"Elektronische Patientenakte für alle" könnte Verschlimmbesserung werden
Das Gesundheitsministerium macht mit der "Patientenakte für alle" Hoffnungen. Doch bis sie einen Mehrwert bringt und bis zum reibungslosen Betrieb, dauert es.
Die lebenslange elektronische Patientenakte (ePA) für alle gesetzlich Versicherten wird als Meilenstein der Digitalisierung des Gesundheitswesens angesehen und gilt als Hoffnungsträger für eine effizientere Versorgung. Alle medizinischen Informationen sollen zentral und für alle am Behandlungsprozess beteiligten Personen lesbar bereitstehen. Das Vorhaben von Gesundheitsminister Karl Lauterbach ist ambitioniert, die Testphase zu kurz und es gibt weiterhin offene Fragen, auch bezüglich des Sicherheitskonzepts und der Gesamtverantwortung.
Um diese zu klären, hatte das Bundesgesundheitsministerium 100 Tage vor dem geplanten Start eine Informationskampagne samt Infomobil gestartet. Damit will Gesundheitsminister Karl Lauterbach "Vorurteile und Fake News erst gar nicht aufkommen [...] lassen. Bisher vertrauen die meisten Menschen der elektronischen Patientenakte als Verbesserung ihrer Behandlung, wenige sind skeptisch. Wir sind überzeugt, dass wir auch die Skeptiker überzeugen können", sagte Lauterbach Ende September. Zwar ist sie laut TI-Atlas für 49 Prozent der Befragten ein Begriff, dennoch wissen die meisten Menschen nicht viel über die elektronische Patientenakte.
Gut zwei Monate vor dem Start in den Testregionen glauben jedoch viele nicht mehr, dass der ambitionierte Zeitplan gehalten werden kann. Das BMG selbst nennt auf seiner Website mittlerweile März als Datum – möglicherweise aufgrund technischer Schwierigkeiten, die sich während der Umsetzung der komplexen Spezifikationen ergeben haben. "Nach einer Informationsphase für die Versicherten ab Oktober 2024 startet am 15. Januar 2025 die ePA für alle. Zunächst wird sie dabei vier bis sechs Wochen lang in zwei Modellregionen ausgerollt. Ab Anfang März 2025 ist die ePA für alle dann deutschlandweit nutzbar", heißt es dort.
Dass der Zeitplan, um auch die Erwartungen der Beteiligten zu erfüllen, knapp bemessen war, hatten Kritiker bereits im Vorfeld geäußert und zu Bedenken gegeben, dass ein unfertiges Produkt bei allen Beteiligten für Frust sorgen könnte. Erst kürzlich berichtete das Ärzteblatt, dass es monatelang nicht möglich sein wird, wie gewohnt Bilddateien im JPG- und PNG-Format in die ePA hochzuladen. Aufgrund von Sicherheitsbedenken müssen diese vor dem Hochladen erst mal in PDF/A-Dokumente umgewandelt werden, die Krankenkassen tun das für Versicherte, manche Primärsystemhersteller ebenfalls. Von Bildern im DICOM-Format, etwa Röntgenbilder, ist in den Plänen für die ePA vorerst nichts zu sehen.
Lesen Sie auch
Wie sensible Daten geschützt werden können
Welche Kontrolle haben Versicherte über ihre Daten?
Obwohl alle Daten automatisch in die ePA 3.0 fließen, behalten Versicherte eine gewisse Kontrolle: Sie können Dokumente ausblenden und einzelnen Ärzten oder Institutionen den Zugriff verwehren.
Für Änderungen an den ePA-Einstellungen stehen Versicherten, die sich nicht für eine ePA registriert haben – also die App ihrer Krankenkasse nicht nutzen –, die Ombudsstellen der Krankenkassen zur Verfügung, etwa um Zugriffsbeschränkungen vorzunehmen oder Dokumente einzustellen. Die Krankenkassen müssen auf Wunsch der Versicherten bis zu 20 Dokumente in zwei Jahren in die ePA hochladen.
Standardmäßig erhalten alle behandelnden Ärzte Zugriff auf die ePA, um Arzneimitteltherapien zu optimieren, Doppeluntersuchungen und Abrechnungsbetrug zu verhindern. Bei heiklen Informationen, etwa Schwangerschaftsabbrüchen, müssen Ärzte vor der Dokumentation Rücksprache halten. Kritiker sehen hier Risiken für Missverständnisse und Ärzte befürchten einen erhöhten Aufklärungsaufwand, da die Krankenkasseninformation zur ePA als teils fehlerhaft und als zu wenig verständlich gilt – manche sprechen sogar vom Ende der Schweigepflicht. Bei der aktuellen ePA ist es möglich, nicht allen Ärzten Zugriff auf ein Dokument zu geben, ohne ihnen komplett den Zugriff auf selbige zu verweigern.
Neben den Plänen, mit der ePA den an der Behandlung Beteiligten alle Daten zentral zur Verfügung zu stellen, ist es auch ein Ziel, den Pharmaunternehmen und der Forschung mehr Daten zur Verfügung zu stellen. Den Weg dafür ebnen das Gesundheitsdatennutzungsgesetz und das Medizinforschungsgesetz. Ein weiteres Versprechen ist es, den Versicherten mehr Kontrolle über ihre Daten zu geben. Doch durch das Opt-out-System müssen Versicherte aktiv verhindern, dass alle behandelnden Ärzte Einblick in ihre Daten erhalten und können auch das Einstellen von Abrechnungsdaten ablehnen sowie Dokumente gezielt ausblenden.
Alle Abrechnungsdaten sollen automatisch in die ePA
"Den Zugriff auf Ihre medizinischen Daten können Sie feingranular steuern und nur die Daten für diejenigen Behandelnden freigeben, die sie wollen. Bei den Abrechnungsdaten ist diese feingranulare Steuerung nicht möglich. Deshalb sind Sie nur dann halbwegs sicher, dass jede behandelnde Person nur sieht, was Sie wollen, wenn die Abrechnungsdaten nicht in die ePA kommen", erklärt dazu der Jurist Jan Kuhlmann, der unter anderem als IT-Entwickler bei einer Krankenkasse gearbeitet hat und Co-Vorsitzender vom "Patientenrechte und Datenschutz e.V." ist.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
"Ab ePA-Version 3.0 ist das Einstellen von Abrechnungsdaten durch die Krankenkassen per Opt-Out-Prinzip vorgesehen. Sofern die/der Versicherte also nicht widerspricht, geschieht dies automatisch", erklärt dazu auch die Gematik auf Anfrage. Demnach ist vorgesehen, "dass die eingestellten Abrechnungsdaten in der ePA für zugriffsberechtigte Leistungserbringer in der konkreten Behandlung und soweit erforderlich sichtbar sind, sofern dem Einstellen von Abrechnungsdaten nicht widersprochen wurde". Mit dem im Gesundheitsdatennutzungsgesetz geschaffenen Paragraf 25b sollen Krankenkassen zudem auf Basis der Abrechnungsdaten zum Beispiel vor Wechselwirkungen mit Medikamenten warnen dürfen.
Forschungsdatenausleitung ab Mitte 2025
Für ab Mitte 2025 ist vorgesehen, die Daten aus der elektronischen Patientenakte automatisch an das Forschungsdatenzentrum Gesundheit zu übergeben. Bereits jetzt werden die Abrechnungsdaten der Krankenkassen dort gespeichert. Die Speicherdauer wurde mit dem Gesundheitsdatennutzungsgesetz auf 100 Jahre erhöht. Dabei habe man sich an der mittleren Lebensdauer eines Menschen in Deutschland orientiert. Viele Auswirkungen würde man erst viele Jahre später erkennen können, daher war die bisherige Begrenzung zu eng. Die Gründe für die Datensammlung liegen nicht nur in der Forschung, die Daten sollen auch für politische Zwecke genutzt werden und um KIs zu trainieren. Sorge vor dem Verfassungsgericht habe das BMG dabei nicht, wie es auf einer Datenschutzveranstaltung Anfang des Jahres zu verstehen gab.
Datenschützer kritisieren Opt-out
Die Umstellung, dass alle Versicherten automatisch eine ePA erhalten, ist laut Vertretern des BMG eine Anpassung an die Bedürfnisse der Bevölkerung. So müsse sich niemand für die ePA registrieren. Das haben bereits rund 1,6 Millionen Menschen gemacht – mithilfe des neuen elektronischen Personalausweises dürfte das bei den meisten Krankenkassen schnell funktionieren. Von Datenschützern gibt es viel Kritik für die Umstellung der ePA auf die Opt-out-Variante.
Erst kürzlich hatte die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Prof. Louisa Specht-Riemenschneider, auch daran Kritik geübt, dass über die Informationskampagne zur ePA keine Details festgelegt wurden. Es sei unklar, wann und wie die Versicherten über die Änderungen an der ePA informiert werden. Manche Krankenkassen beginnen erst jetzt, ihre Versicherten zu informieren – in der Regel werden dabei nicht alle sechs Widerspruchsmöglichkeiten (gegen die ePA, gegen die Medikationsliste, gegen die Abrechnungsdaten, gegen das Einstellen von Dokumenten durch den Behandler, gegen das Einstellen von Abrechnungsdaten, gegen die Nutzung der Daten zu Forschungszwecken) erwähnt.
Das stellt nicht nur Arztpraxen, sondern auch Krankenhäuser vor Herausforderungen, die die Dokumente verpflichtend in die Telematikinfrastruktur einstellen müssen und ihre Patienten ausführlich darüber aufklären müssen – sofern dies nicht ausreichend durch die Krankenkassen geschehen ist. Specht-Riemenschneider wünschte sich auf ihrem Herbstforum zudem, dass die Versicherten vor der Weitergabe der Daten aus der ePA an das Forschungsdatenzentrum Gesundheit besser informiert werden. Auch sollte die Möglichkeit, Widerspruch einzulegen, niedrigschwellig sein – bisher ist das nicht bei allen Krankenkassen der Fall.
Maßnahmen im Falle von IT-Störungen oder Cyberangriffen
Auf die Frage, was bei Cyberangriffen passiert, heißt es von der Gematik: "Die moderne Sicherheitsarchitektur der ePA für alle ermöglicht grundsätzlich den höchsten Sicherheitsschutz. [...] Im Falle eines Sicherheitsvorfalls werden die entsprechenden Sicherheitsbehörden und alle weiteren Beteiligten umgehend informiert; es greifen dann die für einen solchen Fall vorgesehenen Prozesse und Maßnahmen, die – abhängig von der konkret vorliegenden Situation und des Bedrohungsszenarios – unterschiedlich ausfallen können". Details zu den Maßnahmen, die ergriffen werden, gibt es nicht öffentlich. Ein kürzlich veröffentlichtes Sicherheitsgutachten des Fraunhofer SIT – das aufgrund der Komplexität der Spezifikationen mithilfe von "Gematik-GPT" erstellt wurde – lässt Zweifel am Sicherheitskonzept der elektronischen Patientenakte aufkommen.
"Wimmelbild der Verantwortungsdiffusion" auch im Gesundheitswesen
Der gesamte Prozess wirkt intransparent, da relevante Informationen kaum angesprochen werden und keine zentrale Verantwortlichkeit existiert – wie bereits beim Start des E-Rezepts spürbar war. "Es zeichnet sich, wie beim E-Rezept anfangs auch, wieder ein Wimmelbild der Verantwortungsdiffusion ab. Da hilft es auch nicht, der Gematik mehr Verantwortung zu geben, denn das wird auch nichts an dem überkomplexen System ändern. Gleichzeitig wurde die Gematik beim NIS2-Umsetzungsgesetz explizit ausgeklammert. Das heißt: Sie ist im Falle eines Cybervorfalls oder bei schwerwiegenden IT-Störungen, die sich auf die Versorgung auswirken, nicht verantwortlich und meldet einen solchen Vorfall auch nicht als KRITIS an das BSI", sagt Manuel Atug, Gründer und Sprecher der unabhängigen AG Kritis.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(mack)