Patienten-Information zur ePA + Digitalisierung
(letztes Update: 04.04.2025)
Das Wichtigste zur Zentraldaten-ePA kurz und bündig für Sie vorab:
- In Deutschland wurde die Einführung einer "elektronischen Patientenakte" (ePA) mit Zentraldatenspeicherung gesetzlich festgelegt.
- Für jeden gesetzlich Krankenversicherten wird seit dem Startdatum 15. Januar 2025 eine ePA angelegt, wenn nicht vorher widersprochen wird.
- Das ePA-Konzept bringt durch die "zentrale Datensammlung" auch erhebliche Risiken mit sich: Vertrauliche medizinische Daten sind in einem "zentralen Datentopf" kaum dauerhaft sicher schützbar.
- Eine ePA-Testphase bis Mitte Februar 2025 zeigte Fehler und nicht behobene Sicherheitslücken. Der geplante bundesweite Roll-Out wurde vom Gesundheitsministerium verschoben, ein konkretes Datum hierfür wurde noch nicht bekannt gegeben.
- Auch wenn dies oft so beworben wird: Nicht der Patientennutzen und die Unterstützung der medizinischen Behandlung erscheint im Vordergrund der Zentraldaten-ePA, sondern die Datensammlung und Vermarktung Ihrer wertvollen Gesundheitsdaten.
- Die "Opt-Out"- Lösung, bei der alle gesetzlich Krankenversicherten ohne aktive Zustimmung eine Zentraldaten-ePA bekommen, ist unserer Auffassung nach ein unfairer Kulturbruch. Dieses Konstrukt zielt vor allem darauf ab, möglichst viele Daten sammeln zu können.
Viele Patientenrechtsvertreter, Juristen, Datenschützer, Ärzte und IT-Experten haben große Bedenken zur Zentraldaten-ePA.
Das deutsche "Bündnis für Datenschutz und Schweigepflicht" (BfDS) fasst die ePA-Problematik für Sie hier gut verständlich zusammen.
Auch wir empfehlen Ihnen: Nutzen Sie diese "Zentraldaten-ePA" zum jetzigen Zeitpunkt besser nicht.
Damit bereits angelegte Z-ePAs für Sie oder Ihre Kinder wieder gelöscht werden, müssen Sie dies bei Ihrer Krankenkasse aktiv beantragen.
Es ist gesetzlich festgelegt, dass Ihnen durch die Nichtnutzung der ePA keine weiteren Nachteile entstehen dürfen.
Sehr geehrte Patientinnen, Patienten und Eltern,
Gegen warnende Stimmen von Experten haben die gesetzlichen Krankenkassen seit dem 15. Januar 2025 elektonische ePA´s mit zentraler Datenspeicherung (Z-ePA) für gesetzlich Versicherte angelegt - wenn diese nicht zuvor widersprochen haben.
Die Entwicklung der Z-ePA wurde von uns von Beginn des Gesetzgebungsverfahrens an beobachtet und wir haben uns mit dem technischen und rechtlichen Konzept intensiv auseinandergesetzt.
So wie viele Ärztinnnen und Ärzte hätten wir in unserer Praxis die Einführung einer sicheren und gut funktionierenden elektronischen Akte gerne unterstützt. Das Konzept der jetzt eingeführten „Z-ePA“ ist aber aus unserer Sicht weder ausreichend sicher noch funktionell. Ein anschauliches Video erklärt hier (nach Überspringen der Werbung) einige dieser ePA-Probleme. Wir halten es für nicht richtig, hochsensible Gesundheitsdaten internationalen, kommerziell agierenden Konzernen wie z.B. Google, Meta und OpenAI zu "Forschungszwecken" verfügbar machen zu wollen.
Darin sehen wir de facto eine Auflösung der ärztlichen Schweigepflicht. In unserer Familienpraxis ist uns das Vertrauensverhältnis zu unseren Patienten aber besonders wichtig, denn es ist die Basis unserer ärztlichen Arbeit. Deshalb wollen wir möglichst nicht mit einer "Zentraldaten-ePA" arbeiten.
Wir möchten auch in Zukunft die uns zur Verfügung stehende Arbeitszeit - und auch die Arbeitszeit unserer medizinischen Fachangestellten – vorrangig für eine vertrauensvolle medizinische Behandlung unserer Patienten „von Mensch zu Mensch“ einsetzen.
Sie können als gesetzlich Krankenversicherte eine bereits angelegte Zentraldaten-ePA für sich und/oder Ihre Kinder wieder löschen lassen, indem Sie dies bei Ihrer Krankenkasse aktiv beantragen. Unter dem folgenden Link finden Sie dazu Infos und Musterformulare zum Download.
Gut zu wissen: Gesetzlich ist festgelegt, dass Ihnen durch die Nicht-Nutzung der ePA keine weiteren Nachteile entstehen dürfen.
Bitte sprechen Sie uns an, wenn Sie weitere Hilfe dabei benötigen und helfen Sie nach Möglichkeit den Menschen in Ihrem Bekanntenkreis, die, z.B. wegen Sprachbarrieren, Schwierigkeiten bei ihren Widersprüchen haben.
Es steht Ihnen frei, auch gegen unseren Rat eine Zentraldaten-ePA für sich und / oder die eigenen Kinder führen zu wollen.
Sollten Sie dies wünschen, bitten wir Sie aber freundlichst, unsere Praxis von einer ePA-Nutzung vollständig auszuschließen.
Vielen Dank für Ihr Verständnis und Ihre Mithilfe
Ihr Team der Familienpraxis Karlstein
Flyer
Informationsflyer des Bündnis für Datenschutz und Schweigepflicht ( BfDS ) (in deutscher Sprache)
Informationsflyer zur ePA in englischer Sprache: Information on risk and side effects of the electronic patient record (ePA)
Informationsflyer zur ePA in türkischer Sprache: ELEKTRONİK HASTA KAYDININ (ePA) RİSK VE YAN ETKİLERİ HAKKINDA BİLGİ
Kleiner Medien-/Pressespiegel zur ePA:
---
Januar 2025 - Datenleck in Dänemark: Patienten bloßgestellt. Hacker erpressen offenbar einen Praxiskonzern, bei dem 130.000 Patienten registriert sind, mit gestohlenen digitalen Patientendaten.
Januar 2025 - Frankfurter Rundschau: Gefährdete Schweigepflicht
Januar 2025: Newsletter des Bündnis für Datenschutz und Schweigepflicht
Januar 2025 - Freie Ärzteschaft: Verantwortungslose Vernebelungstaktik bei der elektronischen Patientenakte (ePA)
Dezember 2024 - Zeit Online: Das Nachrichtenmagazin "ZEIT ONLINE" berichtet: "Potenziell 70 Millionen digitale Patientenakten für Hacker zugänglich". IT-Experten haben auf dem CCC-Kongress in Hamburg dargelegt, wie leicht sie auf alle (!) elektronischen Patientenakten zugreifen können.
Dezember 2024 - Bundesverband der Verbraucherzentralen: - "Krankenkassen kommen in vielen Fällen den gesetzlich festgelegten Informationspflichten für ihre Versicherten zur ePA nur unzureichend nach"
Oktober 2024 - Heise News: Google, Meta und OpenAI haben "grosses Interesse" an den ePA-Gesundeitsdaten
Oktober/ Februar 2024 - Reuters - Ransomware-Angriff in den USA: Gesundheitsdaten von mehr als 100 Millionen Menschen wurden gestohlen
Oktober 2024 - Netzpolitik.org - Das Fraunhofer-Institut hat im Sommer 2024 einen Sicherheits-Prüfbericht zur Z-ePA vorgelegt und listet 21 Schwachstellen
Link zu weiteren Datenpannen, Leaks, Artikel und Expertenmeinungen rund um das Thema "Digitalisierung im Gesundheitswesen"
---
Digitalisierung - Sorgfalt oder Schnelligkeit?
Eine moderne Medizin ist heute ohne digitale Unterstützung in vielen Bereichen nicht mehr denkbar. Viele Techniken tragen zur Verbesserung von Diagnostik und Therapie bei. Doch "digital" ist nicht gleich "digital" - und oft wird bei diesen Themen nicht ausreichend differenziert.
Es ist ein großer Unterschied, ob es um den technischen Ausbau von schnellen Internetzugängen oder Mobilfunknetzen geht oder um den Umgang mit den hochsensiblen Gesundheitsdaten unserer Patienten.
Als Ärztinnen und Ärzte sehen wir uns im Rahmen Ihrer Behandlung zu Sorgfalt und Vertraulichkeit verpflichtet, denn in therapeutischen Situationen sind Patienten oft schutzbedürftig und Krankenakten enthalten regelmäßig sehr private und sensible Angaben. Geraten diese sensiblen Daten in falsche Hände, kann dies, wie viele Beispiele leider bereits gezeigt haben, verheerende, bisweilen sogar existentielle Folgen nach sich ziehen.
Grundsätzlich ist eine elektronische Patientenakte aber gar keine schlechte Idee - und gut durchdachte Versionen werden auch in anderen europäischen Ländern eingesetzt: In Finnland und in den Niederlanden werden Gesundheitsdaten primär zur Verbesserung der Patientenversorgung und Forschung genutzt. In Finnland wird ein System verwendet, das klare Regeln für den Datenzugriff und strikte Patientenkontrollen bietet. Auch in den Niederlanden sind strenge Datenschutzgesetze verankert, die eine Datennutzung für Dritte stark einschränkt. Im Gegensatz dazu ist mit der deutschen Zentraldaten-ePA geplant, Daten für verschiedene Institutionen und möglicherweise kommerzielle Zwecke zugänglich zu machen. Auch der Schutz vor Zugriffsmöglichkeiten erscheint fragwürdig: Warum z.B. sollte eine Apotheke (oder auch Ergotherapeuten, Pflegeheime usw...) 3 Tage Vollzugriff auf die Ihre komplette Krankenakte erhalten? Zudem ist auch noch eine automatische Übertragung der ePA-gesammelten Patientendaten in den europäischen Gesundheitsdatenspeicher (EHDS) geplant. Dies wäre dann möglicherweise verbunden mit einem vollständigen Kontrollverlust des Patienten über seine einmal abgeflossenen Daten.
Die Politik bedient sich gerne im bunten Einkaufsladen der digitalen Welt - und nutzt dann Schlagworte wie "Daten retten Leben". Solche Aussagen klingen erst einmal gut - denn wer möchte nicht gerne Leben retten? Doch solche Floskeln sind genauso wenig zutreffend wie z.B. eine Aussage "Geld rettet Leben".
Zutreffender ist folgende Aussage: "Eine systematische Untersuchung von medizinischen Daten nach wissenschaftlichen Kriterien kann zu wichtigen neuen Erkenntnissen führen. Wenn diese dann in die Behandlung einfliessen, können daraus Vorteile für Patienten entstehen". Alles also nicht ganz so einfach. Systematische Auswertungen von Daten sind übrigens schon seit Jahrzehnten fester Bestandteil medizinischer Forschung, natürlich auch IT-gestützt, und eine ePA bringt dabei nichts wirklich Neues für seriöse Wissenschaftler.
"Werbung" für die elektronische Patientenakte
Vielleicht wundern Sie sich, dass Ihre gesetzliche Krankenkasse Sie anschreibt und für die Vorteile einer „ePA“ wirbt?
Der Bundesverband der Verbraucherzentralen hat im Dezember 2024 die einseitigen Informationen der Krankenkassen zur ePA hier genauer unter die Lupe genommen und für unzureichend befunden.
Der Gesetzgeber lässt den gesetzlichen Krankenkassen keine Wahl ob sie die „ePA“ für ihre Versicherten einführen - sie wurden per „Digi-Gesetz“ dazu verpflichtet.
In §343 Abs. 1a Sozialgesetzbuch V sind detailreich 24 Punkte aufgeführt, über die die Krankenkassen ihre Versicherten informieren müssen. Diese Punkte beziehen sich vor allem auf etwaige „Vorteile“, „Patientenrechte“ und „Nutzungsmöglichkeiten“ der epA.
Im Gegensatz dazu gibt es leider keine Verpflichtung, Sie als betroffene Patienten und Versicherte auch umfassend über Ihre Verpflichtugen, Haftungs- und weitere Risiken der ePA zu informieren.
Wenn Sie also „Werbung“ oder "Vorteile" betonende Infos von Ihrer Krankenkasse zur ePA erhalten, so entspricht dies in erster Linie den Vorgaben des Gesetzgebers.
Die neuen Gesetze und die ePA
Seit dem 26.03.2024 gibt es in Deutschland ein "DigiGesetz" sowie ein Gesundheitsdatennutzungsgesetz (GDNG). Dort werden umfangreiche Regelungen zur Digitalisierung des Gesundheitswesens in Deutschland getroffen. Hauptpunkt dabei ist die sogenannte "elektronische Patientenakte" (ePA) – und das GDNG regelt unter anderem die Nutzung der durch ePAs gesammelten Daten. Ihre Gesundheits- und Krankendaten sollen in naher Zukunft also nicht nur bei Ihrem Arzt oder im Krankenhaus, sondern zusätzlich auch bundesweit zentral gespeichert werden. Nach dieser zentralen Speicherung sollen Ihre Befunde und Daten dann nicht mehr nur für Ihre medizinische Behandlung, sondern in großem Umfang auch für verschiedene „Forschungszwecke“ im In- und Ausland genutzt werden. Insbesondere soll mit den gesammelten Daten auch das Anlernen von „künstlicher Intelligenz“ (KI) ermöglicht werden. Um dafür möglichst viele Daten sammeln zu können, ist zudem ein sogenanntes „Opt-Out“-Verfahren gesetzlich festgelegt, das bedeutet, dass eine „elektronische Patientenakte“ für alle gesetzlich versicherten Patienten angelegt wird, wenn diese nicht vorher aktiv (!) widersprechen. Das Anlegen und automatische Befüllen einer elektronischen Akte kann so auch gegen den eigentlichen Willen des Patienten geschehen, wenn dieser es versäumt zu widersprechen. Auch Kinder kann dies betreffen, wenn die Eltern nicht für diese widersprechen.
Privatpatienten bleiben von dieser gesetzlich verankerten ePA-Variante ausgenommen. Einige Private Krankenkassen bewerben aber bereits "ePA"-Lösungen und zum Teil werden dafür von den privaten Versicherungsunternehmen eigene Apps angeboten.
Wie und wo Ihre Daten bei solchen Lösungen gespeichert werden und ob diese ausreichend geschützt sind, läßt sich nicht pauschal beantworten. Wir empfehlen auch allen Privatpatienten, eine ePA mit zentraler Datenspeicherung nicht zu nutzen.
Die Opt-Out-Problematik
Ein "Opt Out"-Verfahren für die ePA bedeutet, dass Sie aktiv etwas tun (nämlich widersprechen) müssen, wenn Sie nicht wollen, das Ihre Gesundheits-Daten zentral und digital mittels ePA gesammelt werden.
Andernfalls kann ohne Ihr weiteres Zutun und ohne Ihre vorherige Zustimmung eine ePA für Sie (oder Ihre Kinder) angelegt werden.
Nach dem Anlegen kann die ePA dann auch mit Ihren Gesundheits- und Krankendaten befüllt und schließlich die gesammelten anonymisierten oder pseudonymiserten Daten von Dritten in In- und Ausland genutzt werden.
Aus anderen Lebensbereichen sind Sie es wahrscheinlich gewöhnt, dass Sie erst aktiv zustimmen müssen, bevor Ihre persönlichen Daten von Dritten gesammelt und verwendet werden dürfen.
Ein Beispiel ist das Surfen im Internet: Dabei werden Sie regelmäßig gefragt, ob Sie "Cookies" (kleine Datensammelprogramme) zulassen möchten oder nicht. Ihre Daten dürfen dann erst gesammelt werden, wenn Sie ausdrücklich zugestimmt haben.
Dieses bewährte Prinzip der vorherigen Einwilligung wird nun aber ausgerechnet bei Ihren besonders sensiben und schützenswerten Gesundheits-und Krankheitsdaten umgekehrt:
Nur wenn Sie als gesetzlich Versicherter zuvor aktiv einen Widerspruch erklären, können Sie aus dem geplanten Datensammel-Automatismus aussteigen ("Opt-Out").
Wie genau Sie aus der ePA aussteigen können, ist zudem kompliziert: Der Gesetzgeber hat keine kassenübergreifende und patientenfreundliche Möglichkeit für die Opt-Out-Verfahren festgelegt, sondern die gesetzlichen Krankenkassen verpflichtet, einzelne Lösungen für ihre Versicherten zu entwickeln.Näheres dazu im Kapitel "ePA-Widerspruch".
Die Opt-Out-Verfahren werden ausserdem mehrstufig gestaltet, was die Sache weiter kompliziert.
Das bedeutet: Sie können dem Anlegen einer elektronischen Patientenakte insgesamt widersprechen oder aber auch nur einzelnen Nutzungen.
Doch die Interpretation medizinischer Befunde in Bezug auf Bedeutung und Datenschutzbedürftigkeit kann nicht einfach sein. Noch schwieriger erscheint die Abwägung von Chancen und Risikien der Nutzung eigener Gesundheitsdaten durch Dritte.
Wenn Sie eine ePA selbst verwalten bzw. Widersprüche auf verschiedenen Ebenen einrichten möchten, werden Sie schnell feststellen: Die Zusammenhänge sind komplex und unübersichtlich. In dieser aktuellen, von einer gesetzlichen Krankenkasse bereitgestellten, 38-seitigen Informationsschrift zur ePA können Sie sich einen ersten Eindruck hierzu verschaffen. Für den Alltag erscheint uns dies alles aber als viel zu kompliziert und unpraktikabel. Deshalb befürchten wir, daß einige Patienten mit der Steuerung ihrer ePA-Daten überfordert würden und der Datennutzung durch Dritte gar nicht widerprechen - ohne sich aber im Einzelnen über die Folgen im Klaren zu sein. Unsere Empfehlung dazu lautet deshalb: Wenn Sie die 38-seitige "Einführung" zur ePA nicht vollständig in ihren Auswirkungen verstehen oder sich im Alltag nicht wiederholt mit den darin aufgeführten Steuerungsmechanismen und Sicherheitsvorgaben befassen möchten, dann sollten Sie aus Sicherheitsgründen eine Zentraldaten-ePA besser überhaupt nicht nutzen und dem Anlegen derselben von Anfang an widersprechen. Damit vermeiden Sie die damit verbundenen Schwierigkeiten und Risiken.
Menschen in Deutschland sollten sich in unserem Rechtsstaat immer darauf verlassen können, dass der Staat ihre gesetzlich verankerten Grund- und Menschenrechte schützt - auch ohne dass es dafür im Einzelfall einer gesonderten, aktiven Anstrengung oder Willenserklärung bedarf. Das gilt uneingeschränkt auch für das Recht auf informationelle Selbstbestimmung. Deshalb sind alle Opt-out-Modelle zur ungefragten Weitergabe persönlichster (Gesundheits-)Daten aus unserer Sicht abzulehnen. Nur Modelle, die eine aktive Einwilligung nach vorangehender, fundierter Aufklärung der Patient:innen vorsehen, stehen für einen demokratie- und verfassungskonformen, respektvollen Umgang mit den Rechten der Bürger:innen und respektieren deren freien Willen. Verschiedene Patientenrechtsvertreter und Juristen sehen in der Opt-Out-Regelunge mögliche Verstöße gegen unser Grundgesetz und gegen die europäische Datenschutz-Grundverordnung.
Deshalb werden diese Sachverhalte später möglicherweise noch rechtlich geklärt werden. Juristisch Interessierten empfehlen wir dazu den Artikel "Gesundheitsdatennutzung ohne Datenschutz? Lauterbach auf Spahns Spuren der Verfassungswidrigkeit", veröffentlicht in den Datenschutz-Nachrichten (2-2024).
Nutzen einer ePA
Natürlich ist es sinnvoll, medizinischen Unterlagen zeitgerecht für Ihre medizinische Behandlung dort zur Verfügung zu haben, wo diese benötigt werden. Deshalb ist ein elektronische Patientenakte grundsätzlich auch gar keine schlechte Idee.
Dafür braucht es abe keine hoch risikobehaftete "Zentraldaten-ePA" in der jetzt geplanten Form. Stattdessen könnte ein besseres ePA-Konzept Patienten schützen und die medizinische Behandlung sinnvoll unterstützten. Das hätten dann auch wir Ärztinnen und Ärzte gerne - und dafür gibt es bereits sehr gute technische Möglichkeiten ohne zentrale Datenspeicherung. Die ärztliche Schweigepflicht wäre damit weiter gewährleistbar.
Auch für die schnelle und sichere elektronische Kommunikation zwischen Ärzten und anderen medizinischen Leistungserbringern braucht es keinen Zentraldaten-Speicher. Hierfür gibt es bereits dezentrale digitale Lösungen, die einen schnellen Versand von Arztbriefen ermöglichen.
Zu Verzögerungen in der Medizin kommt es übrigens oft gar nicht bei der Befundübermittlung, sondern eher bei der Befunderstellung. Hierbei spielen die zunehmende Arbeitsüberlastung durch einen Ärztemangel in Kliniken und Praxen eine entscheidende Rolle. Ein Arztbrief kann schließlich erst übermittelt werden, wenn zuvor "Bürozeit" für dessen Erstellung zur Verfügung stand.
Für eine Nutzung von Diensten wie "elektronische Arbeitsunfähigkeitsbescheinigung", "elektronisches Rezept" und "elektronischer Medikationsplan" benötigen Sie ebenfalls keine Zentraldaten-ePA - diese Dienste funktionieren weiterhin auch ohne ePA.
Es erscheint zudem als reines Wunschdenken, dass Zentraldaten-ePA´s zu vollständigen Befundsammlungen werden könnten. Viele Patienten haben zig Vorbefunde wie z.B. Vorsorgedokumentationen, Arztbriefe, Laborwerte, Röntgenbilder, Impfpasseinträge - und so weiter.
Wenn hiervon nur die 15 wichtigsten Vor-Befunde für jeden gesetzlich versicherten Patienten in eine ePA eingepflegt würden, wären dies bereits ca. 1,1 Milliarden (!) Befunde die gesichtet, selektiert, geprüft, anonymisiert, in ein geeignetes Format umgewandelt, katalogisiert, verstichwortet und hochgeladen werden müssten.
Für den damit verbundenen, extrem hohen Verwaltungsaufwand gibt es bis Heute kein überzeugendes, organisatorisches und sicherheitstechnisches Konzept. Doch selbst nach solchen Mammut-Aktionen, die wahrscheinlich für Jahre Fachkräfte binden würden, wären die elektronischen Patientenakten immer noch unvollständig, denn viele Patienten haben noch weitaus mehr wichtige Vorbefunde. Deshalb werden sich weder die Patienten noch die die Ärzte in Zukunft darauf verlassen können, dass in einer Zentraldaten-ePA die wirklich entscheidenen Befunde auch enthalten sind.
Notfallsituationen
Es klingt erst einmal gut - und wird auch gerne so beworben: Viele Patienten erhoffen sich von der ePA die schnelle Zugriffsmöglichkeit auf ihre medizinische Informationen im Notfall.
Doch gerade für echte Notfallsituation erscheint uns die Zentraldaten-ePA leider ebenfalls untauglich. Der Abruf von Unterlagen über eine Zentraldaten-ePA benötigt einen funktionierenden Internetzugang - und kein Notarzt wird sich in kritischen Situationen mit langsamer Technik und unvollständigen Datensammlungen abmühen und damit wertvolle Zeit verschwenden. Ein Blatt Papier mit Ihren wichtigsten, aktuellen Informationen (z.B. Diagnosen - Medikamente - Allergien) ist für Notfallzwecke effektiv und funktioniert immer - auch ohne Internetanbindung.
Alternativ gibt es auch Konzepte für "Offline-EPA´s" mit lokalen Speichermöglichkeiten z.B. auf der Versichertenkarte. Diese könnten dem Patienten dann einen sinnvollen Nutzen bei guter Datensicherheit auch in Notfallsituationen bieten.
In der Septemberausgabe 2024 des Hamburger Ärzteblattes findet sich eine lesenswerte Stellungnahme der Expertin Frau Dr.med. Silke Lüder zum Nutzen einer Zentraldaten-ePA.
Risiken der ePA
Im Digi-Gesetz ist festgelegt, dass die gesetzlichen Krankenkassen ihre Versicherten über die ePA informieren müssen (§ 343 Abs. 1a SGB V). Dabei werden 24 Punkte vorgegeben, unter anderem zu ePA-„Mehrwert und Nutzen“ und zu Patientenrechten. Die Risiken einer ePA werden hingegen nicht benannt.
Deshalb haben wir nachfolgend einige dieser Risiken für Sie zusammengestellt. Zu jedem Risiko geben wir unsere subjektive Einschätzung ab, wie wahrscheinlich uns ein Eintritt des jeweiligen Risikos erscheint.
Patientenakten enthalten naturgemäß sehr vertrauliche und private Angaben, die der ärztlichen Schweigepflicht unterliegen. Ein Beispiel: In einem REHA-Bericht können sich Angaben zu Ihren Vorerkrankungen, Operationen, Krankheiten in der Familie, Risikofaktoren wie Nikotin, Alkohol oder Drogen, Laborbefunde, psychische und körperliche Befunde, Sozialstatus, Arbeitsleben, Schulden, Beziehungsstaus und vieles mehr finden. Ihre Gesundheitsdaten sind deshalb besonders schutzbedürftig und unterliegen bislang auch der ärztlichen Schweigepflicht. Gelangen solche Daten in falsche Hände, kann dies verheerende Folgen für die Betroffenen nach sich ziehen. Nach unserer Auffassung steht das Recht auf Datenschutz - und damit auch das Recht, diesen auf freiwilliger Basis zu lockern, ausschließlich dem Patienten (oder dessen gesetzlichen Vertreter) zu, auf den sich die Daten beziehen.
Unerwünschtes Anlegen von ePA´s
Die gesetzlich verankerten Opt-Out-Option zur ePA stellt eine Abkehr vom bewährten und gewohnten Prinzip des Einholens einer vorherigen Einwilligung dar.
Ohne vorherigen Widerspruch wurden ab dem Startdatum 15. Januar 2025 zwischenzeitlich ca. 70 Millionen ePA´s für gesetzlich Versicherte angelegt - oft wahrscheinlich gegen den tatsächlichen Willen der Patienten.
Es ist zu befürchten, dass viele Patienten aus Unkenntnis oder Komfortgründen dieser ePA nicht aktiv bei ihrer Krankenkasse widersprechen, obwohl sie die ePA eigentlich gar nicht für sich oder ihre Kinder haben möchten.
Risikoeinschätzung: Sehr hoch (bzw. bereits eingetreten)
Unsichere Pseudonymisierung
In der ePA zentral gespeicherte Gesundheits-Daten sollen vor einer Weiterverwendung nur pseudonymisiert werden. Die ursprünglich geplante Anonymisierung ist nicht mehr vorgesehen. Aber auch eine Pseudonymisierung erscheint kaum vollständig und sicher machbar und der Aufwand dafür ist im Konzept der ePA nicht plausibel dargelegt. Doch selbst wenn eine Pseudonymisierung mit großem Aufwand durchgeführt würde, besteht weiter die Gefahr der „Zurückrechnung“. Dies bedeutet, dass durch die Kombination verschiedener „Daten-Merkmale“ (z.B. Alter - Geschlecht - Postleitzahl - Beruf) relativ einfach wieder Rückschlüsse auf einzelne Menschen gezogen werden können. Daten, die heute für fragwürdige „Forschungszwecke“ an Dritte abfließen, können so zu "digitalen Zeitbomben" mit unvorhersehbarem Schädigungspotential in der Zukunft werden.
Risikoeinschätzung: Sehr hoch (für die nicht vollständig mögliche Pseudonymisierung)
Langfritsig hoch (für eine Rückrechnung/Daten-Rekombination)
Hacker-Angriffe / Krimineller Datenmissbrauch / Schadsoftware
Die Daten der ePA liegen nicht bei den gesetzlichen Krankenkassen und auch nicht auf den elektronischen Gesundheitskarten, sondern zentral auf Servern in einem sogenannten „ePA-Aktensystem“. Diese Daten-Sammelstellen werden von der „Gematik GmbH“ betrieben, die in Zukunft zu einer staatsnahen „Digitalagentur“ umgebaut werden soll. Im Dezember 2024 hat der „Chaos Computer Club“ erstmals nachgewiesen, dass alle ePA-Daten grundsätzlich hackbar waren. Eine Sammlung zentral gespeicherter, persönlichster Daten ist geradezu prädestiniert dafür, die Aufmerksamkeit von kriminellen Hackern aus dem In- und Ausland auf sich zu ziehen. Es besteht die Gefahr, dass Kriminelle versuchen werden, sich Zugang zu den gespeicherten Daten zu verschaffen um dann damit Lösegelder oder andere Forderungen zu erpressen. Viele Hacker-Angriffe und Datenpannen im In- und Ausland zeigen, dass dies oft auch in gut geschützt geglaubten Umgebungen, z.B. im Gesundheitswesen, tatsächlich passiert. Weitere Gefahren ergeben sich an vielen Schnittstellen bei Dateneingabe und -nutzung, z.B. auf den Smartphones der Patienten. Dateien, die in die Zentraldaten-ePA einfließen, können aus verschiedensten Quellen stammen. Es ist zu erwarten, dass nicht alle Datenquellen wie z.B. Smartwaches / „Wearables“ von kommerziellen Anbietern, stets aktuelle Sicherheitsstandards gewährleisten. Deshalb ist auch ein Einschleppen von Schadcode über ePA-Dateien vorstellbar. Sich unbemerkt ausbreitender Schadcode kann neben Datenverlust zu massiven materiellen und immateriellen Sekundärschäden führen. Die vorgesehenen Schutzkonzepte erscheinen uns intransparent und wenig vertrauenerweckend.
Risikoeinschätzung: Hoch (Sicherheit gibt es bei zentraler Datenspeicherung systembedingt nicht vollständig)
Sehr hoch für die Endnutzer auf Smartphone-Ebene
Datenmissbrauch durch sogenannte "Innentäter"
„Innentäter“ sind beschäftigte Personen, die sich nicht an Regeln und Vorgaben wie z.B. Datenschutzrichtlinien oder Informationssicherheitsvorgaben halten. Im deutschen Gesundheitswesen können ca. 2 Millionen im Gesundheitswesen Tätige eine Zugangsberechtigung zur ePA erhalten. Mit dem Stecken der Gesundheitskarte wird z.B. Hilfskräften in Apotheken der Zugriff auf Ihre in der ePA eingestellten Arztbriefe und Diagnosen ermöglicht. Ursprünglich geplante Steuerungsmechanismen, die es den Patienten erlauben würden, ein sinnvolles Zugriffsrechte-Management mit der ePA zu führen, wurden gestrichen. Stattdessen wird lediglich ein aufwändiges, aber grobes und nicht alltagstaugliches Einstellen ermöglicht. Die Verantwortung dafür wird dem Patienten aufgebürdet und letztlich sind Gesundheitsdaten vor Gelegenheits-Innentätern, die aus Neugier oder aus anderen Eigeninteressen unberechtigt Einsicht nehmen, in der Zentraldaten-ePA kaum mehr zuverlässig zu schützen.
Risikoeinschätzung: Sehr hoch
Forschungsziele kommerziell statt am Gemeinwohl orientiert
Nach zentraler Speicherung sollen Befunde und Daten dann in Zukunft nicht nur für die medizinische Behandlung, sondern insbesondere und in großem Umfang auch für unbestimmte „Forschungszwecke“ im In- und Ausland genutzt werden. Nutzer können dann auch Pharmafirmen, große Konzerne und Digitalfirmen werden, die damit z.B. ihre "künstliche Intelligenz"-Modelle anlernen. Große US-Digitalfirmen wie Google, Meta und OpenAI haben bereits im Dezember 2024 beim deutschen Gesundheitsminister ihr Interesse angemeldet. Ob „Forschungs-Ergebnisse“ solcher Firmen später jemals einen seriösen medizinisch-wissenschaftlichen Nutzen für die Patientenversorgung und für das Gesundheitswesen haben, darf stark bezweifelt werden. Stattdessen steht zu befürchten, dass vor allem die kommerziellen Interessen von Digital- und Pharmafirmen, Kostenträgern und Versicherungen gestützt und neue Kontroll- und Kostensparmodelle etabliert werden.
Risikoeinschätzung: Sehr hoch
Risiko: Zugriff von Behörden, Vorratsdaten und politischer Wandel
Zentral gespeicherte Gesundheitsdaten können als „Vorratsdatenspeicherung“ betrachtet werden. Ohne schützende politische / rechtliche Rahmenbedingungen könnten diese tiefen und umfassenden Daten in Zukunft zu verschiedenen Kontroll-, Überwachungs- oder Fahndungszwecken herangezogen werden. Es kann nicht ausgeschlossen werden, dass Strafverfolgungsbehörden Zugriff auf elektronische Patientenakten begehren, inclusive aller darin dokumentierten Gesundheits- und Behandlungsdaten. In Zeiten von Gefahrenlagen wie Pandemien oder nach politischen Umbrüchen wären auch noch weiterreichende Szenarien denkbar: Mit dem Argument der „Gefahrenabwehr“ könnten breit angelegte Zugriffe auf die Gesundheitsdaten der Bürger legalisiert werden, um z.B. Rasterfahndungen oder Impf- und Infektionsschutzmaßnahmen durchzusetzen. Nach Wiedereinführung einer Wehrpflicht in Deutschland könnten Behörden versuchen, "Vorab-Musterungen auf Knopfdruck" durchzuführen. Solche Szenarien wären ein herber Rückschlag für die Freiheitsrechte der Menschen und für unsere Demokratie.
Risikoeinschätzung: Stark abhängig von der politischen und gesellschaftlichen Lage und Entwicklung
Patientenversorgung wird beeinträchtig
Die Gesundheitsversorgung in Deutschland ist in vielen Bereichen am Limit. In den meisten Arztpraxen in Deutschland gibt es schon seit Jahren einen hohen Digitalisierungsgrad, deshalb sind hier auch keine wesentlichen Effizienzsteigerungen durch eine ePA mehr zu erwarten. Stattdessen verursacht das massenhafte Anlegen, Befüllen und Pflegen von ePA‘ s einen sehr großen Verwaltungs- und Arbeitsaufwand, der im Wesentlichen vom medizinischem Fachpersonal geleistet werden soll. Dabei ist große Sorgfalt unabdingbar, denn schon jeder Dokumentenupload führt zu Sicherheits- und Haftungsrisiken. Wir erwarten, dass sich durch diese zusätzlichen Belastungen die medizinische Versorgung in Deutschland in den nächsten Jahren weiter erheblich verschlechtert. Wartezeiten auf Arzttermine können dann noch länger als bisher werden.Im Digi-Gesetz ist auch vorgesehen, ein Einscannen von Patientendokumenten den Krankenkassen zu übertragen. Hierfür müssten Patient:innen ihre vertraulichen Krankheitsunterlagen den Versicherungsunternehmen / Krankenkassen aushändigen. Dies würde aus unserer Sicht die ärztliche Schweigepflicht und den Patientendatenschutz gefährden.
Risikoeinschätzung: Sehr hoch (für die ersten Jahre nach ePA-Einführung)
Beeinträchtigung der informationellen Selbstbestimmung für unsere Kinder und für betreute Personen
In vielen Lebensbereichen gibt es heute einen gesellschaftlichen Diskurs zu Nachhaltigkeit und zu unserer Verantwortung für zukünftige Generationen. Dazu gehört auch der Umgang mit den digitalen Daten unserer Kinder: Heute setzen wir das ethische, gesellschaftliche und rechtliche Fundament für die digitale Welt, in der diese in Zukunft leben müssen. Dabei ist "Datensparsamkeit“ als lange anerkannter Grundsatz zum Schutz privater Daten ein wertvolles Prinzip, dass wir nicht für flüchtige Vorteilsversprechen opfern sollten. Stattdessen sollten wir jede Nutzung der digitalen Daten unserer Kinder sorgfältig abwägen und insbesondere ihre sensibelsten Gesundheits- und Krankheitsdaten gut schützen. Nur dann werden unsere Kinder auch in Zukunft noch die Möglichkeit haben, selbstbestimmt zu entscheiden, was mit mit ihren Daten geschieht und wer diese nutzen darf. Kinder dürfen erst ab einem Alter von 15 Jahren ihre Selbstbestimmungsrechte in Bezug auf ihre Gesundheitsdaten wahrnehmen. Wenn Eltern nicht zuvor für sie im "Opt-Out"-Verfahren widersprechen, werden ePA´s auch für gesetzlich krankenversicherte minderjährige Kinder angelegt. Bis zur Möglichkeit einer eigenen Entscheidung würden dann viele Daten zentral gespeichert und von Dritten genutzt – und damit den beschriebenen Risiken ausgesetzt. Im Falle eines Datenmissbrauchs können dann später im Erwachsenalter gravierende Nachteile entstehen, z. B. bei dem Versuch, eine Lebens- oder Berufsunfähigkeitsversicherung abzuschließen.
Einen Nutzen für Kinder-ePA´s , der solche Risiken rechtfertigt, sehen wir nicht. Ähnliches gilt für Menschen, für die eine gesetzliche Betreuung eingerichtet ist. Hier können die zuständigen gesetzlichen Betreuer für Ihre Betreuten Widerspruch einlegen.
Risikoeinschätzung: Sehr hoch (für die nachfolgenden Generationen)
Resümee
Wir empfehlen Ihnen: Nutzen Sie Ihre Rechte als mündiger Patient / als Eltern und schützen Sie sich und die Zukunft Ihrer Kinder
Durch Ihren Widerspruch gegen das Anlegen einer Zentraldaten-ePA können Sie untersagen, dass sensible Gesundheits- und Krankendaten von Ihnen und Ihren Kindern gleich am Anfang dieser Digitalvorhaben in eine zentrale Sammelstelle hochgeladen und dann von Dritten genutzt werden.
Sie können damit ohne großen Aufwand die Daten-Sicherheit für sich und Ihre Familie erhöhen - denn einmal hochgeladene und an Dritte abgeflossene Daten oder Auswertungen lassen sich kaum mehr verlässlich "zurückholen".
Es erscheint uns sinnvoll, erst einmal die Entwicklungen, Erfahrungen und und die Sicherheitslage zur ePA zu beobachten.
Sollten Sie in Zukunft von der Sicherheit und dem Nutzen solcher Lösungen wirklich überzeugt sein, können Sie immer noch einsteigen und später eine ePA für sich einrichten lassen.
Lassen Sie sich bitte auch nicht von Vorteils-Versprechen oder kleinen Bonusgeschenken z.B. durch Ihre Krankenkasse, locken - Sie „zahlen“ dies mit Ihren Gesundheits- und Krankheitsdaten.
Wann ist der richtige Zeitpunkt für einen Widerspruch?
Startdatum der "ePA für Alle" war der 15. Januar 2025 (zunächst in Modellregionen, in Kürze dann überall in Deutschland). Ihre gesetzliche Krankenkasse war verpflichtet, Sie bis zu diesem Datum über die ePA und Ihre Widerspruchsrechte zu informieren.
Wir empfehlen Ihnen, jetzt sobald wie möglich dem Anlegen einer ePA zu widersprechen um einen möglichen Datenabfluss zu verhindern.
Hier finden Sie weitere Infos zu den Widerspruchsmöglichkeiten.Mit freundlichen Grüßen
Ihre Familienpraxis
Dr. med. Vera Zimmer - Dr. med. Susann Überreiter - Dr. med. Alexander Miller - Th. Bergmann