Datenschutzrechtliche Probleme in den Systemen hinter der eGk
Rolf D. Lenkewitz, Systemadministrator für einen großen Verkehrsdienstleister im Telematik-Umfeld in Süddeutschland, beschäftigt sich seit Jahren mit kritischem Blick mit der informationstechnischen Infrastruktur der elektronischen Gesundheitskarte (eGk) und im Gesundheitswesen in seiner Gesamtheit. Am 20.01.2015 hat er in einem neuen Beitrag – auch für technische Laien weitgehend verständlich – zwei datenschutzrechtliche Probleme in den Systemen hinter der eGk beleuchtet:
- Neue Gefährdungsszenarien durch das Aufbringen des biometrischen Passbildes auf die eGK und
- Gefährdungen wegen fehlender Verschlüsselung der Daten auf der eGK
Nun behaupten zwar die Krankenkassen, dass sie für die Ausstellung einer eGk kein Passbilder benötigen, die biometrischen Kriterien entsprechen. Die TK beispielsweise beantwortet auf Ihrer Homepage die Frage „Muss das Passbild den biometrischen Anforderungen entsprechen?“ mit: „Nein. Ihr Bild für die TK-Gesundheitskarte muss nicht biometrisch sein.“ Aber dann setzt sie Ihre Information fort mit den Sätzen: „Optimal ist ein aktuelles Foto von Ihnen, das einem Passbild entspricht. Sie müssen zweifelsfrei erkennbar sein. Das heißt, das Foto soll im Hochformat und circa B35 x H45 mm groß sein, kann farbig oder schwarz-weiß sein, soll einen möglichst neutralen Hintergrund haben und das Gesicht soll von vorn fotografiert sein, soll das Gesicht unverdeckt und klar erkennbar zeigen…“ Bei Wikipedia ist zu lesen: „Ein Passbild ist biometrisch, wenn es bestimmte Anforderungen erfüllt, die zur erleichterten Gesichtserkennung anhand des Bildes beitragen. Übliche Anforderungen sind: frontale Aufnahme, festgelegte Position des Kopfes im Bild, bestimmter, strukturloser Hintergrund (z. B. hellgrau), neutraler Gesichtsausdruck, gute Ausleuchtung ohne Reflexionen und Schatten auf Gesicht und Hintergrund“. Der Unterschied bei den Anforderungen dürfte als eher marginal zu bewerten sein. Hinzu kommt, dass es kaum ein Fotostudio geben wird, das heute noch wahlweise biometrische oder nicht-biometrische Passbilder herstellt.
Rolf D. Lenkewitz schreibt zu dieser Problematik in seinem Beitrag u. a.: „im Bereich der Datenerfassung und Datenverarbeitung in den Untiefen des eGK/TI-Systems entstehen weitere gefährdende Situationen, die bisher nicht aufgefallen sind. Die Erfassung der biometrischen Passbilder führt zu einer zentralen Speicherung der Passbilder, in der mehrere Kopien des Passbildes einer Personen über die üblichen Datensicherungsverfahren in Rechenzentren über Festplatten und Bandsicherungen… über die Sicherungsverfahren virtueller Maschinen und Daten… hergestellt werden. Dadurch werden Passbilder in biometrischer Qualität vielfach repliziert und einem Datenverarbeitungsprozess übergeben, in einer Umgebung, die bei weitem nicht so abgesichert ist wie die Produktionsumgebung für Personalausweise. Weiterhin dürfen die Krankenkassen für die Auftragsdatenverarbeitung, die dafür erforderlichen Daten für die Herstellung und den Versand der Krankenversicherungskarte, z.B. für die Lichtbildanforderung, an Fremdunternehmen übergeben, wie z.B. dem Unternehmen Swiss Post (ehemals Systemform MediCard GmbH), Systemformstraße 5, 83209 Prien am Chiemsee. Damit entstehen technisch und örtlich unterschiedliche Speicherorte und es entstehen mehrfache Kopien zur Sicherung und zur Produktion der eGK. Entgegen jeder möglichen Aussage, die Passbilder werden nicht dauerhaft gespeichert, was im übrigen eine optionale Kontrolle der Passbilder nach der Aufbringung und Auslieferung unmöglich machen würde, ist der komplette Prozess im eGK/TI-System nicht beschrieben. Insbesondere besteht hohe Unsicherheit über die vielfache Replikation der biometrischen Passbilder, ihres Verbleibs, ihrer Aufbewahrung, Sicherung und Löschung auf unterschiedlichen Datenträgern…“