Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Ab Ende 2024 sollen alle Kassenpatient:innen eine elektronische Akte bekommen, außer sie widersprechen ausdrücklich. So plant es der Bundesgesundheitsminister. Was aber kann die digitale Patientenakte? Welche Vorteile bringt sie? Und wann kann der Zugriff auf die gesamte Krankengeschichte zum Problem werden?
Bundesgesundheitsminister Karl Lauterbach will die elektronische Patientenakte zum Standard machen. – Alle Rechte vorbehalten IMAGO / Jürgen HeinrichDie Geschichte der elektronischen Patientenakte (ePA) reicht zwanzig Jahre zurück. Die damalige Gesundheitsministerin Ulla Schmidt schob das Vorhaben im Jahr 2003 mit dem Versprechen an, die ePA könne Milliardensummen einsparen und zugleich Leben retten. Stattdessen aber geriet die digitale Patientenakte zum Milliardengrab und fristet bis heute ein Schattendasein – nicht einmal ein Prozent der Versicherten nutzt sie bislang.
Zwei Jahrzehnte und fünf Ressortchefs später soll die ePA endlich ihren Durchbruch feiern. Das Ziel des amtierenden Bundesgesundheitsministers Karl Lauterbach: Bis zum Jahr 2025 sollen mindestens vier Fünftel aller gesetzlich Versicherten die ePA nutzen – und damit auch die medizinische Forschung befördern.
Wie soll das gelingen? Und welche Folgen hat die ePA für die Versicherten, die Ärzt:innen – und den Datenschutz? Wir beantworten die wichtigsten Fragen.
Was ist die elektronische Patientenakte?
Was ist der aktuelle Stand?
Was ist geplant?
Wie und wogegen kann ich widersprechen?
Was sind die Vorteile?
Was sind die Nachteile und Risiken?
Wie kann ich die ePA nutzen?
Was machen Menschen ohne neues Smartphone oder Tablet?
Wo werden die Daten gespeichert?
Wie werden die sensiblen Daten geschützt?
Wie sollen die Daten für die Forschung verwendet werden?
Wer oder was ist die Gematik?
Was ist die elektronische Patientenakte?
Die elektronische Patientenakte soll alle Informationen rund um die Gesundheit von Versicherten gebündelt speichern. Die Idee: Die gesamte Krankengeschichte einer Person wird an einer Stelle dokumentiert – von vergangenen Behandlungen und Operationen über den Impfstatus, frühere MRT-Aufnahmen bis zu verschriebenen Medikamenten.
Diese Daten können Ärzt:innen aus Praxen und Krankenhäusern in der Akte ablegen, aber auch die Versicherten selbst. Statt der Röntgenaufnahme auf CD-ROM und dem Laborbericht auf Papier kann dann alles in der ePA gespeichert werden. Auch Daten aus Gesundheitsanwendungen, den sogenannten „Apps auf Rezept“, kann man dort hinterlegen. Seit vergangenem Jahr können auch der Mutter- und Impfpass, das Zahnbonusheft und das U-Untersuchungsheft für Kinder in der ePA gespeichert werden.
Was ist der aktuelle Stand?
Die ePA gibt es schon seit mehr als zwei Jahren. Seit dem 1. Januar 2021 können gesetzlich Versicherte sie auf freiwilliger Basis nutzen. Allerdings tut das fast niemand. Laut Bundesgesundheitsminister Karl Lauterbach waren es zuletzt weniger als ein Prozent unter den rund 73 Millionen gesetzlich Versicherten.
Das liegt auch am Verfahren: Wer eine ePA haben will, muss sie derzeit selbst bei seiner Krankenkasse beantragen. Dazu braucht man in der Regel eine Smartphone-App, die die Kassen für ihre Versicherten zur Verfügung stellen. Für die Registrierung benötigen die Versicherten außerdem ihre Krankenversicherungsnummer, eine PIN zu ihrer Gesundheitskarte und eine gültige E-Mail-Adresse.
Was ist geplant?
Karl Lauterbach will das Verfahren ändern. Für die Zukunft plant er ein Opt-out-Verfahren. Das heißt jeder in Deutschland gemeldete Mensch soll bis Ende 2024 automatisch eine ePA erhalten. Möchten Versicherte diese nicht haben, müssen sie aktiv widersprechen. Ziel des Gesundheitsministeriums: 80 Prozent der gesetzlich Versicherten sollen bis Ende des Jahres 2024 über eine elektronische Patientenakte verfügen.
Das Ministerium geht davon aus, dass nur wenige Versicherte die ePA aktiv ablehnen werden. In Österreich, wo eine solche Akte schon 2017 eingeführt wurde, erfolgten 283.000 generelle Widersprüche (Opt-Outs), das entspricht rund drei Prozent der österreichischen Bevölkerung.
Die Digitalisierung des Gesundheitssystems will Karl Lauterbach mit zwei neuen Gesetzen beschleunigen und rechtlich regeln: zum einen mit dem Digitalgesetz, das unter anderem die neuen Regeln zur ePA enthält, und zum anderen mit dem Gesundheitsdatennutzungsgesetz. Das Digitalgesetz soll laut Bundesgesundheitsministerium den Behandlungsalltag mit digitalen Lösungen verbessern. Das Gesundheitsdatennutzungsgesetz soll regeln, wie Gesundheitsdaten für die Forschung erschlossen werden können. Entwürfe zu beiden Gesetzen will das Bundesgesundheitsministerium in den nächsten Wochen veröffentlichen.
Wie und wogegen kann ich widersprechen?
Wie der Widerspruch gegen die ePA erfolgen soll, etwa bei der eigenen Krankenkasse oder einer Behörde, ist derzeit noch offen. Das geht aus der Antwort auf eine Presseanfrage hervor, die netzpolitik.org an das Bundesgesundheitsministerium gestellt hat.
Auch an der Frage, gegen welche Punkte Versicherte im einzelnen widersprechen können, wird derzeit noch gefeilt. Das Gesundheitsministerium hat die Gematik damit beauftragt, die Opt-Out-Regelung für die ePA zu erarbeiten. Die halbstaatliche GmbH soll die Digitalisierung im deutschen Gesundheitswesen voranbringen. Laut Gematik werden derzeit vier unterschiedliche Arten des Widerspruchs geprüft: erstens gegen die Bereitstellung der elektronischen Patientenakte, zweitens gegen den Zugriff auf diese (lesen), drittens die Befüllung der ePA (schreiben) und viertens die pseudonymisierte Datenweitergabe zu Forschungszwecken.
Gegenüber netzpolitik.org sagte eine Sprecherin der Gematik, dass in den vergangenen Wochen Vertreter:innen verschiedener Interessensgruppen die Eckpunkte eines Opt-out-Verfahrens erarbeitet hätten. Beteiligt waren unter anderem Gesellschafter der Gematik und Vertreter:innen der gesetzlichen und privaten Krankenkassen, aber auch Patient:innenverbände. Die konkreten Regeln folgten dann mit dem neuen Digitalgesetz.
Was sind die Vorteile?
Die Befürworter:innen versprechen sich von der ePA einen verbesserten Austausch von Informationen, effizientere Behandlungen und damit eine bessere Gesundheitsversorgung. So erhielten Ärzt:innen unter anderem einen Überblick über den Impf- und Vorsorgestatus der Patient:innen sowie über vorliegende medizinische Berichte.
Aber auch die Versicherten selbst bekommen einen besseren Überblick über ihre Gesundheitsdaten: Sie können genau nachvollziehen, welche Diagnosen gestellt oder welche Leistungen für sie abgerechnet wurden.
Aus Sicht der Wissenschaft wäre der größte Vorteil, dass sie Zugang zu mehr Daten für die Forschung erhält. Expert:innen klagen, dass Deutschland derzeit international abgehängt werde – auch weil es so schwer ist, an die Daten zu kommen. Wer etwa eine deutschlandweite Studie plant, muss teils in jedem Bundesland einzeln Zugang beantragen. Das würde sich ändern, wenn alle Daten aus den Praxen automatisch über die ePA gespeichert und gesammelt würden.
Zudem will Lauterbach „die federführende Datenschutzaufsicht für bundesländerübergreifende Forschungsvorhaben“ im neuen Gesundheitsdatennutzungsgesetz verschlanken. Sie soll künftig „nur noch durch eine/n Landesdatenschutzbeauftragte/n“ erfolgen.
Was sind die Nachteile und Risiken?
Das größte Risiko: Wenn man so viele so sensible Daten zentral speichert, wirkt das fast wie eine Einladung. Kriminelle könnten die Datenbank hacken und hätten dann Zugriff auf hochsensible und persönliche Informationen – mit denen sich etwa Versicherte erpressen ließen. Das ist kein theoretisches Risiko, es gibt dafür zahlreiche Beispiele.
Aus Sicht der Ärzt:innen stellt sich die Frage, wie vollständig die Informationen in der Akte sind. Denn die Patient:innen entscheiden selbst, welche Dokumente sie freigeben. Aus Patient:innensicht wiederum kann es schwieriger werden, eine unvoreingenommen zweite Meinung zu einem medizinischen Problem zu bekommen, wenn die Ärztin schon die Vordiagnose kennt.
Darüber hinaus plant der Gesundheitsminister offenbar den Einfluss des Bundesdatenschutzbeauftragten und des Bundesamtes für Sicherheit in der Informationstechnik insgesamt einzuschränken. Deren „klassische Vetorechte im Sinne eines Einvernehmens […] das wäre nicht mehr zu erwarten“, wie der Gesundheitsminister am 9. März auf einer Pressekonferenz betonte. Der Entscheidungsprozess soll mit dem geplanten Gesundheitsdatennutzungsgesetz stattdessen „breiter“ aufgestellt werden.
Wie kann ich die ePA nutzen?
Versicherte verwalten ihre ePA in der Regel über eine App auf dem Smartphone oder dem Tablet. Die App müssen die gesetzlichen Krankenkassen ihren Versicherten seit dem 1. Januar 2021 auf Wunsch zur Verfügung stellen.
Mit Hilfe der App können die Patient:innen entscheiden, wer über welchen Zeitraum Zugriff auf die ePA erhält. Die Versicherten können dabei auch nur einzelne Dokumente freigeben oder nur bestimmte Bereiche wie etwa Dermatologie. Ärzt:innen, Apotheken oder Krankenhäuser können Informationen und Dokumente erst sehen, wenn die Versicherten sie freigegeben haben.
Versicherte können Daten oder Dokumente, die von Ärzt:innen eingestellt werden, nicht verändern. Über eine Protokollansicht können sie aber sehen, wer welche Daten zur ePA hinzugefügt, heruntergeladen oder gelöscht hat. Die ePA ist als „lebenslange Akte“ gedacht. Die Dokumente in der ePA werden nicht automatisch gelöscht. Allerdings können Versicherte Dokumente eigenständig löschen oder ihre Ärzt:innen auffordern, dies zu tun.
Was machen Menschen ohne neues Smartphone oder Tablet?
Ein weiteres Problem: Die Apps für die ePA laufen nur auf neueren Smartphones oder Tablets. Wer selbst kein solches Gerät besitzt, kann die ePA trotzdem verwenden, muss aber einige Nachteile in Kauf nehmen. Allerdings müssen Betroffene die digitale Akte schriftlich oder per Telefon bei ihrer Kasse beantragen. Beim nächsten Praxisbesuch können Ärzt:innnen dann Dokumente hochladen. Allerdings heißt das auch: Die in der Akte hinterlegten Daten können Versicherte nur in den Praxen einsehen.
Einige Krankenkassen bieten die ePA auch als Desktop-Version an. Als weitere Möglichkeit können Versicherte jeweils eine Person ernennen, die eine ePA für einen führen darf. Trotzdem gibt es an diesem Verfahren viel Kritik.
Im ursprünglichen Gesetzentwurf der Bundesregierung war noch vorgesehen, dass die Krankenkassen Kassenterminals für jene Patient:innen zur Verfügung stellen müssen, die kein eigenes Gerät haben. Dies hatte auch der Bundesdatenschutzbeauftragte vorgeschlagen. Diese Auflage wurde später gestrichen.
Patient:innenverbände und Datenschützer:innen kritisierten, dass damit eine ganze Personengruppe von der ePA ausgeschlossen würde. Zumindest ist es für Menschen ohne neuere Smartphones oder Computer wesentlich schwerer, ihre Daten selbst in der ePA zu verwalten und den Überblick zu behalten, wer was zu sehen bekommt.
Wo werden die Daten gespeichert?
Die Daten liegen nicht bei den Krankenkassen, sondern verschlüsselt in einem so genannten „ePA-Aktensystem“, das von unterschiedlichen Unternehmen angeboten wird. Mitmachen darf jedes Unternehmen, das erfolgreich ein Zulassungsverfahren der Gematik durchlaufen hat. Derzeit sind das drei verschiedene Anbieter in Deutschland, darunter IBM. Die Server der Aktensysteme werden in Deutschland gehostet.
Wie werden die sensiblen Daten geschützt?
Laut Gematik richtet sich die Verantwortung für den Datenschutz „nach der Verantwortlichkeit und Zuständigkeit für den einzelnen Arbeitsschritt“. Demnach sind die Ärzt:innen für die Patient:innendaten in der Praxis und die Aufbewahrung der Daten vor Ort zuständig. Bei der Datenübertragung aus der Praxis in die Telematikinfrastruktur sind die Gematik und die Hersteller der sogenannten Konnektoren verantwortlich, das sind spezielle Geräte, die für eine sichere Verbindung sorgen sollen; innerhalb der Telematikinfrastruktur trägt allein die Gematik Verantwortung. Alle Daten in der ePA sind laut Gematik verschlüsselt.
Dass dies allein nicht ausreicht, zeigte sich im Dezember 2019 – und damit noch bevor die elektronische Patientenakte offiziell an den Start ging. Hacker:innen des Chaos Computer Clubs konnten sich damals Zugang zum Telematik-Netzwerk des Gesundheitswesens verschaffen. Sie gaben sich dafür schlicht als Ärzt:innen oder Praxen aus und zeigten so, dass die Identität bei der Beantragung der sensiblen Zugangskarten nicht ausreichend überprüft wurde. So verzichteten die Hersteller des Praxisausweises damals offenkundig auf eine persönliche Identifizierung der Antragsteller:innen bei der Bestellung.
Aber nicht nur Fake-Ärzt:innen könnten sich Zugang zu den Daten verschaffen. Angreifer:innen könnten sich auch als eine bestimmte Person ausgeben, um in deren Patientenakte zu blicken. Deswegen müssen auch Versicherte zunächst bei der Krankenkasse ihre Identität nachweisen, wenn sie die ePA beantragen wollen. Das passiert in der Regel über das Postident-Verfahren, mit Hilfe der Gesundheitskarte oder persönlich. Einzelne Krankenkassen sehen das Ident-Verfahren auch mit Hilfe des elektronischen Personalausweises vor.
Grundsätzlich ist es ratsam, ein Backup der in der ePA hinterlegten Dateien zu erstellen. So wurde im Dezember 2021, und damit knapp ein Jahr nach Start der ePA, eine Sicherheitslücke entdeckt, die es ermöglichte, schädliche Dateien in die digitale Akte hochzuladen, die Viren enthalten können. Fast zeitgleich fiel wegen einer Software-Schwachstelle die gesamte Telematik-Infrastruktur aus.
Wie sollen die Daten für die Forschung verwendet werden?
Wie Lauterbach verkündete, sollen die in der ePA abgelegten Daten in Zukunft auch der Forschung zur Verfügung gestellt werden. Wer sie nutzen will, stellt einen Antrag an das Forschungsdatenzentrum des Bundes (FDZ). Dort werden alle Informationen gesammelt und gespeichert.
Um die Krankengeschichte der Patient:innen zu schützen, werden die Daten vorher pseudonymisiert, ihnen wird also statt eines Namens eine Kennziffer zugeordnet. Fachleute kritisieren jedoch, dass pseudonymisierte Daten mit nur geringem Aufwand wieder einer einzelnen Person zugeordnet werden können. Dafür reichen schon einige Datenpunkte aus, etwa das Alter, die Postleitzahl oder der Geburtstag eines Kindes. In der Vergangenheit findet man zahlreiche Beispiele dafür, wie Sicherheitsexpert:innen Personen anhand ihrer pseudonymisierten Daten identifiziert haben – und damit auch prompt deren gesamte Krankengeschichte kannten.
Kritisiert wird außerdem, dass laut dem jetzigen Vorschlag nicht nur unabhängige Forschung, sondern auch Unternehmen die Daten beantragen können. Entscheidend für die Anfragen sei der Nutzungszweck, nicht der Absender, betont das Gesundheitsministerium. Viele sehen das kritisch, weil sie sehr wohl die Forschung zu bestimmten Krankheiten zum Wohle aller voranbringen wollen. Das heißt aber nicht, dass sie auch einverstanden sind, wenn Unternehmen mit ihren Daten Profit machen.
Wer oder was ist die Gematik?
Die Gematik GmbH soll die Digitalisierung im deutschen Gesundheitswesen voranbringen. Sie verfolgt das Ziel, dass Patient:innen Röntgenaufnahmen und Rezepte nicht länger durch die Gegend tragen müssen und Ärzt:innen wichtige Gesundheitsdaten schneller zur Verfügung stehen. Dafür arbeitet die Gematik an Dingen wie dem digitalen Rezept oder der digitalen Patientenakte. Und sie sorgt auch für ein Netz, in dem Praxen, Apotheken und Krankenkassen jeweils Patient:inneninformationen verschlüsselt austauschen können: die Telematikinfrastruktur.
Das Gesundheitsministerium hält 51 Prozent der Geschäftsanteile an der Gematik. Weitere Gesellschafter sind die Bundesärztekammer, die Bundeszahnärztekammer, der Deutsche Apothekerverband, die Deutsche Krankenhausgesellschaft, der Spitzenverband der Gesetzlichen Krankenversicherungen, der Verband der Privaten Krankenversicherungen, die Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereinigung.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Chris Köver
