5. Gesundheit
5.1
Steuernummer im Adressfeld
Mit dem Gesundheitsreformgesetz von 1988 (BGBl. I S. 2477) und dem Gesundheitsstrukturgesetz von 1992 (BGBl. I S. 2266) hat der Gesetzgeber eine weitgehende Automatisierung der Datenverarbeitung im Bereich der gesetzlichen Krankenversicherung vorgeschrieben, mit der insbesondere "Transparenz des Leistungsgeschehens" und Kostenbegrenzung im Gesundheitswesen erreicht werden sollen (vgl. auch 21. Tätigkeitsbericht, Ziff. 9.2).
In der Diskussion um die Gesetzentwürfe haben die Datenschutzbeauftragten auf die Gefahr des "gläsernen Patienten" hingewiesen und u. a. auch für die Verarbeitung der umfangreichen sensitiven Daten durch den Medizinischen Dienst konkrete Regelungen gefordert, die Art, Umfang und Zweck der Datenverarbeitung festlegen und die Entstehung einer umfassenden medizinischen Zentraldatei über die Versicherten verhindern (Entschließung der Konferenz der Datenschutzbeauftragten vom 6. Juni 1988 zum Entwurf eines Gesetzes zur Strukturreform im Gesundheitswesen, abgedruckt im 17. Tätigkeitsbericht, Ziff. 16.4).
Aufgrund der datenschutzrechtlichen Diskussionen wurde in das Sozialgesetzbuch V eine Vorschrift über die Erhebung, Erfassung und Löschung personenbezogener Daten beim Medizinischen Dienst aufgenommen. Von zentraler Bedeutung ist insbesondere, daß eine Löschung personenbezogener Angaben nach fünf Jahren zu erfolgen hat (§ 276 Abs. 2 Satz 3 SGB V) und daß der Medizinische Dienst in Dateien nur Angaben zur Person und Hinweise auf bei ihm vorhandene Akten aufnehmen darf (§ 276 Abs. 2 Satz 5 SGB V), damit keine umfassenden personenbezogenen medizinischen Dateien aufgebaut werden (vgl. BTDrucks. 11/3480 S. 66/67).
Diese neuen Regelungen und auch die zahlreichen Anfragen, die ich in den letzten Jahren zu diesem Thema erhalten habe, waren für mich Anlaß, die Datenverarbeitung durch den Medizinischen Dienst in Hessen zu einem Schwerpunktthema für 1994 zu machen. Ich habe mich sowohl in der Hauptverwaltung des Medizinischen Dienstes als auch in einer Reihe regionaler Leit- bzw. Beratungsstellen über die Praxis der Datenübermittlung zwischen den Leistungsträgern (z. B. Ärzten und Krankenhäusern), den Krankenkassen und dem Medizinischen Dienst sowie über die interne Datenverarbeitung durch den Medizinischen Dienst informiert.
Bei der Durchführung meiner Prüfungen hat mich der Medizinische Dienst umfassend unterstützt. Positiv ist zu vermerken, daß zum Zeitpunkt meiner Prüfung bereits eine eingehende Dienstanweisung für den Datenschutz sowohl in der Hauptverwaltung als auch in den Leit- und Beratungsstellen vorhanden war.
5.1.1
Aufgaben und Befugnisse des Medizinischen
Dienstes der Krankenversicherung
Der Medizinische Dienst ist der sozialmedizinische Beratungs- und Begutachtungsdienst der gesetzlichen Krankenversicherung. Er ist auf Landesebene als eigenständige, von den Krankenkassen gemeinsam getragene Arbeitsgemeinschaft organisiert. Im Sozialgesetzbuch V ist eine klare funktionelle Trennung zwischen den Krankenkassen einerseits und dem Medizinischem Dienst andererseits festgelegt. Die Aufgaben des Medizinischen Dienstes sind in den §§ 275 - 277 SGB V geregelt. Danach sind die Krankenkassen in den gesetzlich bestimmten Fällen oder wenn es nach Art, Schwere, Dauer oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist, unter bestimmten Voraussetzungen bei der Erbringung von Leistungen, zur Einleitung von Maßnahmen zur Rehabilitation und bei Arbeitsunfähigkeit verpflichtet, eine gutachtliche Stellungnahme des Medizinischen Dienstes einzuholen (§ 275 Abs. 1 SGB V). Darüber hinaus können die Krankenkassen bei bestimmten Fallkonstellationen - z. B. bei kieferorthopädischer Behandlung und bei Dialysebehandlung - eine Prüfung des Medizinischen Dienstes veranlassen, in bestimmten Fällen - z. B. bei stationärer Krankenhausbehandlung, Schwerpflegebedürftigkeit und Kostenübernahme einer Behandlung im Ausland - sind sie hierzu sogar verpflichtet (§ 275 Abs. 2 und 3 SGB V).
Darüber hinaus müssen die Krankenkassen in jedem Bundesland die Notwendigkeit der Krankenhausaufnahme durch den Medizinischen Dienst im Rahmen eines Modellvorhabens prüfen lassen (§ 275a SGB V). Im übrigen sollen die Krankenkassen und ihre Verbände den Medizinischen Dienst generell zu Rate ziehen, insbesondere für allgemeine medizinische Fragen der gesundheitlichen Versorgung und Beratung der Versicherten, für Fragen der Qualitätssicherung, für Vertragsverhandlungen mit den Leistungserbringern und Beratungen der gemeinsamen Ausschüsse von Ärzten und Krankenkassen, insbesondere der Prüfungsausschüsse (§ 275 Abs. 4 SGB V). Zur Erfüllung dieser Aufgaben benötigt der Medizinische Dienst allerdings grundsätzlich keine personenbezogenen Daten, sondern nur fallbezogene oder statistische Daten.
Die Krankenkassen sind verpflichtet, dem Medizinischen Dienst die bei ihnen vorhandenen, für die Beratung und Begutachtung erforderlichen Unterlagen vorzulegen und Auskünfte zu erteilen (§ 276 Abs. 1 Satz 1 SGB V). Der Medizinische Dienst darf personenbezogene Daten nur erheben und erfassen, soweit dies für die Prüfungen, Beratungen und gutachtlichen Stellungnahmen nach § 275 SGB V und für die Modellvorhaben nach § 275a SGB V erforderlich ist (§ 276 Abs. 2 Satz 1 SGB V).
5.1.2
Funktionelle Trennung zwischen Medizinischem
Dienst und Krankenkassen
Krankenkassen und Medizinischer Dienst arbeiten zwar eng zusammen, sie haben jedoch jeweils unterschiedliche Aufgaben und Befugnisse. Detaillierte medizinische Stellungnahmen oder Prüfungen obliegen nach der gesetzlichen Regelung ausschließlich dem Medizinischen Dienst, der hierfür auch über das erforderliche medizinische Fachwissen verfügt. Konsequenterweise darf auch nur der Medizinische Dienst detaillierte medizinische Unterlagen der behandelnden Ärzte bzw. Krankenhäuser, die er für die Begutachtung und Prüfung benötigt, zur Kenntnis erhalten. Für die Aufgabenerfüllung der Krankenkassen ist eine Kenntnisnahme dieser Unterlagen nicht erforderlich und damit auch nicht zulässig.
In der Praxis bestanden in den letzten Jahren Unklarheiten hinsichtlich der Frage, wer welche Unterlagen anfordert und an wen die Leistungserbringer die Unterlagen übersenden. Vielfach haben die Krankenkassen die Unterlagen zunächst für sich selbst angefordert und dann dem Medizinischen Dienst zur Verfügung gestellt. Dies war aus datenschutzrechtlicher Sicht nicht akzeptabel.
Das Zweite Gesetz zur Änderung des Sozialgesetzbuchs von 1994 (BGBl. I, S. 1229) hat nunmehr eine Verpflichtung der Leistungserbringer, ihre Unterlagen direkt dem Medizinischen Dienst zur Verfügung zu stellen, ausdrücklich vorgeschrieben:
"...; haben die Krankenkassen nach § 275 Abs. 1 - 3 eine gutachtliche Stellungnahme oder Prüfung durch den Medizinischen Dienst veranlaßt, sind die Leistungserbringer verpflichtet, Sozialdaten auf Anforderung des Medizinischen Dienstes unmittelbar an diesen zu übermitteln, soweit dies für die gutachtliche Stellungnahme und Prüfung erforderlich ist."
Damit hat der Gesetzgeber - insbesondere auch aufgrund der datenschutzrechtlichen Diskussionen und Forderungen - eindeutig bestätigt, daß eine funktionelle Trennung zwischen Medizinischem Dienst und Krankenkassen vorzunehmen ist. Die Leistungserbringer sind verpflichtet, die medizinischen Daten an den Medizinischen Dienst direkt zu übersenden. Die medizinischen Daten sind für die Krankenkassen nicht erforderlich und dürfen nicht an diese übersandt und von diesen auch nicht für sich selbst angefordert werden.
Bei meinen Prüfungen habe ich festgesellt, daß diese rechtlichen Vorgaben jetzt in Hessen überwiegend korrekt umgesetzt werden. Zum Teil fordern jedoch die Krankenkassen nach wie vor die medizinischen Unterlagen für sich an und fügen sie dem Auftrag an den Medizinischen Dienst bei. Der Medizinische Dienst schickt dann zum Teil die von den Krankenkassen angeforderten Unterlagen zusammen mit seinem Gutachten an die Krankenkassen zurück. Dort werden die detailllierten medizinischen Daten dann gespeichert.
Bei meinen Prüfungen wurde ich in diesem Zusammenhang auf die bundesweiten Richtlinien über die Zusammenarbeit der Krankenkassen mit dem Medizinischen Dienst der Krankenversicherung von 1990 hingewiesen. Diese Richtlinien wurden von den Spitzenverbänden der Krankenkassen beschlossen und sind für jeden Landesverband verbindlich (§§ 213 Abs. 2, 210 Abs. 2 SGB V). In den Richtlinien ist vorgesehen, daß die Krankenkassen ihre Unterlagen vor der Begutachtung durch den Medizinischen Dienst vervollständigen und die angeforderten Unterlagen dem Auftrag an den Medizinischen Dienst beifügen. Diese Bestimmungen in den Richtlinien entsprechen jedoch nicht den - vorrangigen - gesetzlichen Vorgaben im Sozialgesetzbuch V.
Der Medizinische Dienst hat mir zugesagt, in einem Rundschreiben an die Leit- und Beratungsstellen darauf hinzuweisen, daß nur der Medizinische Dienst die medizinischen Unterlagen zur Kenntnis erhalten darf und daß diese Unterlagen auch nach der Begutachtung bei dem Medizinischen Dienst verbleiben müssen. Ferner hat er zugesagt, auf eine entsprechende Änderung der bundesweiten Richtlinien hinzuwirken.
Parallel zur Besprechung mit dem Medizinischen Dienst habe ich die Krankenkassen auf die Notwendigkeit einer Änderung des Verfahrens hingewiesen.
Der funktionellen Trennung zwischen dem Medizinischen Dienst und Krankenkassen entsprechend darf auch der Medizinische Dienst nicht alle medizinischen Informationen, die ihm vorliegen, im Rahmen seiner Stellungnahme oder Prüfung an die Krankenkassen übermitteln. § 277 Abs. 1 Satz 1 SGB V schreibt vor, daß der Medizinische Dienst der Krankenkassen "das Ergebnis der Begutachtung und die erforderlichen Angaben über den Befund" mitzuteilen hat. Damit ist einerseits klar festgelegt, daß die Krankenkassen nicht lediglich das Ergebnis der Begutachtung erhalten. Die Krankenkassen, die aufgrund der Begutachtung durch den Medizinischen Dienst eine Entscheidung über die Leistungsgewährung bzw. die Ablehnung der Kostenübernahme zu treffen haben, müssen das Ergebnis der Begutachtung nachvollziehen können. Das Gutachten dient als Hilfsmittel zur Entscheidungsfindung für die Krankenkassen.
Gerade auch im Fall eines negativen Ergebnisses des Medizinischen Dienstes ist für die Krankenkassen ein Gutachten erforderlich, weil im Fall einer Ablehnung einer Leistungsgewährung durch die Krankenkasse die Ablehnungsgründe für den Antragsteller nachvollziehbar im Ablehnungsbescheid aufzuführen sind. Die Begründung der Ablehnung der beantragten Leistung ist gerichtlich überprüfbar. Andererseits ist durch die Formulierung des § 277 Abs. 1 Satz 1 SGB V auch eindeutig vorgegeben, daß der Medizinische Dienst nur die jeweils im Einzelfall erforderlichen Angaben an die Krankenkassen übermitteln darf.
Bei meinen Prüfungen habe ich festgestellt, daß der Medizinische Dienst in Einzelfällen sehr ausführliche Gutachten mit eingehenden Angaben über Anamnese, Diagnose und Befund an die Krankenkassen übermittelt, zum Teil auch mit Informationen über mehrere Familienmitglieder des Versicherten.
Gegen diese Praxis habe ich Bedenken. Bei der Beurteilung der Frage, welches die "erforderlichen" Angaben sind, die der Medizinische Dienst den Krankenkassen mitzuteilen hat, muß die funktionelle Trennung zwischen dem Medizinischen Dienst und den Krankenkassen stärker berücksichtigt werden. Der Medizinische Dienst darf den Krankenkassen nur die zum Verständnis des jeweiligen Gesamtzusammenhangs unerläßlichen Einzelangaben übermitteln. Umfassende Angaben zur gesamten Krankengeschichte des Versicherten oder auch Informationen über Krankengeschichten von Familienmitgliedern benötigen die Krankenkassen im Regelfall zur Erfüllung ihrer Aufgaben nicht.
Der Medizinische Dienst hat in erster Linie auf die Schwierigkeit hingewiesen, ein praktikables Verfahren für eine differenzierte Übermittlungspraxis zu finden. Er hat mir zugesagt, dieses Problem mit den Leit- und Beratungsstellen zu besprechen und anschließend zur künftigen Verfahrensweise noch einmal Stellung zu nehmen. In jedem Fall wird in die Dienstanweisung zum Datenschutz ein Hinweis darauf aufgenommen, daß im Rahmen einer Begutachtung nur die jeweils erforderlichen Daten an die Krankenkassen übermittelt werden dürfen.
5.1.3
Speicherung von Versichertendaten in Dateien
Gemäß § 276 Abs. 2 Satz 5 SGB V darf der Medizinische Dienst in Dateien nur Angaben zu Personen und Hinweise auf bei ihm vorhandene Akten aufnehmen. Medizinische Einzelangaben dürfen grundsätzlich nicht automatisiert gespeichert werden. Durch diese Regelung will der Gesetzgeber den Risiken einer pauschalen maschinellen Auswertung umfangreicher medizinischer Datenbestände begegnen.
Bei meinen Prüfungen habe ich festgestellt, daß die von den Krankenkassen erbetenen Gutachten in den Leit- und Beratungsstellen mit Hilfe der EDV erstellt und anschließend gelöscht werden. Gegen diese Verfahrensweise habe ich keine grundsätzlichen Bedenken. Ich sehe es als zulässig an, die für die Gutachtenerstellung erforderlichen medizinischen Daten (z. B. Diagnosen, Befunde usw.) automatisiert zu speichern und die Daten mit Hilfe eines Textverarbeitungssystems zu verarbeiten, wenn die gespeicherten Daten ausschließlich für die Erstellung dieses konkreten Gutachtens verwertet und nach Fertigstellung des Gutachtens umgehend gelöscht werden. Der Medizinische Dienst hat mir dargelegt, daß die Hauptverwaltung diese Voraussetzungen durch eine entsprechende Parametrisierung von ISmed (vgl. dazu unten 5.1.10) sicherstellt. Die Einzelheiten des Verfahrens werden in die Dienstanweisung zum Datenschutz aufgenommen.
5.1.4
Verpflichtung zur Datenlöschung nach fünf
Jahren
Der Medizinische Dienst darf bei der Erstellung eines Gutachtens auf ein bereits zuvor erstelltes Gutachten zurückgreifen, soweit dies im Einzelfall erforderlich ist. Gemäß § 276 Abs. 2 Satz 3 SGB V ist der Medizinische Dienst aber verpflichtet, die von ihm erhobenen und gespeicherten personenbezogenen Daten nach fünf Jahren zu löschen.
Bei meinen Prüfungen habe ich registriert, daß zum Teil bereits erhebliche Anstrengungen unternommen wurden, diese rechtlichen Vorgaben umzusetzen, zum Teil habe ich aber auch Schwierigkeiten hinsichtlich der Umsetzung der Vorschrift festgestellt; z. B. habe ich in einem Einzelfall noch Unterlagen im Keller vorgefunden, die bis zum Jahre 1956 zurückgehen und längst hätten vernichtet werden müssen. Aufgrund meiner Feststellungen habe ich den Medizinischen Dienst gebeten, mir eine vollständige Übersicht über den Stand der Umsetzung der Löschungsverpflichtung in allen Leit- und Beratungsstellen zu erstellen und mir einen konkreten Zeitplan für die vollständige Umsetzung der rechtlichen Vorgaben in allen Leit- und Beratungsstellen zu nennen. Dies hat der Medizinische Dienst zugesagt.
5.1.5
Hinweis auf das Widerspruchsrecht der
Versicherten
Gemäß § 277 Abs. 1 SGB V hat der Medizinische Dienst auch dem behandelnden Arzt und den sonstigen Leistungserbringern, über deren Leistungen er eine gutachterliche Stellungnahme abgegeben hat, Mitteilung zu machen. In diesem Fall kann jedoch der Versicherte der Mitteilung über den Befund widersprechen, so daß der Medizinische Dienst dann nur das Ergebnis seiner Begutachtung mitteilen darf. Damit der Versicherte auch in der Lage ist, über die Wahrnehmung seines Widerspruchsrechts zu entscheiden, bedarf es allerdings einer vorherigen Information über die gesetzlich eingeräumte Widerspruchsmöglichkeit; sonst besteht die Gefahr, daß das Widerspruchsrecht des Versicherten faktisch funktionslos bleibt.
Die Richtlinien über die Zusammenarbeit der Krankenkassen mit dem Medizinischen Dienst der Krankenversicherung (vgl. oben 5.1.2) sehen vor, daß der Versicherte auf sein Widerspruchsrecht in der Einladung zur sozialmedizinischen Begutachtung hinzuweisen ist. Wenn ein solcher Hinweis erkennbar unterblieben ist, soll der Versicherte durch den Arzt des Medizinischen Dienstes auf sein Widerspruchsrecht hingewiesen werden.
Bei meinen Prüfungen habe ich festgestellt, daß in den Leit- und Beratungsstellen unterschiedlich verfahren wird. Zum Teil erfolgt im Einladungsschreiben ein Hinweis auf das Widerspruchsrecht, zum Teil wird der Versicherte bei der Untersuchung vom Arzt, von der Geschäftsstelle oder durch einen Aushang im Wartezimmer darauf hingewiesen. Der Medizinische Dienst wird künftig ein einheitliches Verfahren einführen. Die Versicherten sollen ein Informationsschreiben zu ihrem Widerspruchsrecht erhalten. Der Inhalt des Informationsschreibens wird mit mir abgestimmt.
5.1.6
Speicherung medizinischer Daten bei externen
Gutachtern
Im Sozialgesetzbuch V ist festgelegt, daß die Fachaufgaben des Medizinischen Dienstes von Ärzten und Angehörigen anderer Heilberufe wahrgenommen werden; der Medizinische Dienst hat vorrangig externe Gutachter zu beauftragen.
Bei meinen Prüfungen hat sich die Frage
ergeben, wie sichergestellt wird, daß bei
den externen Gutachtern keine umfassenden
Dateien mit medizinischen Daten über die
Versicherten entstehen und damit die
Verpflichtung des Medizinischen Dienstes zur
Datenlöschung nach fünf Jahren (vgl. oben
5.1.4) praktisch ins Leere läuft. Der
Medizinische Dienst stimmt mit mir darin
überein, daß es nicht akzeptiert werden
kann, daß externe Gutachter in größerem
Umfang personenbezogene Daten von
Versicherten verarbeiten dürfen als er es
selbst darf. Er hat mir zugesagt, künftig in
die vertraglichen Einzelvereinbarungen mit
den externen Gutachtern die folgenden
Verpflichtungen aufzunehmen:
- Die dem Gutachter zur Verfügung gestellten
Befunde (Arztbriefe,
Krankenhausentlassungsbriefe usw.) sind an
den Medizinischen Dienst zurückzugeben.
- Das Gutachten ist beim Gutachter nach
Abwicklung des Auftrags zu löschen. Beim
Gutachter dürfen nur Daten über die
verwaltungsmäßige Auftragsdurchführung
gespeichert bleiben.
Der vollständige Inhalt des externen Gutachtens bleibt beim Medizinischen Dienst gespeichert und wird - wie andere Gutachten auch - nach fünf Jahren gelöscht.
5.1.7
Überprüfung der Notwendigkeit und Dauer der
Krankenhausbehandlung durch den
Medizinischen Dienst
Durch das Gesundheitsstrukturgesetz ist der
Katalog derjenigen Daten, welche die
Krankenhäuser routinemäßig in jedem
Einzelfall einer Krankenhausbehandlung den
Krankenkassen übermitteln müssen, wesentlich
erweitert worden (§ 301 Abs. 1 SGB V). Der
neuen Regelung zufolge müssen die
Krankenhäuser über die Abrechnungsdaten
hinaus die folgenden medizinischen Daten der
Versicherten - maschinenlesbar -
übermitteln:
- den Tag, die Uhrzeit und den Grund der
Aufnahme sowie die Einweisungsdiagnose,
die Aufnahmediagnose, bei einer Änderung
der Aufnahmediagnose die nachfolgenden
Diagnosen, die voraussichtliche Dauer der
Krankenhausbehandlung sowie, falls diese
überschritten wird, auf Verlangen der
Krankenkasse die medizinische Begründung,
- bei ärztlicher Verordnung von
Krankenhausbehandlung die Arztnummer des
einweisenden Arztes, bei Verlegung das
Institutionskennzeichen des veranlassenden
Krankenhauses, bei Notfallaufnahme die die
Aufnahme veranlassende Stelle,
- die Bezeichnung der aufnehmenden
Fachabteilung, bei Verlegung die der
weiterbehandelnden Fachabteilungen,
- Datum und Art der im jeweiligen
Krankenhaus durchgeführten Operationen,
- den Tag, die Uhrzeit und den Grund der
Entlassung oder der externen Verlegung
sowie die Entlassungsdiagnose; bei
externer Verlegung das
Institutionskennzeichen der aufnehmenden
Institution,
- Angaben über die im jeweiligen Krankenhaus
durchgeführten Rehabilitationsmaßnahmen
sowie Vorschläge für die Art der weiteren
Behandlung mit Angabe geeigneter
Einrichtungen.
Soweit die Krankenkassen darüber hinaus eine Überprüfung der Notwendigkeit und Dauer der stationären Behandlung des Versicherten veranlassen, sind die Ärzte des Medizinischen Dienstes befugt, die Krankenhäuser zu betreten, die Krankenunterlagen einzusehen und ggf. den Versicherten zu untersuchen, soweit dies im Einzelfall zu einer gutachterlichen Stellungnahme erforderlich ist (§ 276 Abs. 4 SGB V).
Im Zusammenhang mit dieser Regelung habe ich zahlreiche Anfragen erhalten, ob der Medizinische Dienst vom Krankenhaus eine Übersendung von Krankenunterlagen verlangen kann.
Grundsätzlich bestehen gegen eine solche Verfahrensweise keine datenschutzrechtlichen Bedenken. Das in § 276 Abs. 4 SGB V vorgesehene Recht auf Akteneinsicht schließt das Recht zur Erstellung von Kopien in dem erforderlichen Umfang ein. Statt der Erstellung von Kopien kann auch eine Übersendung von Krankenunterlagen an den Medizinischen Dienst erfolgen; es liegt insoweit kein weitergehender, nicht von der gesetzlichen Regelung gedeckter Eingriff in die Rechte der Versicherten vor. Selbstverständlich darf der Medizinische Dienst aber nur in dem Umfang Unterlagen anfordern bzw. dürfen ihm nur in dem Umfang Unterlagen übersandt werden, in dem er sie für den konkreten Auftrag tatsächlich benötigt.
Ich habe keine Anhaltspunkte dafür festgestellt, daß Daten über den jeweils im Einzelfall erforderlichen Umfang hinaus angefordert bzw. übermittelt wurden.
5.1.8
Datensicherheit in den Leit- und
Beratungsstellen
Bei meinen Prüfungen habe ich nur in Einzelfällen Probleme hinsichtlich der Datensicherheit in den Leit- und Beratungsstellen festgestellt. Diese betrafen z. B. eine mangelhafte Sicherung von im Keller gelagerten Akten, eine unzureichende Sicherung eines Briefkastens, aus dem Post leicht entwendet werden konnte, und die Sicherung eines Serverraums. Der Medizinische Dienst hat zugesagt, diese Mängel zu beseitigen. Im übrigen hat er darauf hingewiesen, daß die Anzahl der Leit- und Beratungsstellen in der nächsten Zeit reduziert wird und in diesem Zusammenhang auch die technisch-organisatorischen Datensicherheitsmaßnahmen überprüft werden.
5.1.9
Dienstanweisung des Medizinischen Dienstes
zum Datenschutz
Zum Zeitpunkt meiner Prüfung hatte der
Medizinische Dienst bereits eine
umfangreiche Dienstanweisung zum Datenschutz
erarbeitet. Diese Dienstanweisung wurde mit
mir erörtert und soll insbesondere in
folgenden Punkten überarbeitet werden:
- Einbeziehung der neuesten
Gesetzesänderungen im Sozialgesetzbuch V
und X
- Konkretisierung der Anforderungen an die
Ausgestaltung von
Schweigepflichtentbindungserklärungen, die
dem Medizinischen Dienst vorgelegt werden
- Regelung der Verantwortlichkeiten
bezüglich der DV-Konzeption und deren
Umsetzung
- Beschaffung von Hardware und Beschaffung
bzw. Erstellung von Software.
Hinsichtlich der technisch-organisatorischen Datensicherungsmaßnahmen habe ich vorgeschlagen, die Passagen der Dienstanweisung aufbauend auf ein Datenschutz-/Datensicherungskonzept (vgl. auch Ziff. 25) anzupassen.
5.1.10
Einführung von ISmed beim Medizinischen
Dienst
ISmed ist ein Verfahren, das in der Mehrzahl der Bundesländer in den Geschäftsstellen des Medizinischen Dienstes der Krankenkassen eingesetzt werden soll. In Hessen gibt es erste Installationen. Im wesentlichen unterstützt ISmed die Geschäftsstellen bei der Erstellung von medizinischen Gutachten. Dazu werden u. a. verschiedene Verwaltungsinformationen vorgehalten, die automatisiert den Gutachten hinzugefügt werden. Ferner werden in einer Verweiskartei Stammdaten von Patienten gespeichert, durch die ein schneller Zugriff auf vorhandene Akten möglich ist. Einige Teilanwendungen stehen nur der Anwendungsbetreuung offen oder wurden nicht genutzt.
In einer Geschäftsstelle habe ich die Anwendung geprüft. Das Ergebnis zeigt einerseits Defizite, die anwendungsspezifisch sind, und andererseits Defizite, die sich aus der Installation ergaben.
5.1.10.1
Technische Rahmenbedingungen
ISmed wurde auf einem PC unter dem Betriebssystem SINIX-Z betrieben, welches UNIX System V.41 entspricht. An den Rechner waren 10 PC mit einer Terminalemulation angeschlossen. Es waren keine weiteren Anwendungen für die PC vorgesehen.
Das Verfahren wurde nur zur Erstellung von Gutachten verwendet. Weitere Anwendungsteile, wie z. B. der Terminplaner, wurden nicht genutzt. Durch die Grundeinstellung war gewährleistet, daß die Gutachten nach dem Ausdruck umgehend physisch gelöscht wurden. Die Verweisdatei blieb davon unberührt.
5.1.10.2
Anwendungsspezifische
Datensicherungsmaßnahmen
Der Medizinische Dienst der Krankenkassen Hessen kann Defizite, die anwendungsspezifisch sind, nur mittelbar beheben. Er setzt ISmed als Software ein, ist aber nicht für die Entwicklung zuständig. Zwar kann er Änderungen fordern, diese müssen aber in Abstimmung mit anderen Stellen vorgenommen werden.
5.1.10.2.1
Benutzerkontrolle/Aufruf von ISmed
Nach dem Start der Terminalemulation mußte die Anmeldeprozedur von SINIX mit der Eingabe von User-ID und Paßwort durchlaufen werden.
Die Benutzer von ISmed wurden sofort in ihre Anwendung weitergeleitet. Anschließend erfolgte die Anmeldung unter ISmed mit Kennung und Paßwort. Das Paßwort mußte mindestens eine Stelle lang sein, es gab keine Historie, keine Alterung, und es wurde nicht nach mehrmaliger Fehleingabe die Kennung gesperrt. Auch wurde die unter SINIX eingegebene User-ID nicht gegengecheckt; ein Identitätswechsel wäre möglich gewesen. Die Paßwortverwaltung von ISmed entspricht insofern nicht dem Stand der Technik und erfüllt nicht die Anforderungen, wie ich sie z. B. im 19. Tätigkeitsbericht, Ziff. 15 formuliert habe. Ich habe daher gefordert, ISmed oder die Einbettung in SINIX entsprechend anzupassen.
5.1.10.2.2
Zugriffskontrolle
- Zugriffe auf Systemebene
Die Sicherheitsmechanismen von SINIX
müssen für die Benutzer von ISmed auf der
Betriebssystemebene identische, umfassende
Zugriffsrechte auf die Daten von ISmed
vorsehen.
Anwendungsspezifische
Zugriffseinschränkungen machen folglich
nur Sinn, wenn die Anwender nicht auf die
Systemebene gelangen. Der Versuch, die
Anmeldeprozedur abzubrechen oder aus der
Anwendung auf die Betriebssystemebene zu
gelangen, führte zur Abmeldung unter
SINIX. Ein "normaler" Benutzer konnte
daher nur mit ISmed arbeiten.
-Zugriffskontrolle von ISmed
ISmed kennt fünf verschiedene
Anwendergruppen, so z. B. die
Anwendungsbetreuung, Ärzte oder
Sekretärinnen. Abhängig von der
Anwendergruppe stehen die Programme mit
unterschiedlichen
Verarbeitungsmöglichkeiten zur Verfügung.
Die Zugriffsmöglichkeiten auf die
Gutachten selbst werden über ein Feld im
Datensatz und eine Tabelle gesteuert. In
dem Datenfeld wird die Kennung des
zuständigen Arztes gespeichert, und in der
Tabelle befinden sich zu jeder Arztkennung
die Benutzerkennungen, denen ein Zugriff
auf die Gutachten des Arztes eingeräumt
wird. Ein Arzt "Meier", dessen Name im
Feld des zuständigen Arztes gespeichert
ist, kann auf das Gutachten zurückgreifen.
Will ein anderer Benutzer auf das
Gutachten zugreifen, so wird geprüft, ob
dessen Kennung dem Arzt "Meier" zugeordnet
ist. Ist das der Fall, wird der Zugriff
erlaubt.
Die Patientendaten können, nachdem das
Gutachten angelegt wurde, außer durch die
Anwendungsbetreuung, nicht mehr geändert
werden. Die Anwendungsbetreuung kann
allerdings auch bei begonnenem Gutachten
den zuständigen Arzt ändern. Damit ergeben
sich entsprechend andere Zugriffsrechte.
Insgesamt können die erforderlichen
Zugriffseinschränkungen in der Anwendung
umgesetzt werden.
5.1.10.2.3
Protokollierung
Es existieren nur die Standard-UNIX-Protokolle. In der Anwendung sind keine Protokollierungen vorgesehen.
Hier sind Verbesserungen unbedingt erforderlich. Es sind insbesondere die Protokollierungen auf System- und Anwendungsebene vorzunehmen bzw. zu programmieren, mit denen die Tätigkeit der System- und Anwendungsbetreuer nachvollzogen werden kann.
5.1.10.2.4
Verschlüsselung
Eine Verschlüsselung von Daten findet zur Zeit wegen technischer Probleme noch nicht statt.
Trotz einiger Bedenken habe ich den Zustand für eine Übergangszeit akzeptiert. Die Zugriffe der Mitarbeiter der Geschäftsstelle werden über ISmed kontrolliert. Sie gelangen nicht auf die Betriebssystemebene. Personen mit weitergehenden Zugriffsrechten werden nur im Fehlerfall tätig. Sie gehören nicht zur Geschäftsstelle und arbeiten nur unter Aufsicht an dem Rechner. Da die medizinischen Gutachten umgehend gelöscht werden, ist das Risiko einer unberechtigten Kenntnisnahme sensibler Daten gering. Dennoch ist eine Verschlüsselung der Daten so schnell wie möglich vorzunehmen.
5.1.10.3
Installationsspezifische Defizite
Die installationsspezifischen Defizite konnten bzw. können durch den Medizinischen Dienst selbst abgestellt werden.
5.1.10.3.1
Zugriffsrechte
In der Zugriffskontrolltabelle waren zu einem Arzt alle Sekretärinnen als zugriffsberechtigt eingetragen. Zugriffsrechte der Ärzte untereinander waren nicht vorgesehen. In Anbetracht der Aufgabenverteilung der wenigen Sekretärinnen hatte ich keine Bedenken.
Als Anwendungsbetreuung arbeiteten mehrere Benutzer mit einer Kennung. Mit dieser Kennung wurde die Anwendung administriert; so wurden die Zugriffsrechte mit dieser Kennung gepflegt. Ein direkter Zugriff auf den Inhalt der Gutachten ist mit der Kennung jedoch nicht möglich.
In der Schulung zu ISmed wurden alle Sekretärinnen über die Kennung informiert, und das Paßwort wurde genannt. Die Zugriffe und Zugriffsmöglichkeiten waren dadurch nicht kontrollierbar. Dieser Zustand wurde dadurch beseitigt, daß jede Person, die als Anwendungsbetreuer tätig wird, eine eigene Kennung erhält, deren Paßwort nur ihr bekannt ist.
5.1.10.3.2
Fernbetreuung
Die Fernbetreuung der Anwendung wurde durch
die Hauptverwaltung vorgenommen.
Durch organisatorische Regelungen und die
Sicherheitsvorkehrungen des eingesetzten
Produkts kann die Fernbetreuung abgesichert
werden. Bei einem Zugriff über die Software
müssen die für SINIX üblichen
Sicherheitsmaßnahmen durchlaufen werden.
Ferner gelten u. a. die folgenden
zusätzlichen Maßnahmen:
- Das Modem ist deaktiviert, wenn keine
Unterstützung angefordert wird.
- Es muß ein gesondertes Paßwort für die
Software eingegeben werden. Die Anzahl der
maximal zulässigen Fehlversuche ist auf
drei festgelegt.
- Abhängig vom Einzelfall wird ein Rückruf
vorgesehen.
- Die Abläufe bei der Fernwartung werden
protokolliert.
- Auf dem PC in der Geschäftsstelle können
die Eingaben am externen Arbeitsplatz
direkt verfolgt werden.
- Wird über 20 Minuten keine Eingabe
vorgenommen, erfolgt der Abbruch der
Verbindung.
- Nach dem Verlassen der Software erfolgt
ein Warmstart des PC.
- Es wird eine Verschlüsselungsoption für
die Kommunikation aktiviert.
Insgesamt ist dadurch ein adäquates
Sicherheitsniveau erreicht.
5.1.10.3.3
Organisatorische Maßnahmen
ISmed und die Fernbetreuungssoftware waren korrekt implementiert. Die Vorgaben waren jedoch nicht schriftlich fixiert. Gleiches gilt für das Sicherheitskonzept. Ich habe daher gefordert, die Regelungen schriftlich vorzunehmen.