Eigentlich soll die elektronische Patientenakte, kurz ePA, dem Gesundheitswesen mehr Flexibilität bescheren. Im Januar 2021 steht voraussichtlich die offizielle Einführung auf Bundesebene an.
Doch nun schlägt der Bundesbeauftragte für Datenschutz und Informationsfreiheit Alarm.
Deren Leitung unter Professor Ulrich Kelber legt die Finger in die Wunde und mahnt zur Vorsicht. Nach Ansicht des Bundesdatenschutzbeauftragten Kelbers beugt das geplante Patientendaten-Schutzgesetz für die ePA völlig unzureichend Missbrauch vor und steht außerdem im Konflikt mit europäischer Rechtsprechung.
Gesundheitswesen im Wandel: Die ePA soll alles effizienter machen
Klassische Dokumentation auf Papier und Informationsübermittlung per Bote oder Telefon wird durch die Digitalisierung zunehmend verdrängt. Die ePA soll die Vorzüge digitaler Vernetzung im Gesundheitswesen salonfähig machen. Ein fließender Übergang über freiwillige Teilnehmer soll den Wandel möglichst ohne Hindernisse ermöglichen. Die Vorteile liegen auf der Hand: Alle relevanten Patientendaten aus Aktenordnern stehen nun über das Internet zur Verfügung. Andere Ärzte können diese ohne Verzögerung in ihrer Praxis anfordern und sind so stets auf dem aktuellsten Stand. Im Endeffekt führt dies zu weniger Bürokratie und somit mehr Zeit für den Patienten. Gleichzeitig beugt das Verfahren Missverständnissen bei der Therapie und unnötigen Doppeluntersuchungen vor. Im Jahr 2022 folgen noch Einträge für Impfpass, U‑Heft für Kinder, Mutterpass sowie das Bonusheft für regelmäßige Zahnarztbesuche. Ärzte dürfen nur mit Erlaubnis durch den betreffenden Patienten auf die Daten zugreifen – worin liegt also das Problem?
Datenschutzbeauftragter Ulrich Kelber geht auf Konfrontationskurs
Information über körperliche und psychische Gesundheit gelten als äußerst sensibles Thema. Missbrauch und Benachteiligung durch Dritte sind eine realistische Gefahr. In den USA kam es zu einem großen Skandal, als über 100 Millionen Patientendaten von Hackern entwendet wurden und nun auf dem Schwarzmarkt jedermann zugänglich sind. Der stärkste Gegenwind weht den Krankenkassen derzeit vom Bundesschutzbeauftragten Professor Ulrich Kelber entgegen. Seiner Argumentation nach sei das Patientendaten-Schutzgesetz (PDSG) nicht vereinbar mit den Vorgaben durch die DSGVO. Kelber maßregelte bereits die ihm unterstehenden, gesetzlichen Krankenkassen bezüglich der aktuellen Situation. Sollten diese dennoch an der ePA in Kombination mit dem aktuellen PDSG festhalten, würde er aufsichtsrechtliche Gegenmaßnahmen einleiten. Das Bundesgesundheitsministerium sieht indessen offenbar keine akute Gefährdungslage. Immerhin erfolge die Einführung auf freiwilliger Basis und es bedarf der ausdrücklichen Zustimmung des Patienten für den Einblick in die elektronischen Akte.
Löchrige Schutzmaßnahmen in der Übergangszeit
Kritiker des geplanten Feldversuchs sehen jede Menge Nachbesserungsbedarf. Tatsächlich steht erst ab dem Jahr 2022 die Möglichkeit zur Eingrenzung des befugten Zugriffes zur Verfügung. Bis dahin könnten theoretisch Zahnärzte Informationen über ein psychisches Gutachten einsehen. Der völlig ungeschützte Offenlegung ohne die erforderliche Zweckgebundenheit stelle ein großes Risiko dar. Bis die ersten schweren Fälle von Datenmissbrauch vorliegen, sei es lediglich eine Frage der Zeit. Doch die derzeitigen Fehler im Konzept reichen noch tiefer und seien nach derzeitigem Stand so nicht tolerierbar.
Informationelle Selbstbestimmung in Gefahr
Das der derzeitige Entwurf auf einem wackeligen Fundament steht, macht auch ein Blick auf den geplanten Zugriff der Akte von Patienten sichtbar. Kelber mahnt an, dass er das Recht auf informationelle Selbstbestimmung unzureichend berücksichtigt sehe. Tatsächlich dürfen Patienten laut Entwurf ab 2022 zwar Ärzte und bestimmte Datensätze per Filter vom allgemeinen Zugriff fernhalten, aber ein Kontrollzugriff auf die eigene Akte soll zu diesem Zeitpunkt technisch noch nicht flächendeckend möglich sein. Dieser geschieht primär über eine App per Smartphone oder Tablet. Ein aktiver Internetzugang ist dafür also Voraussetzung. Fehlt die technische Grundlage, entfällt auch vorerst die Einsicht auf die eigene Akte. Betroffene sollten laut DSGVO aber jederzeit Zugriffsmöglichkeiten zu Kontrollzwecken und Selbstbestimmung auf die eigenen Datenbestände haben. Das angestrebte Konzept läuft also nicht konform mit EU-Recht. Alternative Informationswege über Terminals in den Krankenkassenfilialen scheuen die Versicherungen aufgrund der dadurch entstehenden Kosten. Die Sorge vor der finanziellen Verantwortung treibt teils seltsam anmutende Vorschläge hervor. Vielmehr solle im Notfall eine beauftragte Vertrauensperson die Datenbestände im Internet managen – ein äußerst heikler Ansatz, da diese dann ebenfalls Kenntnis über die sensiblen Informationen erlangt. Zusätzlich löst auch das derzeitige Anmeldeverfahren bei Kelber Bedenken aus. Eine einfache PIN als Passwortschutz reiche nicht aus und erfülle bei weitem nicht die von der DSGVO vorgesehenen Mindeststandards.
Krankenkassen in der Zwickmühle
Das Tauziehen zwischen DSVGO und PDSG wird sich in der Praxis als äußerst problematisch erweisen. Kelber kritisiert den Bundestag für dir voreilig beschlossene Regelungen für das Patientendaten-Schutz-Gesetz. Das Gesetz ist derzeit im Bundesrat zur Begutachtung vorgelegt. Einspruchsrechte kann der Bundesdatenschutzbeauftragte an dieser Stelle nicht zur Geltung bringen. Allerdings darf er Mahnungen und sogar Bußgelder gegenüber den meisten gesetzlichen Krankenkassen aussprechen. Der BDFI beobachte das Verhalten der betroffenen Einrichtungen genau, ob diese ihre Pflichterfüllung gegenüber dem europäischen Recht auch nachkommen. Zweifelsohne führt dies wiederum die Versicherungen in prekäre Lage. Die offensichtliche Nachlässigkeit des PDSG gegenüber elementare Schutzmechanismen der DSVGO lässt sich nicht leugnen. Egal für welches Recht die Kassen sich entscheiden, sie verstoßen unvermeidlich gegen eine der beiden Vorschriften. Im Ernstfall darf Kelber in seiner Funktion als Bundesdatenschutzbeauftragter die Nutzung und Weiterverbreitung von Daten untersagen und die Löschung betroffener Informationen erzwingen. Unmittelbar abhängig von einer Bestätigung durch den Bundesrat ist das unter Beschuss geratene Gesetz allerdings keineswegs. Es gilt als nicht zustimmungspflichtig. Trotzdem bleibe der Bundestag an rechtliche Rahmenbedingungen auf europäischer Ebene gebunden. Als letzte Notmaßnahme kann der Bundesrat ein Vermittlungsausschuss ins Leben rufen und somit die Umsetzung zeitlich herauszögern. Kelber empfiehlt, dass der Bund den derzeitigen Widerspruch zwischen nationalem und europäischem Recht beseitigt. Die drohende Misere würde ansonsten den seiner Ansicht nach den guten Grundgedanken der ePA torpedieren.
Zweckentfremdung für kommerzielle Ziele denkbar
Eine Änderung zur Datenverarbeitung durch die Krankenkassen birgt weiteren Sprengstoff. So möchten Krankenkassen die kompletten Datensätze der Patienten zu Werbezwecken verwenden. Nur ein ausdrücklicher Widerspruch schiebe dem Vorhaben einen Riegel vor. Für medizinische Anlässe bestehe ebenfalls Interesse. So können die Daten hilfreiche Erkenntnisse für Forschungszwecke liefern. Ist dieses Verfahren in der Praxis erst einmal großflächig etabliert, werden Begehrlichkeiten auf verschiedenen Seiten geweckt. Auch wenn diese Befürchtungen im Raum stehen, äußerte sich Kelber nicht direkt zu diesem Thema. Er setze zunächst auf einen Dialog mit den zuständigen Krankenkassen für einen DSVGO-konformen Lösungsansatz und werde Umsetzung und Effektivität der Schutzmaßnahmen kontinuierlich überwachen.
Kritik bei Startphase
2021 wurde die elektronische Patientenakte (ePA) mithilfe eines Drei-Phasen-Modells stufenweise eingeführt.
Zu diesen Phasen gehörte zum einen die Einführungs- und Testphase. Diese startete am 01.01.2021 und ermöglichte ausgewählten Leistungserbringern in Berlin und Westfalen-Lippe die Erprobung der ePA-Vernetzung.
Während der Rollout-Phase im zweiten Quartal des Jahres begann im nächsten Schritt die Vernetzung von etwa 200.000 Ärzten, Zahnärzten, Apothekern und Krankenhäusern untereinander. Im dritten Schritt startete zum 01.07.2021 schlussendlich die flächendeckende Vernetzung. Ab diesem Stichtag sind (Zahn)Ärzte dazu verpflichtet, sich an die ePA anzubinden.
Während der Startphase konnten Versicherte nur festlegen, ob er einem Arzt den Zugriff auf seine sensiblen Daten oder nicht. Es ist jedoch nicht möglich zu steuern, welche Daten der Arzt sieht. Versicherte haben demnach nur die Möglichkeit den Ärzten eine Ansicht der gesamten Patientenakte zu gewährleisten oder gar nichts. Durch das „Alles-oder-Nichts-Prinzip“ hatte ein Arzt beispielsweise also auch die Möglichkeit auf ein psychologisches Gutachten des Patienten zuzugreifen. Datenschützer sehen hierbei einen Verstoß gegen das Gebot der Erforderlichkeit und der Zweckbindung.
Ein weiterer Kritikpunkt war die Ungleichbehandlung von Versicherten der älteren Generation. Von vielen kann die ePA nicht genutzt werden, da diese über eine App funktioniert. Da einige Patient:innen weder Tablet noch Smartphone nutzen, können diese lediglich in der Praxis beschränkte Zugriffsrechte erteilen oder alternativ einem Vertreter mit benötigtem Gerät die Vertretungsrechte zuweisen. Auch dies ist datenschutzrechtlich jedoch kritisch zu bewerten, da der Vertreter dann Zugriff auf alle sensiblen Gesundheitsdaten hat.
Aktueller Stand der elektronischen Patientenakte
Für Nutzer der ePA gibt es seit dem 01.01.2022 Verbesserungen. So haben diese jetzt die Möglichkeit den Zugriff sowohl auf spezifische Dokumente oder Gruppen von Dokumenten zu erteilen und somit dokumentengenaue Zugriffsrechte zu vergeben. Jedoch gibt es auch heute noch einige Kritikpunkte aus datenschutzrechtlicher Sicht. Zum einen haben die Menschen, die keine Endgeräte haben oder nutzen wollen auf Dauer keine Möglichkeit ihre eigene ePA zu führen und sich einen Einblick zu verschaffen. Somit wird also eine Personengruppe von der Nutzung der ePA ausgeschlossen und kann nicht von den Vorteilen der digitalen Patientenakte profitieren. Laut Vorgaben der DSVGO wird damit aufgrund der gravierenden Einschränkungen gegen das in Deutschland unmittelbar geltende europäische Recht verstoßen.
Zudem kommt hinzu, dass die Anforderungen an ein Authentifizierungsmittel, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie stellt, nicht vollständig erfüllt werden. Da die ePA hochsensible Gesundheitsdaten enthält bedarf auch der Zugriff immer ein hochsicheres Authentifizierungsverfahren, dass stets dem aktuellen Stand der Technik entspricht. Der Signaturdienst auf dem das Verfahren der „Alternativen Versichertenidentität“ basiert, der es Versicherten ermöglicht sich auch ohne Einsatz der elektronischen Gesundheitskarte anzumelden, erfüllt diese Anforderungen nur teilweise. Auch im Fall der alternativen Authentifizierung bedarf es als Gewährleistung einem höchstmöglichen Sicherheitsniveaus. Trotz dieser Bedenken duldet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) dieses Verfahren derzeit noch bis zum 31. Dezember 2022.