Die AG Gesundheit und Pflege der Piratenpartei hat einige Kritikpunkte zur ePa (Elektronische Patientenakte) diskutiert. Wir sagen klar: Herr Lauterbach, Sie haben noch eine Menge Arbeit vor sich. Wir beleuchten kritisch, wie mit der ePa und damit mit der älteren Bevölkerungsgruppe, den Arztpraxen und Ärzt:innen, sowie der benötigten Technik umgegangen wird.
Das Internet im Alter
Allgemein gibt es ein großes Defizit in der Informationsbeschaffung zur ePa für Ü-70 jährige. Laut Statista benutzen 37% weder Smartphone, noch andere Smartgeräte [1]. Auch wenn der Anteil der „Silver Surfer“ zuletzt gewachsen ist, muss davon ausgegangen werden, dass der Mensch das Internet mit steigendem Alter weniger nutzt. Gerade deshalb fordern wir schon länger einen Wandel in der Altenbildung (Geragogik), um auch den älteren Menschen mediale Teilhabe zu ermöglichen.
Das Bundesministerium für Gesundheit lässt verlauten, dass seit dem 1. Januar 2021 Krankenkassen ihren Versicherten eine App anbieten, mit welcher diese Zugang zur ePA erlangen [2]. Aber wie soll dies für „Nichtnutzer“ moderner Medien funktionieren? Das wirft große Fragen auf. Auch bei unserer Recherche zur ePA sind wir darauf gestoßen, dass trotz digitaler Einbindung der ePA schriftlich bei der eigenen Krankenkasse widersprochen werden muss. Hier informiert das Bundesgesundheitsministerium nicht genug und klärt Bürgerinnen und Bürger nicht auf.
Hier ein Beispiel eines Musterwiderrufs, den Sie mittels Briefpost per Einschreiben an ihre Krankenkasse schicken können:
„Hiermit widerspreche ich dem Anlegen einer elektronischen Patientenakte zu meiner Person. Eine eventuell bereits angelegte elektronische Patientenakte bitte ich zu löschen.“
Auch können Sie sich entweder beim gesetzlichen Krankenkassenverbund oder der Verbraucherschutzzentrale Unterstützung im Umgang mit der ePA suchen.
Technik in den Arztpraxen
Damit die Technik in den Arztpraxen funktioniert, müssen sich diese einen durch die GEMATIK zertifizierten VPN-Router anschaffen. Technisch wird die ePA durch das „sichere Netz der Kassenärztlichen Vereinigungen“, dem KVSafenet, umgesetzt.
Wie funktioniert das und was ist das?
„Einfach“ formuliert werden durch das Einsetzen eines „Hardware VPNs“ die Praxisverwaltungssoftware (PVS) von Arztpraxen, Apotheken und Krankenhäusern an ein Serverbackbone angebunden. Hierfür wird der durch die GEMATIK zugelassene VPN-Router in der Praxis installiert, welcher mit seinem Gegenstück einen VPN-Tunnel aufbaut, mit dem das PVS mit dem Serverbackbone kommuniziert. Also etwas, das viele von Ihnen spätestens nach dem HomeOffice in der Pandemie kennenlernen durften, mit dem einen entschiedenen Unterschied, dass dies nicht durch eine Software auf ihrem Computer, sondern durch einen speziell eingerichteten Router geschieht.
Die Praxisverwaltungssoftware synchronisiert die Behandlungen und Diagnosen der Arztpraxen und steht bei Bedarf allen Arztpraxen als medizinische Dokumentation zur Verfügung. Sinn dabei ist es, die Anamnese zu vervollständigen, um durch Vorerkrankungen, Vormedikationen oder Allergien bedingte Fehlbehandlungen zu vermeiden.
Diese Methode entspricht den Sicherheitsstandards und bietet eine einfache, vom vor Ort eingesetztem System unabhängige Wartung, leidet dabei jedoch unter mehreren Faktoren. Eine solches „Hardware VPN“ ließe sich problemlos auf jedem geeigneten VPN-Router einrichten, sofern die Zugangsdaten und Zertifikate ausgetauscht werden würden. Stattdessen werden speziell durch die GEMATIK passende VPN-Router genehmigt und zugelassen. Dies schränkt die Auswahl und damit den Gebrauch möglicher Systeme stark ein. Es gibt mit Secunet und KoCo lediglich zwei deutsche Anbieter, sowie mit RISE einen theoretischen dritten Anbieter solcher Systeme aus Österreich. Diese wenigen Anbieter müssen damit sämtliche Installationen und Wartungen, in Anwesenheit der Hersteller des PVS, vor Ort für alle Teilnehmenden der Infrastruktur leisten. Gerade dort, wo wenig Angebot auf große Nachfrage trifft, beispielsweise beim Austauschen alter Modelle, ist mit hohen Preisen zu rechnen.
Auch die Umsetzung der Wartung stellt ein Problem dar. Hier setzt man im Prinzip auf „Security by Obscurity“ – was bedeutet, dass niemand die exakte Funktionsweise genau kennt, was dafür sorgt, dass der teure Komplettaustausch oft die einzige Wartungsoption bleibt.
Telematikinfrastruktur (TI) und GEMATIK
Die ePA ist ein zentraler Dienst der TI [3]. Sie stellt zur Zeit lediglich die „Opt-In“ Version zur Verfügung. Hier müssen Kontakte erfragt werden, ob diese der Nutzung von ihren Gesundheitsdaten zustimmen [4]. Zur Zeit wird jedoch an einer „Opt-Out“ Funktion gearbeitet, das heisst jeder muss selbst widersprechen, sonst werden die eigenen Daten weitergegeben [5]. Laut einer Meinungsumfrage von Ipsos [6] will die Mehrheit der deutschen Bürger:innen ausdrücklich um Einwilligung gefragt werden, bevor Ärzt:innen oder Forscher:innen Zugriff auf ihre Patientenakten und -daten erhalten. Die geplante OptOut-Methode ist nicht der richtige Weg.
Durch die digitale Anwendung haben Millionen Versicherte Aussicht auf eine verbesserte medizinische Versorgung. Dass dabei die Zukunft des Gesundheitswesens und deren Infrastruktur ausgebaut werden muss, steht dabei natürlich außer Frage.
Der Zugang zur ePA lässt sich prinzipiell durch jeden einzelnen Patienten anpassen. Die Nutzung der ePA-App ist für Versicherte kostenlos und freiwillig. Nutzerinnen und Nutzer entscheiden dabei selbst, welche Praxis, welche Apotheke oder welches Krankenhaus auf welche Gesundheitsdaten wie lange zugreifen darf. Krankenkassen werden dabei weiterhin keinen Zugriff haben. So ist die Datenhoheit des Versicherten weiterhin gewährleistet.
Sandra Leurs, themenpolitische Sprecherin für Gesundheit und Pflege der Piratenpartei Deutschland, berichtet:
„Wir haben herausgefunden, dass die Gesundheitswirtschaft, die Versicherungswirtschaft, sowie die Industrie und Handel auf jede elektronische Patientenakte Zugriff haben könnten. Daher müssen wir davon ausgehen, dass die Datensicherheit der ePA noch nicht gegeben ist.“
Diese Erkenntnis unserer themenpolitischen Sprecherin teilen auch der Chaos Computer Club (CCC) [7] , sowie Heise Online [8] [9].
Digitalisierung der Arztpraxen
Nach §341 Abs. 6 SGB V müssen Arzt- und Psychotherapiepraxen seit dem 1.7.2021 in der Lage sein, die ePA zu nutzen. Der Gesetzgeber sieht Honorarkürzungen von 1% vor, wenn sich die Praxen weigern, die ePA zu nutzen [10]. Für den Zugriff auf die ePA ist dabei der Anschluss der Praxis an der TI zwingend.
Was sagen die Ärzt:innen?
„Gesundheitsdaten sind die sensibelsten Daten, die ein Mensch überhaupt hat.“ [11] Aus der freien Ärzteschaft wurde die Einführung der ePA daher scharf kritisiert. Diese halten eine dezentrale Speicherung der Gesundheitsdaten für sinnvoller. Die freie Ärzteschaft sagte aus, dass Patientendaten weitaus sensibler als Bankdaten seien und daher ein Leben lang geschützt werden müssen. Der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber rügt zudem die Krankenkassen, dass das feingranulare Zugriffsmanagment definitiv überarbeitungswürdig ist.
Seit 2022 können Versicherte die Zugriffsberechtigung auf spezielle Dokumente und Datensätze auch beschränken. Bis dahin konnte der/die Augenarzt:in einsehen, was der/die Psychotherapeut:in oder der/die Internist:in die Datenbank des Patienten eingetragen hatten. Für die Versicherten ohne geeignetes Endgerät (Tablet, Smartphone) ist die Erteilung einer Zugriffsberechtigung nur auf einzelne Kategorien und Dokumente möglich.
Hier ist auch die Rede von mittelgranularem Zugriffsmanagement, welches nach Prof. Kelber klar gegen den Artikel 25 und 32 der DSGVO verstößt.
Angesichts der vielen Meldungen über Hacks und Leaks ist insgesamt dazu zu raten, den jetzigen Entwurf noch einmal gründlich zu überarbeiten. Patient:innen dürfen nicht auf notwendige Maßnahmen verzichten, nur weil sie das Gefühl haben, sich nicht mehr auf die Vertraulichkeit ihrer Therapie verlassen zu können.
Wir PIRATEN haben uns immer dafür stark gemacht, den verantwortungsvollen Umgang mit Meldedaten sicherzustellen [13] und den Datenhandel einzudämmen, denn Persönlichkeitsrechte müssen über den privatwirtschaftlichen Interessen von Unternehmen stehen. Dies gilt ganz besonders bei Gesundheitsdaten.
Quellen:
[1] https://de.statista.com/statistik/daten/studie/459963/umfrage/anteil-der-smartphone-nutzer-in-deutschland-nach-altersgruppe/
[2] https://www.gkv-spitzenverband.de/krankenversicherung/digitalisierung/epa/epa_liste/epa_liste.jsp
[3] https://www.kbv.de/html/epa.php
[4] https://www.verbraucherzentrale.de/wissen/gesundheit-pflege/krankenversicherung/elektronische-patientenakte-epa-gestartet-57223
[5] https://www.gematik.de/anwendungen/e-patientenakte
[6] https://www.patrick-breyer.de/wp-content/uploads/2023/03/Ipsos-survey-extract-European-Health-Data-Space.pdf
[7] https://www.ccc.de/de/elektronische-gesundheitskarte
[8] https://www.heise.de/news/Patientenakte-Toxische-elektronische-Zugriffe-auf-die-Identitaet-des-Menschen-7365640.html
[9] https://www.heise.de/hintergrund/Missing-Link-Ausverkauf-der-Gesundheitsdaten-im-Namen-der-Forschung-8002830.html?seite=3
[10] https://dip.medatixx.de/e-health/elektronische-patientenakte
[11] https://www.deutschlandfunk.de/elektronische-patientenakte-die-sensibelsten-daten-die-man-100.html
[12] https://www.datenschutzdigital.de/ce/neue-elektronische-patientenakte-in-der-kritik-der-datenschuetzer-und-das-dilemma-fuer-krankenkassen-und-aerzte/detail.html
[13] https://wiki.piratenpartei.de/Bundestagswahl_2021/Wahlprogramm#Verantwortungsvollen_Umgang_mit_Meldedaten_sicherstellen.2C_Datenhandel_eind.C3.A4mmen