9. Gesundheit
9.1
Maschinenlesbare Patientenkarten mit medizinischen Daten
Maschinenlesbare Karten gibt es in den verschiedensten Formen, insbesondere als Prägekarte oder Magnetstreifenkarte, Chipkarte (einfache Speicherkarte, intelligente Speicherkarte mit Bereichen, auf die nach vorangegangener Prüfung zugegriffen werden kann, multifunktionale Prozessor Chipkarte mit CPU, die Rechenfunktionen und Speicherschutz ermöglichen, sog. "Smart-Cards"), optische Karten (reine Speicherkarten für Anwendungen, die viel Speicherplatz benötigen wie z.B. für Röntgenaufnahmen, Kardiogramme etc.) oder auch als Kombination verschiedener Typen.
Die ab 1993/94 in Chipkartenform bundesweit als Krankenscheinersatz vorgesehene Krankenversichertenkarte (vgl. 21. Tätigkeitsbericht, Ziff.9.2), die ebenfalls keine medizinischen Daten enthält, ist eine einfache Speicherkarte. Der Umfang der auf der Krankenversichertenkarte gespeicherten Daten ist in § 291 Sozialgesetzbuch V (SGB V) abschließend geregelt (ausstellende Krankenkasse, Name, Geburtsdatum und Anschrift des Versicherten, Krankenversichertennummer, Versichertenstatus, Zeit des Versicherungsschutzes), ebenso der Zweck der Karte. Die Karte darf nur für den Nachweis der Berechtigung zur Inanspruchnahme von Leistungen sowie für die Abrechnung mit den Leistungsträgern verwendet werden. Die mit dem Einsatz der Krankenversichertenkarte verbundenen Fragen betreffen - neben der Datensicherheit - in erster Linie den Gesamtkontext der Verarbeitung der personenbezogenen Versichertendaten: Die Krankenversichertenkarte ist ein Teil der im Gesundheitsreformgesetz und im Gesundheitsstrukturgesetz vom Gesetzgeber vorgesehenen Maßnahmen, mit denen der Gesetzgeber "Transparenz des Leistungsgeschehens" und Kostenbegrenzung im Gesundheitswesen erreichen will.
Unter Verwendung der Krankenversichertenkarte und maschinenlesbarer Formulare werden den Kassenärztlichen Vereinigungen und den Krankenkassen arzt- und patientenbezogene Daten auf Magnetbändern oder anderen maschinell verwertbaren Datenträgern übermittelt, und die Daten können bei diesen Stellen maschinell ausgewertet werden. Umfang und Zweck solcher Auswertungen waren vor Verabschiedung des Gesundheitsstrukturgesetzes Gegenstand intensiver datenschutzrechtlicher Diskussionen, die auch zu einer Reihe von Änderungen des ursprünglichen Gesetzentwurfs geführt haben, insbesondere zu einer strikten Zweckbindung der Versichertendaten. Die datenschutzrechtlichen Fragen betreffen somit weniger den Einsatz der Krankenversichertenkarte selbst als die Speicherung und Weiterverwendung der Versichertendaten bei den Kassenärztlichen Vereinigungen und den Krankenkassen.
Inzwischen zeichnen sich darüber hinausgehend immer mehr Möglichkeiten und Ziele der Verwendung maschinenlesbarer Karten für die Speicherung medizinischer Patientendaten ab. In der Regel geht es hierbei um Smart-Cards, da Präge- oder Magnetstreifenkarten eine zu geringe Speicherkapazität haben und einfache Chipkarten für die Speicherung sensibler Daten auch keine hinreichenden Sicherheitsvorkehrungen gegen einen Mißbrauch der Daten durch Unbefugte ermöglichen. Die bei einfachen Speicherkarten möglichen Sicherheitsvorkehrungen entsprechen in etwa denen einer Magnetstreifenkarte; die Sicherheitsvorkehrungen werden mit den Lesegeräten getroffen, die Karte hat keine eigene Sicherheitslogik.
International werden zahlreiche Pilotstudien zum Einsatz solcher Patientenkarten geplant bzw. durchgeführt, zum Teil existieren auch bereits Routineanwendungen. Die Speicherkapazität der Chipkarten wird sich in absehbarer Zeit so vergrößern, daß technisch gesehen auch die Speicherung der gesamten Krankengeschichte eines Menschen realisierbar sein wird. In Deutschland wird die Krankenversichertenkarte vielfach als Wegbereiter für den Einsatz umfassender Patientenkarten betrachtet, da durch die Einführung der Krankenversichertenkarte eine technische Infrastruktur geschaffen wird, die grundsätzlich auch für den Einsatz weiterer Karten genutzt werden kann.
Dies gibt Anlaß, sich mit den Chancen und Risiken dieser Entwicklung für das Recht auf informationelle Selbstbestimmung der Patienten auseinanderzusetzen.
9.1.1
Notfallkarten, Karten für besondere Patientengruppen,
Karten für
alle Patienten
Mit den Projekten zum Einsatz von Patientenkarten mit
medizinischen Daten werden in den verschiedenen Ländern
unterschiedliche Ziele verfolgt. Die Einzelheiten hängen
u.a.
auch von der jeweiligen nationalen Ausgestaltung des
Gesundheitssystems ab. Geht man von den Projekten aus, die
- jedenfalls in erster Linie - eine Verbesserung der
medizinischen Versorgung der Patienten anstreben, so sind vor
allem zu nennen:
- Notfallkarten für eine schnelle und einfache Verfügbarkeit
von
Notfalldaten (Blutgruppe, Rhesusfaktor, Allergien, Impfungen,
für den Notfall wichtige Krankheiten etc.) im Notfall;
- Patientenkarten für besondere Patientengruppen zum Zweck
einer
verbesserten Kommunikation unter den (mit-)behandelnden Ärzten
(Hausarzt, Fachärzte, Fachabteilungen eines Krankenhauses
etc.) im Zusammenhang mit der Behandlung chronisch Kranker
bzw. solcher Patienten, die intensiver Betreuung und Nachsorge
bedürfen, an der regelmäßig verschiedene Ärzte
bzw.
Institutionen beteiligt sind, sowie
- Patientenkarten zur generellen Verwendung mit einer
standardisierten, normierten, strukturierten
Behandlungsdokumentation, die dem Arzt einen Überblick über
die gesamte Krankengeschichte ermöglicht und die
Diagnosestellung und Behandlung erleichtern soll.
Ein Beispiel für eine Karte für Patienten, die intensiver Betreuung bedürfen, ist der in der Medizinischen Hochschule Hannover und verschiedenen Nachsorgestellen getestete Einsatz einer Smart-Card bei der Überwachung von implantierten Defibrillatoren (eine Notfallmaßnahme bei Herz-Kreislauf-Stillstand), die sog. Defi-Card. Betroffen sind hier Patienten, die intensiver Nachsorge nach einem festen zeitlichen Schema bedürfen. Sie erhalten von der Medizinischen Hochschule Hannover nach der Implantation die Defi-Card mit ihren medizinischen Behandlungsdaten und nehmen diese Karte zu allen Nachsorgeuntersuchungen bei den Kliniken ihres Wohnortes mit. Die Daten der Nachsorgeuntersuchungen werden von den diese Untersuchungen durchführenden Ärzten auf der Karte eingetragen. Wenn der Patient wegen einer erneuten Untersuchung, Reimplantation etc. zur Medizinischen Hochschule Hannover kommt, bringt er die aktuelle vollständige Dokumentation seiner Behandlung mit. Die Medizinische Hochschule Hannover aktualisiert und vervollständigt dann wiederum ihren Datenbestand und die Daten auf der Karte.
Ein weiteres Beispiel ist die ab Herbst 1993 mit dem Deutschen Krebsforschungszentrum als Projektkoordinator durchgeführte sog. Machbarkeitsstudie zum Einsatz der Smart-Card in der Krebsnachsorge. Beteiligt sind an der Studie u.a. niedergelassene Ärzte (Hausarzt, Radiologe, Internist etc.), verschiedene Krankenhausabteilungen sowie etwa 150 Patienten. Die Patienten erhalten zu Beginn der Nachsorge die Patientenkarte mit ihren Krankenhausbehandlungsdaten und bringen diese Karte zu jeder Nachsorgeuntersuchung mit. Die Daten sollen beim Arzt in seinen Datenbestand übernommen und aktualisiert und dann auch auf der Karte aktualisiert werden. Die Karte enthält neben Angaben zur Person, zum Versicherungsstatus etc. medizinische Informationen über Dauerdiagnosen (z.B. Diabetes, Allergien usw.), Tumordokumentation und Nachsorgeverlauf. Das Vorlegen der Karte durch den Patienten soll im Regelfall die Versendung eines Arztbriefs ersetzen. Auf jeden Fall enthält die Karte auch Angaben über das letzte Untersuchungsdatum und den behandelnden Arzt, so daß ggf. kurzfristig zusätzlich benötigte Informationen dort erfragt werden können.
Ein Beispiel für ein internationales Projekt ist die für 1994 geplante Pilotinstallation für die DIABCARD. Im Rahmen des AIM-Projektes (AIM=Advanced Informatics in Medicine) der EG-Kommission wird das Projekt DIABCARD unter Beteiligung von Italien, Spanien, Österreich und Deutschland geplant, das auf eine verbesserte Versorgung von Diabetikern abzielt. Die Karte soll eine detaillierte Dokumentation von Testergebnissen und Therapiedaten (Medikation etc.) enthalten, die dann jedem (mit-)behandelnden Arzt zur Verfügung steht. Für allgemeine Patientenkarten werden z.B. auf europäischer Ebene im Rahmen der Commission Européenne de Normalisation in verschiedenen technischen Kommissionen Standards einer Patientenkarte (insbesondere Beschriftung, Identifikation, Chip-Technik, Struktur der Inhalte, Inhalte der Karte) diskutiert. In den Diskussionen wird gegenwärtig überwiegend nicht davon ausgegangen, daß es sinnvoll ist, die Krankengeschichte vollständig auf einer Patientenkarte zu dokumentieren. Angestrebt wird eine - mehr oder weniger ausführliche - sog. "Basisdokumentation", die auch Angaben zu den jeweiligen behandelnden Ärzten enthält, so daß weitere Details dann ggf. bei diesen erfragt werden können.
Über den Umfang einer solchen Basisdokumentation ist noch keine Einigung erzielt worden. In der Diskussion waren bisher z.B. Angaben zur Identität des Patienten (Geburtsdatum, Adresse, Beruf, Versicherung etc.), Datum des Kontaktes mit den behandelnden Ärzten und Namen der Ärzte, Anlaß des Kontaktes, allgemeine Gesundheitsmerkmale (Größe/Gewicht, Sehfähigkeit, Hörfähigkeit, Blutgruppe, Unverträglichkeiten, Allergien, Risikofaktoren, Impfungen, chronische Krankheiten, Zusammenfassung der klinischen Vorgeschichte, Früherkennungsuntersuchungen etc.), Angaben zur gegenwärtigen Krankheit, Anzahl der Kontakte mit Ärzten hierzu, durchgeführte diagnostische und therapeutische Maßnahmen, Haupt- und Nebendiagnosen, Überweisungen, Ergebnisbewertungen.
9.1.2
Freiwilligkeit bei Verwendung der Karte durch den Patienten
Da § 291 Sozialgesetzbuch V, wie gesagt, eindeutig vorgibt, daß die Krankenversichertenkarte lediglich eine begrenzte Anzahl von persönlichen Angaben über den Versicherten enthalten darf, dürfen auf diese Pflichtkarte keine weiteren, insbesondere keine medizinischen Daten aufgenommen werden. Nach der derzeitigen Gesetzeslage in der gesetzlichen Krankenversicherung ist die Verwendung einer Karte mit medizinischen Daten nur auf freiwilliger Basis zulässig. Hierüber besteht auch grundsätzlich Einigkeit.
Aus datenschutzrechtlicher Sicht bedarf es jedoch einer näheren Betrachtung, was mit "Freiwilligkeit" bei Verwendung der Karte gemeint ist. Hierzu gehören insbesondere auch die Fragen, wieviel Entscheidungsfreiheit der Patient tatsächlich hat und worüber genau der Patient entscheiden kann (welche Daten auf die Karte aufgenommen werden, wer welche Daten auf der Karte lesen darf, wer Daten auf der Karte eintragen, wer die auf der Karte gespeicherten Daten in seinen Datenbestand überspielen darf?). Angesprochen sind hier zentrale Fragen des Arzt-Patientenverhältnisses, die einer Klärung bedürfen.
Grundsätzlich ist die Einwilligung eines Bürgers in die Verarbeitung seiner personenbezogenen Daten nur dann rechtswirksam, wenn er zuvor konkret über den vorgesehenen Umfang und Zweck der Verarbeitung seiner Daten informiert wurde (§ 7 Abs. 2 Hessisches Datenschutzgesetz (HDSG)). Eine Einwilligung des Bürgers kann sich daher nicht auf die generelle Verwendung einer Patientenkarte beziehen, sondern lediglich auf die Verwendung der Patientenkarte in einem konkreten Behandlungskontext; der Bürger muß also in jedem Einzelfall frei entscheiden können, ob er die Karte verwenden will.
Diese Gesichtspunkte sprechen nicht grundsätzlich gegen die Verwendung einer Patientenkarte, sie zeigen jedoch, daß mit einem pauschalen Hinweis auf die "Freiwilligkeit" der Verwendung die mit dem Einsatz einer Patientenkarte verbundenen datenschutzrechtlichen Fragen alleine keineswegs beantwortet sind.
9.1.3
Mehr Transparenz und Selbstbestimmung für den Patienten?
Mit der Patientenkarte werden zum Teil weitgehende Erwartungen hinsichtlich einer Stärkung der Patientenrechte verknüpft. So wird z.B. davon ausgegangen, daß der Patient durch eine Patientenkarte unabhängig wird von den Informationssystemen des Gesundheitswesens, daß er erstmalig "Herr seiner Gesundheitsdaten" wird und frei darüber entscheidet, wer seine Daten einspeichern, lesen und weiterverarbeiten darf.
Richtig ist daran sicherlich, daß die Aushändigung der Daten an den Patienten grundsätzlich die Chance eröffnet, die Patientenrechte in diese Richtung auszugestalten. Eine praktische Umsetzung derartiger Forderungen bzw. Annahmen zeichnet sich bisher allerdings nur sehr begrenzt ab.
Was den Inhalt der Karte anbelangt, so ist er in vielen Projekten, z.B. auch bei der Krebsnachsorgekarte, standardisiert und damit für den Patienten vorgegeben. Offen ist beispielsweise die Frage, was passiert, wenn ein Patient ein Datum - z.B. eine Aidsinfektion - nicht auf der Karte gespeichert haben will, insbesondere nicht auf einem Zugriffsbereich, der für jeden Arzt zugänglich ist, der behandelnde Arzt aber gerade eine Speicherung dieses Datums als Information für andere Ärzte als notwendig ansieht.
Wenn ein Patient darüber entscheiden können soll, welcher Arzt auf welche Daten von ihm zugreifen darf, so setzt dies zunächst technisch voraus, daß auf der Karte differenzierte Zugriffsbereiche eingerichtet sind, sonst läuft nämlich die Entscheidungsfreiheit des Patienten ins Leere. Grundsätzlich ermöglicht die technische Entwicklung der Smart-Cards die Einrichtung differenzierter Zugriffsbereiche. In den derzeitigen Pilotprojekten ist vielfach z.B. zwischen den Bereichen administrative Daten (Name, Adresse, Versicherungsstatus etc.), Notfalldaten und sonstige medizinische Daten unterschieden. Dies wird freilich nicht immer ausreichend sein.
Die Frage ist, wie die Zugriffsbereiche so ausgestaltet werden können, daß das Recht auf informationelle Selbstbestimmung der Patienten und die ärztliche Schweigepflicht hinreichend berücksichtigt sind. Bei der Krebsnachsorgekarte wird z.B. davon ausgegangen, daß jeder behandelnde Arzt sämtliche Behandlungsdaten des Patienten bezüglich der Krebserkrankung lesen können soll, Zugriffsbereiche sind hier insoweit nicht unterschieden. Dies entspricht der Ausgestaltung der Klinischen Krebsregister in Hessen, bei denen jeder (mit-)behandelnde Arzt im onkologischen Schwerpunktkrankenhaus auf sämtliche Daten seiner Patienten zugreifen darf (vgl. 19. Tätigkeitsbericht, Ziff. 5.1; 20. Tätigkeitsbericht, Ziff. 16.4). Die Kenntnis aller Daten ist für jeden Arzt für die Behandlung des Patienten erforderlich, der konkrete Behandlungszusammenhang ist hier gegeben.
Aus datenschutzrechtlicher Sicht problematischer wird die Frage der Ausgestaltung der Zugriffsberechtigung z.B. dann, wenn eine standardisierte, normierte umfassendere Krankengeschichte des Patienten auf der Karte dokumentiert wird. Es erscheint als zweifelhaft, daß tatsächlich bei jedem Arztbesuch die gesamte Patientenhistorie (sämtliche frühere Erkrankungen, Krankenhausaufenthalte, Behandlungsmaßnahmen etc.) eingesehen werden muß, unabhängig vom konkreten Behandlungszusammenhang.
Grundsätzlich besteht Konsens darüber, daß der Patient seine auf der Karte gespeicherten Daten lesen können muß. Dies kann z.B. durch einen aktuellen schriftlichen Ausdruck oder durch ein eigens beim Arzt dafür bereitgestelltes Terminal realisiert werden. Auch unabhängig von der Verwendung einer Patientenkarte hat der Patient nach der gegenwärtigen Rechtslage grundsätzlich das Recht, seine Krankengeschichte einzusehen. In Hessen ist dies für die Krankenhäuser gesetzlich festgelegt (§§ 12 Hessisches Krankenhausgesetz, 18 HDSG). Im übrigen ist dies durch die Rechtsprechung des Bundesgerichtshofs schon vor einigen Jahren entschieden worden (BGH NJW 1983, 328; NJW 1983, 330; NJW 1985, 674). In der Praxis ist dieses Recht allerdings bisher nur teilweise realisiert worden. Es kommt keineswegs selten vor, daß sich Patienten an mich wenden, weil ihnen mit unzutreffender rechtlicher Begründung eine Einsicht in ihre Krankengeschichte verwehrt wurde. Die Verwendung einer Patientenkarte könnte folglich möglicherweise zu mehr Transparenz führen.
Zur Herstellung von Transparenz für den Patienten gehört jedoch nicht nur die Frage, welche Daten jeweils aktuell auf der Karte über ihn gespeichert sind, sondern auch die Frage, wer diese Daten in welchem Umfang zu welchem Zweck weiterverarbeitet, insbesondere, in welchem Umfang und zu welchem Zweck die auf seiner Karte gespeicherten Daten vom Arzt in dessen Datenbestand übernommen werden. Die Vorstellung, daß der Patient mit Hilfe der Patientenkarte Herr seiner Gesundheitsdaten wird und nunmehr selbst entscheidet, wer welche Informationen erhält, setzt im Grunde voraus, daß der Patient alleine Inhaber seiner Daten ist (für den Fall des Verlustes oder des Diebstahls der Karte muß der Datenbestand allerdings an irgendeiner Stelle - z.B. beim Hausarzt - parallel gespeichert sein, damit er ggf. rekonstruiert werden kann). Infolge der technischen Infrastruktur ist es jedoch technisch ohne Aufwand möglich, daß jeder Arzt alle Daten des Patienten von der Karte in seinen Datenbestand übernimmt und dann wiederum Ärzte ohne Beteiligung des Patienten diese Daten untereinander austauschen, z.B. über Kommunikationsnetze.
Die Frage, ob durch die Einführung einer Patientenkarte mehr Transparenz für den Patienten hergestellt wird, hängt daher maßgeblich von den Einzelheiten der Verwendung der Karte ab. Der Einsatz der Karte kann auch dazu führen, daß für den Patienten immer schwieriger überblickbar wird, wer welche Daten über ihn vorhält, weil die Karte die technische Möglichkeit bietet, seine Krankengeschichte ohne einen konkreten Behandlungskontext zu übernehmen und weiterzuverarbeiten. Mit der Chipkarte kann auch die Verwendung der Daten nicht mehr kontrolliert werden, wenn die Daten an den Computer des Arztes weitergegeben wurden. Eine Kontrolle der Verwendung wäre z.B. in der Weise denkbar, daß der Arzt nur eine speziell zugelassene Software verwendet und von der Chipkarte überprüft wird, ob das Programm verändert wurde.
9.1.4
Fazit
In Deutschland ist bisher noch nicht absehbar, in welchem Umfang und auf welche Weise maschinenlesbare Patientenkarten mit medizinischen Informationen künftig eingesetzt werden.
Die voranstehenden Überlegungen zeigen, daß das technische Medium maschinenlesbare Karte in sehr verschiedener Weise eingesetzt werden kann. Für die datenschutzrechtliche Bewertung sind die Einzelheiten des Inhalts und der Verfahrensweise mit der Karte entscheidend.
Jeder Bürger hat selbstverständlich das Recht, sich eine Patientenkarte zu verschaffen, wenn er dies wünscht. Die rechtlichen Rahmenbedinungen der Verwendung von Patientenkarten bedürfen jedoch weiterer Diskussion. Aus meiner Sicht geht es darum, bei der Diskussion um künftige Einsatzmöglichkeiten datenschutzrechtliche Aspekte rechtzeitig zu berücksichtigen.
Die Einführung medizinischer Patientenkarten macht es notwendig, die Rechte und Pflichten von Patienten und Ärzten bzw. medizinischem Personal klarer festzulegen und umzusetzen. Transparenz muß für den Patienten sichergestellt werden. Die verfassungsgerichtliche Forderung, jeder Bürger müsse wissen, wer wann welche Daten über ihn hat, muß auch und gerade für die Verarbeitung sensibler medizinischer Daten gelten. Dies gilt allerdings nicht nur im Zusammenhang mit dem Einsatz der Patientenkarte. Bereits der Aufbau komplexer Krankenhauskommunikationssysteme macht es schwierig für den Patienten zu überblicken, in welchem Umfang und zu welchem Zweck im Krankenhaus Daten über seine Person verarbeitet werden. Ich habe mich daher in den letzten Jahren dafür eingesetzt, durch die Ausgestaltung der Aufnahmeformulare mehr Transparenz für die Patienten im Krankenhaus sicherzustellen (vgl. 9.8). Auch die Entwicklung präzise formulierter Schweigepflichtentbindungserklärungen ist ein wichtiger Schritt zu mehr Transparenz (vgl. 9.3).
Bei der Diskussion um die Patientenkarten kommt auch Aspekten der Datensicherheit zentrale Bedeutung zu. Selbstverständlich muß eine Patientenkarte mit sensiblen medizinischen Daten umfangreiche Sicherheitsmaßnahmen vorsehen gegenüber einem Mißbrauch der Daten, insbesondere Schutzmechanismen gegen unerlaubtes Lesen (Identifikation und Authentifikation des Arztes als Zugriffsvoraussetzung, Freigabe bestimmter Zugriffsbereiche durch den Patienten z.B. durch Eingabe einer PIN (Personal Identifikation Number) oder durch Prüfung biometrischer Merkmale, Verschlüsselung des Dateninhalts), gegen unerlaubtes Schreiben (z.B. Einfügen eines MAC (Message Authentication Code), durch den eine nachträgliche Veränderung des geschriebenen Wertes erkannt werden kann; Verwendung eines Datenspeichers, der nur einmal beschreibbar ist), gegen unerlaubtes Löschen (bei wiederbeschreibbarem Speicher ist die Eingabe eines Schlüssels für das Löschen von Daten denkbar) sowie gegen unerlaubtes Duplizieren der Chipkarte.
Als Hessischer Datenschutzbeauftragter sehe ich es als meine Aufgabe an, mich an der Diskussion um die künftige Verwendung von Patientenkarten zu beteiligen. Konkrete Lösungen können jedoch nicht isoliert aus datenschutzrechtlicher Sicht, sondern nur im Dialog zwischen allen Beteiligten gewonnen werden.