Elektronische Patientenakte (ePA): Wie steht es um den Datenschutz?
Die Digitalisierung schreitet in großen Schritten voran; das ist auch – oder in Corona-Zeiten gerade – im Gesundheitswesen deutlich zu spüren. Die viel diskutierte elektronische Patientenakte (ePA) zeigt dies deutlich: Geplant hat der Gesetzgeber mit der ePA eine Informationsquelle, mit der Patientendaten besser verfügbar werden. Ein durchaus sinnvolles Ziel, jedoch stößt die Umsetzung gerade aus Datenschutzsicht auf heftige Kritik, nicht zuletzt Bundesdatenschützer Kelber forderte Nachbesserungen. Im heutigen Beitrag geben wir einen Überblick über die Entwicklung der elektronischen Patientenakte, beleuchten die kritischen Statements und das zur ePA gehörende Patientendaten-Schutz-Gesetz.
Elektronische Patientenakte: Worum geht es?
In Notfällen rettet zügiges Handeln Leben – und damit schnelles Handeln möglich ist, sind Informationen über Patient:innen unabdingbar: Welche Medikamente werden eingenommen? Liegen Vorerkrankungen vor? Allergien? Sind die Blutwerte auffällig, gab es im Vorfeld Untersuchungen und welchen Verlauf nahmen frühere Behandlungen? – Patientenakten enthalten diese Informationen. In gebündelter Form und schnell digital verfügbar, können diese Informationen nützlich sein, um medizinisch optimal zu behandeln.
Genau das soll die elektronische Patientenakte (ePA) leisten: Diese digitale Anwendung nutzen zunächst gesetzlich Krankenversicherte, um selbstständig Gesundheitsinformationen abzulegen. Ärzt:innen können neue Dokumente ergänzen, sodass sämtliche relevanten Gesundheitsdaten in dieser elektronischen Akte zusammengefasst sind.
ePA & Patientendaten-Schutz-Gesetz erklärt
Der Gesetzgeber verfolgt mit der elektronischen Patientenakte das Ziel, eine Vernetzung von Versicherten mit Arztpraxen, Krankenhäusern und Apotheken zu erreichen. Schwerfällige und zeitraubende analoge Abläufe sollen durch Digitalisierung vereinfacht werden. Behandelnde Ärzt:innen können über alle relevanten Informationen sicher verfügen – so das Ansinnen der Bundesregierung. Mit einem optimierten Überblick über die komplette Krankenhistorie von Patient:innen lässt sich im Notfall nicht nur schneller reagieren, sondern auch Mehrfachuntersuchungen können verhindert werden. Kurzum: Das zentrale und digitale Speichern von Gesundheitsdaten in der elektronischen Patientenakte soll Behandlungen optimieren.
Diese Informationen werden in der ePA gespeichert
Neben Diagnosen einschließlich Labordiagnostiken und Befunden soll die elektronische Patientenakte auch mit Informationen zu Vorerkrankungen, Impfungen, Allergien, Therapien, Medikationsplänen, Behandlungsmaßnahmen und so weiter gefüttert werden. Optional lassen sich weitere medizinische Dokumente hochladen. Der Zugriff durch Mediziner:innen, Krankenhäuser oder Apotheken erfolgt ausschließlich dann, wenn Patient:innen dem zustimmen.
Kurze Geschichte der elektronischen Patientenakte
Seit dem 01. Januar 2021 wird die ePA schrittweise eingeführt: Krankenkassen bieten ihren Versicherten mit einer Smartphone-App Zugang zur elektronischen Patientenakte. Ausgewählte Praxen nehmen seither an der Test- und Einführungsphase teil: In der Rollout-Phase vernetzten sich vor allem Arztpraxen, Apotheken und Krankenhäuser. Alle vertragsärztlich niedergelassenen Leistungserbringer sind bis zum 01. Juli 2021 in der Pflicht gewesen, ihre Praxen/ Krankenhäuser mit den erforderlichen Komponenten auszustatten. Flächendeckend wurde zum 3. und 4. Quartal mit dem Nutzen der ePA in Praxen angefangen. Krankenhäuser müssen die ePA ab 01. Januar 2022 zum Laufen bringen.
Auf Patientenseite erhalten Versicherungsnehmer eine App. Versicherte entscheiden selbst, welche Daten hochgeladen werden. Weiter bekommen sie das Recht, Zugriffe zu bestimmen, also zu entscheiden, wer auf die ePA zugreifen darf.
Das Patientendaten-Schutz-Gesetz (PDSG)
Gesetzlich fußt die elektronische Patientenakte auf dem Patientendaten-Schutz-Gesetz (PDSG). Mit dem vorrangigen Ziel, die Digitalisierung des Gesundheitswesens hierzulande voranzutreiben, trat das PDSG mit dem 20. Oktober 2020 in Kraft. Gesundheitsdaten sind sensible Daten, die als besonders schützenswert gelten. Mit dem Patientendaten-Schutz-Gesetz sind Krankenhäuser und Arztpraxen zum Treffen ausreichender Schutzmaßnahmen verpflichtet, wodurch beispielsweise die Anforderungen an die IT-Sicherheit steigen.
Ab 01. Januar 2022 müssen die Krankenhäuser technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung nach dem aktuellen Stand der Technik umsetzen. Dies wird im Sozialgesetzbuch V (SGB V § 75c) geregelt. Dabei müssen die Krankenhäuser die IT-Sicherheit alle zwei Jahre prüfen. Krankenhäuser, die zur kritischen Infrastruktur (KRITIS) zählen, erfüllen diese Anforderungen ohnehin gemäß der BSI-KRITIS-Verordnung und sind von dieser zweijährlichen Prüfung befreit.
ePA: Diskussionen um den Datenschutz
Das Bundesgesundheitsministerium wurde seit Start der elektronischen Patientenakte und des PDSG nicht müde zu betonen, dass klare Regeln für ein hohes Maß an Datenschutz und Datensicherheit sorgen würden. Jedoch werden diese so wichtigen Punkte in den vergangenen Monaten immer wieder kritisch diskutiert:
Kritik erntete insbesondere das Zugriffsmanagement. Versicherte haben nur eine „Alles-oder-nichts“-Scheinwahl: Während der Testphase ist es Versicherten ausschließlich möglich, festzulegen, ob Behandelnde auf die Informationen zugreifen dürfen oder nicht. Ein differenziertes Entscheiden, welche Daten von welchem Behandelnden einzusehen sind, gibt es leider nicht. Erst ab 2022 soll eine überarbeitete Form des Zugriffsmanagements möglich sein.
BfDI Kelber: „Ziel einer informationellen Selbstbestimmung verfehlt“
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber vertritt die Auffassung, dass die ePA gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Kelber sehe, dass ein „dringender Nachholbedarf“ bestünde und „das Ziel einer informationellen Selbstbestimmung der Versicherten – vor allem im wohl größten Projekt des Gesetzes [des PDSG], der ePA – verfehlt“ sei. Neben dem Zugriffsmanagement sieht Kelber auch den alternativen „Zugriff auf die ePA mittels mobiler Geräte (Smartphone etc.), d. h. ohne Verwendung der elektronischen Gesundheitskarte (eGK)“ kritisch.
Neben fehlenden Mitbestimmungsrechten für Versicherte zieht auch die Ungleichbehandlung von Menschen ohne geeignete Endgeräte Kritiken an. Damit werden ältere oder mittellose Menschen ohne mobile Endgeräte benachteiligt – Menschen, die ebenfalls auf eine gute medizinische Versorgung angewiesen sind.
Studie zur datenschutzkonformen Ausgestaltung der ePA
Die aktuelle Studie „Die elektronische Patientenakte und das europäische Datenschutzrecht“ im Auftrag der der Stiftung Münch stützt die Kritiker der aktuellen Zugriffslösung: „insbesondere das strikte Opt-in bei Anlage und Zugriff für Nutzer und Leistungserbringer [solle] überdacht und stattdessen mit einem gestuften Opt-out geregelt werden“, heißt es. Basierend auf einem Vergleich der ePA-Varianten aus Spanien, Österreich und Estland mit den deutschen Regeln kommt die Studie zu dem Schluss, „dass der deutsche Gesetzgeber es in zentralen Punkten versäumt hat, ein wirksames Patientenaktensystem zu schaffen, das die Spielräume der DSGVO voll ausschöpft.“
Interessant: „In den untersuchten Ländern erhalten die Versicherten alle automatisch eine Akte, die befüllt wird. Durch Opt-out, der unterschiedlich gestaltet ist, können die Patienten der Anlage und dem Befüllen der Akte sowie dem Zugriff widersprechen oder Dokumente für verschiedene Gruppen löschen oder zumindest verschatten lassen, so dass sie zwar vorhanden, aber nicht lesbar sind.“ Freilich lässt sich vortrefflich darüber streiten, wie sinnvoll das automatische Verteilen der ePA an alle Versicherten ist –das Endgeräte-Problem wird damit nicht gelöst. Das Zugriffsmanagement jedoch regeln andere EU-Länder datenschutzfreundlicher.
Elektronische Patientenakte: Richtiger Ansatz, aber nicht zu Ende gedacht
Eine bestmögliche medizinische Versorgung ohne Mehrfachbehandlungen und Zettelwirtschaft: Vom medizinischen Fachpersonal bis zu den Patient:innen selbst ist das wohl für jeden von Interesse. Der grundsätzliche Schritt zur ePA ist also wichtig und richtig – die elektronische Patientenakte macht das Gesundheitssystem im besten Fall deutlich effektiver.
Der schlechteste Fall für Versicherte ist – zumindest aus datenschutzrechtlicher Sicht – jedoch auch eingetreten: Das Zugriffsmanagement ist derzeit nicht datenschutzkonform, weitere Datenschutzmängel sind offensichtlich. Nach jahrelangem Warten und Zögern preschte das Bundesgesundheitsministerium plötzlich mit einer unausgereiften Vision vor, was dem grundsätzlich vorteiligen Projekt nun im Wege steht. Es bleibt zu hoffen, dass baldige Nachbesserungen für den effizienten Schutz der sensiblen Gesundheitsdaten sorgen und Zugangshürden abgebaut werden können.