Österreichisches Gesundheitstelematikgesetz – wie liest man „Integrität“ in der Kommunikation?

Die Novelle des Gesundheitstelematikgesetzes (GTelG) steht vor der Tür und soll 2025 in Österreich in Kraft treten. Viele Gesundheitsinstitutionen, wie Sozialversicherungen und Spitäler, beschäftigen sich nun intensiv mit der Ablöse von Fax und versuchen, innerhalb ihrer Umgebung eine passende Lösung für den Versand von Gesundheitsdaten zu finden, so auch viele unserer Kunden in Österreich. Wie wir schon in diesem Blog-Post beschrieben haben, ist es leider nicht so einfach wie in der Schweiz, wo es eine homogene Lösung gibt. Glücklicherweise ist der österreichische Gesetzgeber in der Novelle bzgl. Kommunikationssicherheit erstaunlich klar, was wir in diesem Blogeintrag behandeln.

Wenn man sich den Gesetzestext der Novelle des GTelG genau ansieht, findet man im § 7 Abs. 1 folgende Passage:

Nachweis und Prüfung der Integrität elektronischer Gesundheitsdaten und genetischer Daten haben durch die Verwendung fortgeschrittener oder qualifizierter elektronischer Signaturen oder fortgeschrittener oder qualifizierter elektronischer Siegel gemäß der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt … zu erfolgen.

Der Absatz beginnt mit dem Begriff Integrität. Das Wort kommt aus dem Lateinischen und bedeutet so viel wie Unversehrtheit oder Vollständigkeit. Das Gesetz verlangt also unter anderem, dass eine Nachricht unversehrt und vollständig beim Empfänger ankommt. Die Nachricht soll also am Transportweg weder verletzt werden, noch soll etwas entfernt worden sein. Eine integre Nachricht kommt exakt so an, wie sie der Sender verschickt hat.

Weiters fordert der Text elektronische Signaturen. Hier wird oft die Dokumentensignatur und die E-Mail-Signatur verwechselt. Wir sprechen hier von der E-Mail-Signatur, weil eine Nachricht sowohl im E-Mail-Text als auch in ihren Anhängen Gesundheitsdaten enthalten kann.

Bei Briefen beweist die Unterschrift einer Nachricht dem Empfänger die Identität des Absenders. Dies ist bei einer elektronischen Nachricht genau gleich. Der Empfänger einer Nachricht hat also die Sicherheit, dass die Nachricht von der Person stammt, von der die Nachricht erwartet wird.

Die dritte erwähnte Komponente ist das elektronische Siegel. Ein versiegelter Papierbrief gibt dem Empfänger die Sicherheit, dass das Kuvert nicht geöffnet wurde, auch wenn der Inhalt lesbar gewesen wäre. Ein gültiges ungebrochenes Siegel ist also ein Garant dafür, dass niemand am Übertragungsweg die Nachricht verändert oder sogar ausgetauscht hat. Die digitale E-Mail-Signatur leistet auch diesen Dienst.

Wenn man jetzt noch einen Schritt weitergeht und die im GTelG genannte EU-Verordnung 910/2014 liest, steht dort (Seite 2, Erwägungsgrund 7), … dass die Sicherheit elektronischer Dienstleistungen – insbesondere elektronischer Signaturen – wichtig ist und dass auf europäischer Ebene eine Infrastruktur öffentlicher Schlüssel (PKI – Public Key Infrastructure) geschaffen werden muss … .

Das heißt, die EU hat schon 2014 erkannt, dass eine vertrauenswürdige Stelle, welche Zertifikate für Signaturen ausgibt und der alle Kommunikationspartner vertrauen, strategische Bedeutung hat. Aktuell nutzt man hier am besten renommierte Zertifikatsanbieter.

  • 7 Abs. 1 GTelG stellt also klar, dass eine elektronische Nachricht, die Gesundheits- oder genetische Daten enthält, mit einer elektronischen Signatur versehen werden muss, um ihre oben beschriebene Integrität zu gewährleisten. Eine mittels Zertifikat digital signierte E-Mail, die mit einem gültigen Siegel beim Anwender ankommt, weist genau diese Eigenschaften auf:
  • eindeutige Identifikation des Absenders;
  • Integrität der Nachricht (Beweis der Unverändertheit).

Umgelegt auf die praktische Anwendung im Tagesbetrieb einer Klinik, eines Sozialversicherungsmitarbeiters oder eines Arztes heißt das, dass diese Daten verschlüsselt und auf alle Fälle auch signiert versendet werden müssen.

Wenn man vertrauliche Kommunikation ernst nimmt, so wie wir das bei SEPPmail seit 24 Jahren tun, dann muss dieser Lösungsansatz auch vollumfassend sein. Bei der Sicherheit unserer Daten am Transportweg dürfen wir keine Kompromisse eingehen.

Der Gesetzgeber hält sich hier an etablierte Standards, um mit dieser Technologieoffenheit den von der Novelle betroffenen Kommunikationspartnern die Wahl zu lassen, mit welchem Produkt oder Hersteller dieses Gesetz umgesetzt werden kann. Wir bei SEPPmail sind bereit, um das österreichische Gesundheitssystem einen Schritt sicherer zu machen.