Gerade ältere Menschen, die statistisch häufiger krank sind als jüngere und für die der Umgang mit Smartphone, ePA-App und Sicherheitsfunktionen nicht selbstverständlich ist, dürften mit der Handhabung und Bewältigung massive Probleme haben. Auch hier wird seitens des BMG abgewiegelt: „Man müsse sich in der offiziellen ePA-App der Krankenkasse bei der ersten Anmeldung mit der elektronischen Gesundheitskarte oder dem Personalausweis und einer PIN doch nur authentifizieren. Danach könne man eine niedrigere Sicherheitsstufe wählen, sodass die App beispielsweise bereits per FaceID ohne Karte den Zugang zur ePA ermöglicht. Sollte es zu Störungen kommen, wird dies u.a. über einen WhatsApp-Kanal kommuniziert“. Äh, wie bitte? Schon für mich als regelmäßiger Digitalanwender ein schlechter Scherz, von Altersdiskriminierung ganz zu schweigen.
Sich vor ungewollter Datennutzung und ggf. -mißbrauch zu schützen, scheint – wenn überhaupt – nur schwer möglich. Künftig scheint es vielmehr gewollt, daß beispielsweise Erbkrankheiten und irreversible psychische/ physische Krankeninformationen die Runde machen und Statistiken füttern. Aber auch aus medizinischer Sicht ist die ePA nicht unbedingt von Vorteil, wie eine Umfrage bei Diabetologen zeigte: siehe Balkendiagramm.
Laut BMG sollen sich die ePA-Einträge aus insgesamt 400 medizinischen Registern und anderen Quellen speisen und 100 Jahre lang gespeichert werden. Wer also dachte, daß George Orwell in seinem Werk „In 1984“ (Bigbrother is watching you) übertrieben habe, wird gerade mal wieder eines Besseren belehrt.
Nicht nur seitens einiger Landesbeauftragten für Informationsfreiheit und-sicherheit hagelt es Kritik. Datenschutzbeauftragte raten den Patienten, die ihre Gesundheitsdaten nicht einem unausgereiften und fragwürdigen System anvertrauen wollen, bis auf Weiteres bei ihrer Krankenkasse zu widersprechen. Bisher haben dies nach Angaben der Kassen nur weniger als ein Prozent der Versicherten getan. Über die verschiedenen Möglichkeiten des Widerspruchs informiert u.a. auch die Kassenärztliche Bundesvereinigung KBV.
Wie kann man sein Selbstbestimmungsrecht weiterhin wahrnehmen, wie sieht die gesetzliche Regelung aus?
Krankenversicherungen klären nicht oder nur wenig über das Procedere der Dateneingabe, Dateneinsichtnahme und -weitergabe auf und informieren schon gar nicht über die Möglichkeit des besagten Widerspruchsverfahrens. Denn anders als in der Werbekampagne des Bundesgesundheitsministeriums suggeriert, behalten die Patienten NICHT die volle Kontrolle über ihre Daten.
Anders als üblich, hat man (Lauterbach) bewußt darauf verzichtet, die notwendige Einwilligung der Versicherten vorab einzuholen und das Eingliederungsverfahren kurzerhand gesetzlich umgekehrt. D.h., wer das Führen seiner ePA nicht möchte, muß ausdrücklich widersprechen. Fraglich, wie lange ein Widerspruch überhaupt möglich ist.
Ärzte und Krankenhäuser sind heute schon verpflichtet, bestimmte Daten, wie Befunde, Arztbriefe und Informationen zur Verschreibung von Medikamenten, in der ePA zu speichern. Auch Abrechnungsdaten der Krankenkassen landen automatisch in der ePA. Versicherte können ihre ePA
auch selbst mit Dateien befüllen. Die behandelnden Ärzte erhalten dabei standardmäßig Zugriff auf alle Inhalte der ePA ihrer gesetzlich versicherten Patienten. Eine Einwilligung der Patienten ist nicht erforderlich. Sobald die elektronische Gesundheitskarte in der Praxis eingelesen wird, erhalten
die behandelnden Ärzte für 90 Tage uneingeschränkten Zugriff.
ACHTUNG: Ab Mitte 2025 können die in der ePA gespeicherten Daten ohne Einwilligung der Versicherten auch an ein Forschungsdatenzentrum übertragen werden, von wo aus sie „pseudonymisiert“ für die Forschung abgerufen werden können.
Die ePA für alle ist im „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ (DigiG) geregelt. Dort ist auch festgelegt, dass Versicherte der Anlage einer ePA widersprechen können. Dieser Widerspruch ist jederzeit und ohne Angabe von Gründen möglich. Auch nach dem
Anlegen der ePA ist ein Widerspruch noch möglich. Kinder ab 15 Jahren müssen selbst widersprechen, obwohl sie noch nicht volljährig sind und wohl kaum die Konsequenzen ermessen können.
Laut DigiG sollen Patienten, die der ePA widersprechen, nicht benachteiligt werden. Allein diese Anmerkung läßt aufhorchen. Ein Widerspruch sei nicht nur für die gesamte ePA, sondern über die Nutzeroberfläche der elektronischen Patientenakte auch für einzelne Dokumente möglich. Versicherte können den Zugriff auf ihre ePA beenden. Über die Ombudsstelle bei den Krankenkassen oder in der ePA-App lässt sich der Zugriff verweigern. Außerdem können Dokumente verborgen werden. Mit anderen Worten wird es gerade für erkrankte Menschen zur täglichen Mammutaufgabe, dies alles zu kontrollieren. Clever eingerichtet, denn auf kurz oder lang wird ein Großteil der Versicherten von vornherein „das Handtuch werfen“ und den Dingen zähneknirschend ihren Lauf lassen.
Dem Anlegen einer elektronischen Patientenakte kann in verschiedener Weise widersprochen werden. Man kann dazu in einer Filiale Ihrer Krankenkasse vorsprechen oder den Widerspruchsantrag auf dem Postweg versenden. Die verschiedenen Krankenkassen müssen den Widerspruch also niedrigschwellig ermöglichen.
Bei einigen Kassen kann man auch digital widersprechen, etwa über die Service-App der betreffenden Kasse (auf jeden Fall einen Nachweis anfertigen bzw. eine Eingangsbestätigung anfordern). Ein Teil der Krankenkassen verschickt per Brief ein Einmal-Kennwort für den Widerspruch gegen die gesamte Patientenakte, das teils nur bis 28.02.25 gültig ist. Einzelne Krankenkassen geben an, den Widerspruch noch nicht in ihren Systemen speichern zu können. Das sollte man nicht hinnehmen und den Widerspruch schriftlich niederlegen.
ACHTUNG: Wer sich nicht grundsätzlich gegen eine ePA entscheidet und dem nicht egal ist, welche Daten in der ePA und perspektivisch in den Europäischen Gesundheitsdatenraum gelangen, sollte aufpassen. Geplant ist, dass neben der Medikationsliste und den E-Rezept-Daten auch die Abrechnungsdaten automatisch in die Patientenakte gelangen und für alle behandelnde Ärzte sichtbar sind. Dagegen ist es ebenfalls möglich, Widerspruch einzulegen! Darüber hinaus können Versicherte auch der Datenauswertung der Krankenkassen zum Aussprechen von Empfehlungen widersprechen, die mit dem Gesundheitsdatennutzungsgesetz möglich wurde. Dieser Widerspruch muß wie der der gesamten ePA ebenfalls direkt bei den Krankenkassen erfolgen. Dem Eintragen von besonders sensiblen Daten können Patienten per „Opt-Out“ m.W. auch direkt beim Arzt widersprechen. Nur selten bieten Krankenkassen bereits den Widerspruch gegen die Weitergabe von Daten an das Forschungsdatenzentrum für Gesundheit an. Es dürfte Jahre dauern, bis in diese wirren Strukturen eine sinnvolle, vertretbare und vor allem vertrauenswürdige Ordnung kommt.
Status der Privaten Versicherer
Private Krankenversicherungen müssen die ePA (bisher) nicht anbieten. Bei den privaten Krankenversicherungen entscheidet jedes Unternehmen individuell, ob es seinen Versicherten eine ePA anbietet. Erste Unternehmen seien bereits im letzten Jahr mit GesundheitsID, E-Rezept und elektronischer Patientenakte gestartet, so der Sprecher des Verbands der privaten Krankenversicherungen. Ab Anfang 2025 werden die meisten Privatversicherten eine ePA nutzen können, sie sind jedoch nicht dazu verpflichtet. Bei Privatversicherten ist (nach aktuellem Stand) im Gegensatz zu den gesetzlich Versicherten, keine Datenweitergabe an das „Forschungsdatenzentrum Gesundheit“ vorgesehen, weil es dazu bisher keine gesetzliche Grundlage gibt. Ein interessanter Aspekt, der das Messen mit Zweierlei Maß ggü. den gesetzlich Versicherten verdeutlicht.
Ob dieser unsicheren Datenlage will der noch amtierende Bundesdatenschutzbeauftragte, Ulrich Kelber, den Sicherheitsaspekt verstärkt prüfen und hatte in einem Schreiben an die Krankenkassen ausdrücklich vor der Herabsenkung des Sicherheitsniveaus gewarnt und entsprechende Hinweise gegeben. Nach einem Beschluss der Datenschutzkonferenz sollten Versicherte nämlich kein niedrigeres Vertrauensniveau zur Authentifizierung wählen können. Aus Artikel 32 DSGVO ergebe sich laut Kelber das Erfordernis, den Zugriff auf Gesundheitsdaten in der Telematik-Infrastruktur so abzusichern, dass dieser erst möglich ist, nachdem eine Authentifizierung mit dem Vertrauensniveau ‚hoch‘ stattgefunden hat. Warum also im vorauseilenden Gehorsam höchst sensible persönliche Daten heute schon preisgeben?