Datenschutz bei E-Patientenakte: "Gesundheitsdaten-Bullerbü" realitätsfern
Das Bundesgesundheitsministerium will die Sicherheit bei der elektronischen Patientenakte aufweichen, die Opposition indes kritisiert den gläsernen Patienten.
(Bild: FOTO Eak/Shutterstock.com)
Während sich ein großer Teil der Bundestagsabgeordneten für mehr Datennutzung und eine fortschrittlichere Digitalisierung des Gesundheitswesens aussprach, hagelte es bei einer ersten Bundestagsberatung zum Gesundheitsdatennutzungsgesetz (GDNG) und zum Digitalgesetz deutliche Kritik am Trend zum "gläsernen Patienten". Wichtig für die primäre und sekundäre Datennutzung im Sinne des informationellen Selbstbestimmungsrechts der Patienten seien Opt-out-Regelungen bei der Datenerhebung, sagte Georg Kippels von der CDU. Versicherte müssten der Datenerhebung nicht nur digital, sondern auch analog widersprechen können.
Kathrin Vogler, gesundheitspolitische Sprecherin der Linken, sieht es kritisch, dass die Daten mit dem GDNG künftig nicht nur Ärzten und weiteren Behandlern zugänglich sein sollen, sondern auch ohne Zustimmung der Versicherten eine Weitergabe an Dritte geplant ist.
Bei der Primärnutzung geht es darum, dass etwa eine Klinik einer anderen Klinik für die Behandlung die Patientendaten mit Klarnamen zur Verfügung stellt. Dafür müssen die Daten, Formate und Anwendungen standardisiert werden. Zu den Datenkategorien gehören zum Beispiel elektronische Patientenakten, bildgebendes Material, Laborbefunde oder Verschreibungen.
In der Sekundärnutzung geht es um Daten, die dem öffentlichen Gesundheitsdienst nutzen, um die Entwicklung von Medizinprodukten und Gesundheitsdienstleistungen voranzutreiben. Geliefert werden diese Daten von Kliniken, Forschungseinrichtungen, Medizinprodukte-Herstellern und allen, die Gesundheitsdaten im großen Stil sammeln. Diese sollen gesetzlich dazu verpflichtet werden, ein Register ihrer Datensätze zu erstellen und dieses den geplanten nationalen Zugangsstellen für Gesundheitsdaten zur Verfügung zu stellen.
"Gesundheitsdaten-Bullerbü" ohne Cyberkriminelle
Falls Versicherungen, Pharmaunternehmen und Marktforschungsinstitute Zugriff auf die Daten der Versicherten erhielten, bedürfe dies aus Voglers Sicht der ausdrücklichen Erlaubnis der Versicherten. Die Persönlichkeitsrechte müssten geschützt werden. Es gebe ein "unermessliches kommerzielles Interesse an den Gesundheitsdaten". International koste ein einzelner Datensatz mit Gesundheitsdaten 250 US-Dollar. Sofern die Datensätze ab 2025 in den Europäischen Gesundheitsdatenraum (EHDS) fließen, sei kaum noch kontrollierbar, was mit den persönlichen Gesundheitsdaten passiere. "In Ihrem Gesundheitsdaten-Bullerbü, da gibt es offenbar keine Datenlecks und keine Hacker, aber das hat mit der Realität doch nichts zu tun", sagte Vogler an die Adresse der Ampelkoalition.
Heutzutage würden immer noch Menschen wegen HIV, Suchtproblemen oder psychischen Erkrankungen diskriminiert und stigmatisiert, daher dürfe nicht leichtfertig "die Selbstbestimmung der Patientinnen und Versicherten" ausgehebelt werden. Das Opt-out-Verfahren für die elektronische Patientenakte hält Vogler daher für unverantwortlich. Ebenso, dass die Krankenkassen nach dem Entwurf des GNDG die Daten der Versicherten auswerten und daraufhin Empfehlungen aussprechen können. Das hatten unter anderem bereits Verbraucherschützer und Ärzte kritisiert.
Stärkung der Gesundheitswirtschaft
Erwin Rüddel von der CDU erhofft sich von der Analyse großer Datenmengen mithilfe von KI eine effektivere Gesundheitsversorgung durch die Früherkennung von Krankheiten. Maximilian Funke-Kaiser, digitalpolitischer Sprecher der FDP, plädierte für "ein gesundes Gleichgewicht zwischen Datenschutz und Datensicherheit und Datennutzung". Seiner Ansicht nach müsse gefragt werden: "Wie können wir es ethisch vertreten, Gesundheitsdaten nicht zu nutzen". Wohin das führe, "haben wir während der Coronapandemie gesehen". Datenschutz und Datennutzung seien keine Gegensätze. Für die Forschung erhoffen sich Politik und Gesundheitswirtschaft durch Big Data weitere Vorteile durch die Menge an verfügbaren Sekundärdaten, etwa bei der Analyse seltener Krankheiten.
Die elektronische Patientenakte (ePA) gibt es bereits seit 2021, sie wird jedoch kaum genutzt. Darum sollen Ende 2025 alle Versicherten automatisch eine ePA erhalten, in der alle Daten gespeichert werden. "Für den Erfolg ist ein niederschwelliger, unkomplizierter Zugang zu den Anwendungen für alle Beteiligten die wichtigste Voraussetzung. Die Aufnahme unstrukturierter Daten in die ePA auf Wunsch des Versicherten" sei nach Rüddels Ansicht "fragwürdig, da diese Daten nicht systematisch durchsucht und ausgewertet werden können".
Elektronische Patientenakte: Mehr Daten, weniger Verschlüsselung
Auch Susanne Ozegowski, Abteilungsleiterin für Digitales und Innovation im Bundesministerium für Gesundheit, wies unter anderem bei einer Veranstaltung der IKK-Krankenkasse zum Thema "Gesundheitsdaten: Von Patientennutzen und Profitversprechen" ebenfalls darauf hin, dass die aktuelle elektronische Patientenakte in ihrer Funktionalität begrenzt sei, da sie keine Such-, Filter- oder Datenexportfunktionen für Forschungszwecke biete. Ebenso sollen in Zukunft Daten automatisiert aus der elektronischen Patientenakte an Dritte fließen. Um diese Einschränkungen zu überwinden, strebt das BMG eine Transformation der ePA an: von einer statischen, dokumentenorientierten und mit Ende-zu-Ende-Verschlüsselung (E2EE) gesicherten Plattform hin zu einer dynamischen, datenbasierten und serverseitig verarbeiteten Lösung.
Diese Änderung, die Ozegowski erörterte, soll zwar E2EE zwischen den Komponenten der elektronischen Patientenakte beibehalten, jedoch auch die Entschlüsselung und Verarbeitung von Daten innerhalb der ePA ermöglichen. Die Gematik arbeite derzeit an den technischen Spezifikationen, damit die "ePA als Technologie funktioniert". Mit der Aufhebung der E2EE für ePA-Daten könne zukünftig auch ein Viren-Check durchgeführt werden, was bisher nicht möglich sei. Die Pläne des BMG seien "sehr eng mit dem Bundesamt für Sicherheit in der Informationstechnik abgestimmt, die das sehr begrüßen und diesen Kurs hier auch unterstützen", so Ozegowski.
"Privatsphäreniveau wird nach unten gezogen"
Die Sicherheitsforscherin und Vorsitzende des Innovationsverbundes Public Health, Bianca Kastl, kommentierte auf Anfrage von heise online: "Mit dem Argument der Zugänglichmachung von Daten von Nicht-App-Nutzern wird das gesamte Privatsphäreniveau für alle erst einmal nach unten gezogen – ohne aber zeitgemäße Patient:innen-zentrierte, Privatsphäre-freundliche Teilnahmemöglichkeiten an medizinischer Forschung zu liefern. Bei all den vielen teils radikalen technischen Veränderungen wäre umfassende Aufklärung der PatientInnen seitens Krankenkassen oder BMG angebracht". Letztlich bleibe das Opt-out die einzige technische Maßnahme in der Hand der Patientinnen und Patienten, mit der sie ihre Selbstbestimmung tatsächlich durchsetzen könnten.
Bereits im September hatte der Bundesbeauftragte für Datenschutz und IT-Sicherheit Prof. Ulrich Kelber erklärt, dass eine elektronische Patientenakte (ePA) mit verschlüsselten Daten die digitale Gesundheitsversorgung nicht behindere. Ärzte bräuchten dafür lediglich eine "technische Zugriffsberechtigung". Zwar seien Zugriffskontrollen erforderlich, die E2EE sei dabei aber eine technische Maßnahme, um diese durchzusetzen. Die Entschlüsselung finde aktuell beispielsweise auf dem PC des Arztes statt. In der ePA selbst werden die Daten nicht entschlüsselt. Bei einem Datenabfluss aus der ePA seien die Daten somit weiterhin verschlüsselt, so Kelber. Doch die vom BMG geplante Änderung würde "einen Paradigmenwechsel" bedeuten, der die Rechte der Bürger untergrabe.
Im Bundestag gibt es zum Gesundheitsdatennutzungsgesetz am 15. November eine öffentliche Anhörung
(mack)