Prof. Dr. Klaus Pommerening
Institut für Medizinische Statistik und Dokumentation
der Johannes-Gutenberg-Universität
55101 Mainz
Workshop »Telemedizin - Datensicherheit und Datenschutz«
Deutscher Bundestag,
Enquete-Kommission
Zukunft der Medien in Wirtschaft und Gesellschaft
- Deutschlands Weg in die Informationsgesellschaft
Bonn, 24. November 1997
Durch Informationsverarbeitung und Vernetzung soll das Gesundheitswesen neue Impulse erhalten. Die Betreuungsprozesse sollen durch informationslogistische Begleitung effizienter und straffer werden. Die integrierte Versorgung (`shared care') führt zu zunehmender Arbeitsteilung und Verzahnung des medizinischen Bereichs und somit zu erhöhtem Kommunikations- und Kooperationsbedarf, der durch Förderung der Telemedizin befriedigt werden soll. Unter Telemedizin subsumiere ich alle IT-Anwendungen im Gesundheitswesen, die über öffentliche oder Fernverkehrsnetze abgewickelt werden. Im einzelnen handelt es sich um die Anwendungsbereiche Information, Kommunikation, Kooperation, Telearbeit und Fernwartung.
a) Die im Internet angebotene Information nimmt quantitativ und in Teilen auch qualitativ zu. Das betrifft sowohl Information für Fachleute, wie z. B. die AWMF-Therapie-Leitlinien, als auch die Patienteninformierung. Dieser Trend wird langsam, aber stetig zu einem Rückgang von Druckerzeugnissen führen, die bezüglich ihrer Aktualität und Verfügbarkeit nicht mithalten können. Wesentlich ist hier neben der Ausweitung des Angebots die Sicherstellung der Qualität der angebotenen Informationen.
b) Den größten Nutzen der Vernetzung darf man sich durch die erleichterte Kommunikation versprechen. Die Datenflüsse zwischen den Institutionen des Gesundheitswesens, wie Krankenhäusern, Krankenkassen, Registern und niedergelassenen Ärzten, werden in den nächsten 5 Jahren immer breiter werden. Hierzu gehören Leistungsanforderungen und Befundrückmeldung zwischen Arzt und Labor, Arztbrief bei der Entlassung aus dem Krankenhaus, die Abrechung mit den Krankenkassen, die Meldung von Fällen an Register oder Studienzentralen zur Nachsorge und wissenschaftlichen Auswertung und vielleicht auch das elektronische Rezept. Die Geschwindigkeit der elektronischen Kommunikation sorgt dafür, daß Daten und Informationen ohne Zeitverzögerung zur rechten Zeit am rechten Ort verfügbar sind. Besondere Arbeitserleichterung kann man sich durch weitgehende Automation dieser Datenflüsse erhoffen.
c) In der Bedeutung zurück tritt dagegen die Kooperation, das zeitlich synchronisierte Zusammenwirken von Ärzten, die zur Zeit allerdings gerade als die eigentliche Anwendung der Telemedizin propagiert wird. Durchaus nützlich ist die Fernkonsultation als qualitativ erweiterte Kommunikation, auch wenn sie nach wie vor in der Regel sinnvollerweise am Telefon abgewickelt wird. In manchen Fällen spielt allerdings auch die Bildübertragung zur Befundung eine Rolle, sie wird aber wohl eher selten benötigt werden. Spektakuläre Aktionen wie Teleoperationen werden in der Praxis vereinzelte Ausnahmen bleiben.
d) Eine unbedeutende Rolle sehe ich auch für die Telearbeit im Bereich der Medizin. Die wesentliche Aufgabe des Gesundheitswesens, die Betreuung und Heilung des Patienten durch Arzt und Pflegepersonal, kann nur im direkten persönlichen Kontakt erfüllt werden. Telearbeit wäre im Bereich der Krankenhausverwaltung und der medizinischen Forschung denkbar, sollte aber wegen der besonderen datenschutzrechtlichen Sensibilität der Patientendaten nicht angestrebt werden, soweit die zu verarbeitenden Daten personenbezogen sind. Selbst wenn Zugriff und Übertragung gesichert wären, würden die Daten einer ungesicherten, nicht kontrollierten Umgebung ausgesetzt.
e) Fernwartung wird zwar üblicherweise nicht direkt der Telemedizin zugerechnet, spielt aber im Zusammenhang mit der Vernetzung des Gesundheitswesens eine zunehmende Rolle und muß unter Sicherheitsaspekten besonders sorgfältig behandelt werden, zumal Hersteller von Krankenhaus- und Praxis-IT-Systemen aus Kostengründen zunehmend auf Fernwartungszugänge drängen. Auf keinen Fall sollte auf diesem Weg ein Zugriff auf Patientendaten ermöglicht werden, etwa bei der Wartung eines Datenbank-Systems.
Die informationelle Vernetzung des Gesundheitswesens stellt besondere Anforderungen an die Datensicherheit. Datensicherheit besteht grundsätzlich aus den Komponenten Verfügbarkeit, Integrität, Verbindlichkeit, Vertraulichkeit.
a) Die Verfügbarkeit betrifft im Rahmen der Telemedizin vor allem die Stabilität und Ausfallsicherheit der Netze und der Serversysteme. Ohne Verfügbarkeit dieser Ressourcen rund um die Uhr ist der weitere Ausbau der Telemedizin nicht denkbar, insbesondere im Bereich der Kooperation. Patientendaten dürfen dagegen nur dort verfügbar sein, wo sie zur Behandlung des Patienten benötigt werden.
b) Integrität bedeutet Echtheit (Authentizität), Zuverlässigkeit und Fälschungssicherheit von Daten und Informationen, aber auch Fälschungssicherheit von Identitäten (Personen und Maschinen) bei der Kommunikation. Die Echtheit einer Personenidentität ist auch Grundlage für den Schutz des Zugangs zu vertraulichen Daten. Selbstverständlich müssen medizinische Daten vor Verfälschung geschützt werden.
c) Zur Verbindlichkeit gehören die Aspekte Nichtabstreitbarkeit, etwa von therapeutischen Maßnahmen, Beweissicherheit, etwa von archivierten Krankenakten, Verantwortlichkeit, etwa für Therapie-Empfehlungen.
d) Die Vertraulichkeit im Rahmen der Medizin soll die ärztliche Schweigepflicht und die Datenschutzanforderungen gewährleisten. Sie ist eine wesentliche Anforderung bei Kommunikation und Kooperation in der Telemedizin. Jeder Beteiligte an einem medizinischen Betreuungsprozeß soll nur die Daten sehen dürfen und können, die er im Interesse des Patienten sehen muß. Unbedingt verhindert werden muß, daß vertrauliche Daten bei der Übermittlung im Netz abgehört werden können, wie es heute in der Regel leicht möglich ist. Als Ausprägung der Vertraulichkeit kann auch die Anonymität gelten: Sie bedeutet die Vertraulichkeit einer Personenidentität. So würde die Krankenkassenabrechnung mit Hilfe von Pseudonymen verhindern, daß sich bei den Kassen umfangreiche Sammlungen personenbezogener Daten anhäufen.
Mit großer Sorge beobachte ich zur Zeit die mangelnde Sicherheit in Standard-Software, wie Betriebssystemen und Textverarbeitung, die sich insbesondere bei einem Internet-Anschluß fatal auswirken kann. Das unkontrollierte Laden und eventuell unbemerkte Ausführen von Programmcode beim Surfen im World Wide Web ist durch die Entwicklung der letzten Monate kaum noch zu unterbinden. Selbst mit scheinbar harmlosen Textdokumenten kann man sich inzwischen Schadprogramme, etwa Viren, einfangen. Mit solchen Werkzeugen kann ein einzelner argloser Benutzer sogar den sorgfältig aufgebauten, durch Firewall-Technik geschützten, sicheren Internet-Anschluß eines Krankenhauses untertunneln. Hier hat sich besonders der weltweite Marktführer im Bereich Software durch mangelndes Sicherheitsbewußtsein ausgezeichnet.
Die grundlegende Sicherheitstechnik in Netzen und offenen Systemen ist die Kryptographie. Sie sichert durch Verschlüsselung die Vertraulichkeit von Daten bei Speicherung und Übertragung. Sie ist aber auch Voraussetzung der elektronischen Unterschrift (digitalen Signatur), die für Integrität und Verbindlichkeit sorgt. Auf ihr wiederum beruht auch die sichere Identifikation von Kommunikationspartnern und Systembenutzern. Für alle diese Sicherheitsfunktionen sind starke kryptographische Verfahren nötig. Vorschläge, solche Verfahren nur zuzulassen, wenn die Schlüssel oder Teile davon bei externen Stellen hinterlegt werden, sind mit der ärztlichen Schweigepflicht nicht vereinbar und führen zur Unzulässigkeit und zur Nichtakzeptanz telemedizinischer Techniken. Datensicherheit in der Telemedizin ist nur mit starken kryptographischen Verfahren möglich.
Um kryptographische Techniken für IT-Systembenutzer sinnvoll nutzbar zu machen, sind elektronische Identitätsausweise in Form von Chipkarten notwendig. Von besonderem Interesse und mit voraussichtlich sehr breiter Wirkung ist das HPC-Projekt (»Health Professional Card«). Es zielt darauf ab, für Ärzte und andere Berufsgruppen im Gesundheitswesen eine Chipkarte als Berufsausweis einzuführen, der gleichzeitig die erwähnten Funktionen für die IT-Sicherheit bietet: sichere Identifikation, elektronische Unterschrift und die dazu nötigen kryptographischen Verfahren und Schlüssel. Die praktische Erprobung hat im Magdeburger Tumorregister bereits begonnen. Ein Beschluß der Bundesärztekammer vom Frühjahr 1997 zielt auf die breite Einführung dieses elektronischen Berufsausweises bis 1999. IT-Systeme und telemedizinische Projekte sollten heute schon für die Integration dieser Karten und der entsprechenden Sicherheitsfunktionen ausgelegt werden.
Das mittelfristige Ziel muß sein, für die Telemedizin mit Hilfe kryptographischer Techniken virtuelle geschlossene Netze auf offenen Netzen zu schaffen, deren Teilnehmer sich mit einer Chipkarte ausweisen. Patientendaten dürfen aber auch dann nicht in Fernverkehrsnetzen zum Abruf, sei es auch nur durch Berechtigte, bereit stehen. Die »universelle Patientenakte« darf nicht geschaffen werden, weil der Datenzugriff nie so abgesichert werden kann, daß die Datenschutzrechte des Patienten wirklich gewährleistet werden können. Die unbedingte Vertraulichkeit der Patientendaten verbietet dem Arzt, sie einer Technik anzuvertrauen, die er nicht selbst unter Kontrolle hat.
Der Ausbau der kryptographischen Infrastruktur ist Aufgabe der Hersteller von telemedizinischen Endbenutzer-Systemen. Wie weit der Gesetzgeber hier lenkend eingreifen sollte, ist zu diskutieren; ich denke vergleichsweise an die Einführung von Sicherheitsgurten im Auto. Grundsätzlich sollten vertrauliche Daten
Wichtig ist eine Zertifizierungs-Infrastruktur, mit der die öffentlichen Signatur-Schlüssel rechtliche Relevanz erhalten. Hier sind die Regelungen in Signatur-Gesetz und Signatur-Verordnung noch mit Leben zu füllen. Mir scheint es sinnvoll zu sein, wenn die medizinischen Standesorganisationen die Zertifizierung der HPC in eigener Verantwortung übernehmen.
Eine Verschlüsselung auf Netzebene (Verbindungsverschlüsselung) ist für die Telemedizin selbst weniger wichtig; sie ist aber für die Verfügbarkeit der Netz-Ressourcen von Bedeutung, da sie Sabotage-Angriffe (`denial of service') erschwert.
Mit Kryptographie allein ist Sicherheit allerdings nicht erreichbar; unabhängig von der Technik sind organisatorische Maßnahmen unverzichtbar. Auch die besten technischen Sicherheitsmaßnahmen sind durch den »menschlichen Faktor« limitiert. Keine Sicherheitsmaßnahme kann etwas nützen, wenn die Verantwortung für ihre Einführung, Anwendung und Überwachung nicht klar geregelt ist. Die SEISMED-Guidelines fordern für Einrichtungen des Gesundheitswesens neben dem gesetzlich vorgeschriebenen Datenschutzbeauftragten einen IT-Sicherheitsbeauftragten, der Informatiker mit entsprechenden Fachkenntnissen sein sollte. Er hat die Federführung bei der Erstellung des Sicherheitskonzepts, sorgt mit seinen Mitarbeitern für die physische Sicherheit von Rechnern, Netzen und Datenträgern, kontrolliert die Sicherheit von Datenarchiven, sorgt dafür, daß die Konfiguration der Systeme dem Sicherheitskonzept entspricht und nicht irgendwelche Systemvoreinstellungen Sicherheitslücken aufreißen, überwacht das lokale Netz, insbesondere auf ungenehmigte Modems, sichert die Fernwartung, soweit sie unvermeidbar ist, verwaltet die Rechte, die mit elektronischen Ausweiskarten verbunden sind (Definition und Verwaltung von Rollen, Schlüsselmanagement), wertet sicherheitsrelevante Systemaufzeichnungen aus, kontrolliert die Implementation von Software, schult IT-Personal und Benutzer, motiviert sie zum sorgfältigen Umgang mit Gefahrenquellen und berät den Datenschutzbeauftragten und die Personalvertretung in technischen Fragen und bei der Formulierung von Verpflichtungserklärungen. Auch einzelne Fachabteilungen im Krankenhaus müssen für diese Aufgaben einen angemessenen Anteil an Personalkapazität einplanen.
Insgesamt ist der personelle Aufwand, der durch die Sicherheitserfordernisse in Gesundheitswesen und Telemedizin nötig wird, nicht unerheblich, wenn auch die technische Infrastruktur immer auch mit dem Ziel der Minimierung dieses Aufwands gestaltet werden muß. Dieser Personalbedarf ist bei Haushaltsplanungen zu berücksichtigen.
Die gesetzliche Regelung durch das Datenschutzgesetz ist im wesentlichen ausreichend; es scheint mir aber notwendig, diesem eine höhere Priorität einzuräumen und vom Subsidiaritätsprinzip abzurücken.
Sicherheitstechnik ist zum Teil in sehr guter Form verfügbar; insbesondere sind hier einige deutsche mittelständische Unternehmen weltweit führend. Aber auch das Know-How des BSI und der Universitäten sollte weiter genutzt werden. Woran es fehlt, ist die Förderung des Einsatzes dieser verfügbaren Sicherheitstechnik oder gar die Verpflichtung zu ihrem Einsatz. Wie weit und von wem auf die skandalöse Unsicherheit von Standard-Software eingewirkt werden kann, weiß ich nicht.
Der Bedarf an Medizin-Informatikern ist weiterhin ungedeckt und wird zunehmen. Die vorhandenen Studiengänge sollten ausgebaut werden. Die Ausbildung in diesem Fach sollte vermehrt das Fachgebiet »Datenschutz und Datensicherheit« berücksichtigen.
Kein Regelungsbedarf besteht für die Zulässigkeit starker kryptographischer Methoden. Sie sind wesentliche Grundlage jeder Sicherheitstechnik, die für die Telemedizin von Bedeutung ist. Gesetzlich geregelt werden sollte aber in Erweiterung des Signaturgesetzes die Verwendung von Pseudonymen.