Vom 11. November 2015
Deutscher Bundestag Drucksache 18/6725
18. Wahlperiode 11.11.2015
Kleine Anfrage
der Abgeordneten Kathrin Vogler, Sabine Zimmermann (Zwickau), Frank Tempel,
Ulla Jelpke, Katja Kipping, Kersten Steinke, Azize Tank, Harald Weinberg,
Birgit Wöllert, Pia Zimmermann und der Fraktion DIE LINKE.
Fehlende Identifizierung mit der elektronischen Gesundheitskarte
Die elektronische Gesundheitskarte (eGK) unterscheidet sich äußerlich von der
herkömmlichen Krankenversicherungskarte (KVK) vor allem durch ein Foto. Es
soll die Versicherte oder den Versicherten abbilden und deren bzw. dessen Iden-
tifikation in Arztpraxen, Krankenhäusern etc. ermöglichen.
Ob das Foto tatsächlich die richtige Person abbildet, ist allerdings bei den im Um-
lauf befindlichen eGK nicht überprüft worden. Von verschiedenen eCard-Gegne-
rinnen und Gegnern ist bekannt, dass ihnen ohne Probleme eGKs mit abgebilde-
ten Comicfiguren statt Passfotos ausgestellt wurden (www.shz.de/schleswig-
holstein/panorama/foto-protest-gegen-die-gesundheitskarte-id196884.html). Im
„heute-journal“ wurde demonstriert, dass es möglich ist, ohne besondere Compu-
terkenntnisse eine eGK mit eigenem Foto auf den Namen eines anderen Versi-
cherten zu besorgen (www.heute.de/massive-datenschutzluecke-bei-elektronischer-
gesundheitskarte-38542206.html). Für die Bundesregierung „ist aus den gesetzli-
chen Regelungen des § 291 SGB V nicht abzuleiten, dass die elektronische Ge-
sundheitskarte ein Ausweisdokument wie der Pass oder der Personalausweis ist“
(Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion DIE LINKE.,
Bundestagsdrucksache 18/3235). Andererseits beruft sie sich auf die Vertrags-
partner des Bundesmantelvertrags, die festgelegt hätten, dass die „Identität des
Versicherten zum Zwecke des Nachweises ihres Leistungsanspruchs nunmehr al-
lein anhand der auf der elektronischen Gesundheitskarte aufgebrachten Identitäts-
daten einschließlich des Lichtbilds erfolgt“ (siehe ebenda). Sie bestätigt zudem,
dass die „richtige Zuordnung der Daten der Gesundheitskarte zum Karteninha-
ber“ durch die Krankenkassen zu gewährleisten ist.
Wir fragen die Bundesregierung:
1. Inwiefern trifft es nach Kenntnis der Bundesregierung zu, dass die heute im
Umlauf befindlichen eGKs nicht entsprechend dem Schutzbedarf für Sozial-
daten beantragt, zugeordnet und ausgegeben wurden?
a) Inwiefern ist diesbezüglich das Bundesversicherungsamt als Aufsichtsbe-
hörde der bundesunmittelbaren Krankenkassen aktiv geworden?
b) Inwiefern ist diesbezüglich die Bundesbeauftragte für den Datenschutz-
schutz und die Informationsfreiheit nach Kenntnis der Bundesregierung
aktiv geworden?
Drucksache 18/6725 – 2 – Deutscher Bundestag – 18. Wahlperiode
c) Inwiefern halten sich nach Kenntnis der Bundesregierung die Kranken-
kassen bezüglich der Zuordnung und Ausgabe der eGKs an das Sicher-
heitskonzept der Gesellschaft für Telematikanwendungen der Gesund-
heitskarte mbH (gematik)?
Wer überwacht die Einhaltung der gematik-Spezifizierungen?
d) Inwiefern ist diesbezüglich das Bundesministerium für Gesundheit aktiv
geworden?
2. Inwiefern stimmt die Bundesregierung der Aussage zu, dass jede Weitergabe
oder Übermittlung von Sozialdaten nach den Bestimmungen des Sozialge-
setzbuchs oder anderer gesetzlicher Vorschriften nur dann erfolgen darf,
wenn dies durch die betreffende Person genehmigt wurde?
3. Inwiefern stimmt die Bundesregierung der Aussage zu, dass es sich bei den
Daten im Rahmen des geplanten Versichertenstammdatenabgleichs um So-
zialdaten handelt?
4. Inwiefern stimmt die Bundesregierung der Aussage zu, dass die Genehmi-
gung durch die betreffende Person nur dann wirksam ist, wenn diese rechts-
sicher (d. h. entsprechend der Schutzbedarfsklasse für Sozialdaten) identifi-
ziert wurde?
5. Inwiefern stimmt die Bundesregierung der Aussage zu, dass die Ausgabe der
eGK vor dem Hintergrund der fehlenden Identitätsüberprüfung rechtswidrig
gewesen ist?
a) Inwiefern lässt der Auftrag an die Krankenkassen die Ausgabe von eGKs
überhaupt zu, bei denen die richtige Zuordnung der Daten der Gesund-
heitskarte zum Karteninhaber nicht erfolgt ist?
b) Inwiefern trifft die Aussage nach Ansicht der Bundesregierung jedenfalls
dann zu, wenn ohne Identitätsüberprüfung mittels eGK Online-Anwen-
dungen durchgeführt werden?
c) Inwiefern wäre die Krankenkasse nach Auffassung der Bundesregierung
gegenüber Versicherten, die Erstellung und Übermittlung des Fotos aus
eigener Tasche bezahlen mussten, schadensersatzpflichtig?
d) Inwiefern wären die Verantwortlichen bei den gesetzlichen Krankenkas-
sen nach Auffassung der Bundesregierung persönlich für die gegebenen-
falls entstandenen Schäden haftbar zu machen?
6. Inwiefern stimmt die Bundesregierung der Aussage zu, dass eine PIN-Ein-
gabe zur Autorisierung der Datenverarbeitung unwirksam ist, wenn die Per-
son, die den PIN eingibt, nicht sicher (entsprechend der Schutzbedarfsklasse)
identifiziert ist?
7. Inwiefern erachtet die Bundesregierung den mit dem E-Health-Gesetz ge-
planten Online-Stammdatenabgleich mit den derzeit ausgegebenen eGKs als
datenschutzrechtlich zulässig?
a) Inwiefern ist der Stammdatenabgleich als unbefugtes Offenbaren von Da-
ten zu betrachten, solange die bzw. der Versicherte nicht identifiziert ist?
b) Inwiefern ist nach Kenntnis der Bundesregierung für den Online-Stamm-
datenabgleich die „richtige Zuordnung der Daten der Gesundheitskarte
zum Karteninhaber“ unabdingbare Voraussetzung?
c) Inwiefern haben Versicherte die Möglichkeit, dem Online-Stammdaten-
abgleich zu widersprechen und die automatische Übermittlung ihrer So-
zialdaten damit zu untersagen?
Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/6725
8. Inwiefern stimmt die Bundesregierung der Aussage zu, dass eine Strafbarkeit
wegen unbefugtem Offenbaren von Sozialdaten schon dann gegeben sein
kann, wenn die Möglichkeit zum Datenzugriff besteht und nicht nur, wenn
Daten tatsächlich im Einzelfall unbefugt offenbart werden?
Welche Rechtsnormen kommen hier in Betracht?
9. Welche Eigenschaften des Versicherten werden durch Nutzung der Zertifi-
kate der eGK zur Authentisierung gegenüber der Telematikinfrastruktur
nachgewiesen?
10. Welches Datenschutzniveau (Level of Assurance, LoA) ist nach Kenntnis
der Bundesregierung nach dem internationalen Standard ISO/IEC 29115 für
Sozialdaten vorgesehen?
a) Welche datenschutzrechtlichen Anforderungen werden in diesem LoA
gestellt?
b) Welchen Schutzbedarf bzw. welches Vertrauensniveau haben Sozialdaten
gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI)?
c) Welche Anforderungen werden insbesondere an die Registrierung ge-
stellt?
d) Welche Anforderungen werden insbesondere an den Nachweis der Iden-
tität gestellt?
e) Inwiefern wird die eGK auf Antrag ausgegeben?
11. Inwiefern wird nach Auffassung der Bundesregierung das LoA für Sozialda-
ten gemäß internationalem Standard ISO/IEC 29115 bei der Ausgabe der
eGK eingehalten?
a) Welcher LoA entsprechen die heute im Umlauf befindlichen eGK nach
Kenntnis der Bundesregierung?
b) Welche Stellen übernehmen das Enrolment (Registrierung) von Versi-
cherten für die eGK als Authentisierungsmittel?
c) Welchem Vertrauensniveau werden Arbeitgeber zugeordnet?
d) Welchem Vertrauensniveau werden Versicherte zugeordnet?
e) Welchem Vertrauensniveau ist die Übermittlung von Daten nach der Da-
tenerfassungs- und –übermittlungsverordnung (DEÜV) zuzuordnen?
f) Welches Vertrauensniveau wird gemäß ISO/IEC 29115 für selbstbestä-
tigte Identitätsinformationen erzielt?
g) Auf welchem Vertrauensniveau muss eine Identitätsprüfung gemäß Bun-
desamt für Sicherheit in der Informationstechnik (BSI) mindestens erfol-
gen?
h) Wie muss gemäß Kapitel 10.1 der ISO/IEC 29115 eine Identitätsprüfung
für das Vertrauensniveau von Sozialdaten durchgeführt werden?
i) Wie muss gemäß ISO/IEC 29115 die Identität einer Person innerhalb der
Identitätsprüfung nachgewiesen werden?
j) Welches Vertrauensniveau kann maximal erreicht werden, wenn einzelne
Prozessschritte eines Registrierverfahrens unterschiedliche Vertrauensni-
veaus erfüllen?
k) Welchem Vertrauensniveau entspricht das derzeitige Verfahren der Kran-
kenkassen zur Beantragung und Ausgabe der eGKs?
12. Inwiefern ist die Einhaltung des internationalen Standards ISO/IEC 29115
für eine sichere Telematikinfrastruktur und eGK-Anwendungen nach Ein-
schätzung der Bundesregierung unabdingbar?
Drucksache 18/6725 – 4 – Deutscher Bundestag – 18. Wahlperiode
13. Auf welcher rechtlichen Grundlage vertrat eine Sprecherin des Bundes-
gesundheitsministeriums die Auffassung, dass auch Ärzte verpflichtet
seien, die Identität der Versicherten zu überprüfen (www.welt.de/
newsticker/dpa_nt/infoline_nt/brennpunkte_nt/article124506981/Wirbel-um-
Rechtmaesigkeit-der-Gesundheitskarte.html)?
a) Wenn, wie die Bundesregierung ausführt, die eGK kein „Ausweisdoku-
ment wie der Pass oder der Personalausweis“ ist, wie weist der Versi-
cherte dann rechtsverbindlich seine Identität gegenüber dem Arzt oder
beim einem anderen Zugriff auf die Telematik-Infrastruktur nach?
b) Inwiefern kommt alternativ zur Identifizierung mittels der eGK eine Prü-
fung eines offiziellen Ausweisdokuments in der Arztpraxis infrage?
14. Inwiefern stimmt die Bundesregierung zu, dass das ganze Konzept der eGK
sowohl gesetzlich als auch in den Festlegungen der Selbstverwaltung darauf
ausgelegt ist, dass die Versicherten mit ihr ihre Identität nachweisen?
15. Inwiefern stimmt die Bundesregierung der Aussage des GKV-Spitzen-
verbandes zu, dass die eGK als „eingeschränkter Identitätsnachweis“
konzipiert ist (www.welt.de/newsticker/dpa_nt/infoline_nt/brennpunkte_nt/
article124506981/Wirbel-um-Rechtmaessigkeit-der-Gesundheitskarte.html)?
a) Bedeutet nach Ansicht der Bundesregierung ein „eingeschränkter Identi-
tätsnachweis“, dass nur einige Identitätsmerkmale rechtlich bestätigt wer-
den?
Falls ja, welche, und welche nicht?
b) Bedeutet nach Ansicht der Bundesregierung ein „eingeschränkter Identi-
tätsnachweis“, dass der Nachweis aller Identitätsmerkmale nur einge-
schränkt möglich ist und dass in Kauf genommen wird, dass die Authen-
tisierung nicht rechtssicher ist?
16. Welche Maßnahmen wären nach Ansicht der Bundesregierung geeignet, die
datenschutzrechtlichen Vorbehalte bei Online-Anwendungen der eGK durch
die fehlende Identifizierung der Versicherten abzustellen?
a) Was haben die Selbstverwaltung bzw. die Betreibergesellschaft gematik
dahingehend unternommen?
b) Wenn die Einhaltung des gematik-Sicherheitskonzepts Voraussetzung zur
Zulassung als Kartenherausgeber ist, welche Maßnahmen sind von der
gematik bei Verstößen gegen das gematik-Sicherheitskonzept vorgese-
hen?
c) Was haben die Bundesregierung oder Aufsichtsbehörden des Bundes
diesbezüglich unternommen?
d) Wie teuer wird es für die Versichertengemeinschaft werden, wenn die
Krankenkassen rechtskonform die Identifizierung der Versicherten nach-
holen, und wer würde diese Kosten tragen?
e) Welche Identifizierungsverfahren wurden diesbezüglich durch die Selbst-
verwaltung als geeignet und damit gesetzeskonform eingestuft?
f) Welche Identifizierungsverfahren werden oder wurden nach Kenntnis der
Bundesregierung bislang überhaupt angewendet?
17. Inwiefern sieht die Bundesregierung politischen Handlungsbedarf infolge
des Urteils des Landessozialgerichts Rheinland-Pfalz (L 5 KR 32/14 NZB
vom 20. März 2014), demzufolge Krankenkassen Kosten nur erstatten dür-
fen, soweit es das Gesetz vorsieht (vgl. § 13 Absatz 1 des Fünften Buches
Deutscher Bundestag – 18. Wahlperiode – 5 – Drucksache 18/6725
Sozialgesetzbuch SGB V) und dieses Fehlen einer Regelung über die Er-
stattung etwa der Kosten für die Beschaffung des Lichtbildes bedeutet, dass
diese Kosten von den Versicherten selbst zu tragen sind?
Wie bewertet die Bundesregierung vor diesem Hintergrund die Praktiken ei-
niger Krankenkassen, welche die Kosten für das Foto übernommen oder die
Ablichtung selbst finanziert haben?
18. Welche Schlussfolgerungen zieht die Bundesregierung aus dem Urteil
des Landessozialgerichts Nordrhein-Westfalen (L 5 KR 594/14 vom
28. Mai 2015), dass Krankenhäuser keinen Anspruch auf Vorlage einer eGK
zum Nachweis einer Krankenversicherung haben?
19. Welche Rückschlüsse zieht die Bundesregierung aus der im gleichen Urteil
getroffenen Aussage, dass ein ruhender Leistungsanspruch auf der eGK
durch Krankenkassen nicht als Merkmal aufgebracht werden muss?
a) Inwiefern ist die/der Versicherte nach Ansicht der Bundesregierung für
die Krankenhausbehandlung voll zahlungspflichtig, wenn seine Kran-
kenkasse sich weigert, diese aufgrund eines ruhenden Leistungsanspruchs
zu erstatten?
b) Inwiefern darf das Krankenhaus diese Behandlung dem Versicherten in
Rechnung stellen, wenn nicht im Vorhinein über die voraussichtlich
entstehenden Kosten aufgeklärt wurde?
c) Inwiefern stimmt die Bundesregierung vor diesem Hintergrund der
Aussage zu, dass die eGK momentan nicht nur für eine sichere Iden-
tifizierung, sondern sogar als sicherer Nachweis des Versicherungsstatus
ungeeignet ist?
20. Welchen politischen Handlungsbedarf sieht die Bundesregierung angesichts
des im „heute-journal“ vom 24. Juni 2015 aufgedeckten massiven Daten-
schutzproblems bei der eGK, und welche diesbezüglichen Maßnahmen sind
im Entwurf des sogenannten E-Health-Gesetzes berücksichtigt?
a) Was haben die Bundesregierung oder das Bundesversicherungsamt nach
dem 24. Juni 2015 diesbezüglich unternommen?
b) Unter welchen Voraussetzungen dürfen Sozialdaten über telefonische
Abfragen bei gesetzlichen Krankenkassen zugänglich gemacht werden?
c) Wer wäre nach Kenntnis der Bundesregierung klageberechtigt, bzw. in-
wiefern kommt eine Ermittlung von Amts wegen in Betracht?
d) Was können Versicherte rechtlich unternehmen, wenn ihre Krankenkasse
ein ähnliches Sicherheitskonzept, wie die AOK Rheinland-Pfalz/Saarland
im genannten heute-journal-Beitrag, verfolgt?
e) Kann mittels der im heute-journal-Beitrag beschriebenen Methoden auch
noch auf Sozialdaten anderer Sozialversicherungsträger zugegriffen wer-
den?
f) Was hat die Bundesbeauftragte für den Datenschutzschutz und die Infor-
mationsfreiheit nach Kenntnis der Bundesregierung diesbezüglich unter-
nommen?
21. Inwiefern ist die Einhaltung des internationalen Standards ISO/IEC 29115
für einen sicheren Zugriff der Versicherten über Online-Geschäftsstellen der
Krankenkassen nach Kenntnis der Bundesregierung unabdingbar?
Drucksache 18/6725 – 6 – Deutscher Bundestag – 18. Wahlperiode
22. Unter welchen Voraussetzungen können GKV-Versicherte datenschutz-
rechtskonform einen Antrag auf Patientenquittung nach § 305 SGB V per
Internet-Zugriff stellen?
a) Unter welchen technologischen und organisatorischen Voraussetzungen
ist die eGK geeignet, diese Anforderungen zur Identifizierung von Versi-
cherten zwecks Online-Zugriff auf Sozialdaten, zu erfüllen?
b) Welche der Aufsicht des Bundes unterstehenden Krankenkassen oder an-
dere Krankenkassen haben die geltenden Regelungen nach § 36a SGB I
nach Kenntnis der Bundesregierung umgesetzt und welche nicht?
c) Welche Krankenkassen haben insbesondere Zugänge nach § 36a SGB I
mittels eGK realisiert, um eine datenschutzgerechte Kommunikation zwi-
schen Krankenkassen und Versicherten zu gewährleisten?
d) Inwiefern sieht die Bundesregierung hier gesetzgeberischen oder auf-
sichtsbehördlichen Handlungsbedarf?
23. Welche Kenntnisse hat die Bundesregierung über Patiententerminals, die in
Apotheken aufgestellt und mit denen nach Einlesen der eGK Daten etwa ei-
ner ärztlichen Arbeitsunfähigkeitsbescheinigung an die Krankenkassen ge-
sendet werden sollen (www.apotheke-adhoc.de/nachrichten/nachricht-detail/
zur-krankmeldung-in-die-apotheke-degiv-bkk/)?
a) Wie viele derartige Verträge sind nach Kenntnis der Bundesregierung be-
reits unterzeichnet worden?
b) Inwiefern schätzt die Bundesregierung die Übersendung von Sozialdaten
über derartige Terminals mittels der heute ausgegebenen eGKs als daten-
schutzrechtlich unbedenklich ein?
c) Inwiefern sind hier die Datenschutzbeauftragte, das Bundesversiche-
rungsamt oder das Bundesgesundheitsministerium aktiv geworden?
24. Inwiefern war es ein mit der eGK-Einführung verfolgtes Ziel, datenschutz-
rechtliche Probleme beim Zugriff auf Sozialdaten bei der Krankenversicher-
tenkarte abzustellen, und inwiefern hat sie das vor dem Hintergrund der be-
kannten Datenschutzskandale nach Ansicht der Bundesregierung erfüllt?
25. Inwiefern soll das Foto nach Kenntnis der Bundesregierung zur Bekämpfung
von Kartenmissbrauch beitragen?
a) Welche Zahlen hat die Bundesregierung über das Ausmaß von Karten-
missbrauch vor Ausgabe der eGKs?
b) Inwiefern kann Kartenmissbrauch nach Ansicht der Bundesregierung
überhaupt zuverlässig bekämpft werden, wenn die Identität von abgebil-
deter Person und Versicherter bzw. Versichertem nicht überprüft wurde?
c) Welche Daten hat die Bundesregierung, die einen Rückgang von Karten-
missbrauch nach Ausgabe der eGKs belegen?
Wie hoch sind die Einsparungen für die gesetzliche Krankenversiche-
rung?
Berlin, den 10. November 2015
Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion
Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de
anzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de