Informationsmaterial zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

3.2 Chipkarten - Computer in der Brieftasche

Chipkarten sind auf das Format einer Scheckkarte miniaturisierte IuK-Komponenten. Es gibt reine Speicherchipkarten zur Aufnahme von Daten, wie z.B. die Telefonkarten, die einen Kontostand enthalten, der bei Gebrauch der Chipkarte in einem Kartentelefon reduziert wird, bis das Konto erschöpft ist und die Chipkarte unbrauchbar wird.

Ebenfalls allgemein bekannt ist die Krankenversichertenkarte, deren Besitz für alle Versicherten in gesetzlichen Krankenversicherungen Pflicht ist und die den Krankenschein mittlerweile ersetzt hat [22]. Dabei handelt es sich ebenfalls um eine reine Speicherchipkarte, die einen gesetzlich vorgegebenen Inhalt hat, der neben den identifizierenden Merkmalen des Besitzers dessen Krankenversicherungstatus beschreibt. Die Daten werden mit Karten-Terminals in Arztpraxen und Krankenhäusern gelesen, um den dort vorhandenen IT-Systemen weiterverarbeitet, mit Daten zur Abrechnung der kassenärztlichen Leistung ergänzt und (per Post oder über Telekommunikationsdienste) weitergegeben.

Eine größere Bedeutung haben Karten, in die Mikroprozessoren und Speicherbauteile integriert sind. Solche Prozessorchipkarten sind als Kleinstcomputer anzusehen, die - zumindest nach derzeitigem technischen Standard - nicht über eine Mensch-Maschine-Schnittstelle verfügen. Ihre Verwendung bedarf also zusätzlicher Karten-Terminals zum Lesen der gespeicherten Daten, zum Aktivieren der Funktionen der Mikroprozessoren, zum Beschreiben der Speicher. Ein Karten-Terminal kann einerseits als isoliertes Gerät zur Erschließung der Daten und Funktionen von Chipkarten angesehen werden. Andererseits erschließen sich die Anwendungsmöglichkeiten von Chipkarten vor allem dann, wenn das Karten-Terminal auch als Ein- und Ausgabe-Einheit in eine "normale" IT-Systemkonfiguration eingebettet ist, die die Weiterverarbeitung von Daten aus einer Chipkartenanwendung bzw. die Aufbereitung von auf Chipkarten abzulegenden Daten ermöglicht. Sie kann ihrerseits in Netze eingebunden sein.

Zum Verständnis von komplexeren Anwendungen von Chipkarten ist es wichtig, Chipkarten und die (zumindest noch) davon untrennbaren Kartenterminals als Bestandteil übergeordneter Infrastrukturen zu sehen. Sicherheitsbetrachtungen zum Einsatz von Chipkarten verlieren ihren Sinn, wenn nicht die Sicherheit dieser Infrastrukturen mitbetrachtet wird.

Derzeit sind zwei wichtige Anwendungsbereiche von Chipkarten in der Diskussion, die gesellschaftliche Bedeutung gewinnen werden und unter dem Aspekt des Datenschutzes zur Wahrung der informationellen Selbstbestimmung und der informationstechnischen Sicherheit größter Aufmerksamkeit bedürfen:

- Chipkartenanwendungen im bargeldlosen Zahlungsverkehr

- Gesundheits- oder Patientenchipkarten zur Aufnahme medizinischer Daten [23].

Seitenanfang Beide Anwendungsbereichen zeigen - mit unterschiedlicher Zielsetzung - vergleichbare Funktionen:

- Chipkarte als Speicher von Daten, die hinsichtlich ihrer Vertraulichkeit und Integrität hohen Schutzbedarf aufweisen (Kontodaten, medizinische Individualdaten);

- Chipkarte als Mittel zur Authentifizierung ihres Trägers für die Gewährung des Zugriffs auf sicherheitsrelevante Daten und Funktionen (Kontoverfügungen, Änderung medizinischer Individualdaten);

- Chipkarte als Mittel zur Zertifizierung (Signatur) von Dokumenten (Verträge, Willenserklärungen, Befunde etc.).

Weil Chipkarten als miniaturisierte Computer anzusehen sind, die nicht über eigene Mensch-Maschine-Schnittstellen verfügen, ergeben sich folgende Konsequenzen:

- Chipkarten sind besonders leicht transportable Rechner. Die besonderen Risiken der IT-Sicherheit, die bei anderen transportablen Rechnern wie Laptops oder Notebooks berücksichtigt werden müssen, gelten in verstärktem Maße für Chipkarten.

- Der Umgang mit Chipkarten bedarf zwischengeschalteter technischer Systeme (Karten-Terminal), die ebenfalls zu sichern sind. Eine Chipkarte bildet zusammen mit dem Karten-Terminal ein vollwertiges Rechnersystem mit Ein- und Ausgabekomponente.

- Zu geringe Speicher- und Prozessorkapazitäten bilden noch Schranken für Sicherheitsfunktionen. Die technische Entwicklung dürfte diese Engpässe bald beseitigen.

Allgemein sind an die Sicherheitsfunktionen folgende Anforderungen zu stellen:

- Zugriffs- und Nutzungsberechtigungen sollten soweit wie möglich von der Chipkarte selbst geprüft und gesteuert werden.

- In Anwendungen sollten sich alle beteiligten Rechner (incl. Chipkarten) gegenseitig authentifizieren. Die Authentifizierung des Benutzers hat gegenüber der Chipkarte zu erfolgen, wobei für die Zukunft angestrebt werden sollte, daß dies möglichst ohne zwischengeschaltete Systeme erfolgen kann.

- Ein Mindestschutz muß realisiert sein, damit bei unbefugter Nutzung einer Chipkarte die strafrechtliche Vorschrift zur Ausspähung von Daten (§ 202 StGB) greift.

Überlegungen zur informationstechnischen Sicherheit von Chipkarten betreffen

- die Sicherheit bei der Herstellung, der Initialisierung und dem Versand der Chipkarten;

- die Sicherheitsmaßnahmen gegen unbefugte Nutzung auf dem Kartenkörper;

- die Sicherung des Chips gegen mechanische Manipulation und Auslesung;

- die Basisalgorithmen für die Schutzfunktionen der Software (Verschlüsselung, elektronische Unterschrift, Generierung von Zufallszahlen);

- die Schutzfunktionen und -mechanismen des Chipkarten-Betriebssystems (Authentifizierung des Benutzers, Rechteverwaltung, verschlüsselte Datenübertragung usw.);

- die Sicherheit des Zusammenwirkens von Chipkarte, Karten-Terminal und Hintergrundsystemen;

- die Sicherheit der Karten-Terminals gegen die Manipulation ihrer Hard- und Software.

Gesundheitschipkarten

Die erwähnte Krankenversichertenkarte enthält in § 291 Sozialgesetzbuch V (SGB V) präzise vorgegebene Daten zum Status des Versicherten. Sie enthält keinen Prozessor und daher konsequenterweise auch keine Sicherheitsfunktionen gegen die Verfälschung oder unbefugte Nutzung. Gegen die ausdrücklichen Einwände des Bundesbeauftragten für den Datenschutz wurde mit dem Kostenargument auf jede technische Sicherheit bei der Krankenversicherungskarte verzichtet. Es muß daher nicht verwundern, daß zum Beispiel im Internet darauf hingewiesen wird, daß durch die einfache Nutzung der Chipkarte durch andere Personen als den Inhaber der Karte die Krankenversorgung auch für illegal in Deutschland sich aufhaltende Personen möglich gemacht wird - ein humaner Aspekt des leichtfertigen Verzichtes auf die maschinelle Authentifikation mit der Chipkarte?

Diese Situation kann bei der neuen Generation von Chipkarten im Gesundheitswesen nicht aufrechterhalten werden, auf Sicherheitsfunktionen kann nicht verzichtet werden: Die verschiedenen Modelle von Gesundheitschipkarten, Gesundheitspässen oder Patientenchipkarten sollen sensible medizinische Daten der Patienten tragen und für medizinische Zwecke erschließbar machen.

Im März 1994 hatte sich die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in einem ersten Beschluß zu den Chipkarten im Gesundheitswesen geäußert [24]. Unter dem Eindruck verschiedener Modellversuche zu Patientenchipkarten wurde die Diskussion bei den Datenschutzbeauftragten fortgeführt. Am Ende stand ein neuer Beschluß vom November 1995 [25], der sich wesentlich detaillierter zu den datenschutzrechtlichen Anforderungen äußert.

Der Beschluß betont die besondere Schutzwürdigkeit der medizinischen Daten aus der Sicht der Patienten, aber auch der Ärzte, deren Handeln in der Chipkarte transparent gemacht werden kann und stellt konkrete Forderungen

- zur Sicherung der freien Entscheidung des Patienten zum Inhalt der Karte, zu den Anlässen ihres Einsatzes und zum Umfang der Offenbarung sowie der freien Entscheidung von Ärzten und Apothekern, die Chipkarte des Patienten in Anspruch zu nehmen oder nicht;

- zur Absicherung, daß sich die Situation der Betroffenen im therapeutischen Verhältnis zwischen Arzt und Patient nicht verschlechtert;

- zur Sicherstellung der Vertraulichkeit, Integrität und Authentizität der Daten auf der Karte und der sie umgebenden Infrastruktur durch geeignete technische und organisatorische Verfahren;

- zur Verhinderung neuer zentraler medizinischer Datensammlungen;

zum uneingeschränkten Leserecht des Karteninhabers und

- zur Suche nach datenschutzfreundlichen Alternativen.

Eine pauschale datenschutzrechtliche Bewertung der bisher bekannten Projekte verbietet sich angesichts ihrer Heterogenität von selbst. Gemeinsam ist Projekten und Gedankenspielen, daß Daten über den gesundheitlichen Zustand von Patienten und zu ihrer Behandlung auf den Karten gespeichert oder mit ihrer Hilfe erschlossen werden sollen. Die Daten sollen dabei unterschiedlichen Zwecken dienen: Unterstützung bei der Diagnose und Behandlung im Normal- und Notfall, Anreiz zu gesundheitsgerechtem Verhalten, Kontrolle der Medikation einschl. der Selbstmedikation usw.. Für die Verfolgung dieser Ziele werden aber verschiedene Ansätze erprobt:

Einige Modellversuche streben eine universale Gesundheitskarte an, in der möglichst alle für die medizinische Behandlung aller ärztlichen Sparten nützlichen Daten der Krankengeschichte eines Patienten gespeichert werden, ggfs. unter Verwendung von optischen Speichertechniken auf der Karte, so daß auch Röntgenbilder oder ähnlich komplexe und umfangreiche Informationen aufgenommen werden können. Bei diesen Versuchen wird die Multifunktionalität der Chipkarten-Betriebssysteme dazu ausgenutzt, den verschiedenen ärztlichen Sparten eigene Speicherbereiche zuzuordnen, die unterschiedlichen Zugriffsberechtigungen unterliegen. Mit Hilfe von Professional Cards können dann die unterschiedlichen Fachärzte auf dem ihrer Fachkompetenz unterliegenden Speicherbereich der Chipkarte Datenänderungen durchführen und Leseberechtigungen wahrnehmen, die weniger engen Zugriffsbeschränkungen unterliegen. Bei diesen Versuchen trägt der Patient also einen Speicher mit sich, der unter Umständen die mehr oder weniger vollständige und detaillierte Krankengeschichte enthält.

Davon zu unterscheiden sind Autorisierungskarten, die selbst keine oder nur wenige grundlegende medizinische Daten des Patienten enthalten, die aber den Zugriff auf dezentral gespeicherte Datenbestände zum Patienten über Datenautobahnen ermöglichen, wenn der Patient dies autorisiert und der Arzt sich mit einer passenden Professional Card dazu legitimiert. So könnte zum Beispiel der Zugriff auf digital vorgehaltene Röntgenbilder, Tomographien, EKGs, EEGs und andere komplexe Datenbestände dort erfolgen, wo sie entstanden und gespeichert sind.

Andere Modellversuche verzichten auf einen umfassenden Anspruch und begnügen sich mit der Speicherung bzw. Erschließung von Daten von bestimmten Risikopatienten, z.B. von Patienten, die wegen ihrer mit Anfällen verbundenen Krankheiten schnelle und wirksame Hilfe benötigen (z.B. Diabetiker, Herzpatienten, Epileptiker etc.). Unter diese Katagorie fallen auch die allgemeinen Notfallkarten - auch für gesunde Patienten -, die z.B. im Falle eines Unfalles den Notärzten die für eine schnelle Hilfe erforderlichen Daten liefern.

Datenschutzrechtliche Betrachtungen zu den verschiedenen Modellversuchen haben sich an der Frage zu orientieren, ob es für das angestrebte gesundheitspolitische Ziel erforderlich ist, Daten im geplanten Umfang, in der geplanten Detaillierung, mit den vorgesehenen Zugriffsberechtigungen und in der vorgesehenen Form als Chipkarte zu nutzen. Welche Zwecke werden mit dem Konzept verfolgt? Können sie damit erreicht werden? Ist eine konkrete Zweckbindung überhaupt erreichbar? Die Frage zum Beispiel, ob die Krankengeschichte auf der Chipkarte die Kommunikation zwischen Arzt und Patient eher intensiviert oder unterbindet und somit dem gesundheitspolitischen Ziel größerer Patientennähe und -selbstverantwortung dient oder schadet, mag zwar primär gesellschaftspolitischer Art sein, hat aber auch entscheidende Bedeutung für die datenschutzrechtliche Bewertung. Je allgemeiner die gesundheitspolitische Zielsetzung formuliert ist und demzufolge die Menge der als nützlich angesehenen Daten und der möglicherweise interessierten Datennutzer ausgedehnt werden kann, desto mehr verschwimmen die konkreten Zwecke, für die ein Patient die Chipkarte herreichen soll, und umso schwieriger wird es, Begehrlichkeiten und Mißbrauch zu verhindern (z.B. im Arbeitsverhältnis).

Damit ist klar, daß grundsätzliche datenschutzrechtliche Hindernisse jenen Projekten am wenigsten entgegengehalten werden können, bei denen der gesundheitliche Nutzen für den Patienten am unmittelbarsten deutlich wird. Wenn plausibel wird, daß einem Patienten in einer konkreten gesundheitlichen Notsituation mit dem Einsatz seiner Chipkarte besser geholfen werden kann als ohne, dann macht es Sinn, diese Vorteile gegen anderweitige Risiken abzuwägen und technische und organisatorischen Maßnahmen zu konzipieren, die die Risiken abbauen, aber dem Nutzen nicht entgegenstehen

Diese Bedingungen sind bei den Projekten gegeben, bei denen Kranke spezielle Chipkarten für ihre besondere medizinische Betreuung erhalten. Sie sind ferner dort zu bejahen, wo die Chipkarte zur Erschließung von Daten eingesetzt wird, die nur mit aufwendigen und den Patienten belastenden Methoden gewonnen werden können, es also medizinisch richtig ist, ihn vor der Wiederholung solcher diagnostischer Maßnahmen zu bewahren. Voraussetzung dafür ist aber auch, daß ein Arzt sein Handeln auf die Daten stützen kann, die er auf der Chipkarte findet oder mit ihrer Hilfe erschließen kann, daß er sich auf ihre Richtigkeit, ihre zuverlässige und vertrauenswürdige Herkunft und auf ihre Aktualität verlassen kann und darf.

Der Berliner Gesundheitspaß

Seit Anfang 1995 werden in der Senatsverwaltung für Gesundheit Überlegungen zu einem Berliner Gesundheitspaß angestellt. Erörterungen fanden in diversen thematisch unterschiedenen Arbeitsgruppen statt, an denen sich die an der Umsetzung der Gesundheitsreform beteiligten Institutionen, die gesetzlichen Krankenkassen, die kassen- und kassenzahnärztlichen Vereinigungen, die Zahnärzte- und Ärztekammern, die Berliner Krankenhausgesellschaft und die Senatsverwaltung für Gesundheit beteiligten. Wegen der unbestritten wichtigen datenschutzrechlichen Aspekte wurden auch wir frühzeitig an der Diskussion beteiligt.

Die gesundheitspolitischen Zielsetzungen wurden zu Beginn des Projektes von der Senatsverwaltung für Gesundheit vorgegeben:

- erhebliche Verbesserung der Information des Bürgers über seine Gesundheit, damit er in die Lage versetzt wird, sich aktiver um seine gesundheitlichen Belange zu kümmern und seine Interessen besser wahrzunehmen; dazu zählt auch der Schutz seiner persönlichen Daten, weil er sie selbst in Verwahrung hat;

- Optimierung der auf den Bürger orientierten Kommunikation zwischen den Gesundheitseinrichtungen, so daß Mehrfachuntersuchungen vermieden und Maßnahmen kostensparend besser abgestimmt werden können;

- Verbesserung der Transparenz der Leistungsangebote der Gesundheitseinrichtungen und damit Qualitätsverbesserung;

- Stärkung der Rolle des Hausarztes als lebenslanger "Gesundheitsbegleiter" des Bürgers;

- Verbesserung der Gesundheitsberichterstattung und damit der Entscheidungsgrundlagen der Entscheidungsträger.

Der Gesundheitspaß soll als Universal-Gesundheitspaß konzipiert werden, in dem lebenslang alle Informationen gesammelt werden sollen, die es dem Einzelnen ermöglichen, sich selbst kompetent um seine Gesundheit zu sorgen.

Unter den oben beschriebenen Kategorien der Projekte zu Gesundheitschipkarten reiht sich der Berliner Gesundheitspaß in die allumfassenden multifunktionalen, und deshalb datenschutzrechtlich kritischen Chipkarten ein, die einer allgemeinen politischen Zielsetzung folgen. Allerdings ist die Realisierungsform immer offen gelassen worden. Sie soll erst in einer späteren Phase des Projektes konkretisiert werden. Dies gilt auch für die sicherheitstechnischen Aspekte.

Wir haben bei den Erörterungen betont, daß es mit Chipkarten möglich ist, höchste Sicherheitsansprüche zu befriedigen, daß dieses jedoch auch für die Infrastruktur gelten muß, mit der die Chipkarten gelesen, ausgewertet und weiterverarbeitet werden. Diese können keinen ökonomischen Abwägungen ausgesetzt werden. Immerhin können versehentliche oder manipulative Datenveränderungen auf dem Chip lebensbedrohende Wirkung haben. Damit stellt die Sicherheit einen Kostenfaktor dar, der nicht wie bei der Krankenversicherungskarte der Kostenminimierung geopfert werden darf.

Neben diesen hohen finanziellen Hürden bestehen Zweifel, ob die angestrebten gesundheitspolitischen Ziele erreichbar sind. Hinzu kommen die Bedenken der beteiligten Organisationen. So fürchten die Ärztevertretungen intensivere Kontrollen und zusätzlichen Aufwand; die Kostenträger bezweifeln den Beitrag des Gesundheitspasses zur Kostensenkung und Erhöhung der Transparenz.

Angesichts dieser in den Arbeitsgruppen artikulierten Zweifel wurde von der Senatsverwaltung für Gesundheit von der schnellen probeweisen Einführung des Gesundheitspasses abgesehen und die Priorität dahin verlagert, zunächst wissenschaftlich alle als Probleme erkannte Sachverhalte zu untersuchen.

Zuletzt geändert:
am 08.02.97

mail to webmaster