sbk.org Magazin Arbeitgeberservice Leistungserbringende Karriere Unternehmen Presse & Politik Suche
EnglishLogin
Übersicht Themen Themen Nachhaltigkeit im Gesundheitswesen Qualität Digitalisierung Versorgung Kassenfinanzen & Morbi-RSA Politische Positionen Expertinnen & Experten Kontakt zu Presse & Politik
EnglishSuche
Kontakt Menü Übersicht Themen Politische Positionen Expertinnen & Experten Kontakt zu Presse & Politik Themen Nachhaltigkeit im Gesundheitswesen Qualität Digitalisierung Versorgung Kassenfinanzen & Morbi-RSA sbk.org Magazin Arbeitgeberservice Leistungserbringende Karriere Unternehmen Presse & Politik EnglishLogin

Digitale Identifikation: Datenschutz auf europäischer Grundlage

Hintergrund: Europaweit einheitliche Vertrauensniveaus regeln, wie man sich für eine digitale Anwendung identifizieren kann. Die SBK erklärt, welche Auswirkungen das auf die Identifikationsprozesse im Gesundheitswesen hat. (19.10.2023)

Wissen Sie, was der Unterschied zwischen Identifikation und Authentifizierung ist? Was eIDAS und Vertrauensniveaus sind? Die fortschreitende Digitalisierung, die Einführung von digitalen Identitäten, und der elektronischen Patientenakte (ePA) für alle sowie die verstärkte Nutzung von Daten zu Forschungszwecken wird die Diskussionen um Chancen aber auch Risiken rund um ein digitales Gesundheitswesen in Deutschland anfachen. Im Mittelpunkt die Frage: Wie können wir die gesammelten Gesundheitsdaten soweit schützen, dass ein Missbrauch so weit möglich ausgeschlossen ist? Die folgenden Begriffe werden dabei immer wieder auftauchen.

 

Am Anfang steht die Identifikation

Wenn von Identifikation die Rede ist, geht es um die erste Anmeldung an einer Anwendung. Um einen Service zu nutzen, muss man sich erstmalig registrieren. Das kennt jeder zum Beispiel vom Online-Einkauf – auch hier wird ein Kundenkonto angelegt, man bekommt einen Nutzernamen und kann sich ein Passwort wählen. Gleiches gilt für das Online-Banking oder eben die Nutzung von Krankenkassen-App und ePA.

Ist dieses Kundenkonto oder der Account erst einmal angelegt, ist es erforderlich, sich bei jedem weiteren Login mit den entsprechenden Zugangsdaten anzumelden. Das wird als Authentifizierung bezeichnet. Bei einer 2-Faktor-Authentifizierung (2FA) muss die Authentifizierung doppelt abgesichert sein, z.B. mit einem Passwort und einem Code, den eine App auf dem Smartphone generiert. Wichtig dabei: Die Absicherungsfaktoren sollte dabei aus unterschiedlichen Kategorien stammen - man spricht dabei von einer Kombination aus Wissen und Besitz. Zur Kategorie "Wissen" gehört dabei das Passwort oder eine PIN, zur Kategorie "Besitz" die Chipkarte oder das Smartphone mit dem Code-Generator.

 

eIDAS-Verordnung: europäische Grundlage für den Schutz der Daten

Die Abkürzung eIDAS steht für „Electronic Identification And Trust Services“. Die so genannte eIDAS-Verordnung enthält verbindliche, europaweit geltende Regelungen in den Bereichen „elektronische Identifizierung“ und „elektronische Vertrauensdienste“.

Ganz vereinfacht gesagt wird darin festgelegt, wie „sicher“ die Identifikation für die unterschiedlichen digitalen Anwendungen gestaltet sein soll. In der Folge gibt diese Festlegung den Ausschlag, wie die Identifikation ausgestaltet werden kann: Reicht eine einfache E-Mail, um sich einen Account anzulegen? Muss man sich einen Passwort-Brief per Post zuschicken lassen oder sich sogar persönlich ausweisen?

Dabei legt die Verordnung keine Technologien und Umsetzungen vor. Sie definiert lediglich drei Vertrauensniveaus für Anwendungen: niedrig, substanziell und hoch.

  • Ist das Vertrauensniveau „niedrig“, muss der Identitätsnachweis in einer Art und Weise erbracht werden, dass man diesem in geringem Maße vertrauen kann und damit die Gefahr eines Identitätsmissbrauchs verringert wird.
  • Ist das Vertrauensniveau „substanziell“, muss der Identitätsnachweis in einer Art und Weise erbracht werden, dass man diesem in gesteigertem Maße vertrauen kann und damit die Gefahr eines Identitätsmissbrauchs maßgeblich verringert wird.
  • Ist das Vertrauensniveau „hoch“, muss der Identitätsnachweis in einer Art und Weise erbracht werden, dass man diesem in hohem Maße vertrauen kann und damit die Gefahr eines Identitätsmissbrauchs ausgeschlossen wird.
  •  

    Gesundheitsdaten haben einen besonders schützenswerten Charakter

    Das Vertrauensniveau einer Anwendung definiert sich aus dem Schutzbedarf der Daten, welche innerhalb der Anwendung verarbeitet werden. Gesundheitsdaten wird gemäß EU-DSGVO ein „besonders schützenswerter Charakter“ zugeschrieben. Dementsprechend liegt das Schutzniveau auf der Stufe „hoch“ gemäß eIDAS.

    Dieses hohe Niveau erfüllen aktuell zwei Identifikationswege:

    1. Identifikation mittels elektronischer Gesundheitskarte (eGK) und dazugehöriger PIN, da der Ausgabe der PIN eine Identifikation auf hohem Vertrauensniveau vorausgeht
    2. Identifikation mittels Online-Ausweisfunktion des Personalausweises
  • Die Festlegung, welche Technologie welchem Niveau entspricht, erfolgt einheitlich in Europa in Form einer sogenannten Notifizierung durch die EU-Kommission.

     

    Trotz europäischer Regelungen herrscht Uneinigkeit

    Eine einheitliche Grundlage für Vertrauensniveaus, europaweite Regelungen rund um die Identifikation – da sollte doch eigentlich alles klar sein. Doch Identifikation und Authentifizierung im digitalen Gesundheitswesen sorgen immer wieder für Diskussionen. Denn die Datenschutzbehörden in Deutschland legen die europäische Verordnung besonders streng aus. Stufenpläne zur schrittweisen Einführung eines hohen Schutzniveaus bei der Identifikation oder auch ein freiwilliger Verzicht des Nutzers auf das hohe Schutzniveau bei der Authentifizierung sind in anderen Ländern kein Problem. Hier werden sie von den Datenschutzbehörden abgelehnt.

    Hintergrund: Digitale Identifikation: Datenschutz auf europäischer Grundlage

    Die hier zur Verfügung gestellten Inhalte dürfen, unter Angabe der Quelle SBK Siemens-Betriebskrankenkasse, veröffentlicht werden.

    Ich bin Ihre persönliche Ansprechpartnerin und freue mich auf Ihre Presseanfragen.

    Tel.: 089 62700-710

    Mobil: 0160 95332422

    E-Mail: franziska.herrmann@sbk.org

    LinkedIn

    Das könnte Sie auch interessieren:

    Pressemitteilung: Die SBK Siemens-Betriebskrankenkasse hat ihre Tester-Community* befragt: Ein Großteil weiß um die Einführung der digitalen Identität (19.10.2023)

    Meinung: Vorständin Dr. Gertrud Demmler kommentiert die drei Referentenentwürfe rund um die Weiterentwicklung des Gesundheitswesens, die das Bundesgesundheitsministerium gestern veröffentlicht hat (21.06.2023)

    Meinung: Dr. Christian Ullrich ist überzeugt: Wenn die Digitalisierungsstrategie des Bundesgesundheitsministeriums so umgesetzt wird, wie heute vorgestellt, dann sind wir einen großen Schritt weiter in Sachen Digitalisierung. (09.03.2023)

    Folgen Sie uns auf

    Facebook
    Instagram
    YouTube
    X
    LinkedIn
    XING
    TikTok
    Cookie Einstellungen Datenschutz Impressum Barrierefreiheit & Leichte Sprache

    Wir verwenden erforderliche Cookies, die für den Betrieb der Webseite notwendig sind, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Zusätzliche Cookies und Technologien werden nur verwendet, wenn Sie Ihnen zustimmen. Diese Cookies und Technologien werden für statistische Zwecke und für weitere Funktionen auf der Webseite genutzt:

  • Erforderliche Cookies
  • Statistik-Cookies
  • Externe Dienste
  • Mit Klick auf "Zustimmen" und anschließend auf "Speichern" akzeptieren Sie diese und auch die Weitergabe Ihrer Daten an Drittanbieter.

    Weitere Informationen, auch zur Datenverarbeitung durch Drittanbieter, finden Sie in den Einstellungen sowie in unseren Datenschutzhinweisen. Sie können die Verwendung von Cookies ablehnen oder jederzeit über Ihre Einstellungen anpassen.

    Zu den Einstellungen Zustimmen

    Sie haben die Wahl, welche Cookies und externe Dienste Sie zulassen:

    Diese Cookies sind notwendig, damit Sie durch die Seiten navigieren und wesentliche Funktionen nutzen können.

    Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen.

    Auf dieser Seite werden Dienste eingebunden, die durch Drittanbieter bereitgestellt werden. Diese erbringen ihre Services eigenverantwortlich. In Einzelfällen müssen für diese Funktionen Cookies gesetzt werden.

    Datenschutzhinweise

    Einstellungen speichern