Unterscheidung und Bildung von Profilen und Rollen  /§291a

Die Unterscheidung und Bildung von Profilen und Rollen ist im Kontext des TI-Systems ein richtig heißes Eisen! Grundsätzlich ist es verboten eine Profilbildung in informationellen System auf Basis hochsensibler persönlicher Daten, wie z.B. zur Gesundheit, zu ermöglichen. Der einwandfreie Nachweis einer Profilbildung im TI-System wäre ein wesentlicher Faktor für die Feststellung der Nicht-Verfassungsmäßigkeit.  Die Gematik und ihre Entwickler sind sich dieses Sachverhaltes bewußt gewesen und haben nach Lösungen gesucht, die die Konstruktion des Systems ermöglichen, ohne dass es zu Profilbildungen kommt. Die nachfolgende Ausarbeitung vom 02.01.2014 ist ein erster Schritt für die Aufklärung der Sachverhalte und wird in den nächsten Tagen und Wochen weitergehen.  Das Thema der Profilbildung kann runtergebrochen werden auf nahezu jedes Fachdokument der Gematik und man landet irgendwann auch bei den XML und XSD-Technologien, die auf einer unteren Ebene der Datenverarbeitung der eGK und der anderen Schichten eingesetzt werden. XML, die Extended MarkUp-Language, erweitert die Rohdaten, wie z.B. die Adress-Daten mit zusätzlichen Informationen und ermöglicht eine dezidierte Verarbeitung und Abprüfung der Daten in Bezug auf definierte Anforderungen, die eben auch mit der Bildung von Rollen und Profilen zusammenhängen. Rollen und Profile sind die unbedingte Grundlage für eine Berechtigungstruktur, die es ermöglicht den Zugriff auf bestimmte Ressourcen (Datenpools) zu regeln (Rechteumfang).

Zunächst geht es um eine allgemeine Trennung der Begriffe Profil und Rolle und um die verschiedenen Nutzungsarten.  Das Profil steht am ehesten für den personalisierten Querschnitt eines erkennbaren Individuums, die Rolle dagegen beschreibt am ehesten die Charakteristika funktionsabhängiger Eigenschaften und Rechte, einer abstrakten entpersonalisierten Figur, die für eine Gruppe von Personen zutrifft.

In der Software und in den IT-Systemen erfolgt die Überprüfung der Berechtigungen z.B. darüber, ob die Person der Gruppenrolle der Administratoren oder Benutzern mit eingeschränkten Rechten zugeordnet ist.  Vergleichbar, zur besseren Vorstellung, ist das Ganze mit der Rolle eines Schauspielers, der auf der Bühne einen König spielt und später im 2. Akt einen verkleideten Bettler. Die von Ihm gespielten Rollen lassen zunächst keine Rückschlüsse auf die eigene Person zu. Verständlich ist, die Rolle eines Königs umfasst mehr Rechte und Möglichkeiten, als die eines Bettlers. So ähnlich verhält es sich in informationellen Systemen.

Klar ist dabei die Grenzen verschwimmen, erhobene Profile, die personenabhängig sind, können zu einer inhaltlichen Zusammenfassung führen und dabei ermöglicht die Profilbildung in der Folge die Bildung von neuen Rollen. Diese Überschneidung tritt besonders in der Entwicklung von Software zutage, wo angelegten Rollen, Benutzern zugeordnet werden! In der Software werden angelegte Rollen in Gruppen abgebildet, die mit einem definierten Rechteumfang versehen sind und einen Container für die Personen bilden, die darin eingekapselt sind.

Die Gematik bewirbt beispielsweise in einem PDF mit dem Titel: “IT-Trends 2013/Sektorübergreifendes AMTS in Deutschland vom 25.09.2013
Telematikinfrastruktur, bundesweites, sektorübergreifendes Netz für alle - auf Seite 3 mit folgenden Aussagen:

Die Sicherheit wird also in der Festlegung von Rollen im TI-System gesehen. Den Rollen sind bestimmte Rechte wie Lesen, Schreiben oder Ändern zugewiesen und damit auch dem Recht zur Ver- und Entschlüsselung von Daten. Weiterhin wird das Rollenkonzept selbst zum Bestandteil des Produktes, der Ware Information! Aufschlussreicher kann nicht dargestellt werden, wo einer der Mehrwerte eines informationellen Systems liegt.

In der IT unterscheidet man z.B. zwischen der Gruppe  der Administratoren, die sehr viel Rechte haben und der Gruppe von Benutzern, die eingeschränkte Rechte haben.  Der genutzte Begriff -Rollenkonzept- weist bereits darauf hin, auf ein rollen-basierendes Konzept das grundsätzlich die Bildung von Gruppen ermöglicht. Das heißt es erfolgt eine Zuordnung von individuellen Personen in Gruppen, die Rollen darstellen, wie z.B die Rolle der Administratoren. Wenn nun beispielweise 5 Personen Systemadministratoren sind, dann stellt dies ein zusätzliches Merkmal ihres persönlichen Profils dar.

Das Merkmal -Administrator- ist Teil ihrer eigenen Profilbildung und kann von aussen prinzipiell ausgewertet werden. Das heißt es ist nicht sichergestellt, dass die existierende Rolle des Administrators nicht personalisiert ausgewertet werden kann. Damit ist gemeint, es gibt viele Wege festzustellen, welche Benutzer in der Gruppe der Administratoren enthalten sind.

Der Bundesbeauftragte für Informationssicherheit und Datenschutz schreibt zur Profilbildung in informationellen Systemen auf seiner Webseite:

VSG NW: § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2, § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1, § 5a Abs. 1 Leitsätze:

   1. Das verfassungsrechtlich geschützte allgemeine Persönlichkeitsrecht umfasst ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dieses ist zu beachten, wenn eine Eingriffsermächtigung Systeme erfasst, die allein oder in ihrer technischen Vernetzung personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System einen Einblick in wesentliche Teile der Lebensgestaltung einer Person ermöglicht oder ein aussagekräftiges Bild der Persönlichkeit vermittelt.


Die Nutzung informationstechnischer Systeme sei für die Persönlichkeitsentfaltung vieler Bürger von zentraler Bedeutung. Sie begründe aber auch neuartige Gefährdungen der Persönlichkeit. Eine Überwachung der Nutzung solcher Systeme und eine Auswertung der auf den Speichermedien befindlichen Daten könnten weit reichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen. Hieraus folge ein grundrechtlich erhebliches Schutzbedürfnis. Der Schutz durch Art. 10 GG (Telekommunikationsgeheimnis), Art. 13 GG (Unverletzlichkeit der Wohnung) und auch die bisher in der Rechtsprechung des Bundesverfassungsgerichts entwickelten Ausprägungen des allgemeinen Persönlichkeitsrechts, wie das auf informationelle Selbstbestimmung reichten angesichts der Entwicklung der Informationstechnik nicht aus. (Quelle / Copyright > http://www.bfdi.bund.de, siehe
Webseite )
 

Das sind erfreuliche Aussagen, sie erfassen aber leider nicht das wahre Ausmaß einer Situation, denn in der Softwareentwicklung ist die Anlage von Rollen bereits untrennbar mit der Bildung und Wahrnehmung von Profilen verknüpft. Das heißt in gewisserweise dass die Nutzung von Software und informationellen Systemen ein Pakt mit dem Teufel ist, oder anders herum gesagt , es werden alle schlafenden Hunde geweckt, damit nun endlich jeder sieht wer nachts durch die Dörfer schleicht. 

Die Nutzung der informationellen Systeme selbst führt zu einer ausgeprägten Profilbildung und zunehmenden hierachischen Strukturierung der menschlichen Existenz. Zudem entsteht ein prinzipiell auswertbarer Datenpool, wer nachts durch die Dörfer geschlichen ist. Diesen Aspekt sollten Sie beachten, denn selbst wenn hier die Namen der Dorfschleicher verschlüsselt vorliegen, wegen der Wahrung der Datenschutzgesetzgebung, ist eine physikalische Instanz, eine Organisation dazu entstanden, die es vorher nicht gab.

Zurück zum TI-System, zurück zu den Rollen und Profilen: Die Nutzung von Rollenkonzepten erfordert im Vorfeld der Konstruktion eines informationellen Systems einen selektiven und analytischen Prozess, so ungern dies gehört wird.  Wenn Sie bei Wikipedia schauen, was der Begriff Selektion bedeutet, dann finden sie diesem im Kontext der Evolution und der Informatik mit unterschiedlichen Ausprägungen. Klar ist die Nutzung von informationellen Systeme erzeugen eine Kategorisierung, eine Art informationelle Vermessung der Welt und der Menschen bis in ihre kleinsten Details. Wer ein informationelles System, wie das TI-System baut, musss quasi alles in Algorithmen gießen. Jede Person, die das System nutzt muss klassifiziert und kategorisiert werden.  Wer also die Nachteile des Systems umgehen will versucht, quasi mit dafür ungeeigneten Bausteinen, etwas zu verhindern, was diese eigentlich selbst verursachen! Damit entsteht ein fast unlösbarer Konflikt.

Sie können diesem Konflikt und dem Prozess der Rollenbildung und der angeblichen Lösungsfindung in den von der Gematik veröffentlichten Dokumente nachgehen, siehe z.B. gematik_GA_Gesamtarchitektur_V1_3_0.pdf Version: 1.3.0  Gematik Stand: 18.03.2008

Die Gematik hat sich intensiv bemüht die Vorgaben von $291a “Elektronische Gesundheitskarte” (Sozialgesetzbuch Fünftes Buch / Gesetzliche Krankenversicherung) umzusetzen. Im gematik_GA_Gesamtarchitektur_V1_3_0.pdf siehe dazu z.B. Abschnitte 4.7 Hybrides Rechtekonzept der Telematik bis 4.8 oder 6.4.1.2 / 6.5.1 / 6.8.2.7.1 / 7.8.2.2
 

Sie merken es geht sehr tief und informationsreich in die Tiefen eines Megasystems mit einer begleitenden Gesetzgebung, die im Vorfeld des Projektes stattgefunden hat. Die Entstehung des $291a zeigt, wenn Sie Ihn lesen, dass hier bereits die Kernfunktionen der eGK und der telematischen Infrastruktur,  das Erheben, Verarbeiten und Nutzen von medizinischen Daten, gesetzlich abgesichert wird. Dies ist sicher nur auf den ersten Blick ein Gesetz was den Bürger schützt.

Bei näherem Hinschauen offenbart der $291a erhebliche Schwächen, denn die gefundenen Formulierungen entsprechen leider nicht dem Stand informationeller Systeme und dafür genutzten Technologien.  Im übrigen fördert die unzumutbare inhaltliche Verschachtelung die Uneindeutigkeit möglicher Interpretationen.

1. Wir werden in $291a informiert dass die Versicherten umfassend über die erhobenen Daten im Vorfeld zu informieren sind und erst mit der Erhebung begonnen werden darf, wenn wir Versicherte unsere Einwilligung gegenüber dem Arzt, Zahnarzt oder Apotheker erklären.

2. Weiterhin darf von uns nicht verlangt werden, dass der Zugriff von Daten nach Absatz 2 Satz 1 Nr. 1 oder Absatz 3 Satz 1 anderen Personen als Ärzten, Zahnärzten,  Apothekern, sonstigem pharmazeutisches Personal und das sie unterstützende Apothekenpersonal, sowie sonstigen Erbringer ärztlich verordneter Leistungen **, gestattet wird (Quelle/Copyright bei Sozialgesetzbuch.de)

Im Vergleich zu meinen Ausarbeitungen ist dies sicherlich ein Höhepunkt, in Bezug auf die Aufdeckung schlampiger Arbeitsweisen der Entwicklung von Gesetztestexten, sowie der nachträglichen Legitimation eines informationellen Systems. Oder hat dies nichts mit Schlampigkeit zutun, sondern wird vielmehr hingenommen um den Anschein zu wahren die Bürger zu schützen und zu verhindern ein milliardenschweres IT-Projekt  zu kippen?
 

zu 1. Was passiert in unzähligen Situationen die im System entstehen, wenn dieser seine Einwilligung nicht gibt? Wer seine Einwilligung nicht gibt gefährdet sicherlich die Stabilität seiner gesundheitlichen Absicherung. Die Verweigerung der Einwilligung erscheint als vollkommen unpraktikabel, ist also ein stumpfes Schwert um sich als Bürger wirklich zu schützen!

Was gehört zu den erhobenen Daten, in der Gesamtproduktion aller Datentypen und Daten, die im TI-System generiert werden? Wohlgemerkt einem System, in dem die elektronische Gesundheitskarte der kleinere Teil, eines weitaus umfangreicheren Datenspeichers der telematischen Infrastruktur, ist. Siehe auf diesen Webseiten Megagefahren > Datentypen > Big Data und All In One wo aufgezeigt wird, dass die erhobenen Daten einen extrem größeren Datenbereich umfassen,  als Adressdaten eines Versicherten auf einer Chipkarte.

Weiterhin wird stillschweigend hingenommen, dass die anfallenden Systemdaten, z.B. Maschinendaten oder Transaktionsdaten, in der telematischen Infrastruktur (TI-Rechenzentren), nicht in die selbst gebildete Kategorie “der erhobenen Daten” fallen und verschlüsselte und versteckte Daten es generell erlauben, mit Daten im System zu arbeiten, die nicht in jedem Fall unter die Option des Users fallen, darüber in jeder systemischen Situation nach $291a bestimmen zu können.

zu 2.  Demnach dürften wir, streng genommen, sämtlichen ausführenden Personen des telematischen Systems keinen Zugang zu unseren ver-und entschlüsselten Daten gestatten. Hier kommen äußerst widersprüchliche Sachverhalte zum Vorschein.

Im gematik_GA_Gesamtarchitektur_V1_3_0.pdf wird auf Seite 43 von 310 unter AS-GA-0050 darüber informiert, dass alle Anwendungsservices die rollenbasierende Zugangssteuerung unterstützen müssen und die Fachdienste (siehe meine Grafik oben rechts) den §291a Abs. 4 einhalten und technisch sicherstellen müssen. Der Zugriff wird den Leistungserbringern in Verbindung mit der eGK ermöglicht, heißt es weiter. Die Gematik spricht an dieser Stelle von Datenbearbeitern.

Daraus resultiert dass der Zugriff der Leistungserbringer und der Datenbearbeiter nicht die in 291a eng begrenzt dargestellte Personengruppe (siehe 2. **) umfasst, sondern eine unscharf definierte Benutzergruppe darstellt.  Hinzu kommt dass die benutzten Bezeichnungen, der auf die Daten zugreifenden Personen, per Definition, vollkommen unzureichend gegeneinander abgegrenzt sind:

Im gematik_GA_Gesamtarchitektur_V1_3_0.pdf auf Seite 54 von 310 siehe 4. Abschnitt des Kapitels: 4.7.2 Technologiegetriebene Eckpunkte für C2C* und C2S    (* Bezeichnungen für cart to card und card to server) wird darauf hingewiesen, dass aus Datenschutzsicht, auf Grundlage des $291a, alle Daten durch die Datenautorität des Versicherten zu genehmigen sind und es Ausnahmen davon gibt, die für Daten gelten, die verborgen werden können.

Nicht nur das Ausnahmen existieren, die es gilt noch näher untersucht zu werden, in jedem Fall unterliegen die konstruierten Grenzen einer großen Interpretationsbreite mit massiven Unsicherheiten, die weder berücksichtigt noch ausführlich analysiert worden sind. Damit fällt einer der Hauptpfeiler der Systemkonstruktion der telematischen Infrastruktur, der aus fehlender Profilbildung und Sicherung aller Daten besteht,   in sich zusammen.

Rolf D. Lenkewitz, München, 2.01.2014 (in Arbeit)

 

 

 

 

2002063

Gesamtarchitektur EGK und TI: Telematische Infrastruktur (TI-System), Komponenten und Rechenzentren

Studie der elektronischen Gesundheitskarte und telematischen Infrastruktur (TI),  als interaktive Grafik angelegt

Rolf D. Lenkewitz

Impressum

Inhalte sind lizensiert unter Creative Commons