Share
Beitragsbild zu Auf dem schwierigen Weg zur Digitalisierung im Gesundheitswesen

Auf dem schwierigen Weg zur Digitalisierung im Gesundheitswesen

Vor ca. 4 Jahren hatten wir in einem Überblick über verschiedene Gefährdungsbereiche und konkrete Cyberattacken im eHealth-Umfeld und über den Stand der Entwicklung im Bereich der elektronischen Gesundheitskarte (eGK) sowie der darunterliegenden, sicheren IT-Basis (Telematik-Infrastruktur) berichtet. Was hat sich in der Zwischenzeit getan? Wie weit ist es mit der Digitalisierung – ggf. durch Standardisierungen und/oder Gesetzgebungen initiiert – und welche Entwicklung haben die Risiken und Bedrohungen genommen? Wie weit sind wir mit der Entwicklung und Einführung der Telematik-Infrastruktur heute? Gibt es sie heute oder auch alternative Entwicklungen? Auf all diese Fragen wird dieser Artikel versuchen, Antworten zu geben.

Die Befürworter für die digitale Speicherung und Bereitstellung medizinischer Daten orientieren sich üblicherweise an dem hierüber erzielbaren, höheren Nutzen – sowohl im Sinne der verbesserten medizinischen Versorgung als auch bei der Kosteneinsparung oder auch schon bei der Eindämmung der ohnehin permanent steigenden Kosten im Gesundheitswesen. 

Forscher im Gesundheitsbereich brauchen für umfassende Analysen möglichst viele Patienteninformationen, um Hinweise auf verbesserte Heilungsverfahren zu identifizieren. Mit den Analysemöglichkeiten von Big Data – ggf. unter Einbeziehung von KI – stehen heute Möglichkeiten zur Verfügung, die es so früher gar nicht gegeben hat. Die Voraussetzung dafür sind viele, sehr viele Daten – weniger unbedingt eine Zuordnungsmöglichkeit zu den Daten der Kranken selbst. Chronisch erkrankte oder besonders schwer erkrankte Patienten sind gemäß verschiedener Studien viel eher bereit, freiwillig ihre medizinischen Daten und Parameter inkl. Medikationen für Studienzwecke bereitzustellen – sie gehen davon aus, eindeutig mehr gewinnen zu können, als die Weitergabe persönlicher Daten ihnen schaden könnte.

Abbildung 1: Big Data im Gesundheitswesen – möglichst viele medizinische Daten im Zugriff (iStock )

Noch gibt es aber regulatorische Hürden und natürlich große Bedenken wegen der neuen Dimensionen der Risikobetrachtung. Dies gilt generell für alle elektronisch gespeicherten medizinischen Daten – etwa in Krankenhäusern oder bei Ärzten – aber in besonderem Maße bei den geplanten Digitalen Gesundheitsnetzwerken, zuallererst bei der eGK und der Telematik Infrastruktur, aber auch hinsichtlich verschiedener aktueller Lösungsangebote der Kassen.

Und genau hier gab es in den vergangenen Jahren spektakuläre Sicherheitsvorfälle, die leider immer auch die Kehrseite einer modernen und hoch integrierten Datenverarbeitung – insbes. im medizinischen Umfeld – aufzeigen und daran erinnern, dass Innovation und Fortschritt auch immer adäquate Lösungen zur Informationssicherheit beinhalten müssen. 

Nachfolgend seien lediglich einzelne Beispiele für Sicherheitsvorfälle der letzten Jahre aus dem Bereich des Gesundheitswesens aufgeführt, die sich jedoch nicht auf ein einzelnes Ziel – wie z.B. die Krankenakte von Michael Schumacher als Beispiel aus einer früheren Ausgabe unseres Security Journals – bezogen, sondern auf „große Mengen“ von medizinischen Daten bzw. Daten, die in Einrichtungen des Gesundheitswesens gespeichert sind.

Waren in früheren Jahren Kreditkarteninformationen im besonderen Fokus von Hackern, schielen Cyberkriminelle nun immer mehr auf Datensätze aus dem Gesundheitssektor, darunter insbesondere auf Patientendaten. Weltweit wurden allein 2015 rund 100 Millionen Patientendaten entwendet, um damit auf dem Internet-Schwarzmarkt einen guten Preis zu erzielen. Während Kreditkartennummern nach einem Diebstahl rasch gesperrt bzw. geändert werden können und dann weniger bis nichts mehr wert sind, haben elektronische Patientenakten eine „längere Haltbarkeit“ und können auch dauerhaft missbraucht werden. Allein in der Zeit von 2014 bis 2016 hat die Zahl gestohlener Daten im Gesundheitssektor um 1.166 Prozent zugenommen [1].

2015: Datendiebstahl beim zweitgrößten US-Krankenversicherer – 79 Millionen Datensätze betroffen

Hacker hatten sich Zugang zur Datenbank der Anthem-Krankenversicherung verschafft. Die Datenbank enthält Informationen von Mitarbeitern und Mitgliedern wie Namen, Geburtstage, E-Mail-Adressen, Mitglieder-IDs und Sozialversicherungsnummern.

Der Analyse zufolge waren 78,8 Millionen Menschen von dem Datendiebstahl betroffen [2]. 60 bis 70 Millionen davon dürften aktuelle oder frühere Anthem-Mitglieder sein. Der Rest – also bis zu 18,8 Millionen Menschen – sind Kunden anderer Krankenversicherungen, die in den letzten zehn Jahren an bestimmten Versicherungsprogrammen teilnahmen. Mit diesen Informationen kann ein Identitätsdieb falsche medizinische Leistungsanträge stellen und den Versicherten finanziell ruinieren. Es wurde berichtet, dass die Cyberversicherung in Höhe von 100 Mio Dollar nicht einmal ausreichte, um die betroffenen Versicherten oder ehemals Versicherten über den Vorfall zu informieren.

2016: 28 Krankenhäuser in Nordrhein-Westfalen meldeten Cyberangriffe

Sogenannte Trojaner legten die Computersysteme, unter anderem die Krankenhaus-informationssysteme (KIS) einiger Krankenhäuser in NRW lahm, darunter auch das des Lukaskrankenhauses in Neuss [3]. Die Ransomsoftware wurde offenbar über den E-Mail-Server eingeschleust und hat sich über weniger abgesicherte medizinische Geräte weiterverbreitet. Es war damals ein neuer Typ dieser Schadware, der zudem ständig seine Signatur änderte. Firewall und Antivirenprogramm blieben machtlos. Die Krankenhaus-IT fuhr zeitnah alle Systeme herunter und konnte glücklicherweise auf noch nicht kompromittierte Backup-Datenbestände zurückgreifen. Während der Wiederherstellzeit musste wieder „zu Papier und Bleistift“ gegriffen werden; ein Lösegeld wurde nicht gezahlt.

2017: WannaCry legt in England zahlreiche Krankenhäuser lahm

Im Mai 2017 hatte der WannaCry-Virus den nationalen Gesundheitsdienst NHS lahmgelegt [4]. Mindestens 6.900 Termine mussten abgesagt werden, der britische Rechnungshof geht gar von bis zu 19.500 ausgefallenen Terminen aus. Die nachträgliche Analyse ergab, dass die betroffenen Krankenhäuser der Ransomware-Attacke WannaCry hätten entgehen können, wenn „grundlegende Praktiken zur IT-Sicherheit“ beachtet worden wären und keine ungepatchten oder nicht mehr unterstützte Windows-Versionen eingesetzt worden wären oder zumindest die Firewalls richtig eingerichtet gewesen wären – eigentlich nichts wirklich Neues.

Wie sich erst später herausstellte, war dieser Vorfall kein gezielter Angriff auf das englische Gesundheitssystem oder auf einzelne Krankenhäuser. Die Ransomware hatte auch Rechner in Spanien befallen, sowie weltweit Zehntausende Computer von Unternehmen, Behörden und Verbrauchern blockiert. Es war eindeutig eine weltweite Attacke mit Meldungen über befallene Computer aus diversen europäischen Ländern, Russland und auch Asien. Nachfolgende Analysen führten zu erschreckenden Zahlen der weltweit betroffenen Systeme. So ermittelte Kaspersky Labs mehr als 45 000 Angriffe in 74 Ländern, Avast kam auf über 75.000 Fälle in 99 Ländern. Berichten zufolge war unter anderem das russische Innenministerium betroffen mit 1000 befallenen Rechnern.

2018: Hacker stehlen Daten von 3 Millionen Patienten der norwegischen Gesundheitsbehörde 

Unbekannte waren in das IT-System einer norwegischen Gesundheitsbehörde eingedrungen und hatten dabei Zugriff auf die Daten von drei Millionen Patienten. Durch den Hack bei der „South-Eastern Norway Regional Health Authority“ war mehr als die Hälfte der gesamten norwegischen Bevölkerung betroffen. Es habe offensichtlich auch ein Diebstahl von Daten stattgefunden, teilte das HealthCERT mit. Die norwegischen Behörden sind noch nicht sicher, wer mit welchem Ziel hinter dem Angriff stecken könnte. Die Mutmaßungen reichen von Wirtschaftsspionage etwa durch ein Unternehmen, das Produkte rund um Gesundheitsdaten anbietet, bis hin zu staatlicher Spionage durch einen ausländischen Geheimdienst – zumal die gestohlenen Daten auch Informationen über Politiker, Regierungsbeamte, Geheimdienstmitarbeiter und Militärs beinhalten.

2018: DDoS-Attacke auf die Website des elektronischen Gesundheitssystems in Lettland

Glimpflicher als in Norwegen lief offenbar ein Cyber-Angriff auf das lettische Gesundheitssystem ab, über den der lettische Rundfunk ebenfalls diese Woche berichtete [6]. Ein vom Rundfunk zitierter IT-Spezialist für Cyber-Abwehr gab an, es habe sich um eine relativ einfache Attacke des Typs Distributed Denial of Service (DDoS) gehandelt. Während das System gestört worden sei, seien aber keine internen Daten gefährdet gewesen. Die Servicespezialisten hätten das System heruntergefahren und nach einigen Stunden wieder in Betrieb genommen. Lettland hatte erst Anfang 2018 auf eine vollelektronische Verwaltung der Gesundheitsdaten umgestellt, was wegen Anfangsproblemen nicht überall in der Bevölkerung gut aufgenommen worden war; möglicherweise diente der Angriff der gezielten Diskreditierung des Systems an sich.

Wie sieht es in Deutschland aus mit der Digitalisierung im Gesundheitswesen?

Bevor auf die jüngsten Initiativen aus dem Gesundheitsministerium (nach der personellen Neubesetzung der letzten Bundestagswahl) und die effektiv bereits vorhandenen Lösungen eingegangen wird, soll noch einmal an den langen Weg des „Deutschen Ansatzes“ erinnert werden –die Darstellung mag den einen oder anderen Leser an die „Unendliche Geschichte eines Berliner Großflughafens“ erinnern.

Die unendliche Geschichte der eGK

Lang, sehr lang ist es her, dass zum ersten Mal von der eGK nebst damit verbundenen Zielsetzungen zu hören war. Einen wirklichen Vergleich mit anderen „öffentlichen Großprojekten“ im IT-Sektor gibt es zwar nicht, aber schon lange wird gemunkelt, dass die eGK bzw. das IT-Konzept dahinter und die zugehörige IT-Infrastruktur längst „tot“ ist – zu viel hat das Projekt an Geld (der Krankenkassen und damit der Versicherten!) verschlungen, zu viele negative Schlagzeilen gab es immer wieder und zu oft wurde – sogar ganz unabhängig von sicherheitstechnischen Kritikpunkten und Feldzügen der Datenschützer – die Praktikabilität im täglichen Einsatz in Zweifel gezogen. 

Für jüngere IT-Fachkräfte reicht die „unendliche Geschichte“ der eGK schon bis in deren Ausbildungszeiten zurück, erfahrene IT-Hasen können sich kaum noch erinnern – daher nachfolgende grobe Zusammenfassung der Chronologie. 

2001: Der Lipobay-Skandal gilt als auslösend für die elektronische Krankenakte. Die Untersuchung der schädlichen Nebenwirkungen des Präparates war schwer, da es zur Ermittlung von Wechselwirkungen kaum Aufzeichnungen dazu gab, welche anderen Medikamente die betroffenen Patienten einnahmen.

2003: Das damalige Bundesministerium für Gesundheit und Soziale Sicherung erstellt eine europaweite Ausschreibung, um herstellerneutral die optimalen Rahmenbedingungen und Voraussetzungen für die bundesweite Einführung der elektronischen Gesundheitskarte vorzubereiten. Das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung vom 14. November 2003 schrieb die Einführung der eGK zum 1. Januar 2006 in § 291a SGB V gesetzlich fest. 

2005: Die Betriebsorganisation gematik (Gesellschaft für Telematik Anwendungen der Gesundheitskarte mbH) wird von den Spitzenverbänden der Selbstverwaltung im Januar 2005 für die Einführung und künftige Weiterentwicklung der eGK gegründet.

2006: Die planmäßige Einführung der eGK scheiterte – die Zeitplanung war wohl wirklich zu ambitioniert; noch in 2006 wurden neue Testverfahren und die Festlegung von Testregionen (für eine Pilotierung) festgelegt.

2007: Der Deutsche Ärztetag – bis heute ein „Gegenpart“ zu den Krankenkassen – lehnte die eGK in der vorliegenden Form ab und verlangte eine größere Datensicherheit und eindeutige Aussagen über die Finanzierbarkeit. Zwischenzeitlich wurden experimentelle Studien zum Einsatz eines USB-Sticks anstelle einer Karte durchgeführt. Bis 2013 hat der Ärztetag seine ablehnende Haltung immer wieder betont und versucht, das Projekt „Elektronische Gesundheitskarte“ zu stoppen. 

2009: Allen Unkenrufen zum Trotz beginnt ein regional begrenzter Basis-Rollout in der Region Nordrhein-Westfalen – der Öffentlichkeit als „Startschuss für das größte IT-Projekt in der Geschichte der Bundesrepublik“ dargestellt. Tatsächlich ist die erkennbare Neuerung das Lichtbild des Versicherten und eine verbesserte Speicherkapazität der Karte, die aber auch nur die bisherigen Informationen aufnehmen darf: Name, Adresse, Krankenkasse und Versichertennummer. Für alle künftigen Verfahren, mit denen die eGK überhaupt erst einen funktionalen Mehrwert erlangen würde, gibt es noch nicht einmal eine annähernde Zeitplanung für deren Umsetzung.

Ab 2012 beginnt der flächendeckende Rollout der eGK; Oktober 2013 besaßen laut dem GKV-Spitzenverband 95 Prozent der Versicherten eine eGK.

2015: die eGK ist nun verpflichtend für alle gesetzlich Versicherten in Deutschland; ohne die neue eGK besteht kein Anspruch auf medizinische Leistungen. Parallel zur kompletten Einführung wurde der Austausch der Karten der ersten technischen Generation erforderlich, da diese ab Oktober 2017 nicht mehr mit den aktuellen Lesegeräten verarbeitet werden, die für den Online-Datenabgleich der Versichertenstammdaten (Projektname „VSD“) notwendig sind. Nach den damaligen Plänen gemäß dem eHealth-Gesetz sollte dieser Online-Abgleich in jeder Praxis bis zum 1. Juli 2018 möglich sein.

2017: Im Sommer 2017 verbreiteten sich Gerüchte, dass die eGK nach den Bundestageswahlen offiziell für gescheitert erklärt werden würde und der Ausstieg aus dem Projekt bevorstünde. Angesichts der bis dahin (geschätzt) mehr als 1,7 Milliarden Euro angefallenen Kosten und dem im Grunde zur alten Krankenkassenkarte nicht wesentlich erweiterten Nutzen erschien diese Einschätzung plausibel. Zu diesem Zeitpunkt waren ausgesprochen wenig zertifizierte Geräte (Leser, Router) am Markt verfügbar; die den Ärzten zugesagten Gutschriften als Anreiz für den frühzeitigen Erwerb solcher Geräte konnten kaum oder gar nicht in Anspruch genommen werden. Die Gerüchte rankten sich um die durchaus nicht seltene Konstellation, eine solche Entscheidung mit der absehbaren Auswechselung des zuständigen Bundesministers (Hermann Gröhe) quasi als strategische Neuorientierung zu verkaufen. 

Aus Sicht der Gegnerschaft der eGK gelang der IT-Industrie wohl „leider“ zum Ende 2017 doch noch der Durchbruch – der erste und zunächst monopolistisch einzige Konnektor kam immerhin im November 2017 auf den Markt. Ein zertifizierter Konnektor ist die technische Voraussetzung für die Kommunikation der ca. 200.000 Arzt- und Therapeutenpraxen, 2.000 Krankenhäusern und in 21.000 Apotheken mit der Telematik Infrastruktur. 

Nach und nach erfolgten weitere Zulassungen von Konnektoren anderer Hersteller und die gematik und das BGM (Bundesgesundheitsministerium) feierten dies bereits als endgültigen Durchbruch und hofften, bis zum 30. Juni 2018 ca. 200.000 Arztpraxen und Krankenhäuser an die medizinische Telematik-Infrastruktur anschließen zu können. Dieser Termin platzte; auch die neue Fristsetzung mit dem 31. Dezember 2018 ist reines Wunschdenken. Allerdings sind ab 1. Januar 2019 für Zahnärzte und Ärzte Abschläge beim Honorar vorgesehen (1% pro Quartal), wenn sie nicht an die TI angebunden sind; eine erneute Verlängerung ist offen.

Bis hierhin ist dies die Geschichte und Entwicklung der ursprünglichen Idee einer eGK. Der neue Gesundheitsminister Jens Spahn hat dieses Projektvorhaben zwar nicht „gekippt“, obwohl er durch sein Statement „er hänge nicht an der eGK“ für einige Unruhe gesorgt hat. Tatsächlich stellte er jedoch öffentlich die eGK als einziges oder bestgeeignetes Verfahren durchaus in Frage. Nach Besuchen bei europäischen Nachbarn und Informationsbeschaffung über dort eingeführte bzw. eingesetzte Verfahren und Systeme im Gesundheitssystem setzt Minister Spahn ganz klar auf das mobile Endgerät und eine moderne User Experience im Umgang und für den Zugriff auf medizinische Daten. Vorerst wird jedoch mit Hochdruck die Anbindung der Leistungserbringer an die TI vorangetrieben und parallel auch untersucht, welche Alternativen grundsätzlich möglich sind – oder sogar von innovativen Playern im Umfeld der Gesetzlichen Krankenkassen bereits ins Leben gerufen wurden.

Vielleicht, weil die großen Krankenkassen selber nicht mehr an den Erfolg der eGK mit der TI als Basisinfrastruktur für die digitale Vernetzung von Gesundheitsdaten glaubten – oder einfach nicht länger warten wollten, haben einige Protagonisten Eigeninitiative ergriffen und in wenigen Jahren respektable Lösungen aus dem Boden gestampft. Waren noch vor wenigen Jahren viele Bedenkenträger allein durch die Datenschutzproblematik motiviert, haben offenbar die Krankenkassen – und das scheint auch der amtierende Bundesgesundheitsminister so zu sehen – erkannt, dass immer mehr gesetzlich Krankenversicherte zu den sog. „Digital Natives“ zählen und schon heute, ganz sicher aber in Zukunft eine komplett andere Sichtweise auf den Nutzen digitaler Services haben.

Stehen die – im Folgenden kurz beschriebenen Lösungen einer „Digitalen Gesundheitsakte“ bzw. eines „Digitalen Gesundheitsnetzwerks“ – zunächst jeweils nur den Versicherten der jeweiligen Kasse bzw. des Kassenverbandes zur Verfügung, erklären alle Anbieter bereits heute, dass sie ihre Lösungen an die Telematik Infrastruktur anbinden werden (s.u.).

Minister Spahn macht Druck

Schon durch die erste öffentliche Kritik an der eGK und die eindeutige Positionierung von mobilen Endgeräten als „Schlüssel oder Erfolgsfaktor“ für digitale Gesundheitsnetzwerke hatte Minister Jens Spahn für Aufsehen und auch für Unruhe gesorgt. Nach mehr als 14 Jahren (s.o.) glückloser und teurer Projekte in diesem Bereich steht er für mehr Tempo bei der Digitalisierung im Gesundheitswesen. Er sieht dabei sein Ressort nicht isoliert – im Gegenteil fordert er sogar mehr: die Bürger sollten für verschiedene Anliegen (Steuererklärung, Passantrag und eben auch im Gesundheitswesen) nur noch eine Identität benötigen (siehe auch „eID-Strategie“ des IT-Planungsrats [7]).

Elektronische Patientenakte (ePA) bis 2021

Aus seinem Entwurf für das Terminservice- und Versorgungsgesetz (TSVG) [8] werden zwar in der Öffentlichkeit eher die Themen „erweiterte Sprechstundenangebote“ der niedergelassenen Ärzte und „schnellere Terminvergabe“ in den Praxen diskutiert, aber das Thema Digitalisierung ist ebenso ein wichtiger Bestandteil des Gesetzesentwurfs, der erst im Juli 2018 erarbeitet wurde, einen Monat später in die Anhörung eingebracht wurde und (möglichst) noch im September verabschiedet werden soll.

Hier heißt es u.a.:

– Krankenkassen müssen ihren Versicherten spätestens ab 2021 eine elektronische Patientenakte (ePA) zur Verfügung stellen und sie darüber informieren.

– Mobiler Zugriff auf medizinische Daten der ePA wird auch mittels Smartphone oder Tablet möglich.

– Die Einwilligung des Versicherten in die Nutzung der medizinischen Anwendungen -unter Beachtung des Datenschutzes- wird vereinfacht.

In 28 Monaten soll es also soweit sein: Spätestens zum 1. Januar 2021 sollen alle Krankenkassen ihren Versicherten elektronische Patientenakten anbieten müssen. Angesichts des bisherigen Projektverlaufs der eGK (s.o.) erscheint dieser Zeitplan weniger auf eine ePA der gematik, als auf die bereits vorliegenden bzw. im Moment pilotierten Lösungen der großen Krankenkassen zu bauen.

In der Tat finden bereits intensive Abstimmungen und Diskussionen zwischen den Beteiligten und dem Ministerium statt, wie das Ziel erreicht werden kann, z.B. Befund- und Verschreibungsdaten, Laborwerte, Röntgenbilder, Elektrokardiogramme oder die Medikation sicher zu speichern und geeignet allen Beteiligten, insbes. auch den Versicherten zur Verfügung stellen zu können. Heute liegen die medizinischen Daten dezentral in verschiedenen Praxisverwaltungssystemen der niedergelassenen Ärzte und in den Krankenhäusern. Wenn all diese Daten in einer elektronischen Akte zusammengeführt werden würden, könnten u.a. Doppeluntersuchungen oder unerwünschte Medikamentenwechselwirkungen vermieden werden. 

Aktuell befinden sich drei verschiedene Ansätze elektronischer Akten in der Erprobung bzw. bereits in der Pilotierung und Einführungsphase:

DiGen – das Digitale Gesundheitsnetzwerk der AOK [9]

Die Architektur basiert auf einem dezentralen Ansatz; es gibt hier keinen zentralen Server, auf dem alles zusammengeführt wird. Die Daten und Dokumente bleiben vielmehr dort, wo sie erzeugt werden, im Krankenhaus oder im Ärztenetz und werden auf einen Verzeichnisserver des Ärztenetzes gespiegelt, damit sie 24 Stunden am Tag zugänglich sind. Wird das Originaldokument in der Praxis-IT verändert, dann ändert sich auch das gespiegelte Dokument. Der Erzeuger der Daten behält also die volle Kontrolle.

Nach einmaliger Anmeldung in der Arztpraxis oder auch von zuhause aus kann der Versicherte per Webbrowser oder mit Hilfe einer mobilen App auf seine Daten zugreifen. Er braucht dazu Nutzername, Passwort und eine für jeden Zugriff neu generierte mTAN, ähnlich wie beim Online-Banking. Der Patient sieht dann alle Dokumente, die für die elektronische Patientenakte freigegeben wurden und kann sie sich auch herunterladen, wenn er das möchte. Zusätzlich speist die AOK weitere Daten ein, die ihr zur Verfügung stehen, etwa zu stationären Aufenthalten, zu verordneten Medikamenten oder zu Impfungen. All das wird in der mobilen App übersichtlich aufbereitet.

Abbildung 3: Gesundheitsnetzwerk der AOK (Bild: aok-gesundheitsnetzwerk.de)

Darüber hinaus können die Patienten eigene Dokumente wie ihren Organspendeausweis hochladen und auf Wunsch auch Messwerte aus Fitnesstrackern oder Wearables hinterlegen.

Technisch wird das Gesundheitsnetzwerk auf dem offenen Standard IHE (Integrating the Healthcare Enterprise) basieren. IHE ist eine international weit verbreitete technische Basis für die Vernetzung von Behandlungsinformationen zwischen Ärzten, Krankenhäusern und weiteren an der Behandlung Beteiligten und bildet somit auch die Basis für elektronische Patientenakten. Dieser Standard wird beispielsweise schon in der Schweiz, Österreich oder in den USA verwendet. 

Die digitale Patientenakte für Ärzte und Patienten ist seit Juli 2018 auch an mehreren Berliner Geburtskliniken in der Praxis angekommen. Mit den Partnern Vivantes und Sana geht die nächste Ausbaustufe in den Regelbetrieb. Aktuell sind im ersten Schritt vier Kliniken in der Hauptstadt an das Netzwerk angeschlossen worden, weitere sechs Kliniken und 13 Medizinische Versorgungszentren sollen folgen. Sie versorgen insgesamt 114.000 AOK-Versicherte pro Jahr, die künftig von der neuen Vernetzung profitieren können.

TK-Safe – Der Datentresor für Gesundheitsinformationen der Techniker Krankenkasse

Das TK-Modell TK Safe wurde von der Techniker Krankenkasse gemeinsam mit IBM entwickelt. Beteiligt sind auch Generali und Signal Iduna. Die Daten liegen auf Servern in Deutschland, es gelten europäische Datenschutzbestimmungen.

Mit TK-Safe können TK-Versicherte ihre Gesundheits- und Krankheitsdaten strukturiert und übersichtlich an einem Ort speichern und selbst managen. TK-Safe wird wie ein digitaler Datentresor beworben, auf den die Versicherten überall und jederzeit mit ihrem Smartphone über die TK-App zugreifen können. Der Zugang zur eGA (elektronische Gesundheitsakte) erfolgt ausschließlich über die TK-App. 

Abbildung 5: TK-Safe Übersicht (Bild: TK.de)

Diese ist mit einer sogenannten Zwei-Faktor-Authentifizierung gekoppelt. Ein Faktor ist die Registrierung des Smartphones mit einem persönlichen Freischaltcode. Der andere Faktor ist die Anmeldung in der App mit Benutzernamen und Passwort. Die eGA wird mit den jeweils technisch aktuellen Verschlüsselungsmethoden gesichert. Die Daten werden inhaltsverschlüsselt (End-to-End) auf Servern im Rechenzentrum von IBM in Frankfurt am Main gespeichert, die damit unter das deutsche Datenschutzrecht fallen. Angesichts der Ängste eines Datenmissbrauchs durch den Betreiber versichert die IBM, dass es keinerlei datengetriebenes Geschäftsmodell gibt.

Abbildung 4: TK-Safe MobileApp (Bild: TK.de)

Nur die Nutzer selbst können ihre Daten lesen, da nur sie den Schlüssel dazu besitzen. Weder die TK noch die IBM können die Daten einsehen.

Die Entschlüsselung der Daten erfolgt erst auf dem Smartphone. Ein neues Smartphone muss entsprechend immer neu registriert werden, damit sichergestellt ist, dass ausschließlich der Versicherte Zugriff hat. 

Das Vivy-Modell – Eine Lösung für gesetzlich und privat Versicherte [11]

Bei Vivy steht ebenso eine MobileApp im Vordergrund, die u.a. von einem Ex-Manager der Digitalbank N26 entwickelt wurde. Hauptgesellschafterin ist die Allianz. Beteiligt sind die DAK sowie 90 weitere Krankenkassen und private Versicherer. Vivy wird von einem – erst 2017 gegründeten – Berliner Startup vertrieben, soll noch im August 2018 an den Start gehen und noch in diesem Jahr 25 Millionen Krankenversicherten in Deutschland zur Verfügung stehen. Vivy wird gleich zum Auftakt von 90 gesetzlichen und 4 privaten Krankenkassen unterstützt, die die App ihren Versicherten empfehlen wollen. Darunter sind neben der Allianz, die 70 Prozent der Anschubfinanzierung übernimmt, auch andere große Player wie die IKK, DAK und Gothaer. Vivy wird auch als Partnerlösung von der BITMARCK, dem IT Dienstleister von mehr als 90 Krankenkassen unterstützt. 

Neben dem – weitgehend vergleichbaren Ansatz zur Verfügbarmachung von medizinischen Daten über die MobileApp des Versicherten – fokussiert Vivy eindeutig auf die „digitale User Experience“ IT- und Social-Media affiner Versicherter. Als persönliche Gesundheitsassistentin vereint Vivy viele interaktive Funktionen wie den digitalen Impfpass, einen persönlichen Medikationsplan mit Erinnerungsfunktionen, sowie wichtige Notfalldaten. Ein integrierter Gesundheits-Check vermittelt zusätzlich ein holistisches Bild der individuellen Gesundheit – für sich selbst und die genauere Abstimmung mit behandelnden Ärzten.

Die Informationen der elektronischen Gesundheitsakte stehen auch den Leistungserbringern wie Ärzten oder anderen Vertretern von Heilberufen durch eine Anbindung an Arzt- und Krankenhaus-Software zur Verfügung. Ärzte können z.B. Untersuchungsdaten sehr einfach in der Vivy-App ihrer Patientendurch Web-Upload aus ihrer Praxissoftware heraus bereitstellen oder auch per Fax an Vivy senden. Die Vivy-App ist als „sichere Mobile Applikation“ vom TÜV Rheinland geprüft. Die Kooperation zwischen den verschiedenen privaten und gesetzlichen Krankenversicherungen gewährleistet, dass Ärzte und Therapeuten nicht Dutzende Lösungen kennen müssen. Vivy setzt auf mehrstufige Sicherheitsprozesse und eine asymmetrische Ende-zu-Ende-Verschlüsselung bei der Datenübertragung, die es nur dem Nutzer erlaubt, Daten einzusehen. Die Versicherten bestimmen, welche Informationen in ihre Gesundheitsakte gelangen und sie entscheiden, ob und in welchem Umfang sie diese Informationen mit Ärzten, anderen Leistungsanbietern oder weiteren Partnern teilen. Gehostet wird die digitale Akte ausschließlich auf Servern in einem Deutschen Rechenzentrun, dass nach ISO 27001 und ISO 9001 zertifiziertet ist und für das die europäischen Datenschutzbestimmungen gelten. 

Vivy – MobileApp (Bild: vivy.com)

Wie geht es weiter mit der eGK und der Telematikinfrastruktur? 

Mit den drei kurz vorgestellten Lösungen stehen im deutschen Gesundheitswesen – ganz ohne die gematik und in relativ kurzer Zeit – gleich mehrere Ansätze für eine elektronische Gesundheitsakte (eGA) zur Verfügung. Eine gute Basis für die ehrgeizige Zielsetzung eine eGA bis 2021 verbindlich einzuführen, zumal alle o.g. Player bzw. Anbieter von Lösungen erklärt haben, auch mit der Telematikinfrastruktur der gematik kommunizieren zu wollen bzw. eine Anbindung herstellen zu können. Die gematik wird die Spezifikation für die nach §291a SGB V bis 2021 anzubietende elektronische Gesundheitsakte (eGA) erst noch erstellen müssen. Eine direkte Übernahme einer der jetzt von den Kassen selbst entwickelten „mobilen Gesundheitsakten“ wird einerseits einen erhöhten Scope der Daten und Datenzugänge (von den Leistungserbringern), andererseits aber einen klaren Prüf- und Zertifizierungsprozess erfordern. Diesen Zulassungsvoraussetzungen werden sich auch die Krankenkassen stellen müssen.

Wenn man die mit den 3 aktuellen Lösungen erreichbaren Versicherten zusammenfasst, dann sind die Zahlen durchaus beeindruckend:

– Das AOK-Gesundheitsnetzwerk adressiert 25 Millionen Versicherte 

TK-Safe ist ein eGA-Angebot für 10 Millionen Versicherte der Techniker Krankenkasse

Vivy ist ebenfalls eine eGA-Option für weitere 25 Millionen Versicherte

Die Angebote der Kassen haben eindeutig den Fokus auf „Usability“ und zielen auf die Benutzergruppe der Versicherten, die gern und viel mit dem Smartphone erledigen. Sie erlauben einen selbstbestimmten Umgang mit den eigenen Gesundheitsdaten – was bereits eine der Grundanforderungen auch aus Datenschutzaspekten abdeckt. Sicherheitskonzepte bzw. –überprüfungen wurden zwar von allen Anbietern durchgeführt, sind jedoch nicht mit den sehr strengen Verfahren der gematik zu vergleichen und decken auch nicht die letztlich angestrebte weitreichende und sichere Vernetzung aller Beteiligten im Gesundheitswesen ab.

Dass die gematik in überschaubarer Zeit mit einer eigenen Lösung eine wirklich attraktive Alternative „aus dem Hut zaubern“ könnte, dürfte sehr unwahrscheinlich sein. Wenn es nicht gelingen sollte, die gematik mit den Anbietern bereits vorhandener Lösungen zusammenzubringen, würde die gematik real existierende eGA-Lösungen der Kassen für ca. 60 Millionen Versicherte ignorieren – und damit wohl endgültig ihre Daseinsberechtigung verloren haben.

Es bleibt abzuwarten, ob die von den Kassen selbst entwickelten und bereits in Betrieb genommenen Lösungen auf Dauer isoliert voneinander betrieben werden können. Konkurrenz ist immer gut und belebt  – hier nicht das primär Geschäft, aber – die Innovationsfreudigkeit, ohne die wir heute keine vergleichbaren Lösungen am Markt hätten.

Es ist anzunehmen, dass die o.g. Kassen zunächst einmal bereits das Ziel erreicht haben, die gesetzlichen Vorgaben zum Angebot einer eGA an ihre Versicherten zu erfüllen. Da die seitens der Versicherten und der den Kassen zugänglichen medizinischen Daten nur einen Teil dessen ausmachen, was mit bzw. in der Telematikinfrastruktur einmal gespeichert werden soll, ist weiterhin anzunehmen, dass die Lösungen der Kassen als nächstes eine Implementierung der KV-Connect-Schnittstelle (für Mobilgeräte [12]) der gematik vornehmen und diese zertifizieren lassen werden, um auch die jüngsten Prozesse, wie den elektronischen Arztbrief, Ende-zu-Ende verschlüsselt mit Medikationsplan, Impfpass, Arbeitsunfähigkeitsbescheinigung o.ä. als Anhang selbst verarbeiten zu können. Die Anbindung an die Telematikinfrastruktur wird von allen Playern zugesagt, hier passt jedoch das dezentrale Ablagesystem der AOK-Lösung nicht zu der zentralen TI. Es bleibt spannend, aber es ist zu hoffen, dass die nächsten Entwicklungsschritte zur Digitalisierung im deutschen Gesundheitswesen nicht weitere 14 Jahre dauern werden.

Autor: Wilfrid Kettler, GAI NetConsult GmbH

Quellennachweise:

[1] Security Insider: „Die Patientenakte als digitales Diebesgut“

[2] ZD-Net: Datendiebstahl bei Anthem

[3] ÄrzteZeitung: Hackerangriff auf Lukaskrankenhaus

[4] Heise: Hackerangriff auf den Englischen Nationale Gesundheitsdienst – und mehr…

[5] NZZ Digital: Hacker-Attacke auf Norwegens Gesundheitssystem

[6] Heise: Internet-Attacke gegen Lettlands elektronisches Gesundheitssystem

[7] eID-Strategie des IT-Planungsrats

[8] „Gesetz für schnellere Termine und bessere Versorgung“ (Terminservice- und Versorgungsgesetz)

[9] Das Digitale Gesundheitsnetzwerk der AOK

[10] TK-Safe – die elektronische Gesundheitsakte der Techniker Krankenkasse

[11] Vivy – Die Digitale Gesundheitsakte für private und gesetzlich Versicherte

[12] KV-Connect Schnittstelle für Mobilgeräte

Autor: Wilfrid Kettler