1 Einleitung

Für Menschen in einer Notfallsituation zählt oft jede Minute. Ärzte, Notfallsanitäter und Mitarbeiter medizinischer Institutio-nen müssen unverzüglich und schnell handeln. In diesem Szena-rio ist es undenkbar, erst Informationen über die medizinische Vorgeschichte des Patienten bspw. bei dessen Hausarzt einzuho-len. Ebenso können die Patienten selbst oft keine Auskunft ge-ben, da sie z. B. nicht ansprechbar sind oder unter Schock stehen. Es sind aber meist genau diese medizinischen Informationen, die einen ungünstigen Behandlungsverlauf abwenden können, wenn sie dem behandelnden Heilberufler frühzeitig bekannt sind.

Dieser Informationsengpass wird nun vom Notfalldaten-Ma-nagement (NFDM) geschlossen. NFDM ist eine freiwillige me-dizinische Fachanwendung der Telematikinfrastruktur (TI) des deutschen Gesundheitswesens gemäß § 291a SGB V1. Genau ge-nommen handelt es sich um zwei voneinander unabhängige frei-willige Anwendungen. Zum einen das Erstellen und Pflegen des „Notfalldatensatzes“ (NFD) und zum anderen das Erstellen und Pflegen des „Datensatzes persönliche Erklärungen“ (DPE). Bei den Versicherten, die diese Anwendungen nutzen möchten, sind beide Datensätze getrennt voneinander auf der elektronischen Gesundheitskarte (eGK) abgelegt.

Da es sich bei den Notfalldaten um personenbezogene medizi-nische Daten, also besonders sensible Daten handelt, spielen Da-

1 Sozialgesetzbuch (SGB) Fünftes Buch (V) – Gesetzliche Krankenversiche-rung – (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477).

tenschutz und Informationssicherheit bei NFDM eine sehr wich-tige Rolle. Im Folgenden soll dargestellt werden, wie die in NFDM verarbeiteten Daten geschützt und die Rechte des Versicherten gewahrt werden, wobei der Fokus auf der Informationssicher-heit liegt.

2 Notfalldatensatz

Zunächst stellt sich die Frage, welche Daten eines Versicherten Inhalt des NFD sein können. Notfalldaten sind im Rahmen der Anwendung NFDM wie folgt definiert:

„Notfallrelevante medizinische Informationen sind diejeni-gen Informationen aus der Vorgeschichte des Patienten, die dem behandelnden Arzt zur Abwendung eines ungünstigen Krankheitsverlaufs sofort zugänglich sein müssen.“

In Abstimmung mit der Bundesärztekammer sind schließlich die folgenden Informationen als notfallrelevant definiert worden:

Befunddaten Besondere Hinweise (bspw. Schwangerschaft, Implantate) Allergien & Unverträglichkeiten Diagnosen

Medikationsdaten Arzneimittel (Wirkstoffe, Dosierschema)

Freiwillige Zusatzinformationen Zusatzinformationen durch den Versicherten (bspw. Blut-gruppe)

Es wird deutlich, dass es sich bei den Informationen um perso-nenbezogene Daten gemäß § 3 Abs. 1 BDSG handelt, die aufgrund ihrer Gesundheitsbezogenheit zudem besonders schützenswerte Daten i. S. d. § 3 Abs. 9 BDSG darstellen.2 Zusätzlich zu den medi-zinischen Informationen wird ebenfalls der jeweilige Arzt gespei-chert, der die Angaben hinterlegt hat. Dies erleichtert eine schnel-le Kontaktaufnahme bei eventuellen Rückfragen.

2 Zum Begriff sensibler Daten bspw. bei Gola/Schomerus, BDSG, 11. Aufl., München 2012, § 3 Rn. 56; Buchner, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 3 Rn. 57 ff. m. w. Nw.

Dr. Lars Zimmer

Spezialist für Informationssicherheit bei der gematik. Sicherheits- konzeption für Fachanwendungen und Infrastrukturdienste der Telematikinfrastruktur

E-Mail: lars.zimmer@gematik.de

Lars Zimmer

Notfalldaten-Management mit der elektronischen Gesundheitskarte

Schutz medizinischer Versichertendaten auf der eGK

Im Notfall bleibt medizinischen Einsatzkräften keine Zeit Informationen zur medizinischen Vorgeschichte des Patienten zu sammeln. Da aber genau solche Informationen lebensrettend sein können, wird es zukünftig möglich sein, diese freiwillig auf der elektronischen Gesundheitskarte zu hinterlegen und für den Notfall zugänglich zu machen. Der Beitrag zeigt, wie Informationssicherheit und Datenschutz in der Architektur des Notfalldaten-Managements verankert sind, so dass die Sicherheit dieser medizinischen Daten gewährleistet ist.

394 DuD • Datenschutz und Datensicherheit 6 | 2014

AUFSÄTZE

3 Datensatz persönliche Erklärungen

Der DPE ist ein eigenständiger Datensatz und wird unabhängig vom NFD verwaltet. Die Definition der persönlichen Erklärun-gen lautet:

„Persönliche Erklärungen sind Hinweise auf den Aufbe-wahrungsort von Willenserklärungen des Patienten zum Behandlungsverlauf oder zur Organ- und Gewebespende.“

Der DPE enthält also nicht die persönlichen Erklärungen selbst, sondern lediglich einen Hinweis auf den Ablageort der jeweiligen Erklärung. In Situationen, in denen diese Erklärungen benötigt werden, ist der Patient in der Regel selbst nicht ansprechbar oder auskunftsfähig. Über die im DPE hinterlegten Hinweise sind die Erklärungen trotzdem schnell zu finden.

Die persönlichen Erklärungen können den jeweiligen Aufbe-wahrungsort der Gewebe- und Organspendeerklärung3, der Vor-sorgevollmacht (vgl. §§ 164 ff. BGB) sowie der Patientenverfü-gung (vgl. § 1901a BGB) beinhalten. Die Informationen zur Vor-sorgevollmacht enthalten zudem Kontaktdaten des Bevollmäch-tigten, damit dieser im Ernstfall erreicht werden kann. Im DPE befinden sich somit auch personenbezogene Daten jedoch im Ge-gensatz zum NFD keine medizinischen Daten.

4 Einwilligung

Die Anwendung NFDM ist für jeden Versicherten freiwillig. Es ist gesetzlich verankert, dass sowohl für das erstmalige Anlegen des NFD als auch des DPE eine Einwilligung des Versicherten vorliegen muss (vgl. § 291a Abs. 3 SGB V), welche nach Bundes-datenschutzgesetz der Schriftform bedarf.4 Der Name des jewei-ligen Arztes, bei dem diese Einwilligung erstellt und hinterlegt wurde, ist sowohl im NFD als auch im DPE gespeichert, wodurch die Einwilligung auf der eGK dokumentiert wird.

Der Versicherte kann seine Einwilligung jederzeit widerrufen. Durch das Löschen des NFD und/oder DPE wird dann auch die jeweilige Dokumentation der Einwilligung von der eGK entfernt.

5 Speicherort

NFD und DPE werden ausschließlich dezentral innerhalb des vom Versicherten oder Arzt kontrollierten Bereichs gespeichert.5 Sie liegen somit einerseits auf der eGK des Versicherten und an-dererseits beim erstellenden Arzt in dessen Behandlungsdoku-mentation vor.

Die beiden Datensätze werden zugriffsgeschützt jedoch nicht verschlüsselt auf der eGK gespeichert. Sind Daten verschlüsselt auf der eGK hinterlegt, erzwingt dies immer die Eingabe der PIN des Versicherten, wenn die Daten gelesen und somit vorher ent-schlüsselt werden sollen. Diese zwingende PIN-Eingabe vor je-

3 Näher geregelt im Transplantationsgesetz, zu finden unter http://www. gesetze-im-internet.de/tpg/index.html (letzter Abruf 19.3.2014).

4 Geregelt in § 4a Abs. 1 Satz 3 BDSG.5 Für eine zukünftige Ausbaustufe der Anwendung NFDM ist das Angebot

zur freiwilligen Nutzung eines Online-Backups der Datensätze geplant. Entschei-det sich ein Versicherter für dieses Backup, könnten nach einem eventuellen Ver-lust oder Defekt seiner eGK die Datensätze auf der neuen eGK wiederhergestellt werden. Die Daten werden verschlüsselt gespeichert und das Wiederherstellen und somit Entschlüsseln der Daten ist ausschließlich unter Mitwirkung des Versi-cherten möglich.

dem Lesen ist unvereinbar mit dem Sinn und Zweck der Anwen-dung NFDM. Dies wird im folgenden Abschnitt näher erläutert.

6 Zugriffsberechtigungskonzept6

Da in der Anwendung NFDM personenbezogene medizinische Daten verarbeitet werden, die besonderer Vertraulichkeit unter-liegen, ist es im Interesse des Versicherten und des Heilberuf-lers, den Zugriff auf diese Daten nur berechtigten Akteuren zu gewähren. Das Interesse des Versicherten gilt seiner Privatsphä-re und jenes des Heilberuflers der ärztlichen Schweigepflicht. Das Berechtigungskonzept für den Zugriff der einzelnen Akteu-re der TI (Arzt, Apotheker, Notfallsanitäter etc.) auf den NFD oder den DPE, ist daher ein besonders wichtiger Teil der Anwen-dung NFDM.

Zunächst muss sich die Motivation für das Anlegen eines NFD und eines DPE in Erinnerung gerufen werden. Die Daten sollen in Situationen, in denen sie benötigt werden, ohne Interaktion des Versicherten für bestimmte Heilberufler zugänglich sein, da der Versicherte selbst nicht ansprechbar oder auskunftsfähig ist. Ein übergreifender Zugriffsschutz der Daten durch die PIN des Versicherten – auch indirekt über eine Verschlüsselung der Da-ten auf der eGK – widerspricht diesem Zweck, obwohl eine sol-che Maßnahme auf Grund der Vertraulichkeit der Informatio-nen naheliegen mag.

Bestimmte Heilberufler müssen also auch ohne Eingabe der PIN des Versicherten Zugriff auf NFD und DPE von der eGK er-halten. Gleichzeitig muss sichergestellt sein, dass die Daten nicht für unberechtigte Personen, die eventuell in Besitz der eGK kom-men, zugänglich werden.

6.1 Berechtigte Akteure und ihre Zugriffsrechte

Ziel des Berechtigungskonzepts ist es, den Kreis der Akteure, die auf den NFD und/oder den DPE zugreifen dürfen, so groß wie nötig, aber so klein wie möglich zu halten. In Abstimmung mit den betroffenen Heilberuflern, dem Bundesministerium für Ge-sundheit und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wurde nach dieser Prämisse das Berech-tigungskonzept der Anwendung NFDM erstellt.

Die einzigen Akteure, die neben dem Versicherten selbst über-haupt auf den NFD zugreifen können, sind Ärzte und deren Mit-arbeiter7, Zahnärzte und deren Mitarbeiter, Notfall sanitäter8, Apotheker, Mitarbeiter in Apotheken und Psychotherapeuten. Dies gilt unabhängig von der Art der Zugriffsrechte und davon, ob das Recht unmittelbar oder erst durch Autorisierung des Ver-sicherten mittels Eingabe seiner PIN gewährt wird. Auf den DPE haben neben dem Versicherten ausschließlich Ärzte und deren

6 Für die Beschreibung technischer Abläufe wird im vorliegenden Artikel ausschließlich die eGK der 2. Generation betrachtet, da diese für den Wirkbetrieb der Anwendung NFDM die größere Relevanz hat. Die Unterschiede in den jewei-ligen technischen Abläufen bei Karten der 1. Generation sind nur gering.

7 Dies beinhaltet im Kontext von NFDM auch medizinisches Personal in Krankenhäusern.

8 Im Gesetz ist festgelegt, dass „in Notfällen auch Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert“, auf Notfalldaten zugreifen dür-fen (vgl. § 291a Abs. 4 S. 2 SGB V). Im Fokus von NFDM stehen hierbei nur Notfall-sanitäter und Rettungsassistenten. Im Rahmen dieses Artikels wird zur Vereinfa-chung nur von Notfallsanitätern gesprochen.

DuD • Datenschutz und Datensicherheit 6 | 2014 395

AUFSÄTZE

Mitarbeiter Zugriff. Nur diesen jeweiligen Personenkreisen ist es mittels ihres Heilberufsausweis (HBA) oder im Falle der Mitar-beiter von Ärzten, Zahnärzten bzw. einer Apotheke mit der In-stitutionskarte (Security Modul Card Typ B, SMC-B) technisch möglich, auf die Daten zuzugreifen.9

6.1.1 Zwingender und optionaler PIN-Schutz

Wie bereits erwähnt, ist in bestimmten Fällen die Eingabe der PIN des Versicherten notwendig, um Zugriffsrechte zu gewähren. Dabei ist wiederum zu unterscheiden zwischen Fällen, in denen dieser PIN-Schutz zwingend ist und Fällen, in denen er optional ist. Es ist dem Versicherten überlassen, ob er für bestimmte Zu-griffe einen zusätzlichen PIN-Schutz aktivieren möchte. Die kon-kreten Fälle werden in den folgenden Unterkapiteln beschrieben.

Das Aktivieren und Deaktivieren des optionalen PIN-Schut-zes kann der Versicherte zukünftig entweder an speziell für die Anwendungen des Versicherten bereitgestellten Versicherten-Ter-minals oder mit spezieller Software für den privaten PC auch zu Hause durchführen.

6.1.2 Schreibender Zugriff

Im Folgenden wird die technische Berechtigung zum Schreiben der Daten auf die eGK betrachtet, die auch das Löschen der Da-ten beinhaltet. Die technische Berechtigung zum Lesen der Da-ten von der eGK wird im Abschnitt darauf behandelt.

Auf den DPE haben ausschließlich Ärzte sowie deren Mitar-beiter schreibenden Zugriff. Der NFD kann zusätzlich auch von Zahnärzten und deren Mitarbeitern geschrieben werden. Eben-so kann der Versicherte selbst den DPE schreiben, indem er die Versicherten-Terminals nutzt. Bei allen Schreibvorgängen bezüg-lich NFD und DPE kommt immer der optionale PIN-Schutz zum Tragen. Hat der Versicherte diesen aktiviert, muss stets vor dem Schreiben die PIN des Versicherten eingegeben werden.

6.1.3 Lesender Zugriff

Für den lesenden Zugriff ist das vorliegende Szenario von Be-deutung.

NotfallsituationZu Beginn des Projekts NFDM sind in Abstimmung mit Vertre-tern der Ärzte (Bundesärztekammer) die folgenden drei Szena-rien als Notfallszenarien definiert worden:

Präklinische Patientenversorgung durch Rettungsdienst (bspw. nach einem Verkehrsunfall)

Ungeplante Patientenaufnahme in der Notaufnahme eines Krankenhauses

Arzt trifft im ambulanten Versorgungssektor auf unbekannten Patient mit Akutbeschwerden

In einer solchen Notfallsituation dürfen auf den DPE Ärzte und deren Mitarbeiter und auf den NFD zusätzlich auch Zahnärz-te und deren Mitarbeiter sowie Notfallsanitäter zugreifen. Die-se Rechte werden ohne PIN-Schutz gewährt, was sich aus der be-reits beschriebenen Motivation und dem Zweck der Anwendung NFDM ableitet.

9 Ein Zugriff ohne einen HBA (bspw. durch den Mitarbeiter), muss durch eine Person die über einen HBA verfügt (bspw. Arzt) autorisiert werden.

Aktualisierung des DatensatzesZum Zwecke der Aktualisierung und Pflege des Datensatzes – also bspw. im Zuge des Routinebesuchs beim Hausarzt – ist der lesende Zugriff auf den DPE für Ärzte sowie deren Mitarbeiter und auf den NFD zudem auch für Zahnärzte sowie deren Mitar-beiter gestattet. In diesem Szenario gibt es ebenfalls keine Abfra-ge der PIN des Versicherten.

Außerhalb von Notfall und AktualisierungIn den sonstigen Fällen – abseits von Notfall und Aktualisierung – dürfen Ärzte und deren Mitarbeiter auf den DPE sowie zusätz-lich Zahnärzte und deren Mitarbeiter auf den NFD lesend zu-greifen, wobei hier der optionale PIN-Schutz greift. Zusätzlich ist Apothekern und Mitarbeitern der Apotheke sowie Psychothe-rapeuten der lesende Zugriff gestattet, jedoch ausschließlich mit zwingendem PIN-Schutz.

Darüber hinaus kann der Versicherte selbst lesend auf den NFD und den DPE zugreifen. Der technische Zugriff des Versicherten ist dabei über die bereits erwähnten Versicherten-Terminals bzw. im Fall des DPE außerdem über eine Anwendung auf dem heimi-schen PC möglich. Da auf den NFD gemäß § 291a Abs. 5 S. 3 SGB V nur in Verbindung mit einem HBA zugegriffen werden darf, ist der Einblick in den NFD für den Versicherten ausschließlich an Versicherten-Terminals in Arztpraxen, Krankenhäusern oder anderen Umgebungen unter Arztaufsicht möglich. Beim lesen-den Zugriff auf den NFD oder DPE über einen Versicherten-Ter-minal oder eine Heim-PC-Anwendung (nur DPE) gilt der zwin-gende PIN-Schutz, so dass niemand durch bloßen Besitz einer eGK deren Daten an einem Versicherten-Terminal auslesen kann.

Tabelle 1 gibt eine genaue Übersicht über die beschriebenen Zugriffsrechte der verschieden Akteure.

Tabelle 1 | Zugriffsrechte auf NFD und DPE

Recht

Akteur

NFD lesen NFD

schreibenNotfall Aktual. sonst.

Versicherter PIN*

Arzt & MA X X PIN PIN

Zahnarzt & MA X X PIN PIN

Notfallsanitäter X

Apotheker & MA PIN

Psychotherapeut PIN

Recht

Akteur

DPE lesen DPE

schreibenNotfall Aktual. sonst.

Versicherter PIN PIN

Arzt & MA X X PIN PIN

PIN (fett) = zwingender PIN-Schutz; PIN (kursiv) = optionaler PIN-Schutz; * = nur in Verbindung mit einem HBA; MA = Mitarbeiter

6.2 Durchsetzung der Zugriffsrechte

Wie der bisherigen Beschreibung des Berechtigungskonzepts ent-nommen werden kann, beruht der Schutz des NFD und des DPE zum einen auf der Beschränkung des Kreises der Akteure, die zu-greifen dürfen, und zum anderen auf einer zusätzlichen Differen-zierung verschiedener Szenarien.

396 DuD • Datenschutz und Datensicherheit 6 | 2014

AUFSÄTZE

6.2.1 Beschränkung der berechtigten Akteure

Bis auf den Fall des Versicherten selbst – er beweist seine Identi-tät technisch durch die Eingabe seiner PIN – wird die Zugriffs-beschränkung auf bestimmte Akteure mit Hilfe des HBA bzw. der SMC-B dieser Akteure technisch durchgesetzt. Mit dem HBA bzw. der SMC-B können sich Akteure der TI auch technisch aus-weisen und zwar gegenüber der eGK. Je nachdem um welchen Akteur es sich handelt (Arzt, Mitarbeiter, Notfallsanitäter etc.), verleiht der HBA / die SMC-B diesem bestimmte Zugriffsrechte auf der eGK. Dies geschieht im Zuge einer Card-to-Card Authen-tisierung (C2C) mit Hilfe einer PKI basierend auf Card Verifiable Certificates (CVC, CV-Zertifikate).

Card-to-Card AuthentisierungDie Hierarchie der PKI der CV-Zertifikate ist zweistufig. Unter der höchsten Certificate Authority (CA), der CVC-Root-CA, be-finden sich CVC-CAs, welche dann direkt Endnutzer-CV-Zerti-fikate ausstellen.

Die Prüfung der Identität eines HBA / einer SMC-B (im Folgen-den nur noch HBA, da der Ablauf für eine SMC-B identisch ist) erfolgt in drei Schritten. Zunächst präsentiert der HBA der eGK sein CVC-CA-Zertifikat. Dieses ist entsprechend von der CVC-Root-CA signiert und die eGK prüft die Signatur mit dem fest auf ihr aufgebrachten öffentlichen Schlüssel der CVC-Root-CA. Anschließend präsentiert der HBA der eGK sein Endnutzer-CV-Zertifikat. Dessen Signatur von der CVC-CA prüft die eGK mit dem öffentlichen Schlüssel der CVC-CA, der im vorher erhalte-nen CVC-CA-Zertifikat enthalten ist. Mit diesen zwei Schritten ist die Echtheit des Endnutzer-CV-Zertifikats bewiesen. Im letz-ten Schritt muss der HBA der eGK beweisen, dass er im Besitz des zum öffentlichen Endnutzer-CV-Zertifikat gehörenden pri-vaten Schlüssels ist, den nur der echte HBA besitzen kann. Dafür erzeugt die eGK einen Zufallswert (Challenge), den der HBA mit dem privaten Schlüssel signieren muss. Die Nutzung dieses pri-vaten Schlüssels unterliegt einem PIN-Schutz. Der Heilberufler kann eine C2C also nur durchführen, wenn er seinen HBA mit-tels PIN-Eingabe freigeschaltet hat. Die Signatur der Challenge kann die eGK mit dem im Endnutzer CV-Zertifikat enthaltenen öffentlichen Schlüssel prüfen. Schlägt keiner der drei Schritte fehl, hat sich der HBA erfolgreich gegenüber der eGK authentisiert.

FlaglistenDie Endnutzer-CV-Zertifikate des HBA / der SMC-B enthalten die Informationen über die Rechte, die dem jeweiligen Akteur auf der eGK gewährt werden. Diese sind in Form von Flaglisten hinterlegt und von der Signatur des Zertifikats umfasst, so dass eine Fälschung der Flagliste zu einem Fehler in der C2C führt.Jedes Flag in der Flagliste entspricht genau einer Berechtigung auf der eGK, und ein Flag kann entweder gesetzt oder nicht ge-setzt sein, die Berechtigung also gewährt oder nicht gewährt wer-den. Nur genau die Flaglisten des HBA / der SMC-B der oben er-wähnten Akteure haben die entsprechenden Flags für den lesen-den oder schreibenden Zugriff auf den NFD oder DPE gesetzt.

Somit ist technisch garantiert, dass nur berechtigte Akteure Zugriff auf die Daten der Anwendung NFDM haben. Da auch der HBA und die SMC-B über eine PIN geschützt sind, führt auch der Verlust oder Diebstahl bspw. eines HBA nicht dazu, dass ei-ne unberechtigte Person Zugriff auf den NFD oder den DPE er-langt, da der HBA erst mit dem PIN freigeschaltet werden müsste.

Zur Veranschaulichung ist in Tabelle 2 für die Akteure mit Zu-griffsrechten auf den NFD und DPE der Ausschnitt der Flagliste in den CV-Zertifikaten ihres HBA / ihrer SMC-B dargestellt, der den NFD / den DPE betrifft.

Tabelle 2 | Ausschnitt der Flaglisten der Akteure mit Zugriffsrechten auf den NFD / DPE

Akteur

Flag /

Berechtigung Arz

t

Mit

arb

eit

er

Arz

t

Za

hn

arz

t

MA

Za

hn

arz

t

Ap

oth

ek

er

MA

Ap

oth

ek

e

Psy

cho

the

rap

eu

t

No

tfa

llsa

nit

äte

r

NFD schreiben

mit PIN.NFDX X X X

NFD lesen

mit PIN.NFDX X X

NFD lesen

ohne PINX X X X X

DPE schreiben

mit PIN.PEX X

DPE lesen

mit PIN.PE

DPE lesen

ohne PINX X

mit PIN (fett) = zwingender PIN-Schutz; mit PIN (kursiv) = optionaler PIN-Schutz; MA = Mitarbeiter

6.2.2 Differenzierung der Szenarien

Bei der zusätzlichen Differenzierung von Zugriffsrechten ver-schiedener Akteure in verschiedenen Szenarien ist zu beach-ten, dass dies nicht durch die eGK technisch durchgesetzt wer-den kann. Die zuvor beschriebene Einschränkung des Kreises der berechtigten Akteure wird über die Flaglisten auf den berechtig-ten Karten direkt von der eGK im Zuge der C2C realisiert. Eine Unterscheidung verschiedener Szenarien durch die eGK ist hin-gegen nicht möglich. Das heißt die eGK kann nicht erkennen, ob es sich im konkreten Fall um einen Notfall handelt. Dementspre-chend gibt es keine spezielle Berechtigung – und auch kein dazu passendes Flag in der Flaglist – für den Fall „Lesen des NFD im Notfall“ oder „Lesen des DPE außerhalb von Notfall und Aktua-lisierung“. Es gibt lediglich z.B. die Berechtigung zum Lesen des NFD mit PIN-Schutz und jene zum Lesen des NFD ohne PIN-Schutz (vgl. Tabelle 2).

Daraus wird klar, dass die Berechtigungen so vergeben werden müssen, dass die eGK einem Arzt, Zahnarzt deren jeweiligen Mit-arbeitern sowie einem Notfallsanitäter immer die Berechtigung zum Lesen des NFD ohne PIN-Schutz gewähren wird (vgl. Ta-belle 2). Nur so ist garantiert, dass ein Lesen des NFD wenn nötig (z. B. Notfallsituation) ohne PIN-Eingabe durch den Versicher-ten möglich ist, auch wenn in anderen Situationen kein Leserecht oder lediglich ein Leserecht mit zusätzlichem PIN-Schutz ge-währt wird (vgl. Tabelle 1). Ebenso gewährt die eGK einem Apo-theker, dessen Mitarbeitern sowie einem Psychotherapeuten im-mer die Berechtigung den NFD nach zwingender PIN-Eingabe des Versicherten zu lesen (vgl. Tabelle 2), auch wenn das für die Szenarien Notfall und Aktualisierung nicht vorgesehen ist, son-dern nur in sonstigen Situationen (vgl. Tabelle 1).

An dieser Stelle kommt die Ablauf logik der Anwendung NFDM ins Spiel. Bevor der Heilberufler lesend auf den NFD oder

DuD • Datenschutz und Datensicherheit 6 | 2014 397

AUFSÄTZE

DPE zugreifen kann, muss er eine bewusste Entscheidung tref-fen, um welche Situation es sich handelt. Dies geschieht über ei-ne Abfrage auf dem Bildschirm seines Primärsystems oder dem Display eines mobilen Kartenterminals. Wird vom Heilberufler ein Szenario gewählt, welches nach Tabelle 1 einen zusätzlichen PIN-Schutz beinhaltet oder dem Heilberufler den Zugriff kom-plett verwehrt, wird dies von der Ablauflogik der Anwendung NFDM technisch durchgesetzt. Ob es sich im Falle eines zusätz-lichen PIN-Schutzes um einen zwingenden oder optionalen PIN-Schutz handelt, wird wiederum stets von der eGK durchgesetzt.

Das vom Heilberufler gewählte Szenario wird auch im Proto-koll der eGK festgehalten, so dass diese bewusste Entscheidung des Heilberuflers für den Versicherten nachvollziehbar bleibt (vgl. Kapitel 8).

7 Authentizität des NFD

Die Notfalldaten sind medizinische Informationen, die einen be-handelnden Heilberufler bei Entscheidungen unterstützen sollen, wie eine Notfall-Behandlung vorgenommen wird. Die Authenti-zität der Daten ist daher von höchster Wichtigkeit. Der lesende Heilberufler muss die Gewissheit haben, dass der NFD von einem Arzt erstellt wurden, der nach bestem Wissen und Gewissen für deren Korrektheit einsteht, um sie überhaupt in seine Entschei-dungsfindung einzubeziehen. Dieses Maß an Authentizität der Informationen und Rechtssicherheit für den lesenden Heilberuf-ler wird bei digitalen Dokumenten nur von einer qualifizierten elektronischen Signatur (QES) gewährt, die das digitale Äquiva-lent zur handschriftlichen Unterschrift darstellt.

Die QES des NFD wird bei jedem Lesen geprüft. Es findet da-bei stets eine vollständige, mit dem Signaturgesetz konforme Prü-fung unter Verwendung einer Signaturanwendungskomponen-te statt. Zu einer solchen vollständigen Prüfung gehört nicht nur die mathematische Prüfung der Signatur und die Prüfung der Zertifikatskette vom QES-Zertifikat bis zum Vertrauensanker der Bundesnetzagentur. Es muss auch der Sperrstatus des QES-Zerti-fikats geprüft werden. Dies gilt ebenso für das übergeordnete CA-Zertifikat des Zertifizierungsdiensteanbieters, der das QES-Zer-tifikat ausgestellt hat. Diese Prüfung geschieht üblicherweise on-line mittels des Online Certificate Status Protocol (OCSP). In vie-len Notfallsituationen steht jedoch keine Onlineanbindung zur Verfügung – bspw. an einer Unfallstelle und auf dem Weg zum Krankenhaus. Für diese Fälle werden bei der Erstellung der QES die aktuellen OCSP-Antworten – falls möglich – eingeholt und der QES beigefügt. Bei der Prüfung der QES im Offline-Fall, wer-den diese eingebetteten OCSP-Antworten kontrolliert, um so den Sperrstatus der Zertifikate zum Zeitpunkt der Signaturerstellung zu ermitteln. Eine eventuelle spätere Sperrung eines der beteilig-ten Zertifikate ist nicht von Bedeutung, wenn die Zertifikate bei der Signaturerstellung gültig waren.

Für den Fall, dass die QES-Prüfung fehlschlägt, wird dem le-senden Heilberufler der NFD dennoch angezeigt, jedoch mit ei-

ner Warnung, dass die QES nicht (oder nicht vollständig) verifi-ziert werden konnte. Ob die Notfalldaten berücksichtigt werden oder nicht, liegt somit nach wie vor im Ermessen des Heilberuf-lers, der die Information über die fehlende oder ungültige QES in diese Entscheidung mit einbezieht. Falls die fehlgeschlagene Veri-fikation der QES auf einen Fehler beim Erstellen zurückzuführen ist, wird so gewährleistet, dass der Heilberufler dennoch die Chan-ce hat, eventuell wichtige Information zur Kenntnis zu nehmen.

8 Nachvollziehbarkeit der Zugriffe auf NFD und DPE

Da es sich beim Zugriff auf den NFD oder den DPE um einen Zu-griff auf personenbezogene Daten des Versicherten handelt, muss dieser stets nachvollziehen können, wer wann und wie auf wel-che Daten zugegriffen hat. Dies ist über die Protokolldatei auf der eGK möglich. Die Ablauflogik der Anwendung NFDM gewähr-leistet eine automatische Protokollierung eines jeden Zugriffs. Der zugreifende Akteur kann die Protokollierung weder verhin-dern, noch deren Inhalt ändern. Im Falle eines lesenden Zugriffs wird auch protokolliert, in welcher Situation (Notfall, Aktualisie-rung, sonstige Szenarien) dies stattfand.Die Protokolldatei der eGK kann 50 Einträge aufnehmen, bevor dann jeweils der älteste Eintrag überschrieben wird. Das Proto-koll ist nur durch den Versicherten auslesbar. Es gibt keinen di-rekten Schreibzugriff auf die gesamte Protokolldatei. Lediglich das Anhängen neuer Einträge – und damit ab dem 51. Eintrag auch das Löschen des jeweils ältesten Eintrags – ist den Akteu-ren der TI technisch gestattet.

9 Zusammenfassung

Die freiwillige Anwendung Notfalldaten-Management soll Heil-berufler in Notfallsituationen mit wichtigen Informationen zur medizinischen Vorgeschichte des Patienten versorgen, um das Ri-siko für negative Behandlungsverläufe zu minimieren. Ebenso liefert sie Informationen, die die Durchsetzung des Willens des Patienten in Fällen, in denen er dies nicht selbst kann, unterstüt-zen sollen.

Diese Informationen sind dezentral auf der elektronischen Ge-sundheitskarte des Versicherten gespeichert und durch ein tech-nisch umgesetztes Zugriffsberechtigungssystem geschützt. Ein direkter Zugriff auf die Daten durch den bloßen Besitz der elek-tronischen Gesundheitskarte ist dadurch unmöglich.

Die medizinischen Informationen werden nur von Ärzten er-stellt und von diesen qualifiziert elektronisch signiert, wodurch die Authentizität der Daten bei jedem Lesen gewährleistet wer-den kann.

Die Zugriffe auf seine Daten kann der Versicherte über ein Pro-tokoll auf seiner elektronischen Gesundheitskarte stets nachvoll-ziehen.

398 DuD • Datenschutz und Datensicherheit 6 | 2014

AUFSÄTZE