Unsere Einschätzung

Unsere Einschätzung: Gesundheitsdaten sind die sensibelsten Informationen über Menschen. Daher hat "die Sicherheit der Daten in der ePA höchste Priorität. Patienten entscheiden selbst (oder mit Unterstützung des Arztes), welche Leistungserbringer in seiner ePA auf welche Dokumente und über welchen Zeitraum hinweg zugreifen dürfen. So kann beispielsweise dem Arzt nur für einen Tag Zugriff gewährt werden - das macht dann Sinn, wenn nur zu einem bestimmten Termin die Dokumente in der ePA eingesehen werden sollen", schreibt die gematik GmbH. Sie ist zu 51 Prozent im Besitz des Bundes und für die Telematikinfrastruktur verantwortlich, die alle Akteure und Institutionen des Gesundheitswesens miteinander vernetzt. Zudem ständen die Server zur Verarbeitung der Daten in Deutschland und unterlägen den europäischen Datenschutzbestimmungen.

Trotzdem warnt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, die Krankenkassen vor der Einführung der ePa in der jetzt vorgesehenen Form und droht ihnen mit aufsichtsrechtlichen Schritten bis hin zu Strafzahlungen. Die drohen den Kassen seitens des Bundesgesundheitsministeriums aber auch, wenn sie die ePa nicht wie gesetzlich vorgeschrieben ihren Versicherten zur Verfügung stellen.

Schluss mit dem Papierkram: In der elektronischen Patientenakte sollen alle Gesundheitsdaten zentral und sicher gespeichert werden. Eigentlich sinnvoll, doch der Bundesdatenschutzbeauftragte warnt vor der Einführung.

Grundlage für die elektronische Gesundheitsakte ist das Personendaten-Schutzgesetz (PDSG). "Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte (ePa) ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO)", so Kelber in einer Pressemitteilung im August 2020. Der wichtigste Mangel sei, dass Patientinnen und Patienten zum Start der ePa nicht für jedes einzelne Dokument bestimmen können, wer darauf zugreifen darf. Das soll erst ab 2022 möglich sein - so es beim jetzigen Zeitplan bleibt. "Jede Person, der die Versicherten Einsicht in diese Daten gewähren, kann alle dort enthaltenen Informationen einsehen. Beispielsweise könnte der behandelnde Zahnarzt alle Befunde des konsultierten Psychiaters sehen", kritisiert Kelber. Außerdem sei das Authentifizierungsverfahren, mit dem sich Versicherte anmelden, bisher aus Datenschutzsicht nicht ausreichend sicher und entspreche nicht den Vorgaben der DSGVO.

Die Kritik stößt bei der gematic auf Unverständnis. „Die in diesem Jahr geäußerten Bedenken des BfDI wurden juristisch vom Gesetzgeber geprüft mit dem Ergebnis, dass das Patientendaten-Schutzgesetz DSGVO-konform ist", erklärt die gematic auf Nachfrage von Testwatch. Dazu wiederum schreibt uns die Pressestelle des Datenschutzbeauftragten: "Die Aussage die Kritik sei erst in diesem Jahre (gemeint ist 2020) geäußert worden, ist falsch". Der BfDI habe "schon frühzeitig versucht auf eine datenschutzkonforme Ausgestaltung hin zu arbeiten".

Das inzwischen verabschiedete Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (PDSG) räumt die Beanstandungen des BfDI nicht aus. Der BfDI hat nunmehr die Krankenkassen davor gewarnt „lediglich die im PDSG enthaltenen Vorgaben zur technischen Ausgestaltung der elektronischen Patientenakte (ePA) einzuhalten und auf ein feingranulares Berechtigungsmanagement bei der Einführung der ePA zu verzichten“, da dies gegen Artikel 25 und 32 DSGVO verstoßen würde. Der BfDI regt daher „dringend an, dass Ihre Krankenkasse ab dem 1. Januar 2021 ihren Versicherten nur eine solche elektronische Patientenakte anbietet, die den aufgezeigten Vorgaben der DSGVO entspricht. Dies bringt die Krankenkassen in eine schwere Lage. Eindeutig ist, dass die DSGVO als zwingendes europäisches Recht dem bundesdeutschen PDSG vorgeht. Sollten die Krankenkassen der dringenden Empfehlung des BfDI nicht folgen, hat dieser weitere Maßnahmen bis hin zur Untersagung angekündigt. Ein langwieriger Rechtsstreit über die Richtigkeit der datenschutzrechtlichen Einschätzung des BfDI dürfte zu erwarten sein; denkbar ist, dass die Krankenkassen sogar durch ihre Aufsichtsbehörden gezwungen werden, gegen die Auflagen des BfDI vor Gericht zu ziehen. So gerät die ePa vom Start weg bei Patientinnen und Patienten in Misskredit. Zudem haben alle Leistungserbringer, die die ePa warum auch immer kritisch sehen, gute Argumente von der Nutzung der Akte abzuraten. Der absehbar vermurkste Start ist auch deswegen bedenklich, weil andere Akteure wie Google längst an eigenen Lösungen arbeiten, so Bundesgesundheitsminister Jens Spahn. "Wenn wir es nicht tun, dann machen es Google, Apple oder andere", warnt auch der Vorstandsvorsitzende der Techniker Krankenkasse der Seite zm-online.de der kassenärztlichen Bundesvereinigung zufolge.

Ein Sicherheitsrisiko ist möglicherweise auch das Anmeldeverfahren für die Leistungserbringer. Denn Ärzte oder Therapeuten loggen sich nicht persönlich ein, um Einsicht in die ePa zu nehmen, sondern über einen Praxisausweis. Laut gematik werden "Zugriffsrechte für die Institution vergeben, da der Versicherte die konkreten Praxisabläufe und Dienstpläne nicht kennen und vorhersehen kann". Wer wirklich auf die Akte zugegriffen habe, könne nur durch das interne Praxisverwaltungssystem geklärt werden.

Ein ganz praktisches Problem ergibt sich bei der Nutzung der Notfalldaten. Denn wenn die Not am größten ist, zum Beispiel wenn ein Patient nach einem Unfall oder einem Schlaganfall nicht mehr in der Lage ist, den Zugriff freizugeben, kommt niemand an die Daten. Laut gematik ist "ein Notfallzugriff auf die elektronische Patientenakte ohne vorherige Einwilligung des Versicherten aktuell nicht vorgesehen". In solchen Fällen müsse auf die Notfalldaten auf der elektronischen Gesundheitskarte (eGK) zurückgegriffen werden. Bleibt die Frage, warum die dort gespeicherten Daten ohne Einwilligung der Patienten einsehbar sind, die in der ePa aber nur nach vorheriger Freigabe. Zudem besteht die Gefahr, dass es in der ePa und auf der eGK unterschiedliche, weil nicht im Gleichklang gepflegte, Notfalldaten gibt.

Unverständlich: Die Notfalldaten auf der elektronischen Gesundheitskarte sind im Fall der Fälle frei zugänglich. An die gleichen Daten in der elektronischen Patientenakte kommt niemand ohne die Zustimmung der Patienten. (Foto: Barmer)

"In Estland hat man einen anderen Weg gewählt", schreibt die Wochenzeitung Die Zeit. "Nicht Missbrauchsvermeidung, sondern Missbrauchserkennung ist dort das Prinzip. Was in Deutschland Horrorvorstellungen hervorruft, ist in Estland Realität. Jeder Mitarbeiter im Medizinsystem kann mit seinem digitalen Ausweis jederzeit die Gesundheitsdaten eines jeden Bürgers einsehen. (…) Kein Zugriff bleibt unbemerkt. Jeder Patient kann jederzeit online nachsehen, wer zu welchem Zeitpunkt seine elektronische Patientenakte geöffnet hat. Diese Informationen werden unter staatlicher Kontrolle so in einer Blockchain gespeichert, dass sie weder gelöscht noch manipuliert werden können". Missbrauch komme in Estland praktisch nicht vor. Denn "wer ohne stichhaltigen Grund in eine Patientenakte blickt, macht sich strafbar und verliert seinen Job", so Die Zeit.

Neben der ePa gibt es ab Juli 2021 eine weitere App für das elektronische Rezept. "Das E-Rezept verbessert die Abläufe bei der Arzneimittelversorgung in Deutschland. Es fördert die Arzneimitteltherapiesicherheit im Allgemeinem und spart sowohl Zeit als auch Wege", erläutert die gematik, die auch für diese App verantwortlich ist. Verbesserung der Arzneimitteltherapiesicherheit? Dafür gibt es in der elektronischen Patientenakte den Medikationsplan. Doch wie gelangen die Daten aus dem E-Rezept in die elektronische Patientenakte? "Mit dem Start der beiden Anwendungen", so die gematik, "müssen diese Informationen noch explizit durch den Versicherten von der E-Rezept-App in die elektronische Patientenakte übertragen werden. Ab 2023 soll der Versicherte sich auch entscheiden können, automatisch E-Rezept-Daten in die ePA übertragen zu können, um dort dauerhaft seine Medikationshistorie einsehen zu können."

So viel zum Thema Effizienzsteigerung und Verbesserung der Patientenversorgung durch Digitalisierung im deutschen Gesundheitswesen. "Die elektronische Patientenakte wird nicht ab dem 1. Januar bei allen Anwendungen gleich perfekt sein", erklärte Gesundheitsminister Spahn bei der Verabschiedung des PDSG im Bundestag.

Unser Fazit: Die eigentlich sinnvolle elektronische Patientenakte ist von perfekt weit entfernt. Durch den vermurksten Start besteht die Gefahr, dass sie bei Patientinnen und Patienten dauerhaft in Misskredit gerät.