Gutachten ergibt: Die neu eingeführte elektronische Gesundheitskarte verstößt gegen Datenschutzbestimmungen.
Hamburg. Bei Darth Vader war Schluss mit lustig. Als der dunkle Lord aus der Science-Fiction-Saga „Star Wars“ auf der elektronischen Gesundheitskarte auftauchte, war für die Krankenkassen eine rote Linie überschritten. Es gab auch Fotos von Brad Pitt oder Lady Gaga. Doch die fielen nicht sofort auf, wenn Versicherte sie als Bilder auf ihrer neuen Krankenversicherungskarte haben wollten.
Aber mit den Spaßbildern, die manch Versicherter für seine neue e-Card im Internet hochgeladen oder per Post zugeschickt hat, dämmerte den Experten der Krankenkassen bei ihren Stichproben allmählich: Es ist nur ein Foto – aber mit den kleinen Bildchen auf den smarten Chip-Ausweisen fangen die großen Probleme erst an.
Zwischen 55 und 60 Millionen elektronische Gesundheitskarten stecken inzwischen in den Portemonnaies der Bundesbürger. Sie werden durch die neuen Lesegeräte in der Arztpraxis gezogen. Aber die Karte ist sinnlos und nutzlos beim Einsatz, für den sie vorgesehen ist. Und möglicherweise müssen alle Karten entweder eingezogen und ausgetauscht oder anderweitig aufgerüstet werden.
In einem bislang unveröffentlichten Gutachten der Kassenärztlichen Bundesvereinigung (KBV), das dem Hamburger Abendblatt vorliegt, heißt es: „Die Krankenkassen sind verpflichtet, bei der Ausstellung der eGK die Übereinstimmung des auf der eGK aufgedruckten Lichtbildes, der Person des Inhabers der Karte sowie der zukünftig auf der eGK gespeicherten weiteren Sozialdaten zu verifizieren. Dieses wird bislang nicht durchgeführt, was problematisch ist, da zukünftig sensible Daten auf der eGK gespeichert werden sollen.“
Die Kassenärztliche Bundesvereinigung (KBV) ist die Vertretung aller rund 150.000 niedergelassenen Ärzte. Auch sie hat wie die Krankenkassen Experten in die Gematik geschickt. Das ist die Gesellschaft, die die elektronische Gesundheitskarte einführen und überwachen soll. KBV-Chef Andreas Köhler, mächtigster Ärzte-Funktionär des Landes, wollte sich auf Abendblatt-Anfrage nicht zu dem Gutachten seiner Juristen äußern. Es ist aber authentisch. Köhler, 53, der sich derzeit von einem Herzinfarkt erholt, hat vor einigen Tagen seinen Rücktritt angekündigt.
Gleiche Funktion wie Personalausweis?
Die Foto-Frage legt den Kern der Karte bloß: Ist sie mit dem Foto ein „Identitätsnachweis“ oder nicht? Hat sie also eine Funktion wie ein Personalausweis? Eine simple Frage – drei Antworten. Nein, sagen die Krankenkassen. „Sie ist nicht als allgemein nutzbarer elektronischer Identitätsnachweis, vergleichbar mit dem neuen Personalausweis, konzipiert“, so der Bundesverband der Kassen zum Abendblatt. Nein, wohl nicht, teilt das Bundesgesundheitsministerium dem Abendblatt mit, aber: „Es ist unbestritten, dass die richtige Zuordnung der Daten der Gesundheitskarte zum Karteninhaber gewährleistet sein muss. Dafür ist neben weiteren Maßnahmen auch eine Identifizierung des Versicherten erforderlich, die jedoch nicht zum Zeitpunkt der Lichtbildübermittlung durchzuführen ist.“ Das sei die Aufgabe der Kassen.
Ja, sagt das geltende Recht. Im E-Government-Gesetz (eGovG), das neue Technologien regelt, steht glockenklar: Die Karte ist in der Kommunikation zwischen Versicherten und Krankenkasse ein Identitätsnachweis. Weitere gesetzliche Regelungen sehen das ebenfalls so. Wenn man auf Sozialdaten wie persönliche Gesundheitsangaben zugreift, muss die Identität juristisch geprüft sein. Wer etwa bei der Deutschen Rentenversicherung online oder offline etwas abfragen will, braucht einen identitätsgeprüften Ausweis. Selbst wer ein Konto bei der Haspa eröffnet, wird schärfer geprüft als bei der e-Card.
Hier tut sich ein gewaltiges Dilemma auf. Ist die Karte so zu behandeln wie ein Personalausweis, hätte das Bild geprüft werden müssen. Man müsste also jetzt alle Karten austauschen oder „nachidentifizieren“. Ist die elektronische Gesundheitskarte kein Identitätsnachweis, ist sie wertlos. Denn für künftige Anwendungen wie das Speichern von Medikamenten, Diagnosen oder Notfalldaten braucht man die letzte Gewissheit: Ist der Mensch auf der Karte auch der, der sie gerade beim Arzt vorlegt? „Sonst gibt es Tote“, sagt ein Hamburger Arzt, der ungenannt bleiben möchte. Mit alten wie neuen Karten wird reichlich Missbrauch betrieben: Sie wird illegal weitergegeben oder auf dem Schwarzmarkt verkauft. Genau diese erschlichenen Behandlungen und der Abrechnungsbetrug sollten mit der e-Card verhindert werden. Drogenabhängige bieten ihre Versichertenkarten an, in Kreisen von Schwarzarbeitern kursieren sie.
Ärzte sollen das Foto prüfen, sagen die Kassen. Diese Auffassung vertritt auch das Haus des neuen Bundesgesundheitsministers Hermann Gröhe (CDU) gegenüber dem Abendblatt. Aber dass die Ärzte keine Hilfspolizisten sind, ist schon in Paragraf 2 des Personalausweisgesetzes geregelt. Sich Ausweise zeigen lassen – das dürfen sie gesetzlich gar nicht.
Der frühere Datenschutzbeauftragte des DIMDI (Deutsches Institut für medizinische Dokumentation und Information), Klaus Fink, sagte dem Abendblatt: „Es ist erschütternd, was hier passiert. Die Fotos hätten geprüft werden müssen.“ Fink, dessen früheres Institut für das Bundesgesundheitsministerium arbeitet, wirft den Behörden und den Datenschützern vor, ihren Job nicht gemacht zu haben: „Da wird vertuscht und verdrängt. Dabei ist bereits ein erheblicher finanzieller Schaden entstanden.“
Auch die EU hatte sich eingeschaltet. Auf die Anfrage der beiden CDU-Europaparlamentarier Thomas Ulmer und Michael Gahler erklärte EU-Kommissarin Viviane Reding bereits 2010: „Gemäß Artikel 6 Absatz 1 Buchstabe d der Richtlinie haben die Mitgliedstaaten vorzusehen, dass personenbezogene Daten sachlich richtig und, wenn nötig, auf den neusten Stand gebracht sind.“ Die Krankenkassen hätten dafür zu sorgen, dass das auch bei den Fotos auf den Gesundheitskarten so sei.
Gesundheitsministerium und Krankenkassen beteuern: Die e-Card verstößt nicht gegen EU-Datenschutzrecht. Der kritische Abgeordnete Ulmer reagierte auf eine Abendblatt-Anfrage nicht. Ebenso wenig wollen einstige Karten-Gegner wie die früheren Spitzen der FDP etwas von den Datenschutzproblemen hören. So gingen Philipp Rösler und Daniel Bahr – beide später Gesundheitsminister – noch im Bundestagswahlkampf 2009 gegen die elektronische Gesundheitskarte auf die Barrikaden. Sie wollten das Projekt von Gesundheitsministerin Ulla Schmidt (SPD) stoppen. Kaum im Amt, haben sie die Karte eingeführt. An einem Freitag im Sommer 2010 machte der schwarz-gelb dominierte Bundestag den Weg für die Karte frei. Versteckt fanden sich die neuen Regeln in einem „Gesetz zur Änderung krankenversicherungsrechtlicher und anderer Vorschriften“. Für wenig Aufmerksamkeit wurde gesorgt. Es war der 18. Juni, die Abgeordneten wollten schnell nach Hause. Um 13.30 Uhr spielte die deutsche Fußball-Nationalmannschaft bei der WM in Südafrika in Port Elizabeth gegen Serbien (0:1).
Die Karte sollte schnell über die Rampe. Der Datenschutz wurde verdrängt. Das bemängelt auch Dr. Dirk Heinrich, HNO-Arzt aus Hamburg-Horn und Bundesvorsitzender des NAV-Virchow-Bundes (Verband der niedergelassenen Ärzte). Wie die meisten Ärzte ist auch er für den Einsatz moderner Technik in der Praxis. Diese e-Card lehnt er aber ab. „Die Daten in der Hand des Patienten, etwa auf einem USB-Stick, das wäre besser gewesen.“ Auch wenn die Kassen beteuern, dass die Versichertendaten nicht auf zentralen Servern mit Internetanschluss liegen, ist Heinrich skeptisch. Sein Praxiscomputer ist abgeschottet. In Zukunft wird bei jedem Karteneinlesen online der Status des Patienten abgefragt. Das dauert. Heinrich fürchtet: „Wir werden zu Außenstellen der Krankenkassen.“ Hacker hätten noch leichteres Spiel.
Das hat Tradition bei der e-Card. Die Beratungsfirma Booz Allen Hamilton hatte vor Jahren in einem geheimen Gutachten gewarnt, dass die Kosten für die e-Card in Milliardenhöhe explodieren. Hacker des Chaos Computer Clubs (CCC) haben das Papier vom Geheimnisstatus „befreit“, wie sie das nannten. Die Bundesregierung, die Kassen – alle waren blamiert. Booz Allen Hamilton hatte schon immer ein Händchen für die richtigen Mitarbeiter in Sachen Verschlüsselung. Für das renommierte Unternehmen arbeitete ein inzwischen international bekannter Datenexperte. Der Mann heißt Edward Snowden.