DNEWS24 Demografie News

Die Tücken der elektronischen Patientenakte - Versuchskaninchen Kassenpatient

Neben der fragwürdigen Krankenhausreform bzw. Krankenhausschließungen zur Kosteneinsparung im Gesundheitswesen, hat Gesundheitsminister Lauterbach Ende 2024 schnell noch ein weiteres „Ampel-Ei“ gelegt, denn obwohl die elektronische Patientenakte (ePA) 3.0 noch völlig unausgereift ist, soll sie ab Januar 2025 für alle Kassenpatienten zwangseingeführt werden. Besonders betroffen dürften dabei viele ältere und mittellose Menschen sein, die weder ein Smartphone besitzen, noch Zugang zu elektronischen Medien samt ausreichenden Computerwissen und Kenntnis eines Widerspruchsrechts haben.

WikiPetra – Reportagen, Hintergrund-Recherchen, Kommentare von Petra Fritz in DNEWS24

Hauptkritikpunkte sind der mangelnde Einfluß des Patienten, was in die Akte eingestellt wird. Darüber hinaus die fehlende Kontrolle und Nutzung seiner Daten sowie ein weitgehender Vertraulichkeitsverlust.

Was hat es mit der Elektronischen Patientenakte auf sich?

Die ePA ist eine Art zentraler Onlinespeicher in der Cloud (Cyberangriffe und Datenlecks lassen grüßen), in dem Ärzte, Apotheker und Krankenhäuser ihre Diagnosen, Medikations- und Behandlungspläne speichern und untereinander austauschen können. Die Patienten können die Daten nur über eine Smartphone-App verwalten und festlegen, welche Dateien sichtbar sein sollen und welche nicht. Wer kein (passendes) Smartphone zur App-Anwendung hat, kann sich laut § 342a SGB V an sog. „Ombudsstellen“ bei den Krankenkassen wenden. Viele Details der Einrichtung und Handhabung der ePA sind bisher jedoch noch unklar und eher wohlklingende Theorie.

Die ePA soll nämlich nicht nur den Datenaustausch zwischen Ärzten und Apothekern vereinfachen. Vielmehr sollen sich auch Forscher, Pharmaunternehmen und Versicherungen aus dem Datenpool bedienen dürfen, um neue Medikamente und Behandlungspläne zu entwickeln, etc. Gemäß Lauterbach zeigen aber auch „Big Brother Plattformen“ wie Google und OpenAI Interesse an dem Megadaten-Projekt zur Fortentwicklung ihrer KIs. Aus Datenschutzgründen ein höchst fragwürdiger Aspekt, jedoch mit einem lukrativen Wert- und Verkaufspotential.

Bisher war die Teilnahme am Datenverkehr per ePA freiwillig und ca. eineinhalb Millionen Deutsche nutzen sie bereits. Ab dem 15. Januar 2025 sollen aber nun alle gesetzlich Versicherten eine ePA erhalten, sofern sie dem nicht bei ihrer Krankenkasse WIDERSPROCHEN haben. Private Krankenkassen können die ePA anbieten, sind dazu (bisher) aber nicht gesetzlich verpflichtet. Mit der Umstellung auf die neue ePA 3.0 hofft das Bundesministerium für Gesundheit (BMG), dass innerhalb eines Jahres 80 Prozent aller Deutschen ihre Gesundheitsdaten online speichern lassen.
Der von Lauterbach und seinem Ministerium kurzfristig angekündigte Start der „ePA für alle“ stößt jedoch nicht nur bei Datenschützern auf erhebliche Kritik. Insbesondere die kurze Testphase sowie die unklare und lückenhafte Kommunikation des BMG sorgt bei Ärzten und Softwareentwicklern für Unmut. Ärzteverbände bezeichnen das Vorgehen als unverantwortlich und fordern eine deutlich längere Testphase und Übergangszeit.

Alles, was das Bundesgesundheitsministerium tut, ist abwiegeln. Die Softwareunternehmen, Krankenhäuser, Ärzte und Apotheken seien bis zur flächendeckenden Einführung ja nicht gezwungen die Module gleich hoch zu fahren und könnten in der Erprobungsphase bis Mitte Februar 2025 ja noch parallel arbeiten. In den Ohren der ohnehin schon überlasteten Medizineinrichtungen dürfte das wenig trösten und schon fast zynisch klingen. Zu den Modellregionen gehören aktuell Arztpraxen in Franken, Nordrhein-Westfalen und Hamburg. Sie sollen einen Monat lang testen, wie gut sich Dateien wie Befundberichte, Laborergebnisse, Bildbefunde oder Krankenhausentlassungsbriefe in diversen Dateiformaten hochladen lassen. Der elektronische Impfausweis soll später folgen.

Diese kurze Zeitspanne dürfte kaum ausreichen, denn die Softwareentwickler kämpfen aktuell mit technisch instabilen Testsystemen, einer wenig transparenten Informationslage und unklaren (Format)Vorgaben zur Integration der ePA in bestehende Gesundheitssysteme. Die zuständige „Nationale Agentur für digitale Medizin“ (Gematik) habe bisher noch nicht einmal eine Zulassung für die ePA-Akten-Systeme von IBM und RISE erteilt, auf denen die Daten der Versicherten gespeichert werden sollen.

Versicherte können sich also nicht darauf verlassen, dass Ärzte später alle für sie relevanten Daten in der ePA finden und sollten dem Arzt wichtige Informationen aus ihrer Patientengeschichte weiterhin persönlich mitteilen. Also der ultimative, bewußt in Kauf genommene Streßtest auf Kosten von Patienten und Ärzteschaft!

Das Ende von Vertraulichkeit und Transparenz?

Mit dem Start der ePA 3.0 wurden wichtige bisherige Datenschutzfunktionen eingeschränkt. So konnten Patienten bisher den Zugriff auf ihre Daten auf drei Ebenen steuern; nämlich „frei“, „vertraulich“ und „streng vertraulich“. Künftig können Patienten nur noch wählen, ob eine Datei freigegeben oder gesperrt ist. Ärzte können für 90 Tage, nachdem der Patient seine Gesundheitskarte in ihr Praxisterminal gesteckt hat, auf alle nicht gesperrten Dateien zugreifen. Apotheken können alle freigegebenen Daten bis zu drei Tage nach dem Durchziehen der Gesundheitskarte einsehen. Sie können Befunde lesen und die Medikationsliste auch aktualisieren.

Protokolliert wird vorerst nur, welche Institutionen auf die Daten zugegriffen haben. Der Patient kann dabei nicht mehr einzelne Dateien nur für bestimmte Personen freigeben, sondern muss entscheiden, ob alle die Datei sehen können oder niemand. Bei besonders sensiblen Informationen, wie etwa zu psychischen Erkrankungen oder Schwangerschaftsabbrüchen muss der Arzt fragen, ob er die Daten in die ePA hochladen soll. Man darf gespannt sein, ob dies im alltäglichen Praxis- und Entscheidungsstreß tatsächlich alles stattfindet und die eventuellen Konsequenzen vom Patienten auch ad hoc verstanden werden.

ACHTUNG: Bisher auf mittlerer Ebene als „vertraulich“ eingestufte Dateien werden in der ePA 3.0 nicht mehr automatisch gesperrt, sondern freigegeben. Laut Gematik sind sie mit der neuen ePA für alle medizinischen Einrichtungen sichtbar, sofern die Versicherten das Dokument nicht ausdrücklich verbergen oder löschen lassen.
Patienten müssen daher beim Umstieg auf die ePA 3.0 selbst alle vertraulichen Dateien in ihrer ePA sperren, die Ärzte oder Apotheker nicht einsehen sollen. Das ist leichter gesagt, als getan, wie sich im Fortgang noch zeigen wird.

Aber nicht nur Befunde geben Auskunft über Krankheiten, sondern auch Medikamentenlisten und Abrechnungsdaten, was u.a. die Deutsche Aidshilfe kritisiert. Zudem können einzelne Informationen daraus nicht gelöscht oder verborgen werden. Das Chaos ist vorprogrammiert und viele Daten werden auf kurz oder lang ungewollt und ungefragt in die Öffentlichkeit bzw. zumindest in den zentralen Datenpool gelangen.

Gerade ältere Menschen, die statistisch häufiger krank sind als jüngere und für die der Umgang mit Smartphone, ePA-App und Sicherheitsfunktionen nicht selbstverständlich ist, dürften mit der Handhabung und Bewältigung massive Probleme haben. Auch hier wird seitens des BMG abgewiegelt: „Man müsse sich in der offiziellen ePA-App der Krankenkasse bei der ersten Anmeldung mit der elektronischen Gesundheitskarte oder dem Personalausweis und einer PIN doch nur authentifizieren. Danach könne man eine niedrigere Sicherheitsstufe wählen, sodass die App beispielsweise bereits per FaceID ohne Karte den Zugang zur ePA ermöglicht. Sollte es zu Störungen kommen, wird dies u.a. über einen WhatsApp-Kanal kommuniziert“. Äh, wie bitte? Schon für mich als regelmäßiger Digitalanwender ein schlechter Scherz, von Altersdiskriminierung ganz zu schweigen.

Sich vor ungewollter Datennutzung und ggf. -mißbrauch zu schützen, scheint – wenn überhaupt – nur schwer möglich. Künftig scheint es vielmehr gewollt, daß beispielsweise Erbkrankheiten und irreversible psychische/ physische Krankeninformationen die Runde machen und Statistiken füttern. Aber auch aus medizinischer Sicht ist die ePA nicht unbedingt von Vorteil, wie eine Umfrage bei Diabetologen zeigte: siehe Balkendiagramm.

Laut BMG sollen sich die ePA-Einträge aus insgesamt 400 medizinischen Registern und anderen Quellen speisen und 100 Jahre lang gespeichert werden. Wer also dachte, daß George Orwell in seinem Werk „In 1984“ (Bigbrother is watching you) übertrieben habe, wird gerade mal wieder eines Besseren belehrt.

Nicht nur seitens einiger Landesbeauftragten für Informationsfreiheit und-sicherheit hagelt es Kritik. Datenschutzbeauftragte raten den Patienten, die ihre Gesundheitsdaten nicht einem unausgereiften und fragwürdigen System anvertrauen wollen, bis auf Weiteres bei ihrer Krankenkasse zu widersprechen. Bisher haben dies nach Angaben der Kassen nur weniger als ein Prozent der Versicherten getan. Über die verschiedenen Möglichkeiten des Widerspruchs informiert u.a. auch die Kassenärztliche Bundesvereinigung KBV.

Wie kann man sein Selbstbestimmungsrecht weiterhin wahrnehmen, wie sieht die gesetzliche Regelung aus?

Krankenversicherungen klären nicht oder nur wenig über das Procedere der Dateneingabe, Dateneinsichtnahme und -weitergabe auf und informieren schon gar nicht über die Möglichkeit des besagten Widerspruchsverfahrens. Denn anders als in der Werbekampagne des Bundesgesundheitsministeriums suggeriert, behalten die Patienten NICHT die volle Kontrolle über ihre Daten.

Anders als üblich, hat man (Lauterbach) bewußt darauf verzichtet, die notwendige Einwilligung der Versicherten vorab einzuholen und das Eingliederungsverfahren kurzerhand gesetzlich umgekehrt. D.h., wer das Führen seiner ePA nicht möchte, muß ausdrücklich widersprechen. Fraglich, wie lange ein Widerspruch überhaupt möglich ist.

Ärzte und Krankenhäuser sind heute schon verpflichtet, bestimmte Daten, wie Befunde, Arztbriefe und Informationen zur Verschreibung von Medikamenten, in der ePA zu speichern. Auch Abrechnungsdaten der Krankenkassen landen automatisch in der ePA. Versicherte können ihre ePA
auch selbst mit Dateien befüllen. Die behandelnden Ärzte erhalten dabei standardmäßig Zugriff auf alle Inhalte der ePA ihrer gesetzlich versicherten Patienten. Eine Einwilligung der Patienten ist nicht erforderlich. Sobald die elektronische Gesundheitskarte in der Praxis eingelesen wird, erhalten
die behandelnden Ärzte für 90 Tage uneingeschränkten Zugriff.

ACHTUNG: Ab Mitte 2025 können die in der ePA gespeicherten Daten ohne Einwilligung der Versicherten auch an ein Forschungsdatenzentrum übertragen werden, von wo aus sie „pseudonymisiert“ für die Forschung abgerufen werden können.

Die ePA für alle ist im „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ (DigiG) geregelt. Dort ist auch festgelegt, dass Versicherte der Anlage einer ePA widersprechen können. Dieser Widerspruch ist jederzeit und ohne Angabe von Gründen möglich. Auch nach dem
Anlegen der ePA ist ein Widerspruch noch möglich. Kinder ab 15 Jahren müssen selbst widersprechen, obwohl sie noch nicht volljährig sind und wohl kaum die Konsequenzen ermessen können.

Laut DigiG sollen Patienten, die der ePA widersprechen, nicht benachteiligt werden. Allein diese Anmerkung läßt aufhorchen. Ein Widerspruch sei nicht nur für die gesamte ePA, sondern über die Nutzeroberfläche der elektronischen Patientenakte auch für einzelne Dokumente möglich. Versicherte können den Zugriff auf ihre ePA beenden. Über die Ombudsstelle bei den Krankenkassen oder in der ePA-App lässt sich der Zugriff verweigern. Außerdem können Dokumente verborgen werden. Mit anderen Worten wird es gerade für erkrankte Menschen zur täglichen Mammutaufgabe, dies alles zu kontrollieren. Clever eingerichtet, denn auf kurz oder lang wird ein Großteil der Versicherten von vornherein „das Handtuch werfen“ und den Dingen zähneknirschend ihren Lauf lassen.

Dem Anlegen einer elektronischen Patientenakte kann in verschiedener Weise widersprochen werden. Man kann dazu in einer Filiale Ihrer Krankenkasse vorsprechen oder den Widerspruchsantrag auf dem Postweg versenden. Die verschiedenen Krankenkassen müssen den Widerspruch also niedrigschwellig ermöglichen.
Bei einigen Kassen kann man auch digital widersprechen, etwa über die Service-App der betreffenden Kasse (auf jeden Fall einen Nachweis anfertigen bzw. eine Eingangsbestätigung anfordern). Ein Teil der Krankenkassen verschickt per Brief ein Einmal-Kennwort für den Widerspruch gegen die gesamte Patientenakte, das teils nur bis 28.02.25 gültig ist. Einzelne Krankenkassen geben an, den Widerspruch noch nicht in ihren Systemen speichern zu können. Das sollte man nicht hinnehmen und den Widerspruch schriftlich niederlegen.

ACHTUNG: Wer sich nicht grundsätzlich gegen eine ePA entscheidet und dem nicht egal ist, welche Daten in der ePA und perspektivisch in den Europäischen Gesundheitsdatenraum gelangen, sollte aufpassen. Geplant ist, dass neben der Medikationsliste und den E-Rezept-Daten auch die Abrechnungsdaten automatisch in die Patientenakte gelangen und für alle behandelnde Ärzte sichtbar sind. Dagegen ist es ebenfalls möglich, Widerspruch einzulegen! Darüber hinaus können Versicherte auch der Datenauswertung der Krankenkassen zum Aussprechen von Empfehlungen widersprechen, die mit dem Gesundheitsdatennutzungsgesetz möglich wurde. Dieser Widerspruch muß wie der der gesamten ePA ebenfalls direkt bei den Krankenkassen erfolgen. Dem Eintragen von besonders sensiblen Daten können Patienten per „Opt-Out“ m.W. auch direkt beim Arzt widersprechen. Nur selten bieten Krankenkassen bereits den Widerspruch gegen die Weitergabe von Daten an das Forschungsdatenzentrum für Gesundheit an. Es dürfte Jahre dauern, bis in diese wirren Strukturen eine sinnvolle, vertretbare und vor allem vertrauenswürdige Ordnung kommt.

Status der Privaten Versicherer

Private Krankenversicherungen müssen die ePA (bisher) nicht anbieten. Bei den privaten Krankenversicherungen entscheidet jedes Unternehmen individuell, ob es seinen Versicherten eine ePA anbietet. Erste Unternehmen seien bereits im letzten Jahr mit GesundheitsID, E-Rezept und elektronischer Patientenakte gestartet, so der Sprecher des Verbands der privaten Krankenversicherungen. Ab Anfang 2025 werden die meisten Privatversicherten eine ePA nutzen können, sie sind jedoch nicht dazu verpflichtet. Bei Privatversicherten ist (nach aktuellem Stand) im Gegensatz zu den gesetzlich Versicherten, keine Datenweitergabe an das „Forschungsdatenzentrum Gesundheit“ vorgesehen, weil es dazu bisher keine gesetzliche Grundlage gibt. Ein interessanter Aspekt, der das Messen mit Zweierlei Maß ggü. den gesetzlich Versicherten verdeutlicht.

Ob dieser unsicheren Datenlage will der noch amtierende Bundesdatenschutzbeauftragte, Ulrich Kelber, den Sicherheitsaspekt verstärkt prüfen und hatte in einem Schreiben an die Krankenkassen ausdrücklich vor der Herabsenkung des Sicherheitsniveaus gewarnt und entsprechende Hinweise gegeben. Nach einem Beschluss der Datenschutzkonferenz sollten Versicherte nämlich kein niedrigeres Vertrauensniveau zur Authentifizierung wählen können. Aus Artikel 32 DSGVO ergebe sich laut Kelber das Erfordernis, den Zugriff auf Gesundheitsdaten in der Telematik-Infrastruktur so abzusichern, dass dieser erst möglich ist, nachdem eine Authentifizierung mit dem Vertrauensniveau ‚hoch‘ stattgefunden hat. Warum also im vorauseilenden Gehorsam höchst sensible persönliche Daten heute schon preisgeben?

Ernüchterndes Fazit

Ich selbst bin seit Jahren privat versichert, gesetzlich versicherte Bekannte berichten jedoch schon länger über Praxispannen (wie etwa unvollständige und falsche Einträge, Systemabstürze, Zugriffsdefizite etc.) und fragwürdige Methoden der Datenübermittlungen. Einer davon ist selbst Mediziner und im Umgang mit digitalen Medien höchst versiert. Obwohl er seinerzeit einer der ersten und von der Idee der digitalen Patientenakte begeistert war, steht er dem aktuellen Konstrukt inzwischen enttäuscht und höchst skeptisch gegenüber und rät zum Widerspruch.

Insbesondere führt er dafür an:

  • dass man als (mündiger) Patient keinen Einfluss darauf habe, was in die ePA eingestellt wird und was nicht,
  • dass keine Möglichkeit bestehe, selbst eigene relevante Krankendaten als elektronische Datei (pdf) einzufügen und ggf. Korrekturen anzubringen,
  • dass nur bei wenigen ausgewählten Krankenkassen ein Web-Interface eingerichtet werde, das es ermögliche, die Daten in Ruhe am PC zu lesen und auf Fehler zu kontrollieren; die Nutzung stattdessen immer an ein Mobil-/ Smartphone gebunden sei,
  • dass die Einflussnahme darauf, welche der in der ePA vorhandenen Daten/ Berichte mit einer bestimmten Vertraulichkeitsstufe versehen werden, äußerst kompliziert und unübersichtlich sei,
  • dass jeder Mitarbeiter (bis zum Praktikanten) irgendeiner Apotheke schlussendlich sämtliche Krankenverläufe und Therapiepläne einsehen könne … ETC.

Was zur Verbesserung der digitalen Strukturen gedacht war, droht – aus meiner Sicht erwartungsgemäß – zum Fiasko für (sensible) persönliche Daten zu werden. Generell ist der digitale Fortschritt in der Medizin zu begrüßen. Die ePA könnte jedoch dazu führen, dass die (gesetzlich) Versicherten zum gläsernen Patienten werden, dessen Gesundheitsdaten leichter zugänglich und potenziell gefährdeter sind. Umstände die allgemeinhin leichtfertig als „Kollateralschaden“ bezeichnet werden, bis das System „geheilt“ ist. Die Herausforderungen und Risiken sind jedenfalls noch beträchtlich, und es ist wichtig, dass jeder sorgfältig abwägt, ob die frühzeitige Nutzung einer ePA persönlich mehr Vor- oder Nachteile bringt.

Bild: Online-Marketing unsplash, PFritz © DNEWS24

Die Autorin

Petra Fritz

Die Autorin ist von Beruf Dipl-Kfm (Uni Mannheim), Jahrgang 1960, verheiratet, wohnhaft in Speyer und Locarno. Sie war 4 Jahre Personalleiterin bei den US-Streitkräften (AAFES) in Stuttgart und Heidelberg und in Folge 12 Jahre im Pharma-Management von BASF (Auslandsvertrieb) tätig, davon 18 Monate bei der Tochtergesellschaft Quimica Knoll in Mexico.

Von 2002 bis 2022 war Petra Fritz selbständige rechtliche Berufsbetreuerin (Vormund) und Verfahrenspflegerin für verschiedene Amtsgerichte in der Vorderpfalz. Seitdem widmet sie sich verstärkt ihrer Coaching- und Autorentätigkeit.

Privat war Petra Fritz Leistungssportlerin im Eis- und Rollkunstlauf (u.a. Teilnehmerin bei der Profi-WM 1978 und Top 10 1979), später 14 Jahre lang Vize-Präsidentin des Rheinland-pfälzischen Eis- und Rollsportverbandes sowie Repräsentantin „Frau im Sport“. Heute ist sie in der Freizeit gerne auf dem Wasser und auf Ski unterwegs. Ansonsten agiert sie seit 2012 auch als semi-professional Bestager-Model, Darstellerin, Moderatorin und Bloggerin für „Topagemodel.de“.

Petra Fritz hat das Buch „Mittendrin statt nur dabei“ veröffentlicht.

Sie können diesen Beitrag einfach teilen, benutzen Sie diese Buttons.