Einführung der elektronischen Patientenakte – ein unreifes Startprodukt?

Seit dem 1. Januar 2021 können alle gesetzlich Krankenversicherten in Deutschland eine elektronische Patientenakte (ePA) bei ihrer Krankenkasse einrichten. Damit sollen viele bisher analog oder in Papierform ablaufende Arbeitsschritte zwischen den Akteuren im Gesundheitswesen digitalisiert und damit vereinfacht werden – gemeinsam mit weiteren digitalen Bausteinen wie dem E-Rezept und der Kommunikation im Medizinwesen (KMI). Das ist im Hinblick auf Effizienz und Kosten, welche wiederum die Beiträge beeinflussen, sowie auch der Qualität der medizinischen Versorgung grundsätzlich zu begrüßen und zu unterstützen. Da die Anwendungen sich an Nutzer aus allen Altersgruppen, sozialen Schichten und Bildungsniveaus der Gesellschaft richten, ergibt sich daraus die Anforderung, Prozesse und Anwendungen in einer für alle verständlichen und nachvollziehbaren Weise transparent zu beschreiben und zu erklären.

Die Digitalisierung im Gesundheitwesen findet in einem Bereich mit hochsensiblen, persönlichen Daten statt. Nichts ist intimer als Daten über den eigenen Körper und die Gesundheit: Arztbefunde, Blutwerte, Diagnosen, Impfdaten, Medikationspläne usw. Langfristig ergibt sich so, von der Wiege bis zur Bahre, eine detaillierte Dokumentation und ein umfassendes Gesundheitsprofil eines Menschen – ein digitaler Zwilling. Diese Daten besitzen einen hohen Wert, weil sich daraus lukrative Geschäftsmodelle mit innovativen Produkten und Dienstleistung entwickeln lassen, z.B. für neue Therapieformen oder zur Vorsorge. Leider besteht bei einer unautorisierten Nutzung oder Datendiebstahl auch ein erhebliches Missbrauchspotenzial bis hin zu hochkriminellen Tatbeständen. Auch der Zugriff durch den Staat selbst sollte eingeschränkt bleiben – wenn man Zusstände wie in China mit der Entwicklung eines Social Graph verfolgt. Daher gilt es, höchste Maßstäbe an den Datenschutz und das informelle Selbstbestimmungsrecht anzulegen. Das steht aber nicht Widerspruch zum potenziellen Nutzen, beides lässt sich durchaus in Einklang bringen.

In Deutschland besteht in der gesetzlichen Krankenversicherung (noch) der Ansatz der Solidargemeinschaft, in der die individuellen Risiken gemeinsam aufgefangen werden und die Starken die Schwachen unterstützen. Zudem sollte jeder Bürger Zugang zu medizinischer Versorgung erhalten. Weiterhin greift die Überzeugung, daß Gesundheit keine Ware ist, die man dem Spiel der Märkte und dem Gewinnstreben von Unternehmen überlassen sollte. Daher ist Vertrauen ein hohes Gut, z.B. in die Sicherheit der Systeme oder Integrität der Betreiber. Vertrauen soll daher sowohl durch gesetzliche Regulierung, als auch durch den Staat als handelnden Akteur erzielt werden.

Dafür wurden im Sozialgesetzbuch § 291b SGB V die gesetzlichen Grundlagen geschaffen und die privatwirtschaftlich organisierte gematik GmbH gegründet, um die sogenannte Telematikinfrastruktur zur Vernetzung aller Akteure und Institutionen des Gesundheitswesens aufzubauen. Deren Telematikinfrastruktur ermöglicht einen organisationsübergreifenden Datenaustausch innerhalb des Gesundheitswesens. unterstützt die Anwendungen für die Versicherten und bildet darüber hinaus die Plattform für weitere IT-Anwendungen im deutschen Gesundheitswesen. Die Hauptgesellschafter der gematik sind mit 51% das Bundesministerium für Gesundheit, mit 22,05% der Spitzenverband der Gesetzlichen Krankenversicherungen. Die  verbleibenden 24,5% der Anteile sind auf die Bundesärztekammer , die Bundeszahnärztekammer, der Deutsche Apothekerverband, die Deutsche Krankenhausgesellschaft, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung und den Verband der Privaten Krankenversicherung (PKV) verteilt. Gemäß den Regeln der Plattformökonomie steigt der Wert des Netzwerks für alle, je mehr Teilnehmer daran teilnehmen. Insofern erscheint es auch aus diesem Aspekt heraus konsequent und sinnvoll, gemeinsam eine zentrale Platttform aufzubauen, der möglichst viele Akteure im Gesundheitswesen integriert. Alleine diese Verteilung zeigt, wie viele Teilnehmer mit z.T. weiteren eigenen Anforderungen und Ziele auf ein konsolidieren sind. Auffällig ist aber auch, dass kein Vertreter der Versicherten beteiligt ist.  So besteht durchaus die berechtigte Kritik, dass die Konstruktion einen weniger starken Einfluss für deren Belange aufweist bzw. Zielkonflikt der Gesellschafter zu den Patienten bestehen.

Die Entscheidung und Kontrolle über die elektronische Patientenakte und der darin gespeicherten Gesundheitsdaten soll allein bei den Versicherten liegen: „Wir können selbst bestimmen, ob und in welchem Umfang wir die elektronische Patientenakte nutzen möchten, welche Daten in der Akte gespeichert oder auch wieder gelöscht werden sollen und welchem Behandler wir unsere Daten zur Verfügung stellen wollen. Per Smartphone oder Tablet können wir auch selbst unsere Akte einsehen, Dokumente speichern oder auch löschen.“, so lautet die Aussage des Gesundheitsministeriums auf deren Website (Zugriff am 28.01.2021). Interessanterweise wird aber eine aus meiner Sicht fundamentale Funktion für einen mündigen Patienten, der Download bzw. Export auf einen lokalen Speicher wie z.B. PC oder Laptop nirgends erwähnt. Es scheint nur das Sammeln und Verteilen, d.h. der Upload und Zugriff aus Systemen der angeschlossenen medizinischen Leistungserbringer angedacht zu sein. So lägen alle Dokumente und Daten nur auf der Plattform, ohne lokale oder dezentrale Sicherungen. Auch sollen Nutzer ohne geeignetes Gerät nur über die angeschlossene Software der medizinischer Leistungerbringer, z.B. in Arztpraxen, Zugang zur Plattform bekommen.

Weiterhin bestehen zahlreiche begründete Einwände gegen ein nicht ausreichendes Datenschutzniveau, was vor allem technische Aspekte berührt.

• Zum einen ist da die zentrale Datenhaltung, die durch den gewaltigen Datenbestand eine erhöhte Anziehungskraft für Hacker und somit ein höheres Sicherheitsrisiko aufweist.
• Zum andern ist der Schlüssel zur Verschlüsselung nicht in der Hoheit der Nutzer, sondern der Plattformbetreiber. Im schlimmsten Fall kann dadurch die Kontrolle über die Daten verlorengehen.
• Auch die granulare Freigabe der Daten ist erst in einem späteren Schritt möglich – zu Beginn bedeutet jede Freigabe einen Vollzugriff auf alle Daten, was gegen den Ansatz der Datenvermeidung und Datensparsamkeit verstößt, bei dem nur so viele personenbezogene Daten gesammelt oder übermittelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind.
• Ein weiterer Kritikpunkt ist die mögliche Nutzung  zu Forschungszwecken in pseudonymisierter Form, was aber durchaus durch Datenanreicherung zu einer kritischen individuellen Profilbildung führen kann.
• Im Falle des E-Rezepts bestehtr keine Ende-zu-Ende-Verschlüsselung der Übermittlung, was ein unberechtigites Abgreifen der Daten ermöglicht. Wollen wir hoffen, dass das nicht „by Design“ erfolgt ist – ein Vorwurf, der im problembehaftetetn Projekt  besonderes elektronische Anwaltspostfach (beA) erhoben wurde (einem ebenso sehr datenschutzrechtlich sensiblen Bereich).

Aus dem Kreis der Ärzteschaft wird zusätzlich noch der Aspekt erwähnt, dass mit dem Hochaden der Dokumente und einhergehenden Kontrollverlust über die Daten/Dokumente somit auch die ärztliche Schweigepflicht nicht mehr gegeben ist bzw. umgangen werden können.

Es sind also noch nicht alle Hürden, die ein breites Vertrauen für die Nutzer herbeiführen sollen, beseitigt. Daher wird sich erst in den kommenden Jahren zeigen, wie weit auf die berechtigten Einwände reagiert und nachgebessert wird. Vor allem wird sich zeigen, wie sich die Patienten verhalten werden –  ebenso gleichgültig, desinteressiert oder unzureichend aufgeklärt wie bei der Datenweitergabe auf Sozialen Netzwerken oder mit einem zunehmende Bewusstsein für die Risiken.