Ein Mitglied des Vorstands des Vereins Patientenrechte und Datenschutz e. V. stellte im Oktober 2018 beim Bundesministerium für Gesundheit (BMG) einen Antrag auf Auskunft nach dem Informationsfreiheitsgesetz (IFG) zum Referentenentwurf des BMG für ein Gesetz zur Ausstattung der elektronischen Gesundheitskarte mit kontaktloser Schnittstelle (15. SGB V-Änderungsgesetz).

Nach dem Wortlaut des Gesetzentwurfs soll § 291 Absatz 2a SGB V ergänzt werden um den Satz „Elektronische Gesundheitskarten, die ab dem 1. Dezember 2019 von den Krankenkassen ausgegeben werden, müssen mit einer kontaktlosen Schnittstelle ausgestattet sein; Versicherte haben ab dem 1. Dezember 2019 einen Anspruch gegenüber ihrer Krankenkasse auf die unverzügliche Ausgabe einer elektronischen Gesundheitskarte mit einer kontaktlosen Schnittstelle.“ In der Begründung dieses Gesetzentwurfs wird dazu lediglich vermerkt : “Die technologische Entwicklung und Verbreitung mobiler Endgeräte (z. B. Smartphones oder Tablets) ist in den letzten Jahren kontinuierlich vorangeschritten. Diese Geräte erleichtern den Lebensalltag vieler Menschen und ermöglichen aufgrund ihrer technischen Flexibilität neue Anwendungsfälle. So sind in zahlreichen mobilen Endgeräten kontaktlose Schnittstellen bereits verbaut, um einen schnellen und einfachen Datenaustausch zu ermöglichen. Diese Technologie soll durch dieses Gesetz auch für das Gesundheitswesen und insbesondere für die elektronische Gesundheitskarte nutzbar gemacht werden. Beispielsweise kann eine elektronische Gesundheitskarte mit kontaktloser Schnittstelle den Versicherten die Authentifizierung gegenüber der Telematikinfrastruktur und damit den Zugriff auf ihre Daten dadurch erleichtern, dass hierfür kein zusätzliches Kartenlesegerät erforderlich ist. Eine solche kontaktlose Schnittstelle kann dabei perspektivisch auch für den Zugriff der Leistungserbringer auf Daten der elektronischen Gesundheitskarte eingesetzt werden.” Zudem wird in der Begründung des Referentenentwurfs festgestellt: “Mit dieser Vorschrift werden die Krankenkassen verpflichtet, ab dem 1. Dezember 2019 nur noch elektronische Gesundheitskarten auszugeben, die über eine kontaktlose Schnittstelle, z. B. nach ISO/IEC 14443 und die darauf basierende NearFieldCommunication (NFC)-Schnittstelle, verfügen.” (Gesetzentwurf S. 4)

Das BMG wurde um Auskunft zu folgenden Fragen gebeten:

• Wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits um eine Stellungnahme gebeten, welche Auswirkungen die beabsichtigte Maßnahme auf die Sicherheit der Telematikinfrastruktur gem. § 291a ff SGB V haben kann? Wenn Ja, bitte ich um Zusendung dieser Stellungnahme. Wenn Nein: Warum wurde eine solche Stellungnahme nicht angefordert?
• Wurde ggf. eine andere Stelle (Universität, Unternehmen etc.) um eine entsprechende Stellungnahme gebeten? Wenn Ja, welche? Wenn Ja, bitte ich um Zusendung dieser Stellungnahme.
• Welche Daten sollen durch die “elektronische Gesundheitskarte mit kontaktloser Schnittstelle”  verschlüsselt übertragen werden?
• In welchem Zeitraum soll auch der “Zugriff der Leistungserbringer auf Daten der elektronischen Gesundheitskarte” mittels der NFC-Schnittstelle realisiert werden?
• Sind neben den kontaktlos von der elektronischen Gesundheitskarte übertragenen Daten zur Authentifizierung gegenüber der TI weitere Authentifizierungsfaktoren (z.B. PIN-Eingabe) vorgesehen?
• Wie soll ausgeschlossen werden, dass Authentifizierungsvorgänge “belauscht” werden können (z.B. über Funkwanzen in Arztpraxen oder Trojaner auf dem Smartphone), um die gestohlenen Authentifizierungsdaten zum Zugriff auf die Gesundheitsdaten der Betroffenen in der TI benutzt werden?
• Wie soll sichergestellt werden, dass auf den Geräten keine Apps installiert sind, die Authentifizierungsdaten oder Gesundheitsdaten des Nutzers unbemerkt auslesen und weiterleiten?
• Müssen die mobilen Endgeräte, über die Zugriffe auf die Telematikinfrastruktur ermöglicht werden sollen, bestimmte Anforderungen erfüllen? Müssen sie vom BSI zertifiziert sein?

Zum Hintergrund der vorstehenden Fragen erklärte der Antragsteller: Für viele mobile Geräte gibt es ständig neue Nachfolgemodelle, mit der Folge, dass für “veraltete” Versionen meist schon zwei Jahre nach dem Kauf keine Sicherheitsupdates mehr erhältlich sind. Wie soll vermieden werden, dass Hacker dadurch entstehende Sicherheitslücken ausnutzen?

Das BMG beantwortete zwar die Fragen in allgemeiner Form, weigerte sich aber, eine offensichtlich vorhandene Stellungnahme des Bundesamt für Sicherheit in der Informationstechnik (BSI) als Information zur Verfügung zu stellen:

Der Antragsteller hat sich deshalb mit einer Beschwerde an Ulrich Kelber, den neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewandt.