Digitale Identität und ePA
SSI, DID & Co in der Praxis
Foto: Monkey Business Images - shutterstock.com
In den vergangenen zwölf Monaten hat das deutsche GesundheitswesenGesundheitswesen wichtige Schritte der DigitalisierungDigitalisierung gewagt. Dabei bildet das technologische Prinzip der souveränen digitalen Identität die Basis und bereitet den Weg für zahlreiche Ausbaustufen. Alles zu Digitalisierung auf CIO.de Top-Firmen der Branche Gesundheit
Neben dem Krankenhauszukunftsgesetz und der Einführung digitaler Gesundheits- und Pflegeanwendungen, wurde auch der Auftrag zum Aufbau einer Telematik-Infrastruktur erteilt.
Viele Strukturen im Gesundheitswesen sind bisher nicht für Digitalisierung in großem Stil ausgelegt. Meist waren es lokale Initiativen einzelner Anbieter und Versorger. Daten zu nutzen ist bisher nur über große Hürden realisierbar: Daten werden bei den Versorgern häufig in unterschiedlichen Formaten oder in veralteten Systemen erzeugt. Sie laufen dann bei den Krankenkassen zusammen, die bisher selten als Innovationstreiber oder "Digital Champions" aufgefallen sind.
Zudem unterliegen die betreffenden Daten starken datenschutzrechtlichen Restriktionen. Deshalb und aufgrund von Regulierungen des Marktes muss der Staat für Innovationen einen entsprechenden Rahmen schaffen - stärker als in anderen, weniger regulierten und weniger gesellschaftlich relevanten Märkten.
Eine große Hürde des digitalen Gesundheitswesens stellt die Asymmetrie dar zwischen der Erzeugung von Informationen, deren Sicherung und dem Bestimmungsrecht über diese Informationen. Viele Daten laufen bei den Krankenkassen zusammen, doch dabei haben die Patienten, um deren Daten es sich eigentlich handelt, nur sehr beschränkte Möglichkeiten, selbst über diese Daten zu bestimmen. Das heißt auch, dass diese Daten bisher nicht oder nur unter hohem Aufwand nutzbringend eingesetzt werden können, selbst wenn Patienten dies wünschten. Diese Hindernisse sollen nun mit den Prinzipien der Distributed Ledger Technoligien nach und nach abgebaut werden.
Lesetipp: Distributed-Ladger-Technologie - Wann Blockchain echten Mehrwert bringt
Die elektronische Patientenakte als Art der digitalen Identität
Anfang 2021 wurde in Deutschland die elektronische Patientenakte (ePA) gestartet. Sie bildet einen wichtigen Baustein, um die Telematik-Infrastruktur im Gesundheitswesen aufzubauen.
Die ePA läuft über die Krankenkassen, die die elektronische Patientenakte im ersten Schritt mit historischen Daten befüllt haben. Die Kassen stellen ihren Kunden in einer App sämtliche Befunde, Diagnosen und weitere gesammelte Daten, wie etwa Untersuchungsergebnisse, zur Verfügung. Mittlerweile ist diese Phase beendet und die ePA wird nun durch die Ärzte bei der Behandlung und durch Angaben der Nutzer selbst befüllt.
Ab 2022 wird die ePA um die selbstbestimmte Datenfreigabe durch die Nutzer erweitert. Sie können somit entscheiden, ob und welche Daten sie zum Beispiel an Ärzte oder an digitale Anbieter freigeben.
- Holger Witzemann, AOK Systems
Holger Witzemann ist seit Mai 2016 Geschäftsführer der AOK Systems. Der Diplom-Ingenieur für Technische Informatik war vorher Geschäftsführer im Bitmarck-Konzern in Essen, einem IT-Anbieter für Betriebs-, Innungs- und Ersatzkassen sowie die DAK-Gesundheit und weitere Ersatzkassen. Witzemann verantwortet nun die Softwareentwicklung für die gesamte AOK-Gemeinschaft, die BARMER, die BKK Mobil Oil, die VIACTIV Krankenasse und die Hanseatische Krankenkasse. - Stefan Henkel, Siemens Healthineers
Stefan Henkel ist CIO von Siemens Healthineers. Stefan Henkel absolvierte sein Studium in Wirtschaftswissenschaften an der Universität Bamberg, wo er ebenfalls seine Promotion abschloss. Nach Stationen als Lehrbeauftragter und selbstständiger IT-Berater, startete er im Jahr 1996 seine berufliche Laufbahn bei Siemens Management Consulting in München. Bereits 1997 übernahm er die Leitung der Supply Chain Beratung im Bereich Corporate Procurement and Logistics. Nach weiteren leitenden Positionen in verschiedenen Abteilungen wechselte er 2006 in den Bereich Customer Services der Healthcare-Sparte. Dort verantwortete er weltweit "Product Support" und den "Siemens Remote Service". Nachdem er ein unternehmensweites Transformationsprojekt erfolgreich leitete, übernahm Stefan Henkel 2011 die Position des Leiters für Customer Relationship Management Operations. Daraufhin übernahm er die Verantwortung als Leiter der IT und seit 2018 besetzt Stefan Henkel die Position des CIO von Siemens Healthineers. - Hans-Ulrich Prokosch, Uniklinikum Erlangen
Hans-Ulrich Prokosch ist CIO am Uniklinikum Erlangen und Inhaber des Lehrstuhls für Medizinische Informatik an der Universität Erlangen-Nürnberg. Bis 2003 war er Professor für Medizinische Informatik an der Universität Münster. Prokosch hat Mathematik studiert, dann einen Doktor in Humanbiologie gemacht und sich anschließend im Fach Medizinische Informatik habilitiert. - Markus Balser, Rhön Klinikum AG
Markus Balser ist seit Februar 2018 Konzernbereichsleiter IT/Konzern-EDV an der Rhön-Klinikum AG. Zuvor war er seit 2008 bei der Accenture GmbH als Managing Director im Bereich Technology Strategy verantwortlich für Enterprise Architecture & Application Strategy im deutschsprachigen Raum. - Andreas Strausfeld, Bitmarck Holding
Im Juli 2014 ist Andreas Strausfeld zum Geschäftsführer der Bitmarck Holding GmbH aufgestiegen. Damit steht er dem IT-Dienstleister für Krankenkassen vor. Andreas Strausfeld ist seit 2008 als Geschäftsführer bei der Bitmarck Holding GmbH und seit 2010 bei der Bitmarck Vertriebs- und Projekt GmbH aktiv. In gleicher Funktion war er in Personalunion auch von 2012 bis 2013 bei der Bitmarck Software GmbH tätig. 2018 wurde sein Vertrag bei Bitmarck vorzeitig um vier Jahre bis 2024 verlängert. - Stefan Domsch, Synlab
Im Juli 2024 wechselte Stefan Domsch die Branche und stieg als IT-Chef bei Synlab ein. Bisher war er Group CIO vom TÜV Süd. - Ingo Elfering, Fresenius
Seit Juli 2020 besetzt Ingo Elfering den neu geschaffenen CIO-Posten bei der Fresenius Gruppe. Der gelernte Wirtschaftsinformatiker soll die globalen IT-Aktivitäten des Konzerns koordinieren und weiterentwickeln. Zudem übernimmt er die Leitung der IT-Dienstleistungs-Tochter Fresenius Netcare, die mittlerweile in Fresenius Digital Technology umbenannt wurde. Elfering berichtet an den Finanzvorstand. - Jens Schulze, Universitätsklinikum Frankfurt am Main
Jens Schulze ist seit September 2019 CIO und Leiter des Dezernats für Informations- und Kommunikationstechnologie (DICT) im Universitätsklinikum Frankfurt. Sein Vorgänger Martin Overath ist jetzt Geschäftsleiter Medizinischer Arbeitsplatz beim Softwarehersteller Knowledgepark. In seiner Rolle verantwortet Schultz alle Bereiche der administrativen und klinischen IT inklusive der Telekommunikation. Er berichtet an den kaufmännischen Direktor als Mitglied des Vorstands. Für seine Leistungen als CIO der Uniklinik Leverkusen (2013-2019) wurde Jens Schulze beim CIO des Jahres 2019 in der Kategorie Public Sektor ausgezeichnet. - Michael Kraus, Universitätsklinikum Freiburg
Michael Kraus ist seit August 2014 für die IT am Universitätsklinikum Freiburg verantwortlich. Bereits seit 2009 war er stellvertretender Leiter des Klinikrechenzentrums. Nach seinem Physik-Studium und einer Promotion im Bereich der Systembiologie war Kraus wissenschaftlicher Mitarbeiter an der Medizinischen Fakultät der Universität Freiburg. 1996 wechselte er als IT-Leiter in die Universitätsverwaltung und verantwortete dort ab 1999 als Dezernatsleiter neben der IT für das Campus Management die Bereiche Controlling, Organisation und Neue Medien. - Rudolf Dück, UKSH
IT-Chef am Universitätsklinikum Schleswig-Holstein (UKSH) ist seit Januar 2019 Rudolf Dück. Er übernahm die Leitung der Stabsstelle Informationstechnologie. Zugleich ist er Geschäftsführer der UKSH Gesellschaft für IT Services mbH (ITSG) sowie der Gesellschaft für Informationstechnologie (GfIT). Davor war Dück als Leiter des Bielefelder IT-Servicezentrums (BITS) an der Universität Bielefeld tätig. - Manfred Criegee-Rieck, Klinikum Nürnberg
Manfred Criegee-Rieck leitet seit Juni 2017 die IT des Klinikums Nürnberg. Der neue IT-Leiter ist Nachfolger des langjährigen CIOs Helmut Schlegel. Er kommt von den Franziskanerbrüdern vom Heiligen Kreuz, wo er Gesamtleiter IT war. - Heiko Reinhard, Ottobock
Heiko Reinhard ist seit Mai 2018 neuer CIO beim Duderstädter Medizintechnik-Hersteller Ottobock. Er war bislang als CEO des IT-Dienstleisters Sycor, der IT-Tochter von Ottobock, in Amerika und als IT Director North America für Ottobock tätig. - Patrick Wenz, Universitätsmedizin Mainz
Patrick Wenz leitet die IT der Universitätsmedizin Mainz bis Ende 2023 im Interim. - Jan Vitt, Universitätsmedizin Mainz
Ab Januar 2024 soll Jan Vitt die IT der Universitätsmedizin Mainz leiten. - Aude Vik, Techniker Krankenkasse
Seit Anfang 2024 ist Aude Vik Geschäftsbereichsleiterin Informationstechnologie bei der Techniker Krankenkasse. - Gunther Nolte, Vivantes-Klinik
Gunther Nolte ist schon seit 2001 IT- und TK-Direktor beim Gesundheitsnetzwerk Vivantes. Der Diplom-Informatiker arbeitete nach seinem Studium zunächst als Softwareentwickler in einem Systemhaus. Zwischen 1986 und 2001 war er unter anderem als Projektleiter für den Aufbau eines Tumorregisters am onkologischen Schwerpunkt Klinikum Kassel verantwortlich. - Dirk Herzberger, Helios Kliniken
Seit 1998 leitet Dirk Herzberger die IT der Klinikkette Helios, die seit 2005 zu Fresenius gehört. Mit seiner Abteilung "Zentraler Dienst IT" stellt er dem gesamten Unternehmen die PC-gestützte Infrastruktur zur Verfügung - das reicht von medizinischen Dokumentationssystemen über die IT für Abrechnungen bis zu Telemedizin-Lösungen. Diplom-Ingenieur Herzberger war zuvor sechs Jahre Leiter EDV der Asklepios Neurologischen Klinik Bad Salzhausen und ab 1993 am Aufbau der Zentrale Dienste EDV der Asklepios Gruppe beteiligt. Zwischen 1988 und 1992 arbeitete Herzberger als Entwicklungsingenieur in der Forschungs- und Entwicklungsabteilung sowie in der Abteilung Technische EDV der Firma Weiss Umwelttechnik. - Franz-Helmut Gerhards, DAK
Franz-Helmut Gerhards ist seit Oktober 2016 CDO und Mitglied der Geschäftsleitung der DAK-Gesundheit in Hamburg. Er ist für die unternehmensweite digitale Transformation der Krankenkasse verantwortlich. Dazu gehört neben der strategischen Ausrichtung der DAK den Aufbau eines digitalen Ökosystems sowie die digitale Transformation aller relevanten Kundenprozesse mit dem Fokus auf die Kundenorientierung. Zudem verantwortet Gerhards den mit der Digitalisierung verbundenen kulturellen Wandel und leitet die Digitale Fabrik, die als interner Inkubator die digitale Transformation der Kasse operativ gestaltet. - Henning Schneider, Asklepios Konzern
Henning Schneider hat im Oktober 2016 die Leitung des Konzernbereichs IT im Asklepios Konzern übernommen. Er folgt auf Martin Stein, der das Unternehmen verlassen hat, um als Kaufmännischer Geschäftsführer des Gemeinschaftsklinikums Mittelrhein tätig zu sein. Schneider wechselte vom Universitätsklinikum Hamburg-Eppendorf (UKE) zu Asklepios. Am UKE leitete er seit 2012 als CIO den Geschäftsbereich Informationstechnologie. Bereits seit 2008 trug er dort Verantwortung für die medizinischen IT-Systeme und die Umsetzung der elektronischen Patientenakte. - Martin Peuker, Charité
Martin Peuker ist CIO der Berliner Charité. Große Hoffnungen setzt Peuker in die europäische Cloud-Initiative Gaia-X, die allmählich Formen annimmt: "Von Gaia-X könnte der gesamte Health-Sektor profitieren", ist er überzeugt. Die Charité unterstütze die Initiative schon jetzt aktiv. Bisher kommen Cloud-Ressourcen ausschließlich im Verwaltungsbereich der Charité zum Einsatz. - Kurt Kruber, Klinikum der Universität München
Seit Dezember 2012 verantwortet Kurt Kruber am Klinikum der Ludwig-Maximilians-Universität Medizintechnik und Informationstechnik. Beide Ressorts sollen unter der Führung des 49-Jährigen näher zusammenrücken, wie sich auch an der Agenda des IT-Chefs zeigt: Eines seiner Projekte ist das Zusammenführen der Mitarbeiter aus diesen Bereichen. - Bernd Christoph Meisheit, Sana Kliniken
Bernd Christoph Meisheit ist seit August 2009 Geschäftsführer bei der IT-Tochter der Sana Kliniken. Meisheit stieß damals zu Gerald Götz, der die Sana IT Services bereits zwölf Jahre lang leitete, und formte mit ihm eine Doppelspitze. Seit Götz Sana im Herbst 2010 verlassen hat, leitet Meisheit die IT des Klinikbetreibers allein. Meisheit war zuvor IT-Verantwortlicher des Klinikverbandes St. Antonius und Geschäftsführer der Gesellschaft für Information und Technologie im Gesundheitswesen in Wuppertal. In den Jahren 2000 bis 2008 war er CIO der MTG Malteser Trägergesellschaft und Mitglied des Kooperationsrates der Deutsche Malteser GmbH. In dieser Funktion wurde er 2007 von unserer Schwesterpublikation Computerwoche für ein Rechenzentrumsprojekt zum Anwender des Jahres in der Kategorie IT-Performance gekürt. Von 1992 bis 1997 war er Leiter der Abteilung IT und Organisation und ab 1998 stellvertretender Leiter der Hauptabteilung Finanzen, Unternehmensrechnung und Informationssysteme der Flughafen Köln/Bonn GmbH. Meisheit hat in Köln die Fächer Nachrichtentechnik und Informationsverarbeitung studiert.
Self Sovereign Identity
Damit wird die ePA zu einem passenden Beispiel für das technologische Prinzip der selbstbestimmten Identität oder "Self Sovereign Identity" (SSI). SSI beschreibt das Prinzip, dass Halter einer digitalen Identität selbst darüber bestimmen können, welche Drittparteien ihre Daten einsehen können und wie sie verarbeitet werden dürfen.
Eine digitale Identität ermöglicht es, Daten für eine Entität, sei es ein Mensch, eine Organisation oder ein Objekt, an einem digitalen Ort zu vereinen. Im Falle der ePA, handelt es sich dabei um Menschen und somit Nutzer. Die Nutzer erhalten eine eigene, einzigartige Identität, welche vergleichbar ist mit einer digitalen Sammelmappe. Darin können Daten und Zertifikate gesichert werden, die die Nutzer betreffen.
Für die Digitale Identität selbst, also die Sammelmappe, gibt es festgelegte Formate, wie das DID-Format vom W3C (DID = Decentralized Identifiers). Auch die ePA selbst stellt ein solches Format einer Identität dar und wendet dabei das bereits erwähnte SSI-Prinzip an.
Die Grundidee dabei ist, dass eine Entität in Faktoren gegliedert wird, beispielsweise in Name, Wohnort oder einen Abschnitt in der Behandlungshistorie. Dabei beschreiben nicht die Halter der digitalen Identität (die Entität) diese Faktoren, sondern diejenigen, die es am besten können oder am vertrauenswürdigsten sind. Zum Beispiel ein Name: jeder Mensch weiß, wie er heißt, doch offiziell bestätigt es der Ausweis und damit die ausstellende Behörde. Bestätigt diese Behörde nun einem Prüfer, dass die Informationen korrekt sind, wird die Information offiziell und damit auch mehr wert, da die ausstellende Quelle vertrauenswürdig ist.
ePA im Kontext eines digitalen Gesundheitssystems
Die Vorteile einer solchen ePA als digitale Identität sind folgende:
Einfachheit, Usability und Bürokratieabbau: Durch eine Datenbasis, auf die alle Systeme referieren können, entfällt es, Nachweise und Befunde manuell einreichen zu müssen. Die Ärzte und Patienten können über die ePA ihre Diagnosen, Überweisungen, Rezepte etc. an einem Ort zentral und digital verwalten und an die Kassen einreichen.
Selbstbestimmter Patient: Die Patienten werden zu Eignern ihrer Daten. Damit übernehmen sie auch die Verantwortung über ihre Daten und können eigenständig über diese bestimmen.
Datenverfügbarkeit: Gebündelte Daten können einfacher zur Verfügung gestellt werden.
Interoperabilität: Da die ePA die Daten in einem Format bündelt, werden diese interoperabel.
Somit wird eine neue Stufe der Gesundheitsversorgung erreicht, die einen wichtigen Schritt macht, um den Patienten in den Mittelpunkt zu stellen. Mit der Vollmacht und Gewalt über ihre Daten haben Patienten einen entscheidenden Verhandlungsvorteil.
In einem immer digitaler werdenden Gesundheitssystem, entstehen auch Anbieter digitaler Gesundheitslösungen. Wie auch bei herkömmlichen digitalen Lösungen sind Anbieter digitaler Gesundheitslösungen auf Daten angewiesen, in diesem Fall auf medizinische und Patientendaten. Sie optimieren und bauen durch Nutzung der Daten ihr Geschäftsmodell aus, indem sie etwa weitere Services aufbauen, andere Lösungen integrieren und letztendlich auch zu einem Ökosystem werden könnten.
Zugriff auf die neuen Daten-Assets
Medizinische und Patientendaten sind für ihre Nutznießer, also Anbieter digitaler Lösungen, Unternehmen in der Forschung und in Med-Tech, Health-Tech und Pharma, schwer zugänglich. Sie unterliegen hohen datenschutzrechtlichen Hürden und waren bisher über diverse Akteure verteilt. Verglichen mit Daten anderer Branchen oder herkömmlichen Kundendaten, sind Gesundheitsdaten deutlich wertvoller und die ePA wird zu einer Art digitalem Asset, das alle nutzen möchten.
Durch die ePA sind die Daten nun zwar zentral und interoperabel verfügbar, aber aufgrund des SSI-Prinzips für Anbieter nicht zugänglicher. Diese können jetzt auf die Freiwilligkeit der Nutzer setzen oder ihnen ein entsprechendes Gegenangebot machen, damit sie ihre ePA-Daten freigeben. Während die Freiwilligkeit bei der Corona-Warn-App eher mäßigen Erfolg hatte, führen bei letztgenannter Methode möglicherweise zwei Wege ans Ziel:
Monetarisierung von Datensätzen: Unternehmen kaufen den Haltern ihre Daten ab. Solche Konzepte existieren schon, doch mangelt es diesen Modellen meist an Durchdringung im Markt, um daraus ein tragfähiges Geschäft zu realisieren. Zudem brauchen diese Anbieter größere Datenmengen - einzelne Datensätze sind nicht ausreichend.
Service als Gegenwert zu Daten: Die Anbieter stellen ePA-Nutzern Services zur Verfügung, für die es sich lohnt, Daten freizugeben. Dies kann beispielsweise explizit erfolgen, nach der Logik "gib mir deine Daten und ich mache mit ihnen …". Besonders für Anbieter von digitalen Therapieangeboten (digital therapeutics, DTX) oder von Lösungen für digital analyticsanalytics und diagnostics kann dies ein attraktives Modell sein.
Die Alternative wäre ein Modell, welches oft von alltäglichen digitalen Diensten genutzt wird: die Restriktion der eigentlichen Leistung durch ein "leichtes Schloss", etwa in Form eines Logins. So wie man sich über das Gmail- oder Facebook-Konto bei diversen Apps einloggen kann, könnte die ePA als Login-Methode genutzt werden. Dabei würde der Anwender dann auch einer (eingeschränkten) Datenfreigabe zustimmen. Die Hürde für Nutzer wäre im ersten Schritt sehr gering: der Gedanke, dass jedes Nutzerkonto eine Art von Datenfreigabe und in der Data-Economy somit eine Bezahlung ist, ist bisher nicht sehr weit verbreitet und den Wenigsten richtig bewusst. Vor allem die Bequemlichkeit, mit einem Konto mehrere Dienste zu nutzen, lassen Nutzer sich ungern entgehen. Daher kann auch bezweifelt werden, dass Nutzern bisher der eigentliche Wert der Inhalte ihrer ePA in vollem Umfang bewusst ist und sie diese gegen Bequemlichkeit einzutauschen bereit sind. Alles zu Analytics auf CIO.de
Die digitale Identität als Enabler einer neuen Data Economy
Das sind nur Möglichkeiten, wie die ePA in Zukunft genutzt werden könnte. Doch schon jetzt zeigt die ePA mit ihren Vorteilen die Potentiale der digitalen Identität auf:
Interoperabilität,
Datenverfügbarkeit,
Einfachheit der Handhabung und
Selbstbestimmung über eigene Daten.
Ein großflächiger Einsatz von digitalen Identitäten kann die Data Economy demokratisieren. Für Unternehmen bedeutet das zwar ein Umdenken, doch das kann durchaus positive Auswirkungen haben. Sie können sich darauf konzentrieren, die besten Services bereitzustellen, um Daten aus Identitäten zu erhalten und schaffen dadurch einen umso stärkeren Wettbewerbsvorteil.
Bisherige Daten-Monopole werden aufgeweicht und Kunden bauen ein neues Bewusstsein über ihre Daten auf. Die Kunden wachsen somit in eine Rolle hinein, die ihnen der freie Markt ursprünglich zugedacht hat: als Wähler, der entscheidet, welche Produkte und Services sich durchsetzen und belohnt werden. (bw/jd)