Einige Krankenkassen fordern derzeit ihre Mitglieder auf, Fotos zur Ausstellung der neuen elektronischen Gesundheitskarte einzusenden. Dabei sind wichtige Sicherheitsfragen des Systems nicht geklärt. Der Chaos Computer Club rät allen Versicherten, kein Foto einzusenden.
In den letzten Tagen erreichten uns Hinweise, daß erste Krankenkassen ihre Kunden dazu auffordern, zwecks Ausstellung einer neuen Versichertenkarte ein Foto einzusenden. Die IKK Sachsen besteht sogar auf einem biometrisch vermeßbaren Foto und verweist auf eine gesetzliche Verpflichtung, dieses Foto einzusenden.
Das dem Chaos Computer Club bekannte Konzept für die elektronische Gesundheitskarte weist gravierende Mängel unter anderem bei der Umsetzung der sogenannten "freiwilligen Dienste" auf. Bei der elektronischen Patientenakte verlassen die sensiblen Daten den geschützten Bereich der Praxis und werden auf einem zentralen Server gespeichert. Laut Spezifikation werden diese Daten zwar vor der Übermittlung verschlüsselt, jedoch gibt es noch immer kein schlüssiges Konzept dafür, wer Zugriff auf die dazu benötigten Schlüssel haben wird.
Da die Einführung der neuen Gesundheitskarte ohne diese Zusatzdienste ökonomisch nicht vertretbar ist und daher keinerlei Vorteile für Kassen, Versicherte oder Ärzte bringt, ist die Einführung des unausgereiften Systems unverantwortlich. Wir raten daher den Versicherten, der Aufforderung nach Einsendung eines Fotos nicht nachzukommen und damit die flächendeckende Einführung der neuen Gesundheitskarte zu verzögern, bis grundlegende Fragen zum Schutz der sensiblen Daten geklärt sind.
Zwar sieht § 291 des Sozialgesetzbuches vor, daß die Versichertenkarte ein "Lichtbild des Versicherten" enthalten soll, macht aber darüber hinaus keine Vorgaben, wie es ausgestaltet sein muß. Der Kreativität sind also keine Grenzen gesetzt. Ein biometrisch verwertbares Fotos, wie es beim umstrittenen elektronischen Reisepaß zum Einsatz kommt, ist keinesfalls gefordert. Welche Sanktionsmöglichkeiten die Krankenkassen haben, wenn der Versicherte kein Foto einschickt, ist fraglich.
Eine Speicherung des Fotos über den Zeitraum der Herstellung der Karte hinaus ist gesetzlich nicht vorgeschrieben und damit unzulässig.
Update 30.7.2008: Gesetzliche Grundlagen und mögliche Konsequenzen sind in einem Artikel des Branchendienstes "krankenkassen direkt" zusammengefaßt.