Interview zur digitalen Patientenakte: "Es geht doch und ist ganz einfach"

Gesundheitsdaten aus verschiedenen Systemen der Ärzte und weiteren am Gesundheitswesen Beteiligten stehen in der digitalen Krankenakte "Helsi" bei rund 28.000 Patienten bereit. Mit der Health Cloud von Salesforce wurde ein Patientenportal aufgebaut, das für die Patienten unter anderem Diagnoseunterlagen und Behandlungsdaten bereitstellt. Darüber hinaus soll es Push-Nachrichten, Erinnerungen, individuelle Übungspläne und weitere Services geben. Wenn es nach David-Ruben Thies, dem Chef der Waldkliniken Eisenberg, soll das in ganz Deutschland funktionieren. Für die staatliche Digitalisierung sind bereits Milliarden verschwendet worden. Im Gespräch mit heise online erklärt Thies, wie er Nägeln mit Köpfen machen will. Außerdem erklärt Heinz Ebensperger von Salesforce, was technisch hinter der digitalen Patientenakte der Waldkliniken steckt.

heise online: Was war Ihre Motivation für eine Alternative zur aktuellen elektronischen Patientenakte?

David-Ruben Thies: 2004 hat die Politik bereits die elektronische Patientenakte beschlossen. Dann wurde damals im Verein die Telematikinfrastruktur aufgebaut, an der von der Gematik GmbH munter vor sich hin gewerkelt wird. Demnächst ist die Gematik als "Digitalagentur Gesundheit" wieder eine Behörde – nach ständigem Hin und Her. Seit 20 Jahren wird an der Digitalisierung des Gesundheitswesens gefummelt und Milliarden verschwendet. Bis heute haben wir immer noch keine einheitliche elektronische Patientenakte.

Wie kam es dann zu Ihrer Entscheidung?

Vor fast zehn Jahren war ich in Kalifornien, um mir ein Customer-Relationship-Management (CRM) anzuschauen. Somit kam ich an die Uniklinik nach San Francisco und habe dort zum ersten Mal die elektronische Patientenakte von Salesforce gesehen. Das war kein CRM mehr, sondern eine komplette digitale Patientenakte, die zusätzlich auch die Funktion eines Patientenportals hatte. Das fand ich sehr cool. Es lief stabil und ich dachte mir "Warum geht das nicht auch einfach mal in Deutschland?". Nach neun Monaten war es dann so weit. Ich hatte Fördergelder vom Freistaat Thüringen bekommen – 1,2 Millionen Euro für das Customizing und die Anerkennung des deutschen Datenschutzes. Am Ende des Tages haben wir eine Freigabe vom damaligen Thüringer Landesdatenschutzbeauftragten erhalten. Für uns hat das funktioniert. Und warum greifen wir nicht einfach auf bewährte Standards zurück, die seit mehr als 15 Jahren anderswo stabil laufen. Copy-and-paste ist manchmal einfacher, als immer alles neu zu machen.

Meine Motivation dahinter ist eigentlich wie immer, mich nicht darüber zu beschweren, dass irgendwo etwas nicht funktioniert, sondern selber zu zeigen: "Hey Leute, es geht doch und ist ganz einfach".

Sie sprachen gerade auch vom Patientenportal für Ihre Patienten. Was kommt da auf Krankenhäuser zu?

Mit dem Krankenhauszukunftsgesetz soll jedes Krankenhaus ein Portal anbieten können. Da gibt es verschiedene Systeme. Ob die interoperabel sind, sei mal dahingestellt. Wenn jeder eine eigene App hat, die nicht mit anderen Systemen kommunizieren kann, muss sich der Patient für jede Klinik und jede Praxis eine neue App herunterladen. Daher ist es wichtig, dass solche Anwendungen systemübergreifend funktionieren. Es ergibt keinen Sinn, dass jeder Leistungserbringer ein eigenes Süppchen kocht.

Ein Patient kann nicht jedes Mal seine Dokumente in einer anderen App hochladen. Welcher arme ältere Mensch hat denn einen Überblick über seine 70 Jahre? Niemand. Daher habe ich mich gefragt, wie das eigentlich ist, wenn man eine digitale Patientenakte nutzt, die auch andere Funktionen zur Terminsteuerung hat.

Jetzt hat ja dann zuletzt der Bundesgesetzgeber gesagt, die digitale Patientenakte baut die jeweilige Krankenkasse. Was hilft mir das, wenn ich die Daten von meiner Krankenkasse habe? Selbst wenn ich alle Daten hochlade, funktioniert das bisher noch nicht. Warum läuft das nicht alles automatisch und ich bestimme am Ende nur noch, wann wer auf welche Daten zugreifen darf und auf welche eben nicht. Mit einem zentralen Datenpool ließen sich mithilfe von KI zudem alle Daten auswerten, vorausgesetzt, die Patienten haben zuvor eingewilligt.

Die Trennung zwischen digitaler Patientenakte und Patientenportal, die in Deutschland an dieser Stelle vorgenommen wurde, kann ich bis zum heutigen Tag nicht nachvollziehen. Meine Vision ist es, als nächsten Schritt eine oder Modellregionen zu starten.

"20 Jahre ist nichts passiert"

Konkurrieren Sie dann nicht mit der staatlichen Initiative?

Ich bin da mittlerweile total tiefenentspannt: Wenn 20 Jahre lang jemand etwas nicht auf die Reihe bekommt, sehe ich nicht, dass er das in den nächsten zwei Jahren auf die Reihe kriegt. Jede Woche gibt es verschiedene Meldungen bei den Portalen der Gematik, dass wieder etwas nicht funktioniert oder eine Spezifikation fehlerhaft ist. So verzögert sich alles. Ärzte, Patienten und weitere Leistungserbringer sind nur an die Telematikinfrastruktur angeschlossen, um Sanktionen zu entgehen. Einen echten Nutzen haben sie leider davon noch nicht.

Welche Datenformate lassen sich derzeit in die Patientenakte der Waldkliniken hochladen?

Aktuell ist es noch nicht möglich, solche Datenformate in das Patientenportal hochzuladen. Wir planen mit der derzeitigen Erweiterung den Upload von PDF und eventuell Röntgenbildern, keine einzelnen Werte. Die Umsetzung ist bis Ende 2024 geplant.

Was steckt hinter der elektronischen Patientenakte der Waldkliniken?

Heinz Ebensperger: Die Business Process Engine dahinter, eine No-Code- oder Low-Code-Plattform, mit der sich fehlende Prozesse leicht adaptieren lassen. Bei den Waldkliniken klappt das nach wie vor gut. Da sind bereits staatliche Anforderungen mit enthalten. In diesem Bereich kommt es unter anderem auf die Einhaltung von Regularien und Anforderungen an, da sprechen wir über besonders datenschutzrelevante Gesundheitsinformationen. Da müssen wir gewisse Auflagen erfüllen, um solche Services überhaupt anbieten zu dürfen. In der Health Cloud sind die Daten dann verfügbar. Da kommt die MuleSoft-Umgebung als Integrationsplattform zum Einsatz, die die Cloud mit externen Daten aus verschiedenen Quellen befüllt – etwa aus Krankenhausinformationssystemen, ERP-, CRM-Systemen und weiteren befüllt – je nach Anforderungen des Kunden. Die Spezifikationen der Gematik sind allerdings nicht mit Low-Code umsetzbar.

Ist die digitale Patientenakte von Salesforce interoperabel? Und wenn ja, mit welchen Standards?

Heinz Ebensperger: Salesforce bietet eine interoperable Lösung, die mittels gängiger Standards wie SOAP, REST und OData in bestehende Strukturen und Anwendungen integriert werden kann. Darüber hinaus werden auch Standards beziehungsweise APIs aus dem Gesundheitssektor wie HL7 und FHIR unterstützt.

Welche Verschlüsselungstechniken kommen zum Einsatz?

Das variiert, wir nutzen unter anderem das vom Bundesamt für Sicherheit in der Informationstechnik speziell für Gesundheitsdaten empfohlene Verfahren AES 256-Bit, das verschiedene Protokolle unterstützt. Damit werden Daten in Echtzeit verschlüsselt.

Wie gewährleisten Sie die Resilienz?

Wir nutzen aktuell Hyperforce, so nennen wir die Umgebung – mit Rechenzentren in der Region Frankfurt und mit entsprechenden Availability Zones dahinter. Aktuell sind das drei Instanzen.

Das C5-Testat, um Gesundheitsdaten in der Cloud verarbeiten zu dürfen, wahrscheinlich auch?

Salesforce verfügt neben diversen anderen Audits und Zertifizierungen auch über das C5-Testat, das im halbjährlichen Turnus auditiert wird. Gesundheitsdaten bedürfen der besonderen Aufmerksamkeit, die technischen Kontrolloptionen werden vom jeweiligen Verantwortlichen, gemäß den jeweiligen Anforderungen auch in Abstimmung mit der zuständigen Datenschutzbehörde, definiert und im Anschluss entsprechend implementiert.

Welche Daten verarbeitet werden, das entscheidet der Kunde. An manchen Stellen ist Datenschutz ein zweischneidiges Schwert: Auf der einen Seite haben wir den Datenminimalismus, auf der anderen Seite müssen bestimmte Daten übermittelt werden. Mit dem Gesundheitsdatennutzungsgesetz gibt es da einige Änderungen. Wir sind da aber flexibel, um auf künftige Regularien reagieren zu können.

(mack)