SCHLESWIG-HOLSTEINISCHER LANDTAG Drucksache 18/1634 18. Wahlperiode 12.03.2014 Kleine Anfrage des Abgeordneten Dr. Patrick Breyer (PIRATEN) und Antwort der Landesregierung - Ministerium für Soziales, Gesundheit, Familie und Gleichstellung Einführung der elektronischen Gesundheitskarte (eGK) Vorbemerkung des Fragestellers: Einem Gutachten der kassenärztlichen Bundesvereinigung zufolge seien die Krankenkassen verpflichtet, die Fotos der jeweiligen Inhaberinnen und Inhaber der Karten mit der Identität der/des jeweiligen Versicherten und den zukünftig darauf gespeicherten Sozialdaten abzugleichen. Vorbemerkung der Landesregierung: Bei dem kürzlich in verschiedenen Medien zitierten Dokument handelt es sich nach Kenntnis der Landesregierung nicht um ein Gutachten oder eine Studie der Kassenärztlichen Bundesvereinigung (KBV), sondern um einen internen Vermerk der Rechtsabteilung der KBV vom 30.07.2013 zum Thema „Die elektronische Gesundheitskarte als Identitätsnachweis“. 1. Ist der Landesregierung das Gutachten der Bundeskassenärztlichen Vereinigung bekannt? Wenn ja, welche Schlüsse zieht sie daraus? Wenn nein, wird sie sich das Gutachten beschaffen und wann ist mit einer Bewertung zu rechnen ? Ist der Landesregierung bekannt, ob und wann das Gutachten der Öffentlichkeit zur Verfügung steht? Bitte gegebenenfalls angeben, wo das Gutachten zur Verfügung steht. Antwort: Der interne Vermerk (siehe Vorbemerkung) wurde von Seiten der KBV dem Bundesgesundheitsministerium (BMG) am 05.02.2014 übersandt und im Rahmen der Berichterstattung des BMG gegenüber dem Ausschuss für Ge- Drucksache 18/1634 Schleswig-Holsteinischer Landtag - 18. Wahlperiode 2 sundheit des Deutschen Bundestages (zu TOP 2f der TO am 12.02.2014) bekannt gegeben. Bis dahin war dieser interne Vermerk der KBV der Landesregierung nicht bekannt. Ob von Seiten der KBV eine anderweitige Veröffentlichung interner Vermerke erfolgt oder erfolgt ist, ist der Landesregierung nicht bekannt. In dem internen Vermerk der Rechtsabteilung der KBV wird ausgeführt, dass die elektronische Gesundheitskarte (eGK) ein Ausweis- und Identifikationsdokument wie der Pass oder der Personalausweis sei und dass deshalb die Identität des Inhabers der elektronischen Gesundheitskarte bei deren Ausstellung bzw. bei der Übersendung des Lichtbildes gegenüber der ausstellenden Krankenkasse nachgewiesen werden müsse. Begründet wird die Aussage im Wesentlichen mit einer vergleichenden Wortlautbetrachtung der einschlägigen Regelungen des SGB V (§ 291 Abs. 2), des Passgesetzes (§ 4 Abs. 1) und des Personalausweisgesetzes (§ 5 Abs. 2 PAuswG), wonach die elektronische Gesundheitskarte, der Pass und der Personalausweis „ein Lichtbild zu enthalten haben“. Der von der Rechtsabteilung der KBV geschlossene Rückschluss wird von der Landesregierung nicht geteilt. Die Landesregierung vertritt mit dem BMG die Rechtsauffassung, dass in dem Vermerk beispielsweise nicht berücksichtigt wird, dass das SGB V bezüglich des Lichtbildes Ausnahmen zulässt (siehe § 291 Abs. 1 Satz 1, letzter Halbsatz SGB V). Entsprechende Ausnahmeregelungen enthalten das Passgesetz bzw. das Personalausweisgesetz gerade nicht. Ebenfalls wird nicht berücksichtigt, dass das Passgesetz bzw. das Personalausweisgesetz – im Unterschied zum SGB V – das persönliche Erscheinen des Antragstellers explizit regelt. Wesentliches Merkmal von Identitätsdokumenten ist darüber hinaus, dass diese von staatlichen Stellen und nicht von privaten Unternehmen oder Körperschaften des öffentlichen Rechts, wie z.B. Krankenkassen, herausgegeben werden. Die elektronische Gesundheitskarte ist deshalb mit einem Ausweisdokument, wie Pass oder Personalausweis nicht vergleichbar. Die gesetzliche Regelung zum Aufbringen eines Lichtbildes auf die Krankenversicherungskarte bzw. Gesundheitskarte wurde eingeführt, um die missbräuchliche Verwendung der Karten zu reduzieren. Die richtige Zuordnung der Daten der Gesundheitskarte zum Karteninhaber muss gewährleistet sein. Das gilt auch für das Lichtbild. Wie vom BMG mitgeteilt, sehen die von den Krankenkassen praktizierten Verfahren Prüfschritte vor, um zu verhindern , dass falsche Lichtbilder übermittelt werden (z.B. durch die Übermittlung personalisierter Vordrucke mit Rückantwortkarte, individueller Antragsnummer und Barcode). Darüber hinaus sieht der Bundesmantelvertrag-Ärzte nach § 19 i.V.m. der Anlage 4a, Anhang 1, vor, dass der Arzt verpflichtet ist, die Identität des Karteninhabers auch an Hand des Bildes zu prüfen (siehe darüber hinaus auch unter http://www.kbv.de/media/sp/04a_elektr._Gesundheitskarte.pdf). 2. Der Landesregierung obliegt die Rechtsaufsicht für die BKK SchleswigHolstein . Geht sie den Vorwürfen aus dem Gutachten für diese Krankenkasse nach? Wenn ja, wann ist mit einem Ergebnis zu rechnen? Schleswig-Holsteinischer Landtag - 18. Wahlperiode Drucksache 18/1634 3 Wenn nein, warum nicht und wer übernimmt dann gegebenenfalls die Überprüfung der Vorwürfe? Antwort: Die Landesregierung sieht keinen Grund zum Anlass, aufgrund eines internen Vermerkes einer Rechtsabteilung im Rahmen der Rechtsaufsicht die ihnen unterstehenden Krankenkassen zu überprüfen. Die Landesregierung vertritt mit dem BMG die Auffassung, dass keine Anhaltspunkte für ein rechtswidriges Verfahren bei der Ausstellung der elektronischen Gesundheitskarte sprechen. Darüber hinaus wird auf die Antwort zu Frage 1 verwiesen. 3. Welche Position gibt es nach Kenntnis der Landesregierung seitens des Landesdatenschutzbeauftragten zur Einführung der eGK und bezüglich der Vorwürfe aus dem aktuellen Gutachten und wie verhält sich die Landesregierung dazu? Inwiefern wurde § 6c des Bundesdatenschutzgesetzes eingehalten, beziehungsweise nicht eingehalten? Antwort: Eine Position des Landesdatenschutzbeauftragten zu dem internen Vermerk der Rechtsabteilung der KBV vom 30.07.2013 ist nicht bekannt. Ein Verstoß gegen § 6c Bundesdatenschutzgesetz ist nicht ersichtlich. Eine Unterrichtung der Versicherten erfolgt über die ausgebenden Krankenkassen. Darüber hinaus werden die Versicherten über Funktionsweise, den Umfang der gespeicherten Daten, Datenschutz etc. bereits seit geraumer Zeit über verschiedene Wege und nicht nur über die kartenausgebenden Krankenkassen informiert (z.B. https://www.kbv.de/telematik/5544.html; http://www.bmg.bund.de/krankenversicherung/elektronische-gesundheitskarte.html; http://www.gematik.de/cms/de/egk_2/egk_3/egk_2.jsp; http://www.vdek.com/content/dam/vdeksite/vdek/globale_dokumente/FAQ/FAQ_elektronische _Gesundheitskarte_eGK_20131105.pdf; http://www.gkvspitzenverband .de/krankenversicherung/telematik_und_datenaustausch/egk/egk.jsp). 4. Der Chaos Computer Club kam schon vor einigen Jahren zu dem Ergebnis, dass die Einführung der eGK aufgrund der hohen Kosten keine Einsparungen bringt. Lohnt sich vor diesem Hintergrund die Einführung der eGK nach Ansicht der Landesregierung? Antwort: Die Landesregierung nimmt keine Stellung zu ihr nicht vorliegenden Stellungnahmen von Organisationen, die in das Verfahren zur Einführung der elektronischen Gesundheitskarte nicht involviert sind. 5. Es ist bis heute nicht gesetzlich vorgeschrieben, wie das Foto, das für die eGK verwendet wird, ausgestaltet sein muss. Ist der Landesregierung bekannt, ob und wann Änderungen geplant sind? Drucksache 18/1634 Schleswig-Holsteinischer Landtag - 18. Wahlperiode 4 Antwort: Der Landesregierung sind keine Pläne des Bundes bekannt, die Anforderungen an die Qualität der bereitzustellenden Bilddaten zu verändern. 6. Ist vorgesehen, die bei den Einwohnermeldeämtern bereits digital vorliegenden Fotos der Bürgerinnen und Bürger zu nutzen? Antwort: Das Lichtbild des Personalausweises unterliegt der ausdrücklichen Zweckbindung nach §§ 14 ff. PAuswG. Die Krankenkassen zählen nicht zum Nutzerkreis . Der Landesregierung sind keine Pläne des Bundes bekannt, hierbei eine Änderung vorzunehmen. 7. Wie ist die Kostenübernahme zur Erstellung der Fotos für die Empfänger staatlicher Transferleistungen geregelt? Antwort: Die Versicherten erhalten die elektronische Gesundheitskarte grundsätzlich kostenlos. Das Lichtbild ist vom Versicherten zur Verfügung zu stellen. Es können damit Kosten für die Bereitstellung eines Lichtbildes entstehen, die der einzelne Versicherte jeweils zu tragen hat. Darüber hinaus wird von einzelnen Krankenkassen den Versicherten die Möglichkeit angeboten, ein Lichtbild in den jeweiligen Geschäftsstellen fertigen zu lassen. 8. Durch Edward Snowden wurde bekannt, dass Geheimdienste in weitreichendem Ausmaß auf elektronische Infrastruktur von Privatmenschen, Behörden und Unternehmen zugreifen können. a) Welche Vorsichtsmaßnahmen wurden im Zusammenhang mit der Einführung der eGK getroffen um derartiges Abgreifen sensibler Gesundheitsdaten zu verhindern? b) Wird Hardware genutzt, die im Verdacht steht, Hintertüren zu enthalten? c) Werden IT-Sicherheitsdienste und Software ohne offenen Quellcode aus den USA genutzt, die Gesetzen unterliegen, wonach ohne Wissen der deutschen Auftraggeber Zugriff für US-Geheimdienste gewährt werden muss? Antwort: Die elektronische Gesundheitskarte wird seit dem 01.10.2011 von den gesetzlichen Krankenkassen an ihre Versicherten ausgegeben. Derzeit hat die elektronische Gesundheitskarte lediglich die Funktion der bisherigen Krankenversicherungskarte (ergänzt durch das Foto des Versicherten). Im Gegensatz zur bisherigen Krankenversicherungskarte enthält die elektronische Gesundheitskarte aber einen Mikroprozessor, der es ermöglicht, medizinische Informationen zu verschlüsseln und damit für Dritte unlesbar zu machen. Damit werden – im Gegensatz zu bisherigen Krankenversicherungskarte – sensible Gesundheitsinformationen gegen unberechtigten Zugriff geschützt gespeichert. Schleswig-Holsteinischer Landtag - 18. Wahlperiode Drucksache 18/1634 5 Darüber hinaus ist die elektronische Gesundheitskarte für die zukünftige Speicherung von medizinischen Anwendungen vorbereitet. Diese können – wenn der Versicherte es wünscht – ohne Austausch der Karten nach und nach aufgebracht werden. Voraussetzung ist, dass die neuen Anwendungen die Tests erfolgreich durchlaufen und die strengen Sicherheitsregeln einhalten. So sind z.B. später neben Notfalldaten, Patientenverfügungen und Organspenderklärungen auch eine Arzneimitteldokumentation, eine Impfdokumentation oder eine elektronische Patientenakte mit der elektronischen Gesundheitskarte als Schlüsselfunktion möglich. Der Datenschutz ist durch gesetzliche (§ 291 a Abs. 4 Nr. 1, 2 SGB V) und technische Maßnahmen gewährleistet. Nur, wenn der Arzt seinen elektronischen Heilberufsausweis und der Patient seine elektronische Gesundheitskarte in das Kartenterminal einschieben, können die verschlüsselten medizinischen Daten gelesen werden (Zwei-Schlüssel-Prinzip). Zusätzlich muss der Patient diesen Zugriff durch die Eingabe seiner PIN erlauben (versichertenindividuelle Verschlüsselung). Diese „Ende-zu-Ende-Verschlüsselung“ entspricht den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik . Der Versicherte bestimmt durch das Einstecken seiner Karte ins Kartenterminal und die Eingabe seiner PIN, wer die Daten einsehen darf. Eine Ausnahme bildet der Zugriff auf die Daten des Notfalldatensatzes, der naturgemäß ohne PIN möglich sein muss. Nur Ärzte, die über den zweiten Schlüssel, den Heilberufsausweis , verfügen, können auf die Daten zugreifen (siehe auch unter https://www.gematik.de/cms/de/egk_2/egk_3/egk_2.jsp sowie http://www.bmg.bund.de/krankenversicherung/elektronische-gesundheitskarte/allgemeineinformationen -egk.html). Das Bundesinstitut für Sicherheit in der Informationstechnologie geht derzeit von einer sicheren Nutzung der aktuellen eGK bis mindestens 2018 aus (siehe auch unter https://www.gkvspitzenver - band.de/krankenversicherung/telematik_und_datenaustausch/datenschutz_und_datensicherh eit/datenschutz_und_datensicherheit_1.jsp). Nur von der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) zugelassene eGKs dürfen für den Einsatz in der Telematikinfrastruktur produziert, herausgegeben und eingesetzt werden. Für die ITSicherheitsevaluierung und -zertifizierung gelten die Schutzprofile sowie die aufgeführten technischen Richtlinien des BSI als Grundlage (siehe https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03116/index_htm.html; https://www.bsi.bund.de/cln_174/DE/Themen/ZertifizierungundAnerkennung/Zertifizierungnac hCCundITSEC/SchutzprofileProtectionProfiles/schutzprofileprotectionprofiles_node.html). Eine Gesamtliste aller Zulassungen für den Wirkbetrieb kann abgerufen werden unter: https://www.gematik.de/cms/de/zulassung/bersichtzulassungen/zulassungsbersicht.jsp.; https://www.gematik.de/cms/de/zulassung/bersichtzulassungen/kartenterminalzulassungenba sisrollout/zulassungenbasisrollout.jsp