erweiterung des ohnehin bestehenden "sv.net".

Theoretisch besteht natürlich die Möglichkeit, dem Arbeitgeber ein gefälschtes AU-Abhol-Token zu übermitteln - das fliegt allerdings auf und wird mit normalen arbeitsrechtlichen Mitteln geahndet.

3.4 Notfalldatensatz / Medizin. Kerndaten

Wegen der notwendigen Fachkunde sollten m. E. Ärzte im Bedarfsfall und auf Wunsch des Patienten die Notfalldatensätze erstellen und digital signieren.

Die Implementierung erfolgt im Regelfall wieder als menschenlesbarer Papierausweis. Dieses Format bietet den Vorteil einer leichten Verwendung im Ausland und einer leichten Internationalisierbarkeit, da keinerlei technische Voraussetzungen an die Lesbarkeit geknüpft werden. Die digitale Repräsentation der strukturierten Daten im 2D-Barcode kann vom Arzt durch eine geeignete APP auf SmartPhone-ähnlichen Geräten ohne Netzwerkverbindungen sicher und ohne Sprachbarrieren ausgelesen werden. Ein solches Verfahren lässt sich leicht und schnell EU-weit ausrollen, insbesondere da mehrere konkurrierende nationale Notfalldatensatzformate koexistieren können, bis sich eine gemeinsame Lösung etabliert.

Für den wahrscheinlich sehr kleinen Personenkreis, der hochgradig behandlungsrelevante Notfalldaten hat, kann ergänzend eine Speicherung in Fingerringen, Ohrringen, Uhrenarmbändern, Prothesen o. ä. Objekten, die auch bei Unfällen in der Regel mit dem Körper verbunden bleiben, erwogen werden. Hier bietet sich ein Markt für innovative kleine Unternehmen, geeignete Lösungen anzubieten, die sich aus standardisierten Teilaspekten zusammensetzen. Der Patient kann eine persönliche Risikoabwägung hinsichtlich der Behandlungsrelevanz und damit Verfügbarkeit einerseits sowie dem Vertraulichkeitsbedarf seiner Notfalldaten andererseits, treffen. Das Auffinden dieser Notfalldaten-Objekte kann über standardisierte optische Symbole oder Transponder erfolgen. Sie zeigen entweder nur die Existenz eines Notfallpasses an, verweisen über eine Nonce8 auf einen (evtl. zugangsgesicherten) Notfallpass in einem medizinischen Netzwerk oder erlauben das Auslesen des digital signierten Notfalldatensatzes mittels Kontaktschnittstelle oder NFC - je nach Abwägung zwischen Verfügbarkeits- und Vertraulichkeitsbedarf.

Verschiedene Verschlüsselungsansätze samt protokollierenden Not-Öffnungslösungen sind möglich, schränken aber die Nutzbarkeit bei Kommunikationsausfällen ein.

4 ePatientenakte

Technisch hat jede Form der Patientenakte, die außerhalb der unmittelbaren Verfügungsgewalt des Patienten selbst oder eines Arztes seines Vertrauens gespeichert ist, das fundamentale Problem, dass ihre technische Sicherheit in den Dimensionen Vertraulichkeit und Integrität (Manipulationsschutz) gegenüber Dritten von der Widerstandskraft der verwendeten Kryptographie, vor allem der Verschlüsselung, abhängt.

Hier lauert ein fundamentales Problem: Beim derzeitigen Stand von Wissenschaft und Technik gibt das BSI Kryptomechanismen für maximal 7 Jahre frei - das impliziert keine absolute Garantie für deren Sicherheit, sondern nur die hochqualifizierte Expertise, dass ein Versagen der Mechanismen innerhalb dieses Zeitraums sehr unwahrscheinlich ist - also eine zwar hohe, aber nur relative Sicherheit für diesen Zeitraum.

Nun enthalten medizinische Daten in Form genetisch disponierter Gesundheitszustände vielfach auch Informationen über die Verwandten mindestens des 1. und 2. Grades - wobei das Erkennen der genetischen Disposition durchaus erst zukünftig und unvorhersehbar durch wissenschaftlichen Fortschritt eintreten kann. Damit ergibt sich ein Zeithorizont von mindestens 3 Generationen für den Schutz der Vertraulichkeit - also je nach Rechenweise 100-150 Jahre und damit weit jenseits von allem, was derzeitig gängige Technologie garantieren könnte.

Während dieses Problem für die Integrität heilbar ist, indem die Datenbestände vor Ablauf der Haltbarkeitsdauer der Kryptomechanismen mit neuen Verfahren erneut signiert werden, scheitert der Ansatz bei der Vertraulichkeit: Kriminelle kopieren sich die Daten zu einem Zeitpunkt und warten, bis die damalig gültige Verschlüsselung gebrochen werden kann. Das mag durchaus Jahrzehnte dauern und für den konkreten Patienten keine Auswirkung mehr haben - aber die Kinder und Kindeskinder können sehr wohl noch betroffen sein und Schaden erleiden.

Es verbleibt also ein signifikantes Risiko. Stünde dem ein adäquater Nutzen entgegen, könnte man das Risiko vielleicht in Kauf nehmen - bloß ist ein solcher Nutzen, nach intensiver Diskussion mit vielen Ärzten, für mich nicht erkennbar: Eine absolut gültige, universelle und einzig wahre Patientenakte scheint eher eine Elfenbeinturm-Phantasie fachfremder IT-ler und mit dem tatsächlichen medizinischen Alltag vollkommen inkongruent:

Jeder Arzt macht sich aus den vorliegenden Informationen auf Basis seiner eigenen Expertise sein eigenes Bild. Fremdbefunde werden unter Bewertung der Qualität und Intensität der Befassung der Arztkollegen mit dem Fall eingeordnet - und im Zweifelsfall auch als falsch verworfen. Hinzu kommen forensische Dokumentation - auch proaktiv -, persönliche Notizen für zukünftige Patientenkontakte - also individuelle Informationen, die nur der jeweilige Arzt aus der jeweiligen Behandlungssituation einordnen kann.

Als Patient will ich definitiv keine zentrale ePatientenakte, in der Ärzte ihre wechselseitigen Stellungnahmen zu ihren jeweiligen Befunden lesen und sich in meiner Akte fachlich beharken.

Alle medizinischen Daten haben außerdem "Halbwertzeiten", mit denen ihre Nützlichkeit abnimmt, und auch orthopädische Röntgenbilder (die Halbwertszeiten von Jahrzehnten haben) sind nur bedingt recyclebar, da eben die für die damalige Untersuchung gewählte Ebene nicht notwendigerweise passend zur aktuellen Fragestellung ist. Laborwerte haben meist kurze Halbswertszeiten und geänderte Leitlinien erfordern ohnehin frische Befunde.

Schließlich ist eine patientengeführte ePA vom Arzt günstigstenfalls nur mit größter Vorsicht zu gebrauchen: Sie kann in beliebiger Weise unvollständig sein und ein verzerrtes Bild liefern. Die Ursachen für diese Unverläßlichkeit können vielfältig sein - das beginnt mit der Unkenntnis des medizinischen Laien bei der Einschätzung der Relevanz von Befunden, setzt sich fort mit unvermeidlichen Bedienungsfehlern in selten genutzten IT-Anwendungen, dem zutiefst menschlichen Phänomen der Verdrängung und Unterdrückung erschreckender oder peinlicher Befunde bis hin zu pathologischen Erscheinungen wie "Munchhausen by Proxy". Werden PVS-Daten automatisiert in eine ePA übernommen, fehlt im Gegensatz zum Arztbrief der bewusste Qualitätssicherungsschritt - sinnentstellende, automatische Rechtschreibkorrekturen, Schreibfehler oder persönliche Kürzel9 können sich in die ePA einschleichen, und sind der späteren Korrektur durch den Arzt wohlmöglich entzogen…

Fazit: Es ist (für mich) kein Nutzen der ePA erkennbar, der die zusätzlichen Risiken rechtfertigen könnte. Stattdessen wird der eArztbrief (siehe Kapitel 6) gebraucht und darüber tauschen die Ärzte ihre Arztbriefe aus, die sie in ihre jeweilige, von ihnen verantwortete Patientenakte integrieren. Eine zentrale Patientenakte wird damit weder dem Problem gerecht noch ist die Nutzen/Kosten/Risiko-Abwägung positiv…

4.1 Daten-Portierbarkeit

Statt der ePA wird allerdings dringend eine freie Portierbarkeit der PVS-Patientenakten zwischen den Ärzten benötigt. Es gibt viele gute Gründe für die Notwendigkeit der Portierbarkeit von Patientenakten und insbesondere auch für eine effiziente Massen-Portierung:

  • Ein Patient zieht in eine andere Stadt und will seine Patientenakte dem neuen Arzt zur Verfügung stellen.
  • Im Rahmen einer Praxisaufgabe oder -übernahme sind auf Patientenwunsch gegebenenfalls massenhaft Patientendaten zu exportieren.
  • Bei einer Praxisfusion müssen die Patientenbestände auf einem PVS fusioniert werden.
  • Nach der Gründung einer Zweigpraxis sollen die in der Nähe wohnenden Patienten in den dortigen Datenbestand verlagert werden.
  • Ein Auskunftsbegehren eines Patienten nach DSGVO - diese können im Kontext eines Sicherheitsvorfalls auch massenhaft auftreten.
  • Nach der Produkteinstellung oder dem Konkurs eines PVS-Herstellers muss der Arzt alle Patientenakten auf ein neues PVS portieren.
  • Nach einem Sicherheitsvorfall - etwa Emotet, welcher Systeme sehr fundamental kompromittiert - sollen die Praxissysteme komplett neu aufgesetzt werden und nur die Patientenakten in sicherer Form übertragen werden.
  • Nach einem Sicherheitsvorfall will eine Vielzahl von Patienten den Arzt wechseln.

Der Datentransfer zu anderen Ärzten erfolgt hier meist wieder selbstbestimmt durch den Patienten - und somit organisatorisch wie technisch sehr einfach und in natürlichem Einklang mit der DSGVO.

4.2 Patientenakte in eigener Hoheit

Durch die Portierbarkeit verfügen die Patienten effektiv auf Wunsch und in Eigenverantwortung auch über eine elektronische Patientenakte in eigener Hoheit und als Logbuch ihrer Behandlungshistorie. Man darf aber nicht verkennen, dass viele Patienten mit der sicheren Handhabung einer solchen ePA überfordert sein dürften. Daher halte ich einige flankierende Maßnahmen für geboten:

  • Der medizinische Datenschutz sollte an einigen Stellen erweitert und insbesondere um schadensmindernde Mechanismen ergänzt werden. Der gesamte Vorschlag wurde in einer dreiteiligen Artikelserie beim DFZ detailliert vorgestellt und steht zum Download bereit.10

  • Das Portierungsformat für Patientendaten ist notwendigerweise lizenzfrei und offen. Um den Patienten Zugang zu ermöglichen, sollte ein Open-Source-Tool entwickelt und bereitgestellt werden, welches erlaubt, die Patientenakte zu lesen und eine Teilauswahl in eine neue Patientenakte zu exportieren, so dass nach Wahl des Patienten auch nur Ausschnitte an Behandelnde weitergegeben werden können. Die Verfügbarkeit eines Open-Source-Tools stellt insbesondere sicher, dass der Patient seine Patientendaten auch im inner- und außereuropäischen Ausland Ärzten zur Verfügung stellen oder zumindest sichtbar machen kann.

  • Es sollte ein Live-Boot-Image (DVD-, USB- und SDcard-tauglich, auf Open-Source-Basis) bereitgestellt werden, welches Patienten (oder auch Ärzten) erlaubt, auch auf einem potentiell kompromittierten Computer, eine unabhängige, isolierte und sichere Arbeitsumgebung für den Umgang mit den Patientenakten zu starten und auch die in Kapitel 6 beschriebene Kommunikation zu nutzen.

5 Medizinische Forschung und Medikamentenwarnungen

Die Kernidee ist, die Datenflußrichtung gegenüber der TI-Konzeption umzukehren:

Die wissenschaftliche Fragestellung oder eine Medikamentenwarnung werden innerhalb eines entsprechenden Datenschemas formuliert und an die Arztpraxen geleitet (etwa via eArztbrief oder einfacher signierter Mail).

Der Arzt läßt diese Abfrage gegen seinen Datenbestand laufen und erhält eine Trefferliste - im Fall einer Medikamentenwarnung kann dies automatisch geschehen.

Bei der Medikamentenwarnung kann er seine Patienten gezielt und unter Berücksichtigung der individuellen Umstände kontaktieren und medizinisch beraten. (Das Einordnen der Risiken und Beruhigen des Patienten erscheint mir hier ein wichtiger Aspekt für die psychische Situation des Patienten!)

Bei Forschungsfragen kann er die Trefferliste fachlich validieren - kann also in der Einzelschau die Eignung des Patientendatensatzes für die Analyse individuell in voller Kenntnis der Umstände prüfen. Denn in der Regel wird die formelhafte Abfrage von Daten zur Stichprobenauswahl durch nicht automatisierbare, textuell beschriebene fachliche Erwägungen ergänzt werden müssen. Der Auswahlprozess ist also zweistufig: zuerst eine lokale automatische Vorauswahl potentiell passender Patienten im PVS, dann eine manuelle Prüfung der Eignung, die die eigentlichen "Kandidaten" bestätigt. Die ärztliche Validierung sorgt für hochwertigere und qualifiziertere Daten statt purer, statistisch begrenzt belastbarer Masse mit geringerer Aussagekraft.

Mit der Forschungsanfrage können auch weitere Aktionen verbunden werden. So können die Kandidaten etwa zur Teilnahme an einer Medikamentenstudie eingeladen werden, oder es können durch Untersuchungen gezielt zusätzliche und aktuelle Daten erhoben werden (die ärztlichen Aufwände sind vom Auftraggeber der Forschung zu vergüten).

Pseudonymisierte Ergebnisse aus den Praxen werden über sichere Kommunikationswege (etwa den eArztbrief) hierarchisch kaskadiert über die KVen oder Ärztekammern zurückgeleitet - dabei finden auf den einzelnen Hierarchieebenen jeweils so lange eine Aggregierung der Ergebnisse statt, bis die Anforderungen an eine De-Pseudonymisierungs-Prävention erfüllt sind.

Dieses System ermöglicht den Zugriff auf und die gezielte Erhebung von aktuellen Daten bei den niedergelassenen Ärzten, also hochaktuelle Forschung - und wäre jetzt in der Corona-Krise wahrscheinlich unglaublich wertvoll gewesen. Im Gegensatz dazu operiert die Forschung mittels Abrechnungsdaten oder ePAs nur auf einer fixen Auswahl älterer, unvollständiger und grobgranularer Daten und ist nicht in der Lage, aktuelle und problemspezifische Daten zu erheben und auszuwerten.

5.1 Illustration der technischen Abläufe und Möglichkeiten

Der Ablauf und die Mächtigkeit des Ansatzes werden in einem konstruierten Szenario (ohne auf unmittelbare medizinische Relevanz zu zielen) demonstriert:

Für unsere fiktive Beispielstudie werden mindestens 100-jährige Männern gesucht, die in ihrem Leben den Äquator überquert haben. Als technisch automatisierbare Vorselektion kommen nur das Alter und das Geschlecht in Frage, da die Äquatorüberquerung sich in den Patientendaten meist nicht - und vor allem nicht standardisiert - niederschlägt, sondern explizit erfragt werden muss.

Die Forschungsanfrage wird von einem zentralen Ethikrat freigeben und digital signiert. Diese Freigabe enthält auch Festlegungen, wie viele Personen jeweils aggregiert werden müssen, damit keine Einzelpersonen identifiziert werden können, sowie eine generelle Prüfung der Re-Identifizierungspotentiale der erhobenen Daten und daraus resultierende Einwillungsanforderungen. Neben einer eindeutigen Kennzeichnung der Studie enthält die Forschungsanfrage darüber hinaus:

  • einen Gültigkeitszeitraum
  • automatisierte Vorauswahlkriterien - etwa in Form einer sehr restriktiven SQL-Select-Teilmenge
  • ärztlich zu prüfenden Kandidaten-Kriterien
  • notwendige Einwilligungenerklärungen für teilnehmende Patienten
  • Forschungsaktionen - etwa konkrete Untersuchungsaufträge oder die Weiterreichung einer Bitte um Teilnahme an einer klinischen Studie
  • das Datenschema für die Rückmeldung von Ergebnissen
  • Regelungen zur Aufwandsentschädigung für Patienten und Ärzte

Die freigegebene Forschungsanfrage kann auf vielfältigen Wegen an die Arztpraxen weitergereicht werden, denn jenseits der durch die Signatur abgedeckten Frage der Echtheit hat sie keinen Schutzbedarf. Sie gelangt manuell oder automatisiert in das PVS der teilnehmenden Praxen.

Das PVS prüft mittels der automatisierten Vorselektion, ob potentiell geeignete Patienten im Patientenstamm existieren. Existieren keine geeigneten Patienten, kann die Anfrage - je nach Zustellweg - still verworfen werden, andernfalls wird der Arzt benachrichtigt und um Mitwirkung gebeten. Der Arzt kann bei den potentiell geeigneten Patienten an Hand der Patientenakte oder durch Nachfragen feststellen, ob sie auch die weiteren Vorbedingungen erfüllen und so Kandidaten für die Forschungsfragestellung identifizieren.

Die fiktiven Forscher im Beispiel interessiert neben der Prävalenz dieser Personengruppe noch die Verteilung bestimmter Anti-Körper - die Forschungsanfrage enthält daher einen entsprechenden Untersuchungsauftrag.

Praxis A hat nun in ihrem Patientenstamm 2 potentiell passende Patienten - die Nachfrage ergibt aber, dass beide niemals den Äquator gequert haben und somit keine Untersuchungskandidaten sind.

Praxis B hat genau einen passenden Patienten, der auch tatsächlich den Äquator überquert hat - dieser Kandidat willigt auch in die Laboruntersuchung und die anonyme Teilnahme ein.

Im PVS der Praxen erhalten die Kandidaten für solche Analysen ein starkes, praxis- und studienspezifisches Pseudonym, welches im Notfall (Entdeckung kritischer medizinischer Situationen, Medikamentenrückruf, etc.) auch nachträglich de-pseudonymisierbar11 ist, wobei der Arzt in diesen Fällen den Betroffenen gleich medizinisch fundiert kontaktieren kann.

Einen Hundertjährigen im Einzugsbereich einer bekannten Praxis zu identifizieren, dürfte meist einfach sein, deswegen ist die Vorgabe des Datenschutzbeauftragten die Aggregierung der Daten auf ein Niveau von mindestens 20 Hundertjährigen.

Die Praxen reichen jeweils ihre pseudonymisierten Praxis-Ergebnisse als strukturierte Datensätze auf einem sicheren Kommunikationsweg - etwa dem eArztbrief - bei ihrer übergeordneten Organisation (KV oder Ärztekammer) ein. Dort werden - automatisiert - soviele Praxis-Datensätze aggregiert, bis die geforderte De-Pseudonymisierungsresistenz auf der Ebene der Praxiseinzugsgebiete möglichst erreicht ist. Diese Aggregate werden weiter nach oben gegeben und, falls nötig, auch weiter aggregiert, bis sie in der zentralen Aufsichtsinstanz angekommen sind und dem Forschungsträger freigegeben werden (sollte die De-Pseudonymisierungsresistenz auch jetzt nicht erreicht sein, findet eine Bewertung der Situation statt). Datensparsame Analyse-Fragestellungen erhalten also kleinere, genauere Aggregate…

Um die Studie fortzusetzen, sollen vergleichende Untersuchungen der Kandidatenkinder durchgeführt werden. Dazu erfolgt eine neue Forschungsanfrage, die als automatische Vorselektion das Vorliegen von Kandidaten der ersten Studie in den Praxen nutzt (dies kann flächendeckend oder beschränkt auf die Praxen im geographischen Raum der Aggregate erfolgen). Die Forschungsaktion wäre diesmal, den Kandidaten Informationsmaterial auszuhändigen und sie zu bitten, dies an ihre Kinder weiterzugeben …

5.2 Medizinische Szenarien

In der Corona-Krise hätte dieses Verfahren interessante und wertvolle Optionen geboten, sowohl für schnelle Erkenntnisgewinne wie auch eine Entlastung und Ergänzung des öffentlichen Gesundheitsdienstes:

  • Das schnelle Errichten eines Test-Kordons (oder Test-Ringfahndung) für alle Patienten mit einschlägigen Symptomen, um den ersten oder auch weitere Infektions-Hot-Spots herum, um so die Wirksamkeit des Containments zu überwachen.

  • Eine regionale Testung zur Inzidenz-Bestimmung inklusive Verfolgung der weiteren Verläufe bei positiven SARS-CoV-2-Tests.

  • Flächendeckende Beobachtung und Auswertung von Folgeschäden und deren Verläufen bei nicht-hospitalisierten, leichten CoViD-Verläufen.

  • Hypothesentestung der Eignung von Parametern wie etwa BMI, Waist-to-Height Ratio oder Taille-Hüft-Verhältnis zur Verlaufsprognose einer CoViD-19-Infektion.

  • Prüfung der Eignung von leicht vom Patienten in Quarantäne messbaren Parametern wie Temperatur, Sauerstoffsättigung oder Mikroalbumin-Harntests als Frühwarnindikatoren für interventionsbedürftige Komplikationen (Endotheliitis, Thrombembolien).

  • Hypothesetestung hinsichtlich Risiko-Steigerung oder -Reduktion zugelassener Medikamente: Im ersten Schritt werden die demographischen und medizinischen Parameter sowie die CoViD-19-Infektionen und -Verläufe der Patienten mit entsprechender Medikation erhoben. Im zweiten Schritt wird für die Vergleichsgruppe mit vergleichbaren demographischen und medizinischen Parametern ohne diese Medikation für den Vergleichszeitraum ebenfalls CoViD-19-Inzidenz und -Verläufe erfasst und die beiden Gruppen vergleichend ausgewertet.

  • Identifikation von Risikogruppen - Vorgehen analog zum vorigen Punkt.

6 eArztbrief

Für jede Form der Kommunikation über Computer-Netzwerke gilt ebenfalls das bei der ePatientenakte (Kapitel 4) geschilderte Problem, dass die Vertraulichkeit kryptographisch nicht über den zu fordernden Zeithorizont gesichert werden kann.

Ich könnte es mir nun einfach machen, und das Thema damit abhaken.

Tatsächlich halte ich die Nutzen/Risiko-Abwägung hier allerdings für eine völlig andere:

  • Verschiedene Parteien im Gesundheitswesen benötigen untereinander eine sichere und schnelle Kommunikationsmöglichkeit, die nicht an den Patienten als "Datenträger" gebunden sind.

  • Die Briefpost ist relativ langsam und auch nur begrenzt sicher, sowohl hinsichtlich Vertraulichkeit, Manipulationsschutz und Verläßlichkeit - auch wenn das Briefgeheimnis einen robusten rechtlichen Schutz gewährt.

  • Mit der Umstellung der Telefonie auf VoIP (Voice-over-IP - also auf Internet-Protokollen basierende Telefonie) hat sich die Sicherheit des Fax-Versands etwa auf das (für Gesundheitsdaten inakzeptable) Niveau des normalen E-Mail-Versands reduziert.

  • Ein Angreifer, der den Verkehr aufzeichnet und viele Jahre später entschlüsseln kann, erhält in der Regel statt vollständiger Patientenakten nur Fragmente, einzelne Kommunikationsereignisse, die meist kein vollständiges Bild ergeben und so schwerer zu interpretieren und weniger belastbar sind. Das Aufwand-Nutzen-Verhältnis für den Angreifer ist also deutlich schlechter, dem geschädigten Betroffenen stehen mehr Abwehrmöglichkeiten bereit (z.B. "der Arzt hat sich schon eine Woche später korrigieren müssen …").

Kurz: Perfekte Sicherheit ist zwar nicht möglich und ein Restrisiko verbleibt, aber es ist deutlich geringer als bei der ePatientenakte. Bei entsprechend rigidem Sicherheitsentwurf kann das Risiko m. E. vor allem geringer sein als der Ist-Zustand. Das rechtfertigt einen Versuch unter folgender Prämisse: Sowohl für den Status-quo wie für den Änderungsvorschlag werden jeweils Kosten, Nutzen und Risiken bewertet und miteinander verglichen - nur Innovationen, die deutliche Vorteile bieten und die Risiken für die Patienten nicht erhöhen (oder das Individualrisiko aus ihrem Nutzen finanzieren), kommen für eine Implementierung in Frage.

Tatsächlich brauchen wir aber nicht (nur) einen eArztbrief, sondern eine Universallösung, denn es sollten auch Patienten, Ärzte und Krankenkassen, aber auch Bürger und Behörden sowie Kunden und Unternehmen sicher miteinander kommunizieren können - und genau die dabei entstehende Masse ist ein wesentlicher Teil des Sicherheitskonzepts, weil das aufzuzeichnende und später kryptoanalytisch zu brechende Volumen explodiert.

Selbst eine grobe Skizze des technischen Designs würde sowohl vom Volumen als der Komplexität her den Rahmen dieses Dokuments deutlich sprengen. Viele Details werden auch noch intensiver Expertendiskussion bedürfen.

Dennoch will ich eine Vorstellung der Funktion sowie der grundsätzlichen Sicherheitsmechanismen und ihren Wirkungen geben:

Stellen Sie sich im Wesentlichen verschlüsselte und signierte Mail unmittelbar gerichtet zwischen konkreten Institutionen oder Ärzten vor, mit der Möglichkeit, neben konkreten Personen auch Gruppenempfänger - also etwa Behandlungsteams (wie etwa "Ärzte Station 1") - oder Funktionsträger ("Diensthabender Arzt Station 1") zu adressieren.

Auf dem Transportweg findet eine Verschleierung von Sendern und Empfängern statt - im Prinzip TOR-ähnlich, allerdings auf der Ebene der einzelnen Nachrichten. Die Verschlüsselung und Integritätssicherung erfolgt mehrschalig. Die Tiefe dieser Mehrschaligkeit wird bei all diesen Mechanismen in Abhängigkeit vom jeweiligen Schutzbedarf der Inhalte gesteuert.

Die Vertrauensstruktur ist nicht hierarchisch wie in der TI, sondern heterarchisch - also mit einer Gewaltenteilung zwischen mehreren Institutionen, in denen verwendbare Identitäten und zugehörige öffentliche Schlüssel immer von einem Quorum mehrerer Institutionen bestätigt sein müssen - bspw. sichert die KV die Eigenschaft des Vertragsarzt-Status zu, die Ärztekammer die Approbation als Arzt, die Praxis- oder Stationszugehörigkeit der jeweilige Verantwortliche …

Während die TI eine Vielzahl paralleler und synchroner Netzwerkprotokolle nutzt, die jedes ein eigenes Risiko etablieren und eine kontinuierliche Netzwerkverbindung voraussetzen, gibt es im Alternativentwurf nur ein einziges asynchrones Protokoll.

Alleine diese - dem Stand der IT-Sicherheitstechnik entsprechende - Minimierung der genutzten Netzwerkdienste reduziert die Angriffsoberfläche und damit das Sicherheitsrisiko.

Allerdings genügt dies meines Erachtens nicht: Die bestehenden Praxis- und Kliniksysteme sind in den letzten Jahrzehnten im Wesentlichen ohne Berücksichtigung von Sicherheitsbelangen aufgebaut worden. Ursächlich ist vor allem das mangelnde Sicherheitsbewußtsein vieler Hersteller. Dies zeigt sich regelmäßig etwa an der Vermarktung digitaler Diagnostikgeräte auf Basis von Betriebssystemen, die vom Betriebssystemhersteller keine Sicherheits-Updates mehr erhalten. Die inhärente Untauglichkeit der Praxis- und Klinik-IT-Landschaften für eine Vernetzung sollte im BMG und bei der Gematik bekannt sein, denn im Schutzprofil BSI-CC-PP-0047-2015-MA-01 - der Grundlage der TI-Konnektor-Zertifizierungen, und seinen Vorläufern findet sich seit 2014 in Abschnitt 7.6.2 die bemerkenswerte Aussage: "… muss nach dem Stand der Technik davon ausgegangen werden, dass Leistungserbringer eine Kompromittierung eines ihrer IT-Systeme im LAN nicht sicher verhindern bzw. nicht in jedem Fall frühzeitig erkennen können."

Es wird erhebliche Investitionssummen und Zeiträume verschlingen, diesen Mißstand abzustellen. Zuvorderst bedarf es aber der Regulierung der IT-Sicherheitspflichten von IT-Herstellern und -Dienstleistungsunternehmen im Gesundheitswesen, deren Notwendigkeit bereits 2005 beschrieben wurde.

Die oben beschriebene Asynchronizität erlaubt jedoch verschiedene rigide Sicherheitsmaßnahmen, die bei synchronen Protokollen unmöglich sind. Indem so die Angriffsexposition und die Sicherheitsanforderungen an die hochschutzbedürftigen, patientendaten-tragenden Systeme reduziert werden, ermöglicht sie, diesen langwierigen Transformationsprozess zu überbrücken:

Wesentlicher Sicherheitsmechanismus ist das Analogon einer "Luftschleuse", die direkte Netzwerk-Verbindungen zwischen patientendaten-tragenden Systemen und der Außenwelt verhindert. In dieser "Schleuse" sind eine ganze Reihe Sicherheitsprüfungen und Protokollierungen möglich, bis hin zu einer Freigabe nach manueller Sichtprüfung etwa der Anzahl und Größe der Nachrichten. Je nach akuter Bedrohungslage und Schutzbedarf des Teilnehmers können insbesondere alle oder ausgewählte Nachrichten in Quarantäne gehalten werden, bis die Bedrohungslage besser verstanden ist und Detektionsmöglichkeiten für neue Angriffe existieren.

Dies reduziert die Angriffsvektoren und damit das unvermeidliche Restrisiko der Netzwerkanbindung so weit überhaupt möglich. (Thomas Maus)