Beide streitbar, beide selbstbewusst bis zum Anschlag, und beide müssen innerhalb eines regulatorischen Rahmens agieren, den sie sich nicht selbst ausgesucht haben: Wenn der Geschäftsführer der gematik, Markus Leyck-Dieken, und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, über das digitale deutsche Gesundheitswesen diskutieren, dann kann Klartext erwartet werden.
Genauer: Wenn sie über das nicht so digitale deutsche Gesundheitswesen diskutieren. Kelber brachte das prägnant auf den Punkt: „Wir liegen weit zurück und verlieren noch an Boden.“ Leyck-Dieken widersprach da nicht, er sieht das auch so, das ist kein Geheimnis. Er eröffnete die „Debattierclub“ gelabelte Veranstaltung mit einem der Aufregerthemen der letzten Monate, der – mühsamen – Einführung einer praktikablen elektronischen Identität (eID) für das deutsche Gesundheitswesen.
Leyck-Dieken: „eID muss aus dem Handgelenk funktionieren“
Viele entsprechende Anbieter stünden mit Lösungen für die von den Krankenkassen auszugebende eID „an der Türschwelle“, so Leyck-Dieken. Die Diskussionen mit den Datenschützern müssten jetzt schnell „zu einem produktiven Abschluss“ kommen. Die Rückmeldung der Krankenkassen zur ersten Spezifikation, die vor wenigen Monaten vorgelegt worden war, sei aber dahingehend, dass das Verfahren für die Folgeauthentifizierungen den Bürger:innen „nicht zu vermitteln“ sei. „Für die Erstauthentifizierung ist ein Personalausweise sine qua non, aber in der täglichen Verwendung muss die eID aus dem Handgelenk funktionieren. Wir wurden deswegen gebeten, einen neuen Vorschlag zu machen.“
Der gematik-Chef setzt hier auf eine Brücke, die das KHPflEG-Gesetz gebaut hat. Demnach könne es den Bürger:innen freigestellt werden, ob sie ein höchstmögliches oder, nach Aufklärung, ein etwas weniger hohes Sicherheitsniveau nutzen wollen. In einem solchen Fall könnten dann bei der eID biometrische oder andere einfache und alltagstaugliche Identifizierungen für Folgeauthentifizierungen genutzt werden, sofern es eine adäquate Erstauthentifizierung gegeben hat. Bei der Interpretation der entsprechenden Passagen des KHPflEG gebe es allerdings einen Dissens mit dem BfDI, der aufgelöst werden müsse, so Leyck-Dieken.
Kelber: „Was wir bisher haben, ist nichts“
Kelber ging in seiner Replik zum einen auf die ID-Thematik, zum anderen aber auch auf das davon zunächst einmal unabhängige Opt-out-Konzept der ePA ein. Er begann allerdings mit einem für manche vielleicht überraschenden Satz: „Meine Grundeinstellung in einer ePA wäre, dass jeder Arzt alle meine Daten sieht.“ Allerdings müsse es zwingend die Möglichkeit geben, auch etwas anderes einzustellen.
In Sachen Opt-out-ePA ist Kelber deswegen skeptisch, weil er das Problem der ePA eigentlich an anderer Stelle sieht. Die bisherige ePA sei schlicht nicht suffizient: „Was wir bisher haben, ist nichts.“ Es gebe keine Anwendungen auf der ePA, keine strukturierten Daten, und in Version 1 der ePA hätten viele wichtige Funktionen, die seit 20 Jahren vereinbart seien, schlicht gefehlt. „Weil etwas nichts bringt und deswegen von vielen nicht genutzt wird, ändern wir jetzt die Nutzungsbedingungen.“
In Sachen eID und unterschiedlichen Sicherheitsniveaus bleib Kelber zurückhaltend. Grundsätzlich habe jeder Versicherte das Recht, zu verfügen, wie mit seinen Daten hantiert werde. Jeder könne beispielsweise von seinem Arzt verlangen, dass ein medizinisches Dokument per ungesicherter E-Mail verschickt wird. Was aber nicht gehe sei, dass der Standardweg in der dauerhaften Einwilligung in ein niedriges Sicherheitsniveau bestehe: „Wenn ich das Herrn Leyck-Dieken durchgehen lasse, dann kommen morgen die Alphabets“, so Kelber.
Natürlich ging es auch wieder um die üblichen Details, an denen sich solche Diskussionen am Ende (zu) häufig festmachen. 90 Prozent der jetzigen Mobilgeräte hätten Secure Elements, so Kelber im Zusammenhang mit der eID, und wenn das der Fall sei, dann müsse man sich nur alle sechs Monate erneut mit ePersonalausweis oder eGK identifizieren. Kelber hält das für zumutbar. Leyck-Dieken wies daraufhin, dass das für die neuen, aber nicht die im Feld befindlichen Mobilgeräte gelte, die mehrheitlich noch keine Secure Elements hätten.
Auch in Sachen Opt-out argumentierte Leyck-Dieken im Debattierclub und bei einer Folgediskussion am Siemens-Stand in Richtung Inklusivität. Die Opt-out-ePA sorge am Ende für mehr Versorgungsgerechtigkeit, weil mit ihr auch jene Menschen vom digitalen Gesundheitswesen profitieren, die sich mit einer ePA nicht auseinandersetzen wollen oder es wegen fehlender Bildung, fehlender Sprachkompetenz oder aus anderen Gründen nicht können. „Es kann nicht sein, dass am Ende nur der Oberstudienrat in Dahlem eine ordentlich geführte ePA nutzen kann, weil der die Bildung, die Zeit und den Wohlstand hat, sich darum zu kümmern“, so Leyck-Dieken.