Im Rahmen der weltweit fortschreitenden Digitalisierung, sei es im Öffentlichen Sektor, für Unternehmen oder im Privatbereich, ist es unumgänglich, einen rechtsfähigen digitalen Avatar allen Beteiligten – Bürgern und Organisationen – als elektronischen Identitätsnachweis bereitzustellen.
Was sind die Kernfaktoren einer Digitalen Identität?
Zu einer digitalen Identität gehören die elektronischen Daten zur Charakterisierung einer Person mit einer physischen Identität. Schon jetzt kommen Attribute wie Benutzername und Passwort, Chipkarten, Token oder biometrische Daten zum Einsatz.
Klassische erfassbare Merkmale eines elektronischen Identitätsnachweises / einer digitalen ID sind beispielsweise ein Fingerabdruck, ein (biometrisches) Gesichtsfoto, Irismerkmale, Körpergröße, Geburtsdatum und Ort und natürlich die Meldeadresse.
Risiken Digitaler Authentifizierung auf verschiedenen Plattformen
Durch die Nutzung zahlreicher verschiedener Authentifizierungsverfahren, Profilen und Logins in Soziale Medien, Benutzerkonten (Email, Banken, Dienstleistungsplattformen) werden die Daten der Nutzer im Internet weit gestreut. Eine Kontrolle des Einzelnen über seine privaten Daten ist kaum möglich. Oft ist die Preisgabe persönlicher Daten Voraussetzung, um Dienste in Anspruch nehmen zu können. Missbrauch, Daten- und Identitätsdiebstähle werden begünstigt. Die Anforderungen an Datenschutz sind hoch, werden aber nicht immer erfüllt. Die Cyber-Kriminalität nimmt zu. Daten stellen das „neue Gold“ dar für personalisierte, individuell zugeschnittene Angebote, Werbung aber auch für die sogenannte „personalisierte Medizin“. Da es sich hier um sensible Daten handelt, müssen diese besonders geschützt werden. Mit der Datenschutzgrundverordnung (DSGVO) wurde hier bereits ein gesetzlicher Rahmen geschaffen. Die EU-Kommission hat dazu einen Verordnungsvorschlag der eIDAS 2.0 auf den Weg gebracht. Die Digital Identity Wallet „EU eID“ sollen Bürger über das gesamte EU-Gebiet hinweg einsetzen können.
Selbstbestimmung bei der Digitalen Identität
Mit dem Modell der „Self-Sovereign Identity“ (SSI) soll Personen und Organisationen basierend auf Länder- aber auch auf EU-Ebene die Datenhoheit über die eigenen Daten gewährleistet werden, ohne dass ein Vermittler oder eine zentrale Partei zwischengeschaltet ist. Gekoppelt an Blockchain-Technologie entstehen nicht veränderbare und damit nicht manipulierbare dokumentierte digitale Transaktionen.
Technische Umsetzung
Die EU plant ein barrierefreies EU-weites Ökosystem für digitale Identitäten, basierend auf Wallets. Die Mitgliedstaaten werden den Bürgern und Unternehmen digitale Wallets anbieten, mit denen sie ihre nationalen digitalen Identitäten mit dem Nachweis anderer persönlicher Merkmale (z. B. Führerschein, Diplome, Bankkonto) verknüpfen können. Diese Wallets können von öffentlichen Behörden oder privaten Einrichtungen bereitgestellt werden, sofern sie von einem Mitgliedstaat anerkannt werden. Ein großes Hindernis sind nach wie vor fehlende verifizierbare digitale Nachweise für amtliche Dokumente (z.B. Führerschein, digitale Krankenkarte, Arztausweise, Zeugnisse und Abschlüsse, Geburtsurkunden, Steuerbescheide). Die EU arbeitet intensiv an der Schaffung einheitlicher technischer und inhaltlicher Standards.
Wirtschaftliche Vorteile
Laut einer Studie können digitale Identitäten einen wirtschaftlichen Nutzen äquivalent zu 3-4% des BIP in 2030 ermöglichen, nicht zuletzt ergänzt durch weitere Automatisierungsmöglichkeiten in Prozessen durch Anwendung von KI und Business Intelligence.
Use-Cases im Gesundheitswesen
Gestartet wird mit der Elektronischen Gesundheitskarte (eCard), die in Kürze und per Gesetz den Krankenversicherten in Verbindung mit einer digitalen Identität (eID) in Deutschland bereitgestellt wird. Die elektronische Gesundheitskarte ist eine erweiterbare Versichertenkarte für gesetzlich Krankenversicherte. Sie ist ausgeführt als Chipkarte im Scheckkartenformat mit Lichtbild und ersetzte die am 1. Januar 1995 in Deutschland eingeführte Krankenversichertenkarte. Die deutschen Krankenkassen arbeiten mit verschiedenen Dienstleistern zur Bereitstellung einer digitalen Identität zusammen. So möchte die Barmer mit T-Systems und dem ID-Dienstleister Verimi zusammenarbeiten. Die Digitale Identität wird auf dem Smartphone in einer digitalen ID-Wallet, in einer elektronischen Brieftasche, gespeichert. Es soll den Versicherten jedoch weiter möglich sein, die eCard zu nutzen.
Ganz aktuell soll die elektronische Patientenakte (ePA) lt. Beschluss der Gesellschafterversammlung der gematik, angegliedert an das Bundesgesundheits-Ministerium (BMG) nun in Deutschland jedem Versicherten automatisch bereitgestellt werden per Opt-Out-Verfahren. Wer dies nicht möchte, müsste aktiv widersprechen.
In Österreich wurde bereits 2005 flächendeckend die eCard eingeführt. Ab Herbst 2022 ist die ID Austria bei allen Registrierungsbehörden erhältlich. Sie ermöglicht es, die eigene Identität mittels der App „Digitales Amt“ nachzuweisen und ersetzt zukünftig als elektronischen Identitätsnachweis die Handy-Signatur. Auch das E-Rezept ist in Österreich verpflichtend seitens der Versicherten zu nutzen.
Ziele der Einführung sind
Die Patientenrechte zu stärken, indem in zukünftigen Ausbaustufen wichtige Dokumente wie Arztbriefe, Befunde in einer individuellen, verschlüsselten Form abgelegt werden können.
Indem Untersuchungs- und Laborergebnisse von Haus- und Fachärzten auch anderen Leistungserbringern zur Verfügung gestellt werden, können durch einen besseren Informationsaustausch z.B. können unerwünschte Wechselwirkungen zwischen Medikamenten bei Verschreibungen durch mehrere Ärzte vermieden werden, ebenso wie Doppeluntersuchungen. So sollen auch Kosten eingespart werden.
Behandlungsdaten und Vorerkrankungen wären bei einem Notfall besser verfügbar.
Außerdem soll der Datenschutz sensibler Patientendaten maßgeblich verbessert werden:
Datenschützer kritisieren seit langem den Umgang mit sensiblen Patientendaten in deutschen Arztpraxen und Kliniken sowie die heutige Art der Kommunikation zwischen den Ärzten:
„Prüfungen von Datenschutzaufsichtsbehörden zeigen teilweise desaströse Zustände: Patientenunterlagen liegen für Besucher einsehbar im Stations- oder Behandlungszimmer. In Patientenaktenarchiven gehen Menschen unkontrolliert ein und aus. EDV-Dienstleister können ungehindert auf Daten zugreifen und diese lesen, sogar manipulieren. Arztbriefe werden unverschlüsselt im Internet per Email verschickt. In der Klinik findet keine Abschottung der sensiblen Informationen statt. Die Möglichkeit zur Speicherung weiterer Daten (Arzneimitteldokumentation) ist gegeben. Der Nachweis der Datensicherheit für diese weiteren Daten im Zusammenhang mit entsprechenden Anwendungen und weiteren Speicherungen ist nicht erbracht.“
Die technische Umsetzung erfolgt in Deutschland über die gematik GmbH mit der Telematik-IT-Infrastruktur.
Roadmap und Infrastruktur im Gesundheitswesen
ePa, eRezept, elektronische Medikationsplan, elektronische Patientenkurzakte, Notfall-Management sowie die barrierefreie Nutzung (per Single Sign On) weiterer Gesundheitsapps, z.B. von Krankenkassen, sollen den Versicherten viele Vorteile bieten und die Bürokratie verringern. Unternehmen, Gesundheitsbehörden, Versicherer und Forschung erhoffen sich die freiwillige Bereitstellung von Patienten-Daten für Markt-optimierte Anwendungen und die Wissenschaft. Die flexible Bereitstellung neuer I-Attribute bildet den Rahmen für Innovationen.
In Deutschland arbeitet die gematik an einer sicheren Infrastruktur. Die Unabhängigkeit von Spezial-Hardware (z.B. Konnektoren) wird angestrebt. EU-weit wird an einem „Ökosystem Digitaler Identitäten“ gearbeitet mit weiteren Optionen (Geburtsurkunde, Zeugnisse, Abschlüsse, Steuer-Informationen, Führerschein uvm). Ziel ist es, die nationalen digitalen Identitäten Europa-weit nutzen zu können. Es wurde jedoch noch kein einheitlicher gesetzlicher Rahmen für die Mitgliedssaaten geschaffen (E-IDAS-Novelle). In Österreich ist die ID Austria schon etabliert, es wird aber wie in Deutschland mangelhafte Nutzung / Akzeptanz beklagt, vorwiegend wegen zu wenig Vertrauen in den Datenschutz seitens der potentiellen Anwender.
Herausforderungen für Unternehmen und Behörden im Gesundheitswesen
Um die Möglichkeiten und das innovative Potential der Digitalisierung im Gesundheitswesen voll auszuschöpfen, liegt die Herausforderung für Unternehmen, StartUps und sonstige staatliche und private Institutionen darin, die sensiblen Patientendaten in geschützte interne IT-Strukturen einzubinden und die Frequenzdaten (Diagnosen, Verschreibungen, ärztliche Leistungen) vom Personenzug „abzuschirmen“. Gleichzeitig sollten die Daten-Container so strukturiert sein, dass Data-Analysen für verschiedene Anwendungen (z.B. Marketing, Patientensicherheit, Trends bei chronischen Erkrankungen) effektiv generiert werden können.
Sichere und leistungsstarke Infrastruktur
Ob in der Cloud oder im eigenen DWH, durch höchste Datenschutz-Standards wie modernste Verschlüsselungs-Techniken, sichere Schnittstellen, hohe Datenstandards (z.B. HL7) und Cyber-Security-Anwendungen müssen alle Stakeholder die Sicherheit der Patienten-Daten und deren weitere Verwendung, z.B. für Gesundheits-Apps, gewährleisten.
Aufbereitung und Nutzung der Daten für Dritte
Zur Verwendung der sensiblen Patientendaten durch Drittanwender für Auswertungen, Prognosen, Forschung oder Marketing-Zwecke – ob extern oder intern – sollten diese Daten so geschützt sein, dass ein Personenbezug nicht hergestellt werden kann. Verschiedene Methodiken der Anonymisierung und Pseudonymisierung der Daten (siehe auch unseren Blog-Artikel „Anonym und doch irgendwie persönlich“) gewährleisten dies. Datenspezialisten bieten dies auch als Dienstleistung an.
Pseudonymisierte Daten eignen sich nicht nur für statistische Auswertungen, sondern auch für Assoziationsanalysen, Clusteranalysen oder die Entwicklung von BI-Lösungen.
Ganz aktuell
wird sich in Deutschland wohl die Einführung des eRezepts verschieben. Zwei Pilotregionen in Deutschland (Westfalen/Lippe und in Schleswig-Holstein) stoppten das Pilot-Projekt, das im September in Lippe erst startete. Die Patienten sollten ihre Rezepte über die elektronische Gesundheitskarte und eine dazugehörige App direkt als QR-Code auf ihr Handy erhalten.
Es gab Bedenken in Bezug auf die Datensicherheit in der Zusammenarbeit mit den Apotheken. Hier sah der Datenschützer ein Gefährdungspotential. Die Testphase sollte 3 Monate dauern, danach sollte es das E-Rezept komplett digital geben. Ein herber Rückschlag auf dem Weg Deutschlands in die Digitalisierung des Gesundheitswesens. Ursprüngliches Ziel war es, 25% aller Verschreibungen von gesetzlich Versicherten voll elektronisch abzubilden.
Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) zieht sich aus dem Projekt zurück, da befürchtet wird, dass die Praxen in Haftung genommen werden, wenn der QR-Code missbraucht wird. Der Versand von QR-Codes per Mail oder SMS sei von der Datenschutzbehörde untersagt worden, der Versand sollte per Email über die TI-Infrastruktur erfolgen.
In Österreich stellten Ärzte bereits Mitte Juni 1,2 Millionen elektronische Rezepte (E-Rezepte) aus – innerhalb einer Woche. Das meldete die österreichische Sozialversicherung.
Eine weitere technische Hürde ist, dass die Anwender ein NFC-fähiges Smartphone benötigen, so dass ältere Menschen, die einen nicht unbeträchtlichen Teil der potentiellen Nutzer darstellen, eventuell nicht teilhaben würden.
Fazit
Zumindest in Deutschland geht die Digitalisierung im Gesundheitswesen leider nur zäh voran, auch wenn nun seitens des Gesundheitsministeriums und der gematik Druck gemacht wird.