Patienten-Information zur ePA + Digitalisierung

(letztes Update: 25.09.2024)

Das Wichtigste kurz und bündig für Sie vorab:

- Digital-Gesetz (DigiG) sowie Gesundheitsdatennutzungsgesetz (GDNG) sind am 26.03.2024 in Deutschland in Kraft getreten. Im DigiG wird auch die Einführung einer "elektronischen Patientenakte" (ePA) für gesetzlich Versicherte geregelt.


- Die ePA wird als Instrument zur "Verbesserung der medizinischen Versorgung" intensiv beworben.
Das aktuelle Konzept und die Ausgestaltung haben aber aus unserer Sicht mehrere gravierende Schwächen. Die Risiken erscheinen uns größer als mögliche Vorteile. Insbesondere sehen wir Ihre äußerst sensiblen persönlichen medizinischen Daten als nicht ausreichend geschützt an. Ähnlich beurteilen dies viele Patientenrechtsvertreter und Experten, z.B. hier:
Link zum offenen Experten-Brief "Vertrauen lässt sich nicht veordnen" / Mitunterzeichner-Liste.
Link zum Bündins "widerspruch-epa.de" / Liste der zugehörigen Büdnispartner

- Wir raten von einer Nutzung der ePA zum jetzigen Zeitpunkt dringend ab.

- Damit nicht automatisch und ungewollt ePAs für Sie oder Ihre Kinder angelegt werden, müssen Sie aktiv bei Ihrer Krankenkasse widersprechen. Vor Ihrer
Widerspruchsmöglichkeit muss Ihre Krankenkasse Sie über die ePA informiert haben. Wann dies geschieht, ist noch nicht für alle Krankenkassen bekannt

- Soweit es in der Möglichkeit unserer Praxis liegt, werden wir ePAs nicht ohne Ihre vorherige ausdrückliche Zustimmung anlegen und diese auch nicht automatisch befüllen.

Informationsflyer zur ePA in englischer Sprache: Information on risk and side effects of the electronic patient record (ePA)

Informationsflyer zur ePA in türkischer Sprache: ELEKTRONİK HASTA KAYDININ (ePA) RİSK VE YAN ETKİLERİ HAKKINDA BİLGİ

Digitalisierung - Sorgfalt oder Schnelligkeit?

Eine moderne Medizin ist heute ohne digitale Unterstützung in vielen Bereichen nicht mehr denkbar. Viele, zum Teil faszinierende, Techniken tragen zur Verbesserung von Diagnostik und Therapie bei. Doch auch digitale Technologien haben ihre Grenzen und Risiken und in den Medien entsteht oft der Eindruck, eine schnelle Digitalisierung könne als universeller Problemlöser für das Gesundheitswesen dienen. Wahrscheinlich ist es aber nur ein bequemer (und scheinbar billigerer) Weg, auf reihenweise Digitalisierungsprojekte zu verweisen anstatt sich den großen Herausforderungen im Gesundheitswesen konkret zu stellen und Verbesserungen von Grund auf zu erarbeiten. „Digitalisierung first – Bedenken second“ – das war ein flotter Wahlkampfslogan, der Ihnen vielleicht noch in Erinnerung ist. Solche Floskeln mögen vielleicht eine gewisse Berechtigung haben, wenn es um den technischen Ausbau von schnellen Internetzugängen oder Mobilfunknetzen geht. In der Medizin aber gelten bislang aus gutem Grund ganz andere Regeln: Als Ärztinnen und Ärzte sehen wir uns im Rahmen Ihrer Behandlung zu einer großen Sorgfalt und Vertraulichkeit verpflichtet, denn in therapeutischen Situationen sind Patienten manches Mal schutzbedürftig und die Krankenakten enthalten regelmäßig sehr private und sensible Angaben. Geraten Ihre privatesten Daten in falsche Hände, kann dies, wie viele Beispiele leider bereits gezeigt haben, verheerende, bisweilen sogar existentielle Folgen nach sich ziehen. Wir meinen daher: Das gesprochene Wort und Ihre Befunde müssen unbedingt sicher und vertraulich bleiben – und deshalb haben wir gerade als Haus- und Kinderärzte große Bedenken zu einer überhasteten Schnell-Digitalisierung. Wir sagen
JA - Wir befürworten ausdrücklich die Weiterentwicklung sicherer digitaler Techniken in der Medizin, wenn es den Patienten oder einer gemeinnützigen medizinischen Forschung dient und den Arbeitsalltag im Gesundheitswesen unterstützt.
NEIN - zu jeder übereilten oder schlecht ausgeführten Schnelldigitalisierung mit zentraler Datenspeicherung intimster und vertraulichster Patientendaten, die viele, unüberschaubare Risiken mit sich bringt.

"Werbung" für die elektronische Patientenakte

Vielleicht wundern Sie sich, dass Ihre gesetzliche Krankenkasse Sie anschreibt und für die Vorteile einer „ePA“ wirbt? Dazu sollten Sie Folgendes wissen: Ihre gesetzliche Krankenkasse ist eng in das System der gesetzlichen Krankenversicherung in Deutschland eingebunden und muss die gesetzlichen Regelungen befolgen.
So ist es auch bei der „elektronischen Patientenakte“. Dabei lässt der Gesetzgeber den gesetzlichen Krankenkassen keine Wahl ob sie die „ePA“ für ihre Versicherten einführen möchten oder nicht - sie sind per „Digi-Gesetz“ dazu verpflichtet.
Ähnlich verhält es sich mit den Informationen zu den „Vorteilen“ einer elektronischen Patientenakte: Damit kommen die Krankenkassen einer weiteren, im DIGI-Gesetz festgeschriebenen, Verpflichtung nach:
Der Gesetzgeber führt dazu in §343 Abs. 1a SGB V detailreich 24 Punkte auf, über die die Krankenkassen ihre Versicherten informieren müssen.
Diese Punkte beziehen sich vor allem auf etwaige „Vorteile“, „Patientenrechte“ und „Nutzungsmöglichkeiten“ der epA.
Im Gegensatz dazu gibt es leider keine Verpflichtung, Sie als betroffene Patienten und Versicherte auch umfassend über mögliche Risiken der ePA zu informieren.
Wenn Sie also „Werbung“ oder Vorteile betonende Infos von Ihrer Krankenkasse zur ePA erhalten, so entspricht dies in erster Linie den Wünschen und Vorgaben des Gesetzgebers.

Die neuen Gesetze und die ePA

Im Dezember 2023 hat der deutsche Bundestag gegen die Bedenken vieler Experten ein Digital-Gesetz (DigiG) sowie ein Gesundheitsdatennutzungsgesetz (GDNG) verabschiedet.
Diese beiden Gesetzte sind nun am 26.03.2024 weitestgehend unbemerkt von der Öffentlichkeit in Kraft getreten.

Im "DigiG" werden umfangreiche Regelungen zur Digitalisierung des Gesundheitswesens in Deutschland getroffen. Hauptpunkt dabei ist die sogenannte "elektronische Patientenakte" (ePA) – und das GDNG regelt unter anderem die Nutzung der durch ePAs gesammelten Daten. Ihre Gesundheits- und Krankendaten sollen in naher Zukunft also nicht nur bei Ihrem Arzt oder im Krankenhaus, sondern zusätzlich auch bundesweit zentral gespeichert werden. Nach dieser zentralen Speicherung sollen Ihre Befunde und Daten dann nicht mehr nur für Ihre medizinische Behandlung, sondern in großem Umfang auch für verschiedene „Forschungszwecke“ im In- und Ausland genutzt werden. Insbesondere soll mit den gesammelten Daten auch das Anlernen von „künstlicher Intelligenz“ (KI) ermöglicht werden. Um dafür möglichst viele Daten sammeln zu können, ist zudem ein sogenanntes „Opt-Out“-Verfahren gesetzlich festgelegt, das bedeutet, dass eine „elektronische Patientenakte“ für alle gesetzlich versicherten Patienten angelegt wird, wenn diese nicht vorher aktiv (!) widersprechen. Das Anlegen und automatische Befüllen einer elektronischen Akte kann so auch gegen den eigentlichen Willen des Patienten geschehen, wenn dieser es versäumt zu widersprechen. Auch Kinder kann dies betreffen, wenn die Eltern nicht für diese widersprechen.
Vertraulichste Gesundheitsdaten können über angelegte ePA´s in die zentraler Datenspeicherung des staatlichen Forschungsdatenzentrum Gesundheit (FDZ) beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) übermittelt und für Sekundärnutzungen bereit gestellt werden.
Das BfArM ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Gesundheit (BMG).

Privatpatienten bleiben von dieser gesetzlich verankerten ePA-Variante zunächst noch ausgenommen. Einige Private Krankenkassen bieten aber bereits eigenständige ePA-Lösungen an und zum Teil werden dafür von den privaten Versicherungsunternehmen eigene Apps angeboten.
Wie und wo Ihre Daten bei solchen Lösungen gespeichert werden und ob diese ausreichend geschützt sind, läßt sich nicht pauschal beantworten.

Die Opt-Out-Problematik

Auch bisher gab es schon eine "kleine" elektronische Patientenakte, die aber von den Krankenkassen nur auf Wunsch und nach vorheriger Einwilligung der Patienten angelegt wurde.

Dies ändert sich nun mit dem Wirksamwerden der beiden neuen Gesetzen ganz grundlegend:
Das neue "Opt Out"-Verfahren bedeutet, dass Sie aktiv etwas tun (nämlich widersprechen) müssen, wenn Sie nicht wollen, das Ihre Gesundheits-Daten zentral und digital mittels ePA gesammelt werden.
Andernfalls kann ohne Ihr weiteres Zutun und ohne Ihre vorherige Zustimmung eine ePA für Sie (oder Ihre Kinder) angelegt werden.
Nach dem Anlegen kann die ePA dann auch mit Ihren Gesundheits- und Krankendaten befüllt und schließlich die gesammelten anonymisierten oder pseudonymiserten Daten von Dritten in In- und Ausland genutzt werden.

Aus anderen Lebensbereichen sind Sie es wahrscheinlich gewöhnt, dass Sie erst zustimmen müssen, bevor Ihre persönlichen Daten von Dritten gesammelt und verwendet werden dürfen.
Ein Beispiel ist das Surfen im Internet: Dabei werden Sie oft aktiv gefragt, ob Sie "Cookies" (kleine Datensammelprogramme) zulassen möchten oder nicht. Ihre Daten dürfen dabei erst dann gesammelt werden, wenn Sie ausdrücklich zugestimmt haben.

Dieses bewährte Prinzip der vorherigen Einwilligung wird nun aber ausgerechnet bei Ihren besonders sensiben und schützenswerten Gesundheits-und Krankheitsdaten umgekehrt:
Nur wenn Sie als gesetzlich Versicherter zuvor aktiv einen Widerspruch erklären, können Sie aus dem geplanten Datensammel-Automatismus aussteigen ("opt-out").
Wie genau Sie aus der ePA aussteigen können, ist ebenfalls kompliziert: Der Gesetzgeber hat leider keine kassenübergreifende und patientenfreundliche Möglichkeit für die Opt-Out-Verfahren festgelegt, sondern die gesetzlichen Krankenkassen verpflichtet, einzelne Lösungen für ihre Versicherten zu entwickeln.Näheres dazu im Kapitel "ePA-Widerspruch".

Die Opt-Out-Verfahren werden ausserdem mehrstufig gestaltet, was die Sache weiter kompliziert.
Das bedeutet: Sie können dem Anlegen einer elektronischen Patientenakte insgesamt widersprechen oder aber auch nur einzelnen Nutzungen.
Doch die Interpretation medizinischer Befunde in Bezug auf Bedeutung und Datenschutzbedürftigkeit kann nicht einfach sein. Noch schwieriger erscheint die Abwägung von Chancen und Risikien der Nutzung eigener Gesundheitsdaten durch Dritte.

Wenn Sie eine ePA dennoch selbst verwalten bzw. Widersprüche auf verschiedenen Ebenen einrichten möchten, werden Sie schnell feststellen: Die Zusammenhänge sind komplex und unübersichtlich.
Fachleute sprechen hierbei von einer "feingranularen Berechtigungssteuerung". Für den Alltag erscheint uns dies alles aber viel zu kompliziert und unpraktikabel. Deshalb befürchten wir, daß einige Patienten mit der exakten Steuerung ihrer ePA-Daten überfordert würden und der Datennutzung durch Dritte gar nicht widerprechen - ohne sich aber im Einzelnen über die Folgen im Klaren zu sein.

In dieser aktuellen, von einer gesetzlichen Krankenkasse bereitgestellten, 38-seitigen Informationsschrift zur ePA können Sie sich einen ersten Eindruck hierzu verschaffen.Unsere Empfehlung dazu lautet:

"Wenn Sie diese 38-seitige "Einführung" zur ePA nicht vollständig in ihren Auswirkungen verstehen oder sich im Alltag nicht wiederholt mit den darin aufgeführten Steuerungsmechanismen und Sicherheitsvorgaben befassen möchten, dann sollten Sie aus Sicherheitsgründen eine ePA nicht nutzen."

Solche Schwierigkeiten können Sie am einfachsten vermeiden, indem Sie gleich am Anfang dem Anlegen einer ePA widersprechen.

Es wundert uns angesichts dieser unübersichtlichen Ausgestaltungen nicht, dass auch verschiedene Patientenrechtsvertreter, Juristen und Ärzte zu den vorgesehenen Opt-Out-Regelungen erhebliche Bedenken haben.
Einige sehen darin zum Teil sogar mögliche Verstöße gegen unser Grundgesetz und gegen die europäische Datenschutz-Grundverordnung. Möglicherweise wird dies später noch durch Gerichte geklärt werden müssen.
Juristisch Interessierten empfiehlt sich dazu der Artikel "Gesundheitsdatennutzung ohne Datenschutz? Lauterbach auf Spahns Spuren der Verfassungswidrigkeit", soeben veröffentlicht in den Datenschutz-Nachrichten (2-2024).

In jedem Fall aber würde mit einem Übergehen des Patientenwillens bei der Freigabe von Daten aus seiner Krankheitsgeschichte das Vertrauensverhältnis zwischen Patienten und Ärzten massiv gestört. Uns ist es aber ein sehr wichtiges Anliegen, auch in Zukunft in einer vertrauensvollen und datensicheren Basis mit Ihnen arbeiten zu können. Deshalb stehen wir den geschilderten „ePA-Opt-Out“-Verfahren sehr kritisch gegenüber.
Insbesondere sehen wir auch die Selbstbestimmungsrechte unserer Kinderpatienten, die noch nicht für sich selbst entscheiden können, als nicht ausreichend berücksichtigt an.
Daher werden wir, soweit es in den legalen Möglichkeiten unserer Praxis liegt, ePAs nicht ohne Ihre vorherige ausdrückliche Zustimmung anlegen und diese auch nicht automatisch befüllen.

Nutzen einer ePA

Natürlich ist es sinnvoll, medizinischen Unterlagen zeitgerecht für Ihre medizinische Behandlung dort zur Verfügung zu haben, wo diese benötigt werden.
Die Eignung der elektronischen Patientenkakte in der jetzt geplanten Form erscheint uns hierfür aber kaum gegeben, diese Ziele könnten auf andere Weise besser und sicherer erreicht werden.
Es gibt bereits digitale Lösungsansätze für eine schnelle und sichere elektronische Kommunikation zwischen Ärzten und anderen medizinischen Leistungserbringern.
Damit ist auch ohne ePA ein schneller Versand von Arztbriefen möglich, ohne dass es dafür einer zentralen Datenspeicherung bedarf.
Zu relevanten Verzögerungen in der Medizin kommt es übrigens oft gar nicht bei der Befundübermittlung, sondern eher bei der Befunderstellung, denn ein Facharztbrief oder Bericht aus der Klinik kann erst übermittelt werden, wenn er zuvor geschrieben wurde.

Für eine Nutzung von Diensten wie "elektronische Arbeitsunfähigkeitsbescheinigung", "elektronisches Rezept" und "elektronischer Medikationsplan" benötigen Sie ebenfalls keine ePA mit Zentraldatenspeicherung. Diese Dienste funktionieren auch davon unabhängig.

Es ist zudem auch reines Wunschdenken, dass elektronische Patientenakten zu vollständigen Befundsammlungen werden könnten.
Viele Patienten haben zig Vorbefunde wie z.B. Vorsorgedokumentationen, Arztbriefe, Laborwerte, Röntgenbilder, Impfpasseinträge - und so weiter.
Wenn hiervon nur die 15 wichtigsten Vor-Befunde für jeden gesetzlich versicherten Patienten in eine ePA eingepflegt würden, wären dies bereits ca. 1,1 Milliarden (!) Befunde die gesichtet, selektiert, geprüft, anonymisiert, in ein geeignetes Format umgewandelt, katalogisiert, verstichwortet und hochgeladen werden müssten.
Für den damit verbundenen, extrem hohen Verwaltungsaufwand gibt es bis Heute kein überzeugendes, organisatorisches und sicherheitstechnisches Konzept.
Doch selbst nach solchen Mammut-Aktionen, die wahrscheinlich für Jahre Fachkräfte binden würde, wären die elektronischen Patientenakten immer noch unvollständig, denn viele Patienten haben weitaus mehr wichtige Vorbefunde - oder Befunde liegen in schwer digitalisierbaren Sonderformaten vor.
Deshalb würden sich weder die Patienten noch die die Ärzte in Zukunft darauf verlassen können, dass in einer ePA die wirklich entscheidenen Befunde auch enthalten wären.

Für Notfallsituation erscheint uns die ePA in der geplanten Form ebenfalls kaum zweckdienlich:
Viele Patienten erhoffen sich von einer ePA die schnelle Zugriffsmöglichkeit auf ihre medizinische Informationen - und so wird dies auch gerne beworben.
Im echten Leben werden solche sinnvollen Anwendungen aber kaum statt finden: Der Abruf von ePA-Unterlagen benötigt einen funktionierenden Internetzugang - und kein Notarzt wird sich in kritischen Situationen mit langsamer Technik und unvollständigen Datensammlungen abmühen und damit wertvolle Zeit verschwenden.
Ein Blatt Papier mit Ihren wichtigsten, aktuellen Informationen (z.B. Diagnosen - Medikamente - Allergien) ist hierfür wesentlich effektiver und funktioniert immer - auch ohne Strom und ohne Internetanbindung.

In der Septemberausgabe 2024 des Hamburger Ärzteblattes findet sich hierzu auch eine lesenswerte Stellungnahme der Expertin Frau Dr.med. Silke Lüder.

Risiken der ePA

Im Digi-Gesetz ist festgelegt, dass die gesetzlichen Krankenkassen ihre Versicherten über die ePA informieren müssen (§ 343 Abs. 1a SGB V). Dabei werden 24 Punkte vorgegeben, unter anderem zu ePA-„Mehrwert und Nutzen“ und zu Patientenrechten. Die Risiken einer ePA werden hingegen nicht benannt.
Deshalb haben wir nachfolgend einige dieser Risiken für Sie zusammengestellt. Zu jedem Risiko geben wir unsere subjektive Einschätzung ab, wie wahrscheinlich uns ein Eintritt des jeweiligen Risikos erscheint.

Patientenakten enthalten naturgemäß sehr vertrauliche und private Angaben, die der ärztlichen Schweigepflicht unterliegen. Ein Beispiel: In einem REHA-Bericht können sich Angaben zu Ihren Vorerkrankungen, Operationen, Krankheiten in der Familie, Risikofaktoren wie Nikotin, Alkohol oder Drogen, Laborbefunde, psychische und körperliche Befunde, Sozialstatus, Arbeitsleben, Schulden, Beziehungsstaus und vieles mehr finden. Ihre Gesundheitsdaten sind deshalb besonders schutzbedürftig und unterliegen bislang auch der ärztlichen Schweigepflicht. Gelangen solche Daten in falsche Hände, kann dies verheerende Folgen für die Betroffenen nach sich ziehen. Nach unserer Auffassung steht das Recht auf Datenschutz - und damit auch das Recht, diesen auf freiwilliger Basis zu lockern, ausschließlich dem Patienten (oder dessen gesetzlichen Vertreter) zu, auf den sich die Daten beziehen.

Risiko: Unerwünschtes / unbeabsichtigtes Anlegen einer ePA
Die gesetzlich verankerten Opt-Out-Option zur ePA stellt eine Abkehr vom bewährten und gewohnten Prinzip des Einholens einer vorherigen Einwilligung dar. Ohne aktiven Widerspruch kann eine ePA auch gegen den tatsächlichen Willen des Patienten angelegt werden. Es ist zu befürchten, dass viele Patienten aus Unkenntnis oder Komfortgründen dem Anliegen einer ePA nicht aktiv bei ihrer Krankenkasse widersprechen, obwohl sie die ePA eigentlich gar nicht für sich oder ihre Kinder haben möchten.

Risikoeinschätzung: Sehr hoch

Risiko: Unsichere Anonymisierung und Pseudonymisierung
Ihre mittels ePA zentral gespeicherten Gesundheits-Daten sollen vor einer Weiterverwendung zwar anonymisiert oder pseudonymisiert werden. Dies erscheint aber kaum vollständig und sicher automatisierbar, denn viele Neu- und Altbefunde sind bis heute analog und enthalten oft an mehreren Stellen Identifikationsmerkmale. In Arztberichten kommen z.B. Patientennamen häufig mehrfach im Fließtext vor. Eine sichere und vollständige Digitalisierung und Anonymisierung wäre mit viel händischer Kontrolle verbunden. Dieser Aufwand erscheint uns im Konzept der ePA bislang weder ausreichend bedacht noch einkalkuliert. Doch selbst wenn eine Anonymisierung und Pseudonymisierung mit sehr großem Aufwand fachgerecht durchgeführt würde, besteht weiterhin die Gefahr einer anschließenden Re-Anonymisierung/Re-Pseudonymisierung. Dies bedeutet, dass durch die Kombination verschiedenere ePA-Merkmale, die ausgewertet werden dürften (z.B. Alter – Geschlecht - Postleitzahl - Beruf) wieder signifikante Rückschlüsse auf einzelne Personen gezogen werden können. Auch wenn dies bei der Sekundärnutzung Ihrer Daten grundsätzlich untersagt wird, ist es kaum kontrollierbar, ob die kommerziellen Nutzer Ihrer Daten nicht doch solche Auswertungen im Hintergrund mitlaufen lassen, um sie später mit anderen Daten zusammen zu führen und für eigene Zwecke zu nutzen. Pseudonymisierte Daten, die heute für gutgemeinte „Forschungszwecke“ an Dritte abfließen, können so zu "digitalen Zeitbomben" mit unvorhersehbarem Schädigungspotential in der Zukunft werden.

Risikoeinschätzung: Sehr hoch (für die nicht vollständig mögliche Pseudonymisierung / Anonymisierung)
Kaum abschätzbar (für eine Rückrechnung/Daten-Rekombination)

Risiko: Hacker-Angriffe / Krimineller Datenmissbrauch
Die Daten der ePA liegen nicht direkt bei den Krankenkassen, sondern im soganannten „ePA-Aktensystem“ das von der Gematik betrieben wird. Eine solche Sammlung zentral gespeicherter persönlicher Daten ist geradezu dafür prädestiniert, die Aufmerksamkeit von kriminellen Hackern aus dem In- und Ausland auf sich zu ziehen. Es besteht dann die Gefahr, dass diese versuchen, sich Zugang zu den gespeicherten Daten zu verschaffen um dann damit Lösegelder oder andere Forderungen zu erpressen. Viele Hacker-Angriffe und Datenpannen im In- und Ausland zeigen, dass dies nicht nur ein theoretisches Risiko ist, sondern leider immer wieder auch in gut geschützt geglaubten Umgebungen, auch im Gesundheitswesen, passiert. Ein solches Szenario mit den gesammelten Gesundheitsdaten aller gesetzlich Versicherten Patienten könnte im schlimmsten Fall existenzgefährdende Wirkungen für einzelne Personen haben – oder sich sogar destabilisierend auf Staat und Gesellschaft auswirken. Weitere Gefahrenebenen ergeben sich an allen Schnittstellen bei Dateneingabe und -nutzung, z.B. auf den Smartphones der Patienten.

Risikoeinschätzung: Für die zentrale Datenspeicherung abhängig von den getroffenen Sicherungsmaßnahmen. 100% Sicherheit gibt es dabei nicht.
Sehr hoch für die Endnutzer-/Smartphone-Ebene

Risiko: Datenmissbrauch durch sogenannte "Innentäter"
„Innentäter“ sind beschäftigte Personen, die sich nicht an Regelungen und Vorgaben wie z.B. Datenschutzrichtlinien oder Informationssicherheitsvorgaben halten. Im deutschen Gesundheitswesen arbeiten aktuell ca. 6 Millionen Menschen und es gibt Schätzungen, dass bei einer zentralen deutschen elektronischen Patientenakte theoretisch ca. 2 Millionen der im Gesundheitswesen Tätigen eine Zugangsberechtigungen erhalten könnten. Auch wenn der Patient diese „Zugänge“ aufwändig kontrollieren dürfte: Das wäre eine enorme Herausforderung für den Datenschutz - und die Realität des Datenschutzes im Gesundheitswesen ist kompliziert. Denn Ärzte sind bei ihren Tätigkeiten auch auf die Hilfe vieler Mitarbeiter angewiesen, die dann teilweise ebenfalls Zugang zu den Akten und Dateien erlangen könnten. Das wäre auch bei der Bearbeitung und Nutzung einer elektronischen Patientenakte mit zentraler Datenbank aus Praktikabilitätsgründen unumgänglich. Eine solche Datenbank aber, bei der bis zu 2 Mio. Menschen eine - wenn auch nur theoretische - Zugangsberechtigung erhalten könnten, ist dann vor Gelegenheits-Innentätern, die aus Neugier oder aus anderen Eigeninteressen unberechtigt Einsicht in ePA´s nehmen, nicht mehr zuverlässig schützbar. Aus solchen Gründen gilt im Datenschutz als besonders wichtige und bewährte Regel das „Gebot der Datensparsamkeit“ - das Konzept der ePA ist leider eher das Gegenteil davon.

Risikoeinschätzung: Sehr hoch

Risiko: Forschungsziele kommerziell statt am Gemeinwohl orientiert
Nach zentraler Speicherung sollen Befunde und Daten dann in Zukunft nicht nur für Ihre medizinische Behandlung, sondern in großem Umfang auch für verschiedene „Forschungszwecke“ im In- und Ausland genutzt werden. In dieser Form hat es so etwas bislang weltweit und aus guten Gründen nicht gegeben. Nutzer könnten dann auch
Pharmafirmen, große Konzerne und Digitalfirmen werden, die damit insbesondere ihre "künstliche Intelligenz"-Modelle anlernen sollen. Ob die Ergebnisse später jemals die ersehnten positiven, medizinisch-wissenschaftlichen Auswirkungen auf die Patientenversorgung und das Gesundheitswesen haben würden, ist offen. Wir befürchten, dass damit neue Kontroll- und Kostensparmodelle etabliert werden, denn „Evidenz“ lässt sich auch selektiv herausforschen um z.B. damit die Eigeninteressen von Pharmafirmen, Kostenträgern und Versicherungen zu stützen. Kommerzielle Forschungs-Interessen sollen zwar grundsätzlich nicht zulässig sein, doch wer kann dies angesichts der massenhaft vorgesehenen Datennutzungen letztendlich sachgerecht kontrollieren? Die dafür eingeplanten Mittel und rechtlichen Rahmenbedingungen erscheinen uns unzureichend und die vorgesehenen Möglichkeiten der Sanktionierungen bei Regelverstößen sind nicht tiefgreifend genug. Deshalb bleibt es überaus fraglich, ob eine so gepushte, datengetriebene Forschung dem Allgemeinwohl wirklich dienen wird.

Risikoeinschätzung: Hoch

Risiko: Zugriff von Behörden, Vorratsdaten und politischer Wandel
Zentral gespeicherte Gesundheitsdaten können auch als eine Art von „Vorratsdatenspeicherung“ betrachtet werden. Ohne schützende politische und rechtliche Rahmenbedingungen könnte in Zukunft versucht werden, diese sehr tiefen und umfassenden Daten zu verschiedenen Kontroll-, Überwachungs- oder Fahndungszwecken heranzuziehen.
Es kann nicht sicher ausgeschlossen werden, dass später einmal Strafverfolgungsbehörden gezielt Zugriff auf elektronische Patientenakten begehren, inclusive aller darin dokumentierten Gesundheits- und Behandlungsdaten. In Zeiten von Pandemien oder politischen Umbrüchen und Gefahrenlagen wären sogar noch viel weiterreichende Szenarien denkbar: Mit dem Argument einer „Gefahrenabwehr“ könnten dann auch breit angelegte Zugriffe auf die Gesundheitsdaten aller Bürger legalisiert werden, um beispielsweise Rasterfahndungen oder Infektionsschutzmaßnahmen durchzuführen. Dies könnte ein herber Rückschlag für die Freiheitsrechte der Menschen und für unsere Demokratie sein.

Risikoeinschätzung: Stark abhängig von der politischen und gesellschaftlichen Lage und Entwicklung

Risiko: Patientenversorgung wird beeinträchtig
Die Gesundheitsversorgung in Deutschland ist in vielen Bereichen am Limit. Die Hoffnung, eine zentrale ePA-Datensammlung könnte hier schnell und billig Abhilfe schaffen, erscheint uns unrealistisch. Im Gegenteil: Beim massenhaften Anlegen, Befüllen und Pflegen der ePAs entsteht zwangsläufig ein sehr hoher zusätzlicher Verwaltungs- und Arbeitsaufwand. Hierbei ist große Sorgfalt gefordert, denn jeder Dokumentenupload ohne vorherige Kontrolle durch fachkundiges Personal würde zu erheblichen Sicherheits- und Haftungsrisiken führen. Es ist absehbar, dass diese Arbeiten zu großen Teilen dem medizinischen Fachpersonal, den Ärztinnen und Ärzten in Praxen und Kliniken aufgebürdet werden. Die dafür benötigten Arbeitszeiten fehlen dann für die eigentliche Patientenversorgung. Wir befürchten daher, dass sich durch den zusätzlichen ePA-Arbeitsaufwand die Gesundheitsversorgung der Bevölkerung verschlechtert und die Wartezeiten auf Arzttermine noch länger als bislang werden.
Im Digi-Gesetz ist auch vorgesehen, ein Einscannen von Patientendokumenten den Krankenkassen zu übertragen. Hierfür müssten Patient:innen ihre vertraulichen Krankheitsunterlagen den Versicherungsunternehmen / Krankenkassen aushändigen. Dies würde aus unserer Sicht die ärztliche Schweigepflicht und den Patientendatenschutz gefährden.

Risikoeinschätzung: Sehr hoch (für die ersten Jahre nach ePA-Einführung)

Risiko: Beeinträchtigung der informationellen Selbstbestimmung für unsere Kinder und für betreute Personen
In vielen Lebensbereichen gibt es heute einen gesellschaftlichen Diskurs zu Nachhaltigkeit und zu unserer Verantwortung für zukünftige Generationen. Dazu gehört auch der Umgang mit den digitalen Daten unserer Kinder: Heute setzen wir das ethische, gesellschaftliche und rechtliche Fundament für die digitale Welt, in der diese in Zukunft leben müssen. Dabei ist "Datensparsamkeit“ als lange anerkannter Grundsatz zum Schutz privater Daten ein wertvolles Prinzip, dass wir nicht für flüchtige Vorteilsversprechen opfern sollten. Stattdessen sollten wir jede Nutzung der digitalen Daten unserer Kinder sorgfältig abwägen und insbesondere ihre sensibelsten Gesundheits- und Krankheitsdaten gut schützen. Nur dann werden unsere Kinder auch in Zukunft noch die Möglichkeit haben, selbstbestimmt zu entscheiden, was mit mit ihren Daten geschieht und wer diese nutzen darf.
Kinder dürfen erst ab einem Alter von 15 Jahren ihre Selbstbestimmungsrechte in Bezug auf ihre Gesundheitsdaten wahrnehmen. Wenn Eltern nicht zuvor für sie im "Opt-Out"-Verfahren widersprechen, werden ePA´s auch für gesetzlich krankenversicherte minderjährige Kinder angelegt. Bis zur Möglichkeit einer eigenen Entscheidung würden dann viele Daten zentral gespeichert und von Dritten genutzt – und damit den beschriebenen Risiken ausgesetzt. Im Falle eines Datenmissbrauchs können dann später im Erwachsenalter gravierenden Nachteile entstehen, z. B. bei dem Versuch, eine Lebens- oder Berufsunfähigkeitsversicherung abzuschließen.
Einen Nutzen für Kinder-ePA´s , der solche Risiken rechtfertigt, sehen wir nicht. Ähnliches gilt für Menschen, für die eine gesetzliche Betreuung eingerichtet ist. Hier können die zuständigen gesetzlichen Betreuer für Ihre Betreuten Widerspruch einlegen.

Risikoeinschätzung: Sehr hoch (für nachfolgenden Generationen)

Resümee

Wir empfehlen Ihnen: Nutzen Sie Ihre Rechte als mündiger Patient / als Eltern und schützen Sie sich und die Zukunft Ihrer Kinder
Durch Ihren Widerspruch gegen das Anlegen einer ePA können Sie untersagen, dass sensible Gesundheits- und Krankendaten von Ihnen und Ihren Kindern gleich am Anfang dieser Digitalvorhaben in eine zentrale Sammelstelle hochgeladen und dann von Dritten genutzt werden.
Sie können damit ohne großen Aufwand die Daten-Sicherheit für sich und Ihre Familie erhöhen - denn einmal hochgeladene und an Dritte abgeflossene Daten oder Auswertungen lassen sich kaum mehr verlässlich "zurückholen".
Es erscheint uns sinnvoll, erst einmal die Entwicklungen, Erfahrungen und und die Sicherheitslage zur ePA zu beobachten.
Sollten Sie in Zukunft von der Sicherheit und dem Nutzen solcher Lösungen wirklich überzeugt sein, können Sie immer noch einsteigen und später eine ePA für sich einrichten lassen.
Lassen Sie sich bitte auch nicht von Vorteils-Versprechen oder kleinen Bonusgeschenken z.B. durch Ihre Krankenkasse, locken - Sie „zahlen“ dies mit Ihren Gesundheits- und Krankheitsdaten.

Wann ist der richtige Zeitpunkt für einen Widerspruch?
Als Startdatum der "ePA für Alle" ist im Digi-Gesetz der 15. Januar 2025 vorgesehen.
Vor dem Anlegen einer ePA muss Ihre gesetzliche Krankenkasse Sie informieren. Diese Information könnte z.b. so wie hier aussehen.
Erst nachdem Ihre gesetzliche Krankenkasse Sie über die ePA informiert hat, ist ein Widerspruch gegen das Anlegen einer ePA rechtlich zuverlässig möglich.
Wenn Sie nach dieser Information durch Ihre Krankenkasse nicht innerhalb von 6 Wochen aktiv werden und widersprechen, kann auch gegen Ihren eigentlichen Willen eine elektronische Patientenakte für Sie oder Ihre Kinder angelegt werden.
Grundsätzlich können Sie zwar auch nach der 6-wöchigen Frist noch widersprechen und verlangen, dass eine angelegte ePA wieder gelöscht wird.
Wir empfehlen aber, rechtzeitig zu widersprechen um bereits das Anlegen einer ePA und einen zwischenzeitlich möglichen Datenabfluss zu verhindern.

Hier finden Sie weitere Infos zu den Widerspruchsmöglichkeiten.
Gerne können Sie sich mit Ihren Fragen und Ihren eigenen Meinungen per E-Mail an uns wenden - wir freuen uns auf einen konstruktiven Dialog!

Ihre Familienpraxis

Dr. med. Vera Zimmer - Dr. med. Susann Überreiter - Dr. med. Alexander Miller - Th. Bergmann