Die Erprobung der elektronischen Patientenakte (ePA) hat am 15. Januar in rund 300 Praxen, Krankenhäusern und Apotheken in Franken, Hamburg und Nordrhein-Westfalen trotz massiver Kritik begonnen. Nach dieser Erprobungsphase, die mindestens vier bis sechs Wochen dauern wird, soll die ePA bundesweit zum Einsatz kommen.

In einem offenen Brief an Bundesgesundheitsminister Karl Lauterbach (SPD) monierten zum Beispiel die Deutsche Aidshilfe, der Bundesverband der Verbraucherzentralen, Patientenorganisationen und der Chaos Computer Club, dass die Einführung zu früh komme.

Sie sprechen von erheblichen Sicherheitsbedenken. Sowohl Bundesärztekammer-Präsident Klaus Reinhardt als auch der Präsident des BVKJ Michael Hubmann empfehlen den Einsatz der ePA daher derzeit nicht. Auch Sachsen-Anhalts Datenschutzbeauftragte Christina Maria Rost sagt: „...Für Patientinnen und Patienten bleibt abzuwarten und zu beobachten, ob und wie die festgestellten Sicherheitsprobleme bis zum bundesweiten Start der ePA gelöst wurden. Im Übrigen können die Versicherten der ePA jederzeit widersprechen und damit die Löschung bewirken."

Was sind die Gründe?

gesundheitdaten1a 640Die ePA bündelt relevante Gesundheitsdaten. Damit sollen unnötige Mehrfachuntersuchungen vermieden, schwere Krankheiten schneller erkannt und die Forschung vorangetrieben werden. Ärzte, Krankenhäuser und Apotheken sollen so vernetzt und relevante Informationen gesammelt und darüber zur Verfügung gestellt werden.

Ärzte sorgen sich um den Schutz von Gesundheitsdaten in der elektronischen Patientenakte (ePA). Anlass sind unter anderem Sicherheitslücken, die der Chaos Computer Club (CCC) auf seinem Jahreskongress aufgedeckt hat. Aus Sicht der Bundesärztekammer (BÄK) und des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ) bestehen deshalb Risiken.

Unklar ist nach Sicht des BVKJ, wie sich die Arztpraxen beim „Befüllung der ePA“ verhalten sollen, wenn die Sorgeberechtigten unterschiedliche Wünsche äußern, was in der ePA ihrer Kinder gespeichert werden soll. Ungeklärt sei weiter, ob der Widerspruch eines Elternteils genügt, um die ePA nicht anzulegen. Kritisiert wird auch, dass die Befüllung der ePA von Kindern mit hochsensiblen Daten, die zu Stigmatisierung oder Diskri¬mi¬nierung führen könnten, für Ärzte verpflichtend ist, auch wenn diese überzeugt sind, dass dies nicht im Interesse des Kindes ist.

Dass Jugendliche unter 15 Jahren datenschutzrechtlich ihren Sorgeberechtigten ge¬genüber „bisher ungeschützt sind, auch wenn sie ein berechtigtes Interesse auf Nichtinformation der Sorge-berechtigten äußern“ wird ebenfalls kritisch gesehen. Der BVKJ verweist hierzu beispielhaft auf die Inanspruchnahme von Verhütungs¬beratung und die Verordnung von Verhütungsmitteln.
Auch die Analyse des CCC gibt Anlass zu Bedenken. Nach Angaben des CCC ist ein Zugriff auf fremde Gesundheitsdaten möglich gewesen, weil es zu leicht gewe¬sen sein soll, gültige Heilberufs- und Praxisausweise zu beschaffen. Ursächlich seien Mängel in den Ausgabepro¬zessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Alltag, hieß es.
Zudem demonstrierten die Forscher, wie es Mängel in der Spezifikation ermöglichen, Zugriffstoken für die ePA beliebiger Versicherter zu erstellen – und zwar ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen.

Generelle Kritik an der ePA:

Datenschützer kritisieren, dass bei der Einführung der ePA das im Datenschutz vorherrschende Prinzip des Verbotes mit Erlaubnisvorbehalt umgekehrt wird. Gesetzlich Versicherten müssen nicht in die elektronische Verarbeitung ihrer Patientendaten einwilligen, sondern müssen dieser, wenn sie eine solche nicht wollen aktiv widersprechen. Der Kreis der Zugriffsberechtigten ist gesetzlich geregelt. Zugriff auf die ePA besteht in allen Fällen, wenn Versicherte der ePA nicht widersprochen haben.

Grundsätzlich können Versicherte über die ePA-App entscheiden, wer auf welche Daten in der ePA zugreifen darf. Auch die Dauer des Zugriffs der einzelnen Zugriffsberechtigten kann über die ePA-App modifiziert werden. Weiterhin können Versicherte über ihre App bestimmte Dokumente, beispielsweise bestimmte Befundberichte oder Arztbriefe, so einstellen, dass diese nur von ihnen selbst eingesehen werden können. Diese Einstellungen können nur vorgenommen werden, wenn Versicherte über eine individuelle PIN verfügen. Deren Beantragung ist mit zusätzlichem Aufwand verbunden. Die PIN für ihre elektronische Gesundheitskarte (eGK) erhalten Versicherte nach Beantragung von ihrer Krankenkasse. Sie können dies in einer Filiale der Krankenkasse tun oder den Weg des Post-Ident wählen. Damit die Zustellung nur an die richtige Person erfolgt, müssen Versicherte dafür mit einem Personalausweis oder Reisepass ihre Identität nachweisen.

Vor diesen Hintergründen ist den Versicherten zu empfehlen, für sich festzustellen, ob sich durch die ePA für sie ein persönlicher Vorteil ergibt, der die Inkaufnahme der datenschutzrechtlichen Unwägbarkeiten rechtfertigt.

Weitere Informationen: