Telematikinfrastruktur Wie sicher ist der eArztausweis?

Praxisführung Autor: Yvonne Emard

© Bundesärztekammer

Seit Anfang November sind alle Ärztekammern für die Ausgabe des elektronischen Arztausweises gewappnet. Er stellt nicht nur eine weitere Ausbaustufe der Telematikinfrastruktur dar, er ist sogar die Grundvoraussetzung, um fast sämtliche Anwendungen innerhalb der TI nutzen zu können. Doch noch agieren viele Ärzt:innen zögerlich, u. a. gibt es Bedenken bzgl. der Sicherheit. Wie es um die Sicherheit steht und warum es wichtig ist, sich zeitnah um die Beantragung des elektronischen Heilberufsausweises (eHBA) zu kümmern, erklären wir in diesem Beitrag.

Nach ersten Testphasen bei einigen digitalen Anwendungen im Rahmen der Telematikinfrastruktur (TI) im vergangenen Jahr nimmt die Entwicklung der TI 2021 langsam Fahrt auf. Nach aktuellem Stand werden nach einer Übergangsphase nach und nach bis Anfang 2022 sämtliche Anwendungen verpflichtend. Um die Notwendigkeit und Bedeutung des elektronischen Heilberufsausweises (eHBA) – im Falle der Ärzteschaft der eArztausweis – zu verstehen, muss man wissen, dass alle folgenden TI-Anwendungen und Systeme unweigerlich mit dem eArztausweis verknüpft sind:

  • elektronische Gesundheitskarte (eGK)
  • elektronischer Medikationsplan (eMP)
  • Notfalldatenmanagement (NFDM)
  • elektronischer Arztbrief (eArztbrief)
  • elektronische Patientenakte (ePA)
  • elektronisches Rezept (eRezept)
  • elektronische Arbeitsunfähigkeitsbescheinigung (eAU)
  • Kommunikation im Medizinwesen (KIM)

Um fast alle diese Anwendungen nutzen zu können, ist der eArztausweis die Grundvoraussetzung. Denn er gewährleistet, dass sich Ärzt:innen gegenüber der TI rechtsverbindlich ausweisen und somit Zugriff auf die in den einzelnen Systemen hinterlegten Patientendaten erhalten. Er ist damit der Schlüssel, um zu allen relevanten Anwendungen Zugang zu bekommen. Aus diesem Grund sollten die Ärzt:innen, die den Ausweis noch nicht beantragt haben, sich zeitnah hiermit auseinandersetzen.

Der eArztausweis dient auch weiterhin wie sein Vorläufer als Sichtausweis. Daneben wird er aber auch ein integraler Bestandteil der ärztlichen Berufsausübung. Hierbei erfüllt er u. a. auch folgende neue Funktionen: die elektronische Signatur für viele der oben erwähnten TI-Anwendungen, die Authentifizierung in der "digitalen Arztwelt" (z.B. Kammerportale oder Zugriff auf ePA) sowie die sichere Ver- und Entschlüsselung von medizinischen Daten. Insgesamt soll hierdurch ein höheres Sicherheitsniveau erreicht werden.

Wie steht es um die Sicherheit der Signatur?

Sichergestellt wird die rechtsverbindliche Zugangserlaubnis über die sogenannte qualifizierte elektronische Signatur (QES). Hierbei handelt es sich um eine rechtlich der handschriftlichen Unterschrift gleichgestellte elektronische Unterschrift. Diese findet übrigens nicht nur bei der Erstellung von Arztbriefen oder Rezepten Anwendung, sondern auch bei der Einreichung von Abrechnungsunterlagen für die KVen.

Hinsichtlich der qualifizierten elektronischen Signatur unterliegt der elektronische Arztausweis den strengen Anforderungen der EU-Verordnung eIDAS (electronic IDentification, Authentication and trust Services) und dem Vertrauensdienstegesetz. Die Daten der elektronischen Gesundheitskarte sind zusätzlich durch die Anforderungen in § 291 und 291a des SGB V abgesichert.

Die elektronische Signatur des eArztausweises wird über die Eingabe einer selbstgewählten mindestens sechsstelligen PIN ausgelöst. Um den Prozess bei der Bearbeitung mehrerer Dokumente zu vereinfachen und Zeit zu sparen, gibt es die Möglichkeit der sog. Stapelsignatur und Komfortsignatur. Bei Ersterer können durch einmalige Eingabe der PIN mehrere Signaturen ausgelöst werden, bei der Komfortsignatur genügt ebenfalls eine einmalige PIN-Eingabe, alle folgenden Signaturen können dann über ein "auslösendes Merkmal" wie z. B. über einen Doppelklick im Praxisverwaltungssystem veranlasst werden.

Und die Sicherheit bei der Identifizierung?

Ende 2019 deckte der Chaos Computer Club (CCC) massive Sicherheitslücken in der TI auf, die mit dem Identifizierungsverfahren bei der Beantragung des eHBA zu tun hatten. Nicht zuletzt hierdurch leidet die Akzeptanz der TI in der Ärzteschaft. Was war passiert? Der CCC hatte mithilfe einer fremden Identität über das sog. BankIdent-Verfahren einen eHBA beantragen können. Er hätte hierdurch Zugang zu Patientendaten und weiteren Anwendungen der TI erlangen können. Daraufhin wurde das bis dahin praktizierte Identifikationsverfahren gestoppt und überarbeitet. Welches Identifikationsverfahren nun genutzt wird, hängt von dem jeweiligen Anbieter und der zuständigen Ärztekammer ab. Alle Verfahren müssen jedoch persönlich über den Personalausweis erfolgen. Jeder der aktuell vier Anbieter, die vonseiten der Ärztekammern zugelassen sind (s. u.), bietet aber mindestens die kostenlose Identifizierung per POSTIDENT-Verfahren an, bei der die Ärzt:in persönlich in einer Postfiliale die Identifikation vornehmen muss. Je nach Anbieter stehen weitere Verfahren wie z. B. Video-Ident zur Auswahl. Einige Kammern ermöglichen darüber hinaus das sog. KammerIdent-Verfahren, bei dem die Identifizierung des antragstellenden Arztes durch Kammermitarbeiter erfolgt.


Bei folgenden von den Ärztekammern zugelassenen Anbietern können aktuell eArztausweise beantragt werden:

  • Bundesdruckerei
  • medisign GmbH
  • SHC Stolle und Heinz Consultants
  • T-Systems

Die Anbieter produzieren die Ausweise und betreiben die technische Infrastruktur. Die Rolle der Landesärztekammern besteht in der Herausgabe der Ausweise und der Bestätigung der Arzteigenschaft der antragstellenden Ärzt:in.

Die Anzahl der personenbezogenen Daten, die auf dem eArztausweis hinterlegt sind, ist überschaubar: Neben dem Namen und der Berufsgruppe (Arzt, Ärztin) werden die Telematik-ID und optional die E-Mail-Adresse gespeichert. Eingedruckt werden die EFN (Einheitliche Fortbildungsnummer) sowie die Ausweisnummer.

<content><paragraph/><paragraph>Nach ersten Testphasen bei einigen digitalen Anwendungen im Rahmen der Telematikinfrastruktur (TI) im vergangenen Jahr nimmt die Entwicklung der TI 2021 langsam Fahrt auf. Nach aktuellem Stand werden nach einer Übergangsphase nach und nach bis Anfang 2022 sämtliche Anwendungen verpflichtend. Um die Notwendigkeit und Bedeutung des elektronischen Heilberufsausweises (eHBA) – im Falle der Ärzteschaft der eArztausweis – zu verstehen, muss man wissen, dass alle folgenden TI-Anwendungen und Systeme unweigerlich mit dem eArztausweis verknüpft sind:</paragraph><bullet_list>

 

<item>elektronische Gesundheitskarte (eGK) </item>

 

<item>elektronischer Medikationsplan (eMP) </item>

 

<item>Notfalldatenmanagement (NFDM)</item>

 

<item>elektronischer Arztbrief (eArztbrief)</item>

 

<item>elektronische Patientenakte (ePA)</item>

 

<item>elektronisches Rezept (eRezept) </item>

 

<item>elektronische Arbeitsunfähigkeitsbescheinigung (eAU)</item>

 

<item>Kommunikation im Medizinwesen (KIM)</item>

</bullet_list><paragraph/><paragraph/><paragraph>Um fast alle diese Anwendungen nutzen zu können, ist der eArztausweis die Grundvoraussetzung. Denn er gewährleistet, dass sich Ärzt:innen gegenüber der TI rechtsverbindlich ausweisen und somit Zugriff auf die in den einzelnen Systemen hinterlegten Patientendaten erhalten. Er ist damit der Schlüssel, um zu allen relevanten Anwendungen Zugang zu bekommen. Aus diesem Grund sollten die Ärzt:innen, die den Ausweis noch nicht beantragt haben, sich zeitnah hiermit auseinandersetzen.</paragraph><paragraph>Der eArztausweis dient auch weiterhin wie sein Vorläufer als Sichtausweis. Daneben wird er aber auch ein integraler Bestandteil der ärztlichen Berufsausübung. Hierbei erfüllt er u. a. auch folgende neue Funktionen: die elektronische Signatur für viele der oben erwähnten TI-Anwendungen, die Authentifizierung in der "digitalen Arztwelt" (z.B. Kammerportale oder Zugriff auf ePA) sowie die sichere Ver- und Entschlüsselung von medizinischen Daten. Insgesamt soll hierdurch ein höheres Sicherheitsniveau erreicht werden. </paragraph><subheadline1>Wie steht es um die Sicherheit der Signatur?</subheadline1><paragraph>Sichergestellt wird die rechtsverbindliche Zugangserlaubnis über die sogenannte qualifizierte elektronische Signatur (QES). Hierbei handelt es sich um eine rechtlich der handschriftlichen Unterschrift gleichgestellte elektronische Unterschrift. Diese findet übrigens nicht nur bei der Erstellung von Arztbriefen oder Rezepten Anwendung, sondern auch bei der Einreichung von Abrechnungsunterlagen für die KVen. </paragraph><paragraph>Hinsichtlich der qualifizierten elektronischen Signatur unterliegt der elektronische Arztausweis den strengen Anforderungen der EU-Verordnung eIDAS (electronic IDentification, Authentication and trust Services) und dem Vertrauensdienstegesetz. Die Daten der elektronischen Gesundheitskarte sind zusätzlich durch die Anforderungen in § 291 und 291a des SGB V abgesichert.</paragraph><paragraph>Die elektronische Signatur des eArztausweises wird über die Eingabe einer selbstgewählten mindestens sechsstelligen PIN ausgelöst. Um den Prozess bei der Bearbeitung mehrerer Dokumente zu vereinfachen und Zeit zu sparen, gibt es die Möglichkeit der sog. Stapelsignatur und Komfortsignatur. Bei Ersterer können durch einmalige Eingabe der PIN mehrere Signaturen ausgelöst werden, bei der Komfortsignatur genügt ebenfalls eine einmalige PIN-Eingabe, alle folgenden Signaturen können dann über ein "auslösendes Merkmal" wie z. B. über einen Doppelklick im Praxisverwaltungssystem veranlasst werden. </paragraph><subheadline1>Und die Sicherheit bei der Identifizierung?</subheadline1><paragraph>Ende 2019 deckte der Chaos Computer Club (CCC) massive Sicherheitslücken in der TI auf, die mit dem Identifizierungsverfahren bei der Beantragung des eHBA zu tun hatten. Nicht zuletzt hierdurch leidet die Akzeptanz der TI in der Ärzteschaft. Was war passiert? Der CCC hatte mithilfe einer fremden Identität über das sog. BankIdent-Verfahren einen eHBA beantragen können. Er hätte hierdurch Zugang zu Patientendaten und weiteren Anwendungen der TI erlangen können. Daraufhin wurde das bis dahin praktizierte Identifikationsverfahren gestoppt und überarbeitet. Welches Identifikationsverfahren nun genutzt wird, hängt von dem jeweiligen Anbieter und der zuständigen Ärztekammer ab. Alle Verfahren müssen jedoch persönlich über den Personalausweis erfolgen. Jeder der aktuell vier Anbieter, die vonseiten der Ärztekammern zugelassen sind (s. u.), bietet aber mindestens die kostenlose Identifizierung per POSTIDENT-Verfahren an, bei der die Ärzt:in persönlich in einer Postfiliale die Identifikation vornehmen muss. Je nach Anbieter stehen weitere Verfahren wie z. B. Video-Ident zur Auswahl. Einige Kammern ermöglichen darüber hinaus das sog. KammerIdent-Verfahren, bei dem die Identifizierung des antragstellenden Arztes durch Kammermitarbeiter erfolgt.</paragraph><paragraph>

Bei folgenden von den Ärztekammern zugelassenen Anbietern können aktuell eArztausweise beantragt werden:

</paragraph><bullet_list>

 

<item>Bundesdruckerei </item>

 

<item>medisign GmbH</item>

 

<item>SHC Stolle und Heinz Consultants</item>

 

<item>T-Systems</item>

</bullet_list><paragraph>Die Anbieter produzieren die Ausweise und betreiben die technische Infrastruktur. Die Rolle der Landesärztekammern besteht in der Herausgabe der Ausweise und der Bestätigung der Arzteigenschaft der antragstellenden Ärzt:in.</paragraph><paragraph>Die Anzahl der personenbezogenen Daten, die auf dem eArztausweis hinterlegt sind, ist überschaubar: Neben dem Namen und der Berufsgruppe (Arzt, Ärztin) werden die Telematik-ID und optional die E-Mail-Adresse gespeichert. Eingedruckt werden die EFN (Einheitliche Fortbildungsnummer) sowie die Ausweisnummer. </paragraph>

 

Digitale Fortbildung – Information ist das wichtigste Gut beim Datenschutz


In der Theorie klingt der Umgang mit dem eArztausweis im Hinblick auf Datenschutz und -sicherheit plausibel und zuverlässig. Und doch traut nicht jede Ärzt:in dem neuen digitalen System. Es stellen sich Fragen, wer z. B. bei möglichen Datenlecks haftet und wie Patient:innen mit dem Thema Datenschutz umgehen. Sebastian Vorberg, Rechtsanwalt und Mitglied im Vorstand des Bundesverbands Internetmedizin, ist in Sachen Datenschutz im Gesundheitswesen positiv gestimmt und macht Mut: „Wir sind datenschutzrechtlich in Deutschland komplett gerüstet. Die Datenschutzrahmen­bedingungen, die wir haben, sind optimal, um sich hier sicher zu bewegen – im digitalen Bereich noch besser als im analogen.“

Auch was die Voraussetzungen für den Datenschutz neuer digitaler Anwendungen wie die Zertifizierungen für Fernbehandlungsanbieter oder Digitale Gesundheitsanwendungen (DiGA) anbelangt, seien wir in Deutschland sehr gut aufgestellt. Für Vorberg ist ganz wesentlich, dass sich die niedergelassenen Ärzt:innen möglichst aufgeklärt und informiert mit den Herausforderungen der Digitalisierung beschäftigen und sich den neuen Möglichkeiten öffnen. Hierbei könne auch auf Informationsangebote z. B. der KVen, des Bundesgesundheitsministeriums oder des Health Innovation Hub (HIH) zurückgegriffen werden.

Sebastian Vorberg selbst klärt am 20. Februar 2021 live im Rahmen eines digitalen Workshops zum Thema „Datenschutz in der digitalen Medizin“ auf und stellt sich dort den Fragen und Anliegen der Ärzt:innen. „Mir ist wichtig, für das Thema zu begeistern. Ich möchte Unwissenheit mit möglichst viel Wissen füllen und damit Ängste rund um das Thema Datenschutz nehmen sowie Selbstbewusstsein für die neuen Methodiken fördern“, so Vorbergs engagiertes Ziel.

Der Workshop findet im Rahmen der Veranstaltung HCP.digital statt, einem Format der auf ärztliche Fortbildung spezialisierten face to face GmbH. Speziell für niedergelassene Ärzt:innen referieren Expert:innen zu Themen rund um die Digitalisierung in der Arztpraxis. Zur Wahl stehen 4 von insgesamt 8 Workshops (je 40 min.), aufgeteilt auf 2 Sessions, plus 2 Vorträge. Workshop-Themen sind u. a. medizinische Apps, Videosprech­stunde, präventives Monitoring oder die digitale Anamnese. Auch für MFAs gibt es 4 Workshops in 2 Sessions zu relevanten Themen für den digitalen Praxisalltag.
Die genaue Agenda sowie weitere Informationen zur Teilnahme und zu den Referent:innen finden Sie unter hcp.digital.

 


<contact_head>Autorin</contact_head><contact_body>Yvonne Emard </contact_body><paragraph/><
Autorin
Yvonne Emard

Erschienen in: doctors|today, 2021; 1 (1) Seite 50-54
Dieser Beitrag wurde ursprünglich auf doctors.today publiziert.