Digitale ID: Durchbruch im Gesundheitswesen
Überall, wo man heute etwas beantragt oder für eine größere Summe kauft, wo es um Gesundheit, Krankheit oder um Zahlungen des Staates an den Bürger oder umgekehrt geht, ist wichtig, wer da handelt. Es braucht also einen klaren Nachweis, mit wem man es tun hat, eine Identität. Identitäten sind einmal für lebende Personen, können aber auch Firmen, Organisationen oder den Staat in Form von Behörden, Ämtern etc. sein.
Der Ausweis ist der Anker
Der Bürger soll die Souveränität über seine Daten zurückbekommen.
Grafik: Deutsche Telekom
Fast jeder Mensch hat einen Ausweis, beispielsweise den Personalausweis. Der "gehört" in Deutschland der Bundesdruckerei und bestätigt, dass Matthias Mustermann, geb. dann und dort, auch wirklich Matthias Mustermann ist.
Viele Menschen haben längst den elektronisch lesbaren Personalausweis, wissen aber gar nicht, was man damit anfangen kann. Es gibt bislang so gut wie kaum Gelegenheiten, den elektronischen Ausweis auch sinnvoll zu nutzen. Stattdessen müssen weiter Ämter besucht, Formulare ausgefüllt, unterschrieben, gescannt, gefaxt oder sonst wie transportiert werden, bevor sie irgendwann in digitalen System landen.
Digitale ID soll die Souveränität zurückgeben
Mit der digitalen ID, so erklärt es Dirk Backofen, bei der Telekom genau für dieses Thema zuständig, soll dem Bürger die Souveränität über seine Daten zurückgegeben werden: Der elektronische Personalausweis als Schlüssel zu den Daten des Bürgers, die im Netz verschlüsselt gespeichert werden sollen, aber (idealerweise) nur mit dem Schlüssel des Bürgers lesbar sind.
Neue selektive Funktionen möglich
Dabei sind neue Funktionen denkbar, die man bisher so nicht kannte. Wenn ein Autofahrer in eine Polizeikontrolle gerät, reicht es ja, zu beweisen, dass man einen gültigen Führerschein besitzt. Weitere Informationen gehen den Verkehrspolizisten nichts an.
Wenn man im Internet etwas anschauen oder kaufen möchte, was erst ab 18 Jahren oder einer anderen Altersstufe zulässig ist, soll man seinen Pass "selektiv" einsetzen können: Das bedeutet, die Gegenstelle erfährt, dass ein Mensch mit einem Alter von über 18 am Computer sitzt. Wie der heißt, wo der wohnt, welche Schuhgröße oder monatliches Einkommen der hat, wird aber nicht übertragen.
Ein Anwohnerparkausweis braucht nur die Bestätigung, dass der Antragsteller in der in Frage kommenden Straße oder dem Stadtteil wohnt, mehr Informationen müssen gar nicht übermittelt werden und können damit auch nicht in falsche Hände geraten.
Akzeptanz wichtig
Dirk Backofen ist sich bewusst, dass digitale Identitäten nur funktionieren können, wenn es eine große Akzeptanz der Systeme gibt, wenn der Bürger mit seinem elektronisch lesbaren Pass auch etwas anfangen kann. Und gerade der Gesundheitsbereich ist gerade dabei, einen wichtigen Schritt zu tun.
Die Gesundheitskarte
Die elektronisch lesbare Versicherungskarte (Gesundheitskarte) ist bereits bei vielen Patienten vorhanden und einige haben auch schon die dazugehörende PIN bekommen. Um diese Karte zu bekommen, muss der Pass/Personalausweis vorgezeigt werden. Das ist derzeit ein umständliches Verfahren, das möglicherweise das persönliche Vorsprechen in einer Geschäftsstelle der eigenen Krankenkasse erfordert. Dort wird der Personalausweis händisch geprüft und dann die Gesundheitskarte freigeschaltet.
Ansatz Wallet
Die Telekom hat einen anderen Ansatz. Sie richtet in einer verschlüsselten und abgesicherten Cloud (die Rechner stehen u.a. in Biere bei Magdeburg und in Frankfurt/Main) eine Wallet ein, die eine Art von verifizierter "Kopie" des Personalausweises speichert. Genauer, die Wallet weiß, dass es den Personalausweis gibt, was drin steht und dass er bis zum Ablaufdatum gültig ist.
Dazu wird in einem ersten Schritt eine E-Mail-Adresse des Kunden erfasst, die mit einer Bestätigungsmail mit Link geprüft wird, ferner wird eine Einmal-TAN an eine Handynummer geschickt. Dann muss der Personalausweis an ein Lesegerät (z.B. Smartphone) gehalten und die geheime Ausweis-PIN des Nutzers eingegeben werden, womit ein Abruf der Daten bei der Bundesdruckerei erfolgt.
Alle weiteren Dinge, werden dann vom Personalausweis abgeleitet, also Krankenversicherung, Führerschein etc.
Verliert der Kunde seine Zugangsdaten oder sein Handy, womit er die Daten verwalten kann, muss dieser "Onboarding Prozess" komplett wiederholt werden. Die Schlüssel/Passworte sind dem Wallet-Betreiber unbekannt. Er kann auch nicht mitlesen oder sehen, was da im Einzelnen abgespeichert ist.
Eine Wallet in der europäischen Cloud
In der modernen digitalen Welt sind Identitäten notwendig, wenn Rechtsgeschäfte erledigt werden sollen.
Grafik: Deutsche Telekom
Telekom/T-Systems liefert die ID-Wallet für die Gaia-X Federation Services (die föderierte "Europa Cloud"). Diese Dienste sind Basis und Werkzeugkasten für Aufbau und Betrieb eines von den Teilnehmern selbstverwalteten Cloud-Ökosystems. Auftraggeber ist der eco-Verband, der wiederum im Auftrag des Bundesministeriums für Wirtschaft tätig ist.
T-Systems und der ID-Provider Verimi haben für den Steuerberater-Dienstleister "DATEV" einen "Proof-of-Concept" (Beweis, dass es funktioniert) einer ID-Wallet für Steuerberater gestartet.
Wer zahlt was?
Für den Bürger sollen diese Dienste kostenlos nutzbar sein. Der Verifier, also das Unternehmen, das eine bestätigte Information benötigt, soll für den Datenabruf zur Kasse gebeten werden.
Barmer Versicherung arbeitet mit T-Systems
Die Telekom hat im Gesundheitswesen mit den digitalen Identitäten einen Großauftrag an Land gezogen: 8,7 Millionen Versicherte der "Barmer"-Versicherung nutzen künftig die digitale Brieftasche von T-Systems und Verimi.
Das gemeinsame Angebot für die Barmer hatte erst kürzlich die sogenannte Gematik-Zulassung erhalten. Es ist die bisher erste Zulassung einer digitalen Identität für das Gesundheitswesen in Deutschland. Die Gematik kümmert sich um die Digitalisierung der Gesundheit im Lande.
Al-Saleh: Bürger sollen souverän entscheiden
Der scheidende T-Systems-Chef Adel Al-Saleh betonte, dass EU-Bürger nach dem Willen der EU künftig souverän entscheiden sollen, mit wem sie Daten teilen. "Digitale, sichere Identitäten sind hierfür der Schlüssel. Sie ermöglichen künftig in vielen Branchen neue digitale Anwendungen. Jeder von uns wird im Alltag davon profitieren."
Beim Austausch digitaler ID-Nachweise sollen die Nutzer die Fäden in der Hand behalten. Mangelndes Vertrauen gilt in der Branche unverändert als Hemmschuh der Digitalisierung. Sichere digitale Identitäten von Sender und Empfänger sollen dies künftig ändern. Gleichzeitig sollen sie für den Internet-Nutzer den längst unübersichtlich gewordenen "Passwortdschungel" abschaffen.
Souveränität über die eigenen Daten
In allen Bereichen des gesellschaftlichen Lebens wächst der Bedarf an Identitäts-Lösungen. Dabei spielt der Begriff "Self Sovereign Identity-Technologie (SSI)" eine wichtige Rolle. Die Technik soll den sicheren und datensparsamen Austausch digitaler ID-Nachweise erlauben.
Die Europa Wallet
Damit Interessierte auch sehen können, was da genau passiert, entwickelt die Telekom ihre ID-Lösung als Open-Source-Software, die zur europäischen digitalen Identität (EUDI-Wallet) kompatibel sein soll. Diese Lösung steht Anfang kommenden Jahres den Gaia-X Initiativen als Open Source zur Verfügung.
Andreas Weiss, Geschäftsführer des eco-Verbandes sagt: “Wir freuen uns, dass wir über die T-Systems den Gaia-X Federation Services eine hochwertige und an den Marktanforderungen ausgerichtete Lösung einer integrierten ID-Wallet für Organisationen und Personen mit gleichzeitiger Kompatibilität zur kommenden EUDI-Wallet anbieten können. Und das als Lösung für Smartphones und Cloud-Dienste zugleich.“
Dr. Lars-Meyer-Pries von DATEV braucht "für eine Vielzahl von Anwendungsfällen unserer Steuerberater und Steuerberatungs-Kanzleien eine eineindeutige Identifikation und Authentifikation der Personen im Beratungsprozess".
T-Systems-Cloud aus Deutschland - der Betreiber kann keine Daten einsehen
Für die Telekom sind die digitalen Identitäten ein sehr wichtiges Thema. Die technische Lösung dafür hat T-Systems gemeinsam mit Verimi entwickelt. Alle Daten liegen auch während der Verarbeitung verschlüsselt auf einer sicheren und souveränen T-Systems-Cloud in Deutschland. Die Telekom verfolgt dabei den sogenannten „Confidential Computing“-Ansatz. Das bedeutet: Daten sind für außenstehende Dritte und sogar die Betreiber der Lösung nicht einsehbar. Die Telekom will so speziell für Kunden in kritischen Bereichen und der öffentlichen Hand ein besonders hohes Vertrauensniveau schaffen.
Wer ist Verimi?
Verimi ist ein Anbieter von ID-Wallet-Lösungen und bietet KYC (Know your Customer/kenne Deinen Kunden)- und AML (Anit Money Laundering/Geldwäsche)-konforme Dienste für das digitale Identifizieren. An Verimi sind die Allianz-Versicherungsgruppe, Axel Springer, Bundesdruckerei, Daimler, Deutsche Bank, Deutsche Telekom, Volkswagen, Mercedes-Benz und Lufthansa beteiligt.
Wer ist DATEV?
Die DATEV eG ist der drittgrößte Anbieter für Business-Software in Deutschland (Quelle: IDC) und einer der großen europäischen IT-Dienstleister. Sie wurde schon 1966 als Genossenschaft der Steuerberater gegründet und hat über 40.000 Mitglieder. DATEV betreut insgesamt 2,8 Millionen Unternehmen, Selbstständige, Kommunen, Vereine und Institutionen. Etwa 8800 Mitarbeiter betreuen rund 585.000 Kunden.
Wer ist eco?
Der eco Verband sieht sich mit etwa 1000 Mitgliedsunternehmen als "führender Verband der Internetwirtschaft in Europa". Seit 1995 gestaltet eco das Internet, fördert neue Technologien und vertritt die Interessen seiner Mitglieder gegenüber der Politik und in internationalen Gremien.
Was ist GAIA-X?
Das Projekt Gaia-X ist, stark vereinfacht gesagt, eine "europäische Cloud", die sicher und vertrauenswürdig sein soll. Sie wurde im Herbst 2019 von Deutschland und Frankreich ins Leben gerufen, und daran sind viele europäische Partner aus Wirtschaft, Wissenschaft und Politik beteiligt.
Die Gaia-X Federation Services (GXFS) sollen ein Ökosystem sein, wo Daten in einer vertrauenswürdigen Umgebung zur Verfügung gestellt, gesammelt und geteilt werden, wobei Nutzer stets die Hoheit über ihre Daten behalten können. Es entsteht dabei keine Einheits-Cloud bei einem privaten oder staatlichen Anbieter, sondern das ist ein föderiertes System, das viele Anbieter und Nutzer von Daten- und Cloud-Diensten miteinander verbindet.
Auf der Grundlage der technischen Spezifikationen werden Dienste entwickelt, die auf Open-Source-Code basieren. Sie stehen der Gaia-X Community frei zugänglich zur Verfügung.
Wer ist Gematik?
Gematik ist die nationale Agentur für digitale Medizin, ursprünglich als "Gesellschaft für Telematikanwendungen der Gesundheitskarte" im Jahre 2005 gegründet. Dabei sind das Bundesministerium für Gesundheit (BMG), die Bundesärztekammer (BÄK), die Bundeszahnärztekammer (BZÄK), der Deutsche Apothekerverband (DAV), die Deutsche Krankenhausgesellschaft (DKG), der Spitzenverband der Gesetzlichen Krankenversicherungen (GKV-SV), der Verband der Privaten Krankenversicherung (PKV), die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV).
Eine Einschätzung (von Henning Gajek)
Das Thema ist sperrig, besonders, wenn man sich mit Computer-Technik und Netzwerken nicht so wirklich auskennt und glaubt, dass alle Daten, die dort draußen gespeichert werden, von dunklen Mächten und ihren Helfershelfern jederzeit abgerufen und ausgewertet und gegen den Nutzer verwendet werden können.
So einfach ist es zum Glück nicht. Man kann einfach der Geschichte "vertrauen" oder besser sich informieren, und wenn genügend Fachkenntnisse vorhanden sind, kann man auch die Open Source Protokolle lesen oder in einer Community mitarbeiten, die sich damit beschäftigt.
Interessanterweise arbeiten an dem Thema nicht nur die Unternehmen mit, die sich davon neue Umsatzquellen versprechen, sondern auch Kritiker und Kritikerinnen wie Lilith Wittmann oder der Chaos Computer Club (CCC) - und wie Eingeweihte berichten, durchaus konstruktiv. So wurde der datenschutztechnisch stark gelobte Ansatz bei der Corona Warn App gemeinsam entwickelt.
Der Bürger kann aber auch mithelfen, indem er zum einen datensparsam unterwegs ist, oder auch gezielt Informationen im Netz bekannt gibt, anhand derer später sich herausfinden lässt, ob Daten weitergegeben wurden, wo man es nicht erwartet hätte. Hilfreich können z. B. mehrere getrennte E-Mail-Adressen sein, eine für die Firma oder Behörden, eine rein private, eine für Einkäufe oder Bestellungen oder eine für Social-Media etc. Eine möglichst vollständige Übersicht über digitale Konten, einen Tresor mit den Passworten, das alles gehört heute dazu.
Das Gesundheitswesen muss dringend digitalisiert werden. Die teilweise chaotische Zettelwirtschaft bei den Patienten und verschiedenen Ärzten, die viele Untersuchungen doppelt und dreifach erfordern, weil keine Informationen mehr vorliegen, das ist auf die Dauer nicht machbar. Dazu braucht es klare digitale Identitäten, auf die sich der Mensch verlassen kann. Und es braucht Wachsamkeit, weil es viele da draußen gibt, die alle gespeicherten Daten gerne einsehen und am Ende in Geld verwandeln wollen.
Wie schon berichtet, machte die digitale Identifikation kaum Fortschritte.