Digitale ID: Durchbruch im Gesundheitswesen

Überall, wo man heute etwas bean­tragt oder für eine größere Summe kauft, wo es um Gesund­heit, Krank­heit oder um Zahlungen des Staates an den Bürger oder umge­kehrt geht, ist wichtig, wer da handelt. Es braucht also einen klaren Nach­weis, mit wem man es tun hat, eine Iden­tität. Iden­titäten sind einmal für lebende Personen, können aber auch Firmen, Orga­nisa­tionen oder den Staat in Form von Behörden, Ämtern etc. sein.

Der Ausweis ist der Anker

Der Bürger soll die Souveränität über seine Daten zurückbekommen.
Grafik: Deutsche Telekom Fast jeder Mensch hat einen Ausweis, beispiels­weise den Perso­nal­aus­weis. Der "gehört" in Deutsch­land der Bundes­dru­ckerei und bestä­tigt, dass Matthias Muster­mann, geb. dann und dort, auch wirk­lich Matthias Muster­mann ist.

Viele Menschen haben längst den elek­tro­nisch lesbaren Perso­nal­aus­weis, wissen aber gar nicht, was man damit anfangen kann. Es gibt bislang so gut wie kaum Gele­gen­heiten, den elek­tro­nischen Ausweis auch sinn­voll zu nutzen. Statt­dessen müssen weiter Ämter besucht, Formu­lare ausge­füllt, unter­schrieben, gescannt, gefaxt oder sonst wie trans­por­tiert werden, bevor sie irgend­wann in digi­talen System landen.

Digi­tale ID soll die Souve­ränität zurück­geben

Mit der digi­talen ID, so erklärt es Dirk Back­ofen, bei der Telekom genau für dieses Thema zuständig, soll dem Bürger die Souve­ränität über seine Daten zurück­gegeben werden: Der elek­tro­nische Perso­nal­aus­weis als Schlüssel zu den Daten des Bürgers, die im Netz verschlüs­selt gespei­chert werden sollen, aber (idea­ler­weise) nur mit dem Schlüssel des Bürgers lesbar sind.

Neue selek­tive Funk­tionen möglich

Dabei sind neue Funk­tionen denkbar, die man bisher so nicht kannte. Wenn ein Auto­fahrer in eine Poli­zei­kon­trolle gerät, reicht es ja, zu beweisen, dass man einen gültigen Führer­schein besitzt. Weitere Infor­mationen gehen den Verkehrs­poli­zisten nichts an.

Wenn man im Internet etwas anschauen oder kaufen möchte, was erst ab 18 Jahren oder einer anderen Alters­stufe zulässig ist, soll man seinen Pass "selektiv" einsetzen können: Das bedeutet, die Gegen­stelle erfährt, dass ein Mensch mit einem Alter von über 18 am Computer sitzt. Wie der heißt, wo der wohnt, welche Schuh­größe oder monat­liches Einkommen der hat, wird aber nicht über­tragen.

Ein Anwoh­ner­park­aus­weis braucht nur die Bestä­tigung, dass der Antrag­steller in der in Frage kommenden Straße oder dem Stadt­teil wohnt, mehr Infor­mationen müssen gar nicht über­mit­telt werden und können damit auch nicht in falsche Hände geraten.

Akzep­tanz wichtig

Dirk Back­ofen ist sich bewusst, dass digi­tale Iden­titäten nur funk­tio­nieren können, wenn es eine große Akzep­tanz der Systeme gibt, wenn der Bürger mit seinem elek­tro­nisch lesbaren Pass auch etwas anfangen kann. Und gerade der Gesund­heits­bereich ist gerade dabei, einen wich­tigen Schritt zu tun.

Die Gesund­heits­karte

Die elek­tro­nisch lesbare Versi­che­rungs­karte (Gesund­heits­karte) ist bereits bei vielen Pati­enten vorhanden und einige haben auch schon die dazu­gehö­rende PIN bekommen. Um diese Karte zu bekommen, muss der Pass/Perso­nal­aus­weis vorge­zeigt werden. Das ist derzeit ein umständ­liches Verfahren, das mögli­cher­weise das persön­liche Vorspre­chen in einer Geschäfts­stelle der eigenen Kran­ken­kasse erfor­dert. Dort wird der Perso­nal­aus­weis händisch geprüft und dann die Gesund­heits­karte frei­geschaltet.

Ansatz Wallet

Die Telekom hat einen anderen Ansatz. Sie richtet in einer verschlüs­selten und abge­sicherten Cloud (die Rechner stehen u.a. in Biere bei Magde­burg und in Frank­furt/Main) eine Wallet ein, die eine Art von veri­fizierter "Kopie" des Perso­nal­aus­weises spei­chert. Genauer, die Wallet weiß, dass es den Perso­nal­aus­weis gibt, was drin steht und dass er bis zum Ablauf­datum gültig ist.

Dazu wird in einem ersten Schritt eine E-Mail-Adresse des Kunden erfasst, die mit einer Bestä­tigungs­mail mit Link geprüft wird, ferner wird eine Einmal-TAN an eine Handy­nummer geschickt. Dann muss der Perso­nal­aus­weis an ein Lese­gerät (z.B. Smart­phone) gehalten und die geheime Ausweis-PIN des Nutzers einge­geben werden, womit ein Abruf der Daten bei der Bundes­dru­ckerei erfolgt.

Alle weiteren Dinge, werden dann vom Perso­nal­aus­weis abge­leitet, also Kran­ken­ver­siche­rung, Führer­schein etc.

Verliert der Kunde seine Zugangs­daten oder sein Handy, womit er die Daten verwalten kann, muss dieser "Onboar­ding Prozess" komplett wieder­holt werden. Die Schlüssel/Pass­worte sind dem Wallet-Betreiber unbe­kannt. Er kann auch nicht mitlesen oder sehen, was da im Einzelnen abge­spei­chert ist.

Eine Wallet in der euro­päi­schen Cloud

In der modernen digitalen Welt sind Identitäten notwendig, wenn Rechtsgeschäfte erledigt werden sollen.
Grafik: Deutsche Telekom Telekom/T-Systems liefert die ID-Wallet für die Gaia-X Fede­ration Services (die föde­rierte "Europa Cloud"). Diese Dienste sind Basis und Werk­zeug­kasten für Aufbau und Betrieb eines von den Teil­neh­mern selbst­ver­wal­teten Cloud-Ökosys­tems. Auftrag­geber ist der eco-Verband, der wiederum im Auftrag des Bundes­minis­teriums für Wirt­schaft tätig ist.

T-Systems und der ID-Provider Verimi haben für den Steu­erbe­rater-Dienst­leister "DATEV" einen "Proof-of-Concept" (Beweis, dass es funk­tio­niert) einer ID-Wallet für Steu­erbe­rater gestartet.

Wer zahlt was?

Für den Bürger sollen diese Dienste kostenlos nutzbar sein. Der Veri­fier, also das Unter­nehmen, das eine bestä­tigte Infor­mation benö­tigt, soll für den Daten­abruf zur Kasse gebeten werden.

Barmer Versi­che­rung arbeitet mit T-Systems

Die Telekom hat im Gesund­heits­wesen mit den digi­talen Iden­titäten einen Groß­auf­trag an Land gezogen: 8,7 Millionen Versi­cherte der "Barmer"-Versi­che­rung nutzen künftig die digi­tale Brief­tasche von T-Systems und Verimi.

Das gemein­same Angebot für die Barmer hatte erst kürz­lich die soge­nannte Gematik-Zulas­sung erhalten. Es ist die bisher erste Zulas­sung einer digi­talen Iden­tität für das Gesund­heits­wesen in Deutsch­land. Die Gematik kümmert sich um die Digi­tali­sie­rung der Gesund­heit im Lande.

Al-Saleh: Bürger sollen souverän entscheiden

Der schei­dende T-Systems-Chef Adel Al-Saleh betonte, dass EU-Bürger nach dem Willen der EU künftig souverän entscheiden sollen, mit wem sie Daten teilen. "Digi­tale, sichere Iden­titäten sind hierfür der Schlüssel. Sie ermög­lichen künftig in vielen Bran­chen neue digi­tale Anwen­dungen. Jeder von uns wird im Alltag davon profi­tieren."

Beim Austausch digi­taler ID-Nach­weise sollen die Nutzer die Fäden in der Hand behalten. Mangelndes Vertrauen gilt in der Branche unver­ändert als Hemm­schuh der Digi­tali­sie­rung. Sichere digi­tale Iden­titäten von Sender und Empfänger sollen dies künftig ändern. Gleich­zeitig sollen sie für den Internet-Nutzer den längst unüber­sicht­lich gewor­denen "Pass­wort­dschungel" abschaffen.

Souve­ränität über die eigenen Daten

In allen Berei­chen des gesell­schaft­lichen Lebens wächst der Bedarf an Iden­titäts-Lösungen. Dabei spielt der Begriff "Self Sover­eign Iden­tity-Tech­nologie (SSI)" eine wich­tige Rolle. Die Technik soll den sicheren und daten­spar­samen Austausch digi­taler ID-Nach­weise erlauben.

Die Europa Wallet

Damit Inter­essierte auch sehen können, was da genau passiert, entwi­ckelt die Telekom ihre ID-Lösung als Open-Source-Soft­ware, die zur euro­päi­schen digi­talen Iden­tität (EUDI-Wallet) kompa­tibel sein soll. Diese Lösung steht Anfang kommenden Jahres den Gaia-X Initia­tiven als Open Source zur Verfü­gung.

Andreas Weiss, Geschäfts­führer des eco-Verbandes sagt: “Wir freuen uns, dass wir über die T-Systems den Gaia-X Fede­ration Services eine hoch­wer­tige und an den Markt­anfor­derungen ausge­rich­tete Lösung einer inte­grierten ID-Wallet für Orga­nisa­tionen und Personen mit gleich­zei­tiger Kompa­tibi­lität zur kommenden EUDI-Wallet anbieten können. Und das als Lösung für Smart­phones und Cloud-Dienste zugleich.“

Dr. Lars-Meyer-Pries von DATEV braucht "für eine Viel­zahl von Anwen­dungs­fällen unserer Steu­erbe­rater und Steu­erbe­ratungs-Kanz­leien eine einein­deu­tige Iden­tifi­kation und Authen­tifi­kation der Personen im Bera­tungs­pro­zess".

T-Systems-Cloud aus Deutsch­land - der Betreiber kann keine Daten einsehen

Für die Telekom sind die digi­talen Iden­titäten ein sehr wich­tiges Thema. Die tech­nische Lösung dafür hat T-Systems gemeinsam mit Verimi entwi­ckelt. Alle Daten liegen auch während der Verar­bei­tung verschlüs­selt auf einer sicheren und souve­ränen T-Systems-Cloud in Deutsch­land. Die Telekom verfolgt dabei den soge­nannten „Confi­den­tial Compu­ting“-Ansatz. Das bedeutet: Daten sind für außen­ste­hende Dritte und sogar die Betreiber der Lösung nicht einsehbar. Die Telekom will so speziell für Kunden in kriti­schen Berei­chen und der öffent­lichen Hand ein beson­ders hohes Vertrau­ens­niveau schaffen.

Wer ist Verimi?

Verimi ist ein Anbieter von ID-Wallet-Lösungen und bietet KYC (Know your Customer/kenne Deinen Kunden)- und AML (Anit Money Laun­dering/Geld­wäsche)-konforme Dienste für das digi­tale Iden­tifi­zieren. An Verimi sind die Allianz-Versi­che­rungs­gruppe, Axel Springer, Bundes­dru­ckerei, Daimler, Deut­sche Bank, Deut­sche Telekom, Volks­wagen, Mercedes-Benz und Luft­hansa betei­ligt.

Wer ist DATEV?

Die DATEV eG ist der dritt­größte Anbieter für Busi­ness-Soft­ware in Deutsch­land (Quelle: IDC) und einer der großen euro­päi­schen IT-Dienst­leister. Sie wurde schon 1966 als Genos­sen­schaft der Steu­erbe­rater gegründet und hat über 40.000 Mitglieder. DATEV betreut insge­samt 2,8 Millionen Unter­nehmen, Selbst­stän­dige, Kommunen, Vereine und Insti­tutionen. Etwa 8800 Mitar­beiter betreuen rund 585.000 Kunden.

Wer ist eco?

Der eco Verband sieht sich mit etwa 1000 Mitglieds­unter­nehmen als "führender Verband der Inter­net­wirt­schaft in Europa". Seit 1995 gestaltet eco das Internet, fördert neue Tech­nolo­gien und vertritt die Inter­essen seiner Mitglieder gegen­über der Politik und in inter­natio­nalen Gremien.

Was ist GAIA-X?

Das Projekt Gaia-X ist, stark verein­facht gesagt, eine "euro­päi­sche Cloud", die sicher und vertrau­ens­würdig sein soll. Sie wurde im Herbst 2019 von Deutsch­land und Frank­reich ins Leben gerufen, und daran sind viele euro­päi­sche Partner aus Wirt­schaft, Wissen­schaft und Politik betei­ligt.

Die Gaia-X Fede­ration Services (GXFS) sollen ein Ökosystem sein, wo Daten in einer vertrau­ens­wür­digen Umge­bung zur Verfü­gung gestellt, gesam­melt und geteilt werden, wobei Nutzer stets die Hoheit über ihre Daten behalten können. Es entsteht dabei keine Einheits-Cloud bei einem privaten oder staat­lichen Anbieter, sondern das ist ein föde­riertes System, das viele Anbieter und Nutzer von Daten- und Cloud-Diensten mitein­ander verbindet.

Auf der Grund­lage der tech­nischen Spezi­fika­tionen werden Dienste entwi­ckelt, die auf Open-Source-Code basieren. Sie stehen der Gaia-X Commu­nity frei zugäng­lich zur Verfü­gung.

Wer ist Gematik?

Gematik ist die natio­nale Agentur für digi­tale Medizin, ursprüng­lich als "Gesell­schaft für Tele­matik­anwen­dungen der Gesund­heits­karte" im Jahre 2005 gegründet. Dabei sind das Bundes­minis­terium für Gesund­heit (BMG), die Bundes­ärz­tekammer (BÄK), die Bundes­zahn­ärz­tekammer (BZÄK), der Deut­sche Apothe­ker­ver­band (DAV), die Deut­sche Kran­ken­haus­gesell­schaft (DKG), der Spit­zen­ver­band der Gesetz­lichen Kran­ken­ver­siche­rungen (GKV-SV), der Verband der Privaten Kran­ken­ver­siche­rung (PKV), die Kassen­ärzt­liche Bundes­ver­eini­gung (KBV) und die Kassen­zahn­ärzt­liche Bundes­ver­eini­gung (KZBV).

Eine Einschät­zung (von Henning Gajek)

Das Thema ist sperrig, beson­ders, wenn man sich mit Computer-Technik und Netz­werken nicht so wirk­lich auskennt und glaubt, dass alle Daten, die dort draußen gespei­chert werden, von dunklen Mächten und ihren Helfers­hel­fern jeder­zeit abge­rufen und ausge­wertet und gegen den Nutzer verwendet werden können.

So einfach ist es zum Glück nicht. Man kann einfach der Geschichte "vertrauen" oder besser sich infor­mieren, und wenn genü­gend Fach­kennt­nisse vorhanden sind, kann man auch die Open Source Proto­kolle lesen oder in einer Commu­nity mitar­beiten, die sich damit beschäf­tigt.

Inter­essan­ter­weise arbeiten an dem Thema nicht nur die Unter­nehmen mit, die sich davon neue Umsatz­quellen verspre­chen, sondern auch Kritiker und Kriti­kerinnen wie Lilith Witt­mann oder der Chaos Computer Club (CCC) - und wie Einge­weihte berichten, durchaus konstruktiv. So wurde der daten­schutz­tech­nisch stark gelobte Ansatz bei der Corona Warn App gemeinsam entwi­ckelt.

Der Bürger kann aber auch mithelfen, indem er zum einen daten­sparsam unter­wegs ist, oder auch gezielt Infor­mationen im Netz bekannt gibt, anhand derer später sich heraus­finden lässt, ob Daten weiter­gegeben wurden, wo man es nicht erwartet hätte. Hilf­reich können z. B. mehrere getrennte E-Mail-Adressen sein, eine für die Firma oder Behörden, eine rein private, eine für Einkäufe oder Bestel­lungen oder eine für Social-Media etc. Eine möglichst voll­stän­dige Über­sicht über digi­tale Konten, einen Tresor mit den Pass­worten, das alles gehört heute dazu.

Das Gesund­heits­wesen muss drin­gend digi­tali­siert werden. Die teil­weise chao­tische Zettel­wirt­schaft bei den Pati­enten und verschie­denen Ärzten, die viele Unter­suchungen doppelt und drei­fach erfor­dern, weil keine Infor­mationen mehr vorliegen, das ist auf die Dauer nicht machbar. Dazu braucht es klare digi­tale Iden­titäten, auf die sich der Mensch verlassen kann. Und es braucht Wach­sam­keit, weil es viele da draußen gibt, die alle gespei­cherten Daten gerne einsehen und am Ende in Geld verwan­deln wollen.

Wie schon berichtet, machte die digi­tale Iden­tifi­kation kaum Fort­schritte.