Patienten-Information zur ePA + Digitalisierung
(letztes Update: 28.11.2024)
Das Wichtigste zur Zentraldaten-ePA kurz und bündig für Sie vorab:
- In Deutschland ist die Einführung einer "elektronischen Patientenakte" (ePA) mit Zentraldatenspeicherung gesetzlich festgelegt.
- Für jeden gesetzlich Krankenversicherten wird ab 15. Januar 2025 eine ePA angelegt, wenn nicht vorher widersprochen wird.
- Dieses ePA-Konzept bringt durch die "zentrale Datensammlung" erhebliche Risiken mit sich.
- Gesammelte Gesundheitsdaten sollen auch zum Anlernen von "Künstlicher Intelligenz" dienen. Inner- und außereuropäische Digital-, KI- und Pharmakonzerne sollen die Daten zu verschiedenen "Forschungszwecken" nutzen dürfen.
- Wir meinen: Dabei steht nicht Ihr Patientennutzen und die Unterstützung der medizinischen Behandlung im Vordergrund, sondern die Datensammlung Ihrer wertvollen Gesundheitsdaten.
- Ihre äußerst sensiblen medizinischen Daten sind in einem "zentralen Datentopf" auch kaum sicher schützbar. Das untenstehende, traurige Beispiel eines riesigen USA-Datenlecks aus Oktober 2024 führt uns die typischen Sicherheitsrisiken solcher zentralen Datensammlungen ein weiteres Mal unübersehbar vor Augen.
- Sehr unfair erscheint uns auch die gesetzlich vorgeschriebene "Opt-Out"- Lösung, bei der alle gesetzlich Krankenversicherten ohne vorherige aktive Zustimmung eine Zentraldaten-ePA bekommen. Auch dieses Konstrukt zielt darauf ab, möglichst viele Daten sammeln zu können.
Viele Patientenrechtsvertreter, Juristen, Datenschützer, Ärzte und IT-Experten haben ebenfalls große Bedenken zur Zentraldaten-ePA:
Link zum offenen Experten-Brief "Vertrauen lässt sich nicht veordnen" / Mitunterzeichner-Liste.
Link zum Bündins "widerspruch-epa.de" / Liste der zugehörigen Büdnispartner
Bitte schützen Sie sich und Ihre Kinder:
Nutzen Sie diese "Zentraldaten-ePA" nicht!
Eine "Zentraldaten-ePA" wird von unserer Praxis nicht befürwortet. Stattdessen bräuchte es ein besseres und sicheres, dezentrales ePA-Konzept, das unseren Patienten wirklich nützt und die medizinische Behandlung sinnvoll unterstützt.
Dafür gäbe es bereits gute technische Möglichkeiten ohne zentrale Datenspeicherung - und damit könnte auch in Zukunft die ärztliche Schweigepflicht gewährleistet bleiben.
Damit ab Januar 2025 nicht automatisch und ungewollt "Zentraldaten-ePAs" für Sie oder Ihre Kinder angelegt werden, müssen Sie aktiv bei Ihrer Krankenkasse widersprechen.
Aktuelle Information vom 24.11.2024:
Bundesgesundheitsminister Karl Lauterbach referiert erneut auf der "Digital Health Conference" der diesjährigen Bitkom in Berlin. Für uns Ärztinnen und Ärzte ist es unfassbar, dass sich unser Gesundheitsminister offensichtlich damit brüstet, das die vertraulichsten Gesundheitsdaten unserer Patientinnen und Patienten in Zukunft den grossen Digitalkonzernen weltweit zur Verfügung gestellt werden sollen. Bitte lesen Sie selbst:
https://www.heise.de/news/Lauterbach-zu-Gesundheitsdaten-Google-Meta-und-OpenAI-melden-Interesse-an-10179936.html
BMG Lauterbach & Big Data
---
Oktober/ Februar 2024 - USA
Bei einem Ransomware-Angriff auf "Change Healthcare" USA im Februar 2024 wurden die privaten Gesundheitsdaten von mehr als 100 Millionen Menschen gestohlen
Auch diese Daten hielt man für bestens gesichert.
Der Cyberangriff führte über Monate hinweg zu beispiellosen Ausfällen und weitreichenden Störungen im gesamten US-Gesundheitssektor.
Der Ransomware-Angriff und Datendiebstahl bei Change Healthcare ist der größte bekannte digitale Diebstahl von US-Krankenakten und einer der größten Datendiebstähle der jüngeren Geschichte.
Unter anderem sind Ausweisdokumente, Sozialversicherungsnummern, Führerscheinnummern, Passnummer, Diagnosen, Angaben zu Medikamenten, Testergebnisse, Bildgebungs- und Pflege- und Behandlungspläne sowie Finanz- und Bankdaten betroffen.
Die Folgen für die Millionen von Amerikanern, deren private Gesundheitsdaten unwiederbringlich gestohlen wurden, dürften lebenslang anhalten.
Quellenangaben:
https://techcrunch.com/2024/10/24/unitedhealth-change-healthcare-hacked-millions-health-records-ransomware/
https://www.reuters.com/technology/cybersecurity/hack-unitedhealths-tech-unit-impacted-100-mln-people-2024-10-24/
Link zu weiteren Datenpannen, Leaks, Artikel und Expertenmeinungen rund um das Thema "Digitalisierung im Gesundheitswesen"
---
Flyer
Informationsflyer des Bündnis für Datenschutz und Schweigepflicht ( BfDS ) (in deutscher Sprache)
Informationsflyer zur ePA in englischer Sprache: Information on risk and side effects of the electronic patient record (ePA)
Informationsflyer zur ePA in türkischer Sprache: ELEKTRONİK HASTA KAYDININ (ePA) RİSK VE YAN ETKİLERİ HAKKINDA BİLGİ
Digitalisierung - Sorgfalt oder Schnelligkeit?
Keine Frage: Eine moderne Medizin ist heute ohne digitale Unterstützung in vielen Bereichen nicht mehr denkbar. Viele, zum Teil faszinierende, Techniken tragen zur Verbesserung von Diagnostik und Therapie bei. Doch "digital" ist nicht gleich "digital" - und leider wird bei diesen Themen oft nicht ausreichend differenziert.
Es ist ein großer Unterschied, ob es um den technischen Ausbau von schnellen Internetzugängen oder Mobilfunknetzen geht oder um den Umgang mit den hochsensiblen Gesundheitsdaten unserer Patienten.
Als Ärztinnen und Ärzte sehen wir uns im Rahmen Ihrer Behandlung zu großer Sorgfalt und Vertraulichkeit verpflichtet, denn in therapeutischen Situationen sind Patienten oft schutzbedürftig und Krankenakten enthalten regelmäßig sehr private und sensible Angaben. Geraten diese sensiblen Daten in falsche Hände, kann dies, wie viele Beispiele leider bereits gezeigt haben, verheerende, bisweilen sogar existentielle Folgen nach sich ziehen.
Grundsätzlich ist eine elektronische Patientenakte aber gar keine schlechte Idee - und gut durchdachte Versionen werden auch in anderen europäischen Ländern eingesetzt: In Finnland und in den Niederlanden werden Gesundheitsdaten primär zur Verbesserung der Patientenversorgung und Forschung genutzt. In Finnland wird ein System verwendet, das klare Regeln für den Datenzugriff und strikte Patientenkontrollen bietet. Auch in den Niederlanden sind strenge Datenschutzgesetze verankert, die eine Datennutzung für Dritte stark einschränkt. Im Gegensatz dazu ist mit der deutschen Zentraldaten-ePA geplant, Daten für verschiedene Institutionen und möglicherweise kommerzielle Zwecke zugänglich zu machen. Auch der Schutz vor Zugriffsmöglichkeiten erscheint fragwürdig: Warum z.B. sollte eine Apotheke (oder auch Ergotherapeuten, Pflegeheimem usw...) 3 Tage Vollzugriff auf die Ihre komplette Krankenakte erhalten? Zudem ist auch noch eine automatische Übertragung der ePA-gesammelten Patientendaten in den europäischen Gesundheitsdatenspeicher (EHDS) geplant. Dies wäre dann möglicherweise verbunden mit einem vollständigen Kontrollverlust des Patienten über seine einmal abgeflossenen Daten.
Die Politik bedient sich gerne im bunten Einkaufsladen der digitalen Welt - und nutzt dann populäre Schlagworte wie "Daten retten Leben". Solche Aussagen klingen erst einmal gut - denn wer möchte nicht gerne Leben retten? Doch solche Floskeln sind genauso wenig zutreffend wie z.B. eine Aussage "Geld rettet Leben".
Zutreffender ist folgende Aussage: "Eine systematische Untersuchung von medizinischen Daten nach wissenschaftlichen Kriterien kann zu wichtigen neuen Erkenntnissen führen. Wenn diese dann in die Behandlung einfliessen, können daraus Vorteile für Patienten entstehen". Alles also nicht ganz so einfach. Systematische Auswertungen von Daten sind übrigens schon seit Jahrzehnten fester Bestandteil medizinischer Forschung, natürlich auch IT-gestützt, und eine ePA bringt dabei nichts wirklich Neues.
"Werbung" für die elektronische Patientenakte
Vielleicht wundern Sie sich, dass Ihre gesetzliche Krankenkasse Sie anschreibt und für die Vorteile einer „ePA“ wirbt?
Der Bundesverband der Verbraucherzentralen hat im Dezember 2024 die einseitigen Informationen der Krankenkassen zur ePA hier genauer unter die Lupe genommen und für unzureichend befunden.
Der Gesetzgeber lässt den gesetzlichen Krankenkassen keine Wahl ob sie die „ePA“ für ihre Versicherten einführen - sie wurden per „Digi-Gesetz“ dazu verpflichtet.
In §343 Abs. 1a Sozialgesetzbuch V sind detailreich 24 Punkte aufgeführt, über die die Krankenkassen ihre Versicherten informieren müssen. Diese Punkte beziehen sich vor allem auf etwaige „Vorteile“, „Patientenrechte“ und „Nutzungsmöglichkeiten“ der epA.
Im Gegensatz dazu gibt es leider keine Verpflichtung, Sie als betroffene Patienten und Versicherte auch umfassend über Ihre Verpflichtugen, Haftungs- und weitere Risiken der ePA zu informieren.
Wenn Sie also „Werbung“ oder "Vorteile" betonende Infos von Ihrer Krankenkasse zur ePA erhalten, so entspricht dies in erster Linie den Vorgaben des Gesetzgebers.
Die neuen Gesetze und die ePA
Im Dezember 2023 hat der deutsche Bundestag gegen die Bedenken vieler Experten ein Digital-Gesetz (DigiG) sowie ein Gesundheitsdatennutzungsgesetz (GDNG) verabschiedet.
Diese beiden Gesetzte sind nun am 26.03.2024 weitestgehend unbemerkt von der Öffentlichkeit in Kraft getreten.
Im "DigiG" werden umfangreiche Regelungen zur Digitalisierung des Gesundheitswesens in Deutschland getroffen. Hauptpunkt dabei ist die sogenannte "elektronische Patientenakte" (ePA) – und das GDNG regelt unter anderem die Nutzung der durch ePAs gesammelten Daten. Ihre Gesundheits- und Krankendaten sollen in naher Zukunft also nicht nur bei Ihrem Arzt oder im Krankenhaus, sondern zusätzlich auch bundesweit zentral gespeichert werden. Nach dieser zentralen Speicherung sollen Ihre Befunde und Daten dann nicht mehr nur für Ihre medizinische Behandlung, sondern in großem Umfang auch für verschiedene „Forschungszwecke“ im In- und Ausland genutzt werden. Insbesondere soll mit den gesammelten Daten auch das Anlernen von „künstlicher Intelligenz“ (KI) ermöglicht werden. Um dafür möglichst viele Daten sammeln zu können, ist zudem ein sogenanntes „Opt-Out“-Verfahren gesetzlich festgelegt, das bedeutet, dass eine „elektronische Patientenakte“ für alle gesetzlich versicherten Patienten angelegt wird, wenn diese nicht vorher aktiv (!) widersprechen. Das Anlegen und automatische Befüllen einer elektronischen Akte kann so auch gegen den eigentlichen Willen des Patienten geschehen, wenn dieser es versäumt zu widersprechen. Auch Kinder kann dies betreffen, wenn die Eltern nicht für diese widersprechen.
Vertraulichste Gesundheitsdaten können über angelegte ePA´s in die zentraler Datenspeicherung des staatlichen Forschungsdatenzentrum Gesundheit (FDZ) beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) übermittelt und für Sekundärnutzungen bereit gestellt werden.
Das BfArM ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Gesundheit (BMG).
Privatpatienten bleiben von dieser gesetzlich verankerten ePA-Variante zunächst noch ausgenommen. Einige Private Krankenkassen bieten aber bereits eigenständige ePA-Lösungen an und zum Teil werden dafür von den privaten Versicherungsunternehmen eigene Apps angeboten.
Wie und wo Ihre Daten bei solchen Lösungen gespeichert werden und ob diese ausreichend geschützt sind, läßt sich nicht pauschal beantworten.
Oktober 2024:
Die Negativ-Auszeichnung "BigBrotherAward 2024" in der Kategorie „Gesundheit“ geht an den amtierenden Bundesgesundheitsminister Karl Lauterbach für dessen hinterfragenswerte Gesetzesinitiativen.
Die Opt-Out-Problematik
Ein "Opt Out"-Verfahren für die ePA bedeutet, dass Sie aktiv etwas tun (nämlich widersprechen) müssen, wenn Sie nicht wollen, das Ihre Gesundheits-Daten zentral und digital mittels ePA gesammelt werden.
Andernfalls kann ohne Ihr weiteres Zutun und ohne Ihre vorherige Zustimmung eine ePA für Sie (oder Ihre Kinder) angelegt werden.
Nach dem Anlegen kann die ePA dann auch mit Ihren Gesundheits- und Krankendaten befüllt und schließlich die gesammelten anonymisierten oder pseudonymiserten Daten von Dritten in In- und Ausland genutzt werden.
Aus anderen Lebensbereichen sind Sie es wahrscheinlich gewöhnt, dass Sie erst aktiv zustimmen müssen, bevor Ihre persönlichen Daten von Dritten gesammelt und verwendet werden dürfen.
Ein Beispiel ist das Surfen im Internet: Dabei werden Sie regelmäßig gefragt, ob Sie "Cookies" (kleine Datensammelprogramme) zulassen möchten oder nicht. Ihre Daten dürfen dann erst gesammelt werden, wenn Sie ausdrücklich zugestimmt haben.
Dieses bewährte Prinzip der vorherigen Einwilligung wird nun aber ausgerechnet bei Ihren besonders sensiben und schützenswerten Gesundheits-und Krankheitsdaten umgekehrt:
Nur wenn Sie als gesetzlich Versicherter zuvor aktiv einen Widerspruch erklären, können Sie aus dem geplanten Datensammel-Automatismus aussteigen ("Opt-Out").
Wie genau Sie aus der ePA aussteigen können, ist zudem kompliziert: Der Gesetzgeber hat keine kassenübergreifende und patientenfreundliche Möglichkeit für die Opt-Out-Verfahren festgelegt, sondern die gesetzlichen Krankenkassen verpflichtet, einzelne Lösungen für ihre Versicherten zu entwickeln.Näheres dazu im Kapitel "ePA-Widerspruch".
Die Opt-Out-Verfahren werden ausserdem mehrstufig gestaltet, was die Sache weiter kompliziert.
Das bedeutet: Sie können dem Anlegen einer elektronischen Patientenakte insgesamt widersprechen oder aber auch nur einzelnen Nutzungen.
Doch die Interpretation medizinischer Befunde in Bezug auf Bedeutung und Datenschutzbedürftigkeit kann nicht einfach sein. Noch schwieriger erscheint die Abwägung von Chancen und Risikien der Nutzung eigener Gesundheitsdaten durch Dritte.
Wenn Sie eine ePA selbst verwalten bzw. Widersprüche auf verschiedenen Ebenen einrichten möchten, werden Sie schnell feststellen: Die Zusammenhänge sind komplex und unübersichtlich. In dieser aktuellen, von einer gesetzlichen Krankenkasse bereitgestellten, 38-seitigen Informationsschrift zur ePA können Sie sich einen ersten Eindruck hierzu verschaffen. Fachleute sprechen von einer "feingranularen Berechtigungssteuerung". Für den Alltag erscheint uns dies alles aber als viel zu kompliziert und unpraktikabel. Deshalb befürchten wir, daß einige Patienten mit der exakten Steuerung ihrer ePA-Daten überfordert würden und der Datennutzung durch Dritte gar nicht widerprechen - ohne sich aber im Einzelnen über die Folgen im Klaren zu sein. Unsere Empfehlung dazu lautet deshalb: Wenn Sie die 38-seitige "Einführung" zur ePA nicht vollständig in ihren Auswirkungen verstehen oder sich im Alltag nicht wiederholt mit den darin aufgeführten Steuerungsmechanismen und Sicherheitsvorgaben befassen möchten, dann sollten Sie aus Sicherheitsgründen eine Zentraldaten-ePA besser überhaupt nicht nutzen und dem Anlegen derselben von Anfang an widersprechen. Damit vermeiden Sie die damit verbundenen Schwierigkeiten und Risiken.
Menschen in Deutschland sollten sich in unserem Rechtsstaat immer darauf verlassen können, dass der Staat ihre gesetzlich verankerten Grund- und Menschenrechte schützt - auch ohne dass es dafür im Einzelfall einer gesonderten, aktiven Anstrengung oder Willenserklärung bedarf. Das gilt uneingeschränkt
auch für das Recht auf informationelle Selbstbestimmung. Deshalb sind alle Opt-out-Modelle zur ungefragten Weitergabe persönlichster (Gesundheits-)Daten abzulehnen. Nur Modelle, die eine aktive Einwilligung nach vorangehender, fundierter Aufklärung der Patient:innen vorsehen, stehen für einen demokratie- und verfassungskonformen, respektvollen Umgang mit den Rechten der Bürger:innen und respektieren deren freien Willen. Es wundert uns daher nicht, dass verschiedene Patientenrechtsvertreter und Juristen in der Opt-Out-Regelunge mögliche Verstöße gegen unser Grundgesetz und gegen die europäische Datenschutz-Grundverordnung sehen.
Wahrscheinlich werden diese Sachverhalte später noch rechtlich geklärt werden müssen. Juristisch Interessierten empfehlen wir dazu den Artikel "Gesundheitsdatennutzung ohne Datenschutz? Lauterbach auf Spahns Spuren der Verfassungswidrigkeit", veröffentlicht in den Datenschutz-Nachrichten (2-2024).
Nutzen einer ePA
Natürlich ist es sinnvoll, medizinischen Unterlagen zeitgerecht für Ihre medizinische Behandlung dort zur Verfügung zu haben, wo diese benötigt werden.
Deshalb ist ein elektronische Patientenakte grundsätzlich auch gar keine schlechte Idee.
Dafür braucht es abe keine hoch risikobehaftete "Zentraldaten-ePA" in der jetzt geplanten Form. Stattdessen könnte ein besseres ePA-Konzept Patienten schützen und die medizinische Behandlung sinnvoll unterstützten. Das hätten dann auch wir Ärztinnen und Ärzte gerne - und dafür gibt es bereits sehr gute technische Möglichkeiten ohne zentrale Datenspeicherung. Die ärztliche Schweigepflicht wäre damit weiter gewährleistbar.
Auch für die schnelle und sichere elektronische Kommunikation zwischen Ärzten und anderen medizinischen Leistungserbringern braucht es keinen Zentraldaten-Speicher.
Es gibt bereits dezentrale digitale Lösungen, die einen schnellen Versand von Arztbriefen ermöglichen.
Zu Verzögerungen in der Medizin kommt es übrigens oft gar nicht bei der Befundübermittlung, sondern eher bei der Befunderstellung. Hierbei spielen die zunehmende Arbeitsüberlastung durch einen Ärztemangel in Kliniken und Praxen eine entscheidende Rolle. Ein Arztbrief kann schließlich erst übermittelt werden, wenn zuvor "Bürozeit" für dessen Erstellung zur Verfügung stand.
Für eine Nutzung von Diensten wie "elektronische Arbeitsunfähigkeitsbescheinigung", "elektronisches Rezept" und "elektronischer Medikationsplan" benötigen Sie ebenfalls keine Zentraldaten-ePA. Diese Dienste funktionieren auch weiter und davon unabhängig.
Es erscheint zudem als reines Wunschdenken, dass Zentraldaten-ePA´s zu vollständigen Befundsammlungen werden könnten. Viele Patienten haben zig Vorbefunde wie z.B. Vorsorgedokumentationen, Arztbriefe, Laborwerte, Röntgenbilder, Impfpasseinträge - und so weiter.
Wenn hiervon nur die 15 wichtigsten Vor-Befunde für jeden gesetzlich versicherten Patienten in eine ePA eingepflegt würden, wären dies bereits ca. 1,1 Milliarden (!) Befunde die gesichtet, selektiert, geprüft, anonymisiert, in ein geeignetes Format umgewandelt, katalogisiert, verstichwortet und hochgeladen werden müssten.
Für den damit verbundenen, extrem hohen Verwaltungsaufwand gibt es bis Heute kein überzeugendes, organisatorisches und sicherheitstechnisches Konzept. Doch selbst nach solchen Mammut-Aktionen, die wahrscheinlich für Jahre Fachkräfte binden würden, wären die elektronischen Patientenakten immer noch unvollständig, denn viele Patienten haben weitaus mehr wichtige Vorbefunde - oder Befunde liegen in schwer digitalisierbaren Sonderformaten vor. Deshalb werden sich weder die Patienten noch die die Ärzte in Zukunft darauf verlassen können, dass in einer Zentraldaten-ePA die wirklich entscheidenen Befunde auch enthalten sind.
Notfallsituationen
Es klingt erst einmal gut - und wird auch gerne so beworben: Viele Patienten erhoffen sich von der ePA die schnelle Zugriffsmöglichkeit auf ihre medizinische Informationen im Notfall.
Doch gerade für echte Notfallsituation erscheint uns die Zentraldaten-ePA leider ebenfalls untauglich. Der Abruf von Unterlagen über eine Zentraldaten-ePA benötigt einen funktionierenden Internetzugang - und kein Notarzt wird sich in kritischen Situationen mit langsamer Technik und unvollständigen Datensammlungen abmühen und damit wertvolle Zeit verschwenden. Ein Blatt Papier mit Ihren wichtigsten, aktuellen Informationen (z.B. Diagnosen - Medikamente - Allergien) ist für Notfallzwecke effektiv und funktioniert immer - auch ohne Internetanbindung.
Alternativ gibt es auch Konzepte für "Offline-EPA´s" mit lokalen Speichermöglichkeiten z.B. auf der Versichertenkarte. Diese könnten dem Patienten dann einen sinnvollen Nutzen bei guter Datensicherheit auch in Notfallsituationen bieten.
In der Septemberausgabe 2024 des Hamburger Ärzteblattes findet sich eine lesenswerte Stellungnahme der Expertin Frau Dr.med. Silke Lüder zum Nutzen einer Zentraldaten-ePA.
Risiken der ePA
Im Digi-Gesetz ist festgelegt, dass die gesetzlichen Krankenkassen ihre Versicherten über die ePA informieren müssen (§ 343 Abs. 1a SGB V). Dabei werden 24 Punkte vorgegeben, unter anderem zu ePA-„Mehrwert und Nutzen“ und zu Patientenrechten. Die Risiken einer ePA werden hingegen nicht benannt.
Deshalb haben wir nachfolgend einige dieser Risiken für Sie zusammengestellt. Zu jedem Risiko geben wir unsere subjektive Einschätzung ab, wie wahrscheinlich uns ein Eintritt des jeweiligen Risikos erscheint.
Patientenakten enthalten naturgemäß sehr vertrauliche und private Angaben, die der ärztlichen Schweigepflicht unterliegen. Ein Beispiel: In einem REHA-Bericht können sich Angaben zu Ihren Vorerkrankungen, Operationen, Krankheiten in der Familie, Risikofaktoren wie Nikotin, Alkohol oder Drogen, Laborbefunde, psychische und körperliche Befunde, Sozialstatus, Arbeitsleben, Schulden, Beziehungsstaus und vieles mehr finden. Ihre Gesundheitsdaten sind deshalb besonders schutzbedürftig und unterliegen bislang auch der ärztlichen Schweigepflicht. Gelangen solche Daten in falsche Hände, kann dies verheerende Folgen für die Betroffenen nach sich ziehen. Nach unserer Auffassung steht das Recht auf Datenschutz - und damit auch das Recht, diesen auf freiwilliger Basis zu lockern, ausschließlich dem Patienten (oder dessen gesetzlichen Vertreter) zu, auf den sich die Daten beziehen.
Risiken der ePA
Im Digi-Gesetz ist festgelegt, dass die gesetzlichen Krankenkassen ihre Versicherten über die ePA informieren müssen (§ 343 Abs. 1a SGB V). Dabei werden 24 Punkte vorgegeben, unter anderem zu ePA-„Mehrwert und Nutzen“ und zu Patientenrechten. Die Risiken einer ePA werden hingegen nicht benannt.
Deshalb haben wir nachfolgend einige dieser Risiken für Sie zusammengestellt. Zu jedem Risiko geben wir unsere subjektive Einschätzung ab, wie wahrscheinlich uns ein Eintritt des jeweiligen Risikos erscheint.
Patientenakten enthalten naturgemäß sehr vertrauliche und private Angaben, die der ärztlichen Schweigepflicht unterliegen. Ein Beispiel: In einem REHA-Bericht können sich Angaben zu Ihren Vorerkrankungen, Operationen, Krankheiten in der Familie, Risikofaktoren wie Nikotin, Alkohol oder Drogen, Laborbefunde, psychische und körperliche Befunde, Sozialstatus, Arbeitsleben, Schulden, Beziehungsstaus und vieles mehr finden. Ihre Gesundheitsdaten sind deshalb besonders schutzbedürftig und unterliegen bislang auch der ärztlichen Schweigepflicht. Gelangen solche Daten in falsche Hände, kann dies verheerende Folgen für die Betroffenen nach sich ziehen. Nach unserer Auffassung steht das Recht auf Datenschutz - und damit auch das Recht, diesen auf freiwilliger Basis zu lockern, ausschließlich dem Patienten (oder dessen gesetzlichen Vertreter) zu, auf den sich die Daten beziehen.
Risiko: Unerwünschtes / unbeabsichtigtes Anlegen einer ePA
Die gesetzlich verankerten Opt-Out-Option zur ePA stellt eine Abkehr vom bewährten und gewohnten Prinzip des Einholens einer vorherigen Einwilligung dar. Ohne aktiven Widerspruch kann eine ePA auch gegen den tatsächlichen Willen des Patienten angelegt werden. Es ist zu befürchten, dass viele Patienten aus Unkenntnis oder Komfortgründen dem Anliegen einer ePA nicht aktiv bei ihrer Krankenkasse widersprechen, obwohl sie die ePA eigentlich gar nicht für sich oder ihre Kinder haben möchten.
Risikoeinschätzung: Sehr hoch
Risiko: Unsichere Anonymisierung und Pseudonymisierung
Ihre in der ePA zentral gespeicherten Gesundheits-Daten sollen vor einer Weiterverwendung zwar anonymisiert oder pseudonymisiert werden. Dies erscheint aber kaum vollständig und sicher machbar. Der Aufwand erscheint im Konzept der ePA nicht plausibel bedacht. Doch selbst dann, wenn eine Anonymisierung oder Pseudonymisierung mit großem Aufwand durchgeführt wird, besteht danach die Gefahr der „Zurückrechnung“. Dies bedeutet, dass durch die Kombination verschiedenere „Daten-Merkmale“ (z.B. Alter - Geschlecht - Postleit-zahl - Beruf) wieder Rückschlüsse auf einzelne Menschen gezogen werden können. Daten, die heute für fragwürdige „Forschungszwe-cke“ an Dritte abfließen, können so zu "digitalen Zeitbomben" mit unvorhersehbarem Schädigungspotential in der Zukunft werden.
Risikoeinschätzung: Sehr hoch (für die nicht vollständig mögliche Pseudonymisierung / Anonymisierung)
Kaum abschätzbar (für eine Rückrechnung/Daten-Rekombination)
Risiko: Hacker-Angriffe / Krimineller Datenmissbrauch
Die Daten der ePA liegen nicht bei den gesetzlichen Krankenkassen und auch nicht auf den elektronischen Gesundheitskarten, sondern zentral auf Servern in einem sogenannten „ePA-Aktensystem“. Diese Daten-Sammelstellen werden von der „Gematik GmbH“ betrieben, die in Zukunft zu einer staatsnahen „Digitalagentur“ umgebaut werden soll. Die Sammlung zentral gespeicherter, persönlicher Daten ist prädestiniert, die Aufmerksamkeit von kriminellen Hackern aus dem In- und Ausland auf sich zu ziehen. Es besteht die Gefahr, dass Kriminelle versuchen werden, sich Zugang zu den gespeicherten Daten zu verschaffen um dann damit Lösegelder oder andere Forderungen zu erpressen. Viele Hacker-Angriffe und Datenpannen im In- und Ausland zeigen, dass dies oft auch in gut geschützt geglaubten Umgebungen, z.B. im Gesundheitswesen, tatsächlich passiert. Weitere Gefahren ergeben sich an vielen Schnittstellen bei Dateneingabe und -nutzung, z.B. auf den Smartphones der Patienten.
Risikoeinschätzung: Für die zentrale Datenspeicherung abhängig von den getroffenen Sicherungsmaßnahmen. 100% Sicherheit gibt es dabei nicht.
Sehr hoch für die Endnutzer-/Smartphone-Ebene
Risiko: Datenmissbrauch durch sogenannte "Innentäter"
„Innentäter“ sind beschäftigte Personen, die sich nicht an Regelungen und Vorgaben wie z.B. Datenschutzrichtlinien oder Informations-sicherheitsvorgaben halten. Im deutschen Gesundheitswesen könnten ca. 2 Millionen im Gesundheitswesen Tätige eine Zugangsberechtigung zur ePA erhalten. Auch wenn der Patient diese „Zugänge“ theoretisch kontrollieren und steuern könnte: Dies wäre ein sehr zeitaufwändiges „Hobby“ - und für die meisten Patienten im Alltag auf Dauer nicht sicher leistbar. Letztlich sind Gesundheitsdaten vor Gelegenheits-Innentätern, die aus Neugier oder aus anderen Eigeninteressen unberechtigt Einsicht in ePA´s nehmen, kaum zuverlässig zu schützen.
Risikoeinschätzung: Sehr hoch
Risiko: Forschungsziele kommerziell statt am Gemeinwohl orientiert
Nach zentraler Speicherung sollen Befunde und Daten dann in Zukunft nicht nur für Ihre medizinische Behandlung, sondern in großem Umfang auch für verschiedene „Forschungszwecke“ im In- und Ausland genutzt werden. Nutzer könnten dann auch Pharmafirmen, große Konzerne und Digitalfirmen werden, die damit z.B. "künstliche Intelligenz"-Modelle anlernen. Ob die Ergebnisse später jemals den versprochenen medizinisch-wissenschaftlichen Nutzen für die Patientenversorgung und für das Gesundheitswesen haben, ist offen. Es steht aber zu befürchten, dass neue Kontroll- und Kostensparmodelle etabliert und vor allem die Interessen von Digital- und Pharmafirmen, Kostenträgern und Versicherungen gestützt würden.
Risikoeinschätzung: Hoch
Risiko: Zugriff von Behörden, Vorratsdaten und politischer Wandel
Zentral gespeicherte Gesundheitsdaten können auch als eine Art von „Vorratsdatenspeicherung“ betrachtet werden. Ohne schützende politische und rechtliche Rahmenbedingungen könnte in Zukunft versucht werden, diese sehr tiefen und umfassenden Daten zu verschiedenen Kontroll-, Überwachungs- oder Fahndungszwecken heranzuziehen.
Es kann nicht sicher ausgeschlossen werden, dass später einmal Strafverfolgungsbehörden gezielt Zugriff auf elektronische Patientenakten begehren, inclusive aller darin dokumentierten Gesundheits- und Behandlungsdaten. In Zeiten von Pandemien oder politischen Umbrüchen und Gefahrenlagen wären sogar noch viel weiterreichende Szenarien denkbar: Mit dem Argument einer „Gefahrenabwehr“ könnten dann auch breit angelegte Zugriffe auf die Gesundheitsdaten aller Bürger legalisiert werden, um beispielsweise Rasterfahndungen oder Infektionsschutzmaßnahmen durchzuführen. Dies könnte ein herber Rückschlag für die Freiheitsrechte der Menschen und für unsere Demokratie sein.
Risikoeinschätzung: Stark abhängig von der politischen und gesellschaftlichen Lage und Entwicklung
Risiko: Patientenversorgung wird beeinträchtig
Die Gesundheitsversorgung in Deutschland ist in vielen Bereichen am Limit. Die Hoffnung, eine zentrale ePA-Datensammlung könnte hier schnell und billig Abhilfe schaffen, erscheint uns unrealistisch. Im Gegenteil: Beim massenhaften Anlegen, Befüllen und Pflegen der ePAs entsteht zwangsläufig ein sehr hoher zusätzlicher Verwaltungs- und Arbeitsaufwand. Hierbei ist große Sorgfalt gefordert, denn jeder Dokumentenupload ohne vorherige Kontrolle durch fachkundiges Personal würde zu erheblichen Sicherheits- und Haftungsrisiken führen. Es ist absehbar, dass diese Arbeiten zu großen Teilen dem medizinischen Fachpersonal, den Ärztinnen und Ärzten in Praxen und Kliniken aufgebürdet werden. Die dafür benötigten Arbeitszeiten fehlen dann für die eigentliche Patientenversorgung. Wir befürchten daher, dass sich durch den zusätzlichen ePA-Arbeitsaufwand die Gesundheitsversorgung der Bevölkerung verschlechtert und die Wartezeiten auf Arzttermine noch länger als bislang werden.
Im Digi-Gesetz ist auch vorgesehen, ein Einscannen von Patientendokumenten den Krankenkassen zu übertragen. Hierfür müssten Patient:innen ihre vertraulichen Krankheitsunterlagen den Versicherungsunternehmen / Krankenkassen aushändigen. Dies würde aus unserer Sicht die ärztliche Schweigepflicht und den Patientendatenschutz gefährden.
Risikoeinschätzung: Sehr hoch (für die ersten Jahre nach ePA-Einführung)
Risiko: Beeinträchtigung der informationellen Selbstbestimmung für unsere Kinder und für betreute Personen
In vielen Lebensbereichen gibt es heute einen gesellschaftlichen Diskurs zu Nachhaltigkeit und zu unserer Verantwortung für zukünftige Generationen. Dazu gehört auch der Umgang mit den digitalen Daten unserer Kinder: Heute setzen wir das ethische, gesellschaftliche und rechtliche Fundament für die digitale Welt, in der diese in Zukunft leben müssen. Dabei ist "Datensparsamkeit“ als lange anerkannter Grundsatz zum Schutz privater Daten ein wertvolles Prinzip, dass wir nicht für flüchtige Vorteilsversprechen opfern sollten. Stattdessen sollten wir jede Nutzung der digitalen Daten unserer Kinder sorgfältig abwägen und insbesondere ihre sensibelsten Gesundheits- und Krankheitsdaten gut schützen. Nur dann werden unsere Kinder auch in Zukunft noch die Möglichkeit haben, selbstbestimmt zu entscheiden, was mit mit ihren Daten geschieht und wer diese nutzen darf. Kinder dürfen erst ab einem Alter von 15 Jahren ihre Selbstbestimmungsrechte in Bezug auf ihre Gesundheitsdaten wahrnehmen. Wenn Eltern nicht zuvor für sie im "Opt-Out"-Verfahren widersprechen, werden ePA´s auch für gesetzlich krankenversicherte minderjährige Kinder angelegt. Bis zur Möglichkeit einer eigenen Entscheidung würden dann viele Daten zentral gespeichert und von Dritten genutzt – und damit den beschriebenen Risiken ausgesetzt. Im Falle eines Datenmissbrauchs können dann später im Erwachsenalter gravierende Nachteile entstehen, z. B. bei dem Versuch, eine Lebens- oder Berufsunfähigkeitsversicherung abzuschließen.
Einen Nutzen für Kinder-ePA´s , der solche Risiken rechtfertigt, sehen wir nicht. Ähnliches gilt für Menschen, für die eine gesetzliche Betreuung eingerichtet ist. Hier können die zuständigen gesetzlichen Betreuer für Ihre Betreuten Widerspruch einlegen.
Risikoeinschätzung: Sehr hoch (für die nachfolgenden Generationen)
Resümee
Wir empfehlen Ihnen: Nutzen Sie Ihre Rechte als mündiger Patient / als Eltern und schützen Sie sich und die Zukunft Ihrer Kinder
Durch Ihren Widerspruch gegen das Anlegen einer Zentraldaten-ePA können Sie untersagen, dass sensible Gesundheits- und Krankendaten von Ihnen und Ihren Kindern gleich am Anfang dieser Digitalvorhaben in eine zentrale Sammelstelle hochgeladen und dann von Dritten genutzt werden.
Sie können damit ohne großen Aufwand die Daten-Sicherheit für sich und Ihre Familie erhöhen - denn einmal hochgeladene und an Dritte abgeflossene Daten oder Auswertungen lassen sich kaum mehr verlässlich "zurückholen".
Es erscheint uns sinnvoll, erst einmal die Entwicklungen, Erfahrungen und und die Sicherheitslage zur ePA zu beobachten.
Sollten Sie in Zukunft von der Sicherheit und dem Nutzen solcher Lösungen wirklich überzeugt sein, können Sie immer noch einsteigen und später eine ePA für sich einrichten lassen.
Lassen Sie sich bitte auch nicht von Vorteils-Versprechen oder kleinen Bonusgeschenken z.B. durch Ihre Krankenkasse, locken - Sie „zahlen“ dies mit Ihren Gesundheits- und Krankheitsdaten.
Wann ist der richtige Zeitpunkt für einen Widerspruch?
Als Startdatum der "ePA für Alle" ist im Digi-Gesetz der 15. Januar 2025 vorgesehen.
Vor dem Anlegen einer ePA muss Ihre gesetzliche Krankenkasse Sie informieren. Diese Information könnte z.b. so wie hier aussehen.
Erst nachdem Ihre gesetzliche Krankenkasse Sie über die ePA informiert hat, ist ein Widerspruch gegen das Anlegen einer ePA rechtlich zuverlässig möglich.
Wenn Sie nach dieser Information durch Ihre Krankenkasse nicht innerhalb von 6 Wochen aktiv werden und widersprechen, kann auch gegen Ihren eigentlichen Willen eine elektronische Patientenakte für Sie oder Ihre Kinder angelegt werden.
Grundsätzlich können Sie zwar auch nach der 6-wöchigen Frist noch widersprechen und verlangen, dass eine angelegte ePA wieder gelöscht wird.
Wir empfehlen aber, rechtzeitig zu widersprechen um bereits das Anlegen einer ePA und einen zwischenzeitlich möglichen Datenabfluss zu verhindern.
Hier finden Sie weitere Infos zu den Widerspruchsmöglichkeiten.
Gerne können Sie sich mit Ihren Fragen und Ihren eigenen Meinungen per E-Mail an uns wenden - wir freuen uns auf einen konstruktiven Dialog!
Ihre Familienpraxis
Dr. med. Vera Zimmer - Dr. med. Susann Überreiter - Dr. med. Alexander Miller - Th. Bergmann
Eine Buchempfehlung zum Thema:
Die elektronische Patientenakte - Das Ende der Schweigepflicht
Autor: Andreas Meißner
Erscheinungstermin 12.05.2024, 112 Seiten, Westend-Verlag
ISBN 9783864894725 - Preis inkl. MwSt. 10,00 €