Welche Gefahren birgt die elektronische Patientenakte? – Ab 2025 sollen Krankenkassen für jeden Patienten eine elektronische Akte anlegen. Unser Autor kritisiert das und fürchtet Datenmissbrauch.
Bislang sehen offenbar nur wenige Patienten einen Nutzen darin, ihre Gesundheits- und Behandlungsdaten zentral auf einem Server in einer elektronischen Patientenakte speichern zu lassen. Zwei Jahre nach Einführung der elektronischen Patientenakten haben sich bis Ende Januar 2023 nur 595.000 Versicherte dafür entschieden – das entspricht unter einem Prozent aller Versicherten.
Aus Sicht der Bundesregierung reicht das nicht aus, um einen möglichst vollständigen Datensatz mit Gesundheitsdaten der Versicherten zu erstellen und diesen Institutionen aus öffentlicher und kommerzieller Forschung zur Auswertung zur Verfügung stellen zu können.
Deshalb plant die Bundesregierung, das Prinzip umzukehren, sodass für alle Versicherten, die nicht ausdrücklich widersprechen, eine elektronischen Patientenakte angelegt wird.
Das Portal Netzpolitik veröffentlichte Ende Juni die Referentenentwürfe des Bundesgesundheitsministeriums zum Digitalgesetz und zum Gesundheitsdatennutzungsgesetz. Gemäß Entwurf des Digitalgesetzes wären ab Januar 2025 die gesetzlichen Krankenversicherungen dazu verpflichtet, elektronische Patientenakten (ePA) für alle Versicherten anzulegen, die dem nicht ausdrücklich widersprochen haben (eine sogenannte Opt-Out-Regelung).
Gleichzeitig sollen gemäß dem Gesetzentwurf Ärzte, Psychotherapeuten und andere Leistungserbringer des Gesundheitssystems dazu verpflichtet werden, ihre Behandlungsdaten auf die Server der Anbieter von elektronischen Patientenakten zu übertragen.
Keine Kontrolle über den Verbleib der Daten
Der Entwurf verpflichtet Ärzte und Psychotherapeuten ausdrücklich, Daten zu HIV-Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen in die ePA zu übermitteln. Bei diesen besonders sensiblen Daten soll es jedoch (im Gegensatz zur Übermittlung anderer Behandlungsdaten) eine Hinweispflicht des Behandlers auf die Widerspruchsrechte des Patienten geben.
Das Grundkonzept einer Speichermöglichkeit digitalisierter Dokumente für Patienten, um ihren unterschiedlichen Fachärzten einen einfachen und zeitnahen Zugriff auf Vorbefunde von Kollegen zu ermöglichen, wenn dies der Patient befürwortet, kann durchaus sinnvoll sein.
Entgegen früheren Vorschlägen werden die elektronischen Patientenakten jedoch nicht auf den Versichertenkarten der Patienten gespeichert, bei denen diese physisch die Kontrolle über den Verbleib ihrer Gesundheitsdaten behalten würden.
Stattdessen wurde ein System eingeführt, in dem die ePA auf den Servern privater IT-Anbieter (in einer „Cloud“) gespeichert wird, mit denen die jeweilige Krankenkasse einen Vertrag abgeschlossen hat. Im Falle der Techniker Krankenkasse und der Barmer werden die elektronischen Patientenakten auf Servern des Unternehmens IBM gespeichert.
Die Telematikinfrastruktur genannte digitale Infrastruktur des Gesundheitssystems wird über die Server der Bertelsmann-Tochter Arvato betrieben.
Anfällig für Datenpannen
Entgegen der Beteuerungen des Gesundheitsministeriums und der IT-Partner, dass die digitale Infrastruktur sicher sei, sind bereits zahlreiche Datenpannen aufgetreten.
So wurde bekannt, dass seit der vor kurzem erfolgten Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung ca. 116.000 Datensätze durch einen Software-Fehler statt an die Krankenkassen an eine einzelne Arztpraxis versendet worden seien.
In Finnland wurden Psychotherapie-Daten bei einem Cyberangriff gehackt und Patienten teilweise von den Cyber-Kriminellen zu Bitcoin-Zahlungen erpresst.
In Australien seien die Gesundheitsdaten von 9,7 Millionen Versicherten einer Krankenversicherung von Hackern im Darknet veröffentlicht worden.
Bereits dieses Jahr sind gesetzliche Krankenversicherungen dazu verpflichtet, ihre Abrechnungsdaten inklusive der Diagnosen, Medikation und Dauer der Behandlung ihrer Versicherten pseudonymisiert an das Forschungsdatenzentrum Gesundheit zu übertragen. Dabei ist kein Widerspruchsrecht von Versicherten vorgesehen.
Behandlungsdaten zu Forschungszwecken
Gemäß dem Gesetzentwurf zum Gesundheitsdatennutzungsgesetz sollen demnächst auch die Behandlungsdaten in den elektronischen Patientenakten über eine noch zu schaffende „Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten“ Universitäten und Unternehmen zur Auswertung für Forschungszwecke zugänglich gemacht werden können.
Auch hierfür wird eine Regelung diskutiert, die die pseudonymisierte Datenweitergabe grundsätzlich erlauben würde, solange der Versicherte dem nicht aktiv widerspricht.
Im Gegensatz zur Anonymisierung von Daten gilt die Pseudonymisierung jedoch unter Datenschutzaspekten als unsicherer, da durch enthaltene Angaben wie Geburtsjahr, Geschlecht und Postleitzahl des Patienten die Person aus den Pseudonymen in vielen Fällen rekonstruiert werden könnte.
Weitergabe sensibler Daten erst nach ausdrücklicher Zustimmung?
Man kann argumentieren, dass das Bundesgesundheitsministerium für das Ziel, möglichst große Gesundheitsdatenbanken zur Auswertung durch öffentliche und kommerzielle Forschung aufzubauen, durch die geplanten Opt-Out-Regelungen auf unmündige Bürger setzt, die sich nicht über Risiken der digitalen Übermittlung ihrer Gesundheits- und Behandlungsdaten informieren oder aus Bequemlichkeit der zentralisierten Datenspeicherung in der Cloud nicht aktiv widersprechen werden.
Gleichzeitig betont die Politik, dass durch die geplante Opt-Out-Regelung jeder Versicherte die Möglichkeit behalte, der Übermittlung seiner Daten durch Ärzte und Psychotherapeuten in eine elektronische Patientenakte zu widersprechen.
Um die bisherigen Prinzipien der ärztlichen Schweigepflicht zu bewahren, wäre es wichtig, dass die Weitergabe sensibler Behandlungsdaten durch Ärzte und Psychotherapeuten wie bisher nur nach ausdrücklicher Zustimmung durch Patienten erlaubt bleibt.
Wenn jedoch die Opt-Out-Regelungen politisch durchgesetzt werden sollten, bleibt Patienten die Möglichkeit, sich als mündige Bürger über Chancen und Risiken der geplanten Übermittlung ihrer Gesundheitsdaten in zentrale Datenbanken zu informieren und zu entscheiden, ob sie der Verwendung ihrer Daten widersprechen möchten oder nicht.
Dieser Beitrag unterliegt der Creative Commons Lizenz (CC BY-NC-ND 4.0). Er darf für nicht kommerzielle Zwecke unter Nennung des Autors und der Berliner Zeitung und unter Ausschluss jeglicher Bearbeitung von der Allgemeinheit frei weiterverwendet werden.
Letzte Kommentare