- Politik
Elektronische Patientenakte: Auf dem Weg zum gläsernen Patienten
Dieser Tage erhalten die Versicherten der gesetzlichen Krankenkassen (GKV) Post mit Hinweisen zur Einführung der ePA. Neben der „einfachen“ weil für Versicherte automatisch eingeführten Neuerung und ihren vermeintlichen Vorteilen wird auch auf die Widerspruchsmöglichkeit hingewiesen.
In der ePA sollen künftig sämtliche medizinischen Daten gespeichert werden, die über den jeweiligen Patienten erhoben werden: Untersuchungsergebnisse, Blutwerte, Befunde, Medikationspläne, Zahnbonusleistungen, KV-Leistungen, Arztbriefe, Bilddaten, Rezepte, AU-Bescheinigungen etc. sowie sämtliche therapeutischen Abrechnungen gegenüber den Krankenkassen. Natürlich ebenfalls mit an Bord: die elektronische Impfdokumentation.
Der Gesetzgeber verspricht sich von diesem enormen Datenberg eine unkompliziertere und vollständige Darstellung des Gesundheitszustandes und der Krankheitsgeschichte des Patienten – als Arbeitserleichterung für Ärzte und Therapeuten, auch um Doppeluntersuchungen zu vermeiden. Insgesamt also für eine verbesserte Therapie.
Die stillschweigende Zustimmung der gesetzlich Versicherten zur Einrichtung ihrer persönlichen ePA wird als Normalfall vorausgesetzt – der Widerspruch ist aus Sicht des Gesetzgebers nicht die Regel, sondern die Ausnahme. Für Versicherte der Privaten Krankenversicherung (PKV) und Beihilfeberechtigte wird nicht automatisch eine ePA angelegt. Hier hängt ihre Einrichtung vom jeweiligen Versicherungsunternehmen ab, der dann ebenfalls widersprochen werden kann.
Praktische, datenschutzrechtliche, ethische Probleme
Was im ersten Moment gut klingt, offenbart bei genauerem Blick einige Probleme, die mit diesem Ansatz verbunden sind. Sie sind sowohl praktischer als auch datenschutzrechtlicher wie auch ethischer Natur.
Mit der ePA wird eine allumfassende Bibliothek der eigenen Gesundheitsgeschichte angelegt. Wie sinnvoll ist das? Dass behandelnde Akteure ein Zugriffsrecht auf die medizinischen Daten haben sollen, erscheint noch halbwegs nachvollziehbar, wobei diese Liste schon bedenklich lang ist: Ärzte, Zahnärzte, Apotheker sowohl selbst als auch ihre Mitarbeiter inklusive Azubis, außerdem Pflegekräfte, Mitarbeiter des öffentlichen Gesundheitsdienstes, Notfallsanitäter, Betriebsärzte.
Das Zugriffsrecht beträgt je nach Relevanz bis zu 90 Tage nach Einstecken der Gesundheitskarte durch den Patienten beim jeweiligen Therapeuten bzw. bei einer Einrichtung. Sie alle sehen dann nicht nur jene Informationen, die für ihre Therapie unmittelbar relevant sind, sondern haben Einblick in die gesamte Krankheitsgeschichte und alle Daten des Patienten.
Dies betrifft auch den Impfstatus des Patienten. Sämtliche durchgeführten Impfungen werden digital erfasst – und damit auch die Impfungen sofort identifizierbar, die nicht durchgeführt worden sind.
Der behauptete Nutzen, dass Therapeuten sich so ein umfassenderes Bild machen könnten, dürfte weithin nur theoretischer Natur sein. Wer je in einer kassenärztlichen Praxis war, weiß, dass weder Ärzte noch Arzthelferinnen Zeit haben, solche Datenmengen zu erfassen oder gar sinnvoll zu nutzen. Diese Aussicht ist reines Wunschdenken – oder vorgeschoben.
Denn die in der ePA gespeicherten Daten gehen automatisch auch zur „Sekundärnutzung“ an das „Forschungsdatenzentrum Gesundheit“ (FDZ Gesundheit). Und hier wird es interessant: Dieses staatliche Zentrum (angesiedelt beim Bundesinstitut für Arzneimittel und Medizinprodukte BfArM) gewährt auf Antrag allen Akteuren mit „berechtigten“ Interessen Zugriff auf die Daten.
Ein solches berechtigtes Interesse kann z. B. die Studie eines Pharmaherstellers sein. Für ihn ist so ein riesiges Datenreservoir eine Goldgrube. In der Praxis treten heutzutage regelmäßig andere, von der Pharmaindustrie beauftragte Institutionen wie z. B. Universitäten auf, um Informationen und Daten für Studienzwecke zu erhalten. Der Slogan von GE Healthcare (eine Tochter von General Electric), Anbieter von Medizintechnik und Dienstleistungen im Gesundheitsbereich, lautet nicht ohne Grund: „Create a world where healthcare has no limits“.
Schwachpunkt zentrale Datenspeicherung
Die Daten der ePA werden auf zentralen Servern in einem Cloud-System gespeichert. Was bislang nur in vielen kleinen Einzeldaten auf dem Server der jeweiligen Arztpraxis oder Apotheke lag, wird künftig gesammelt auf einem gigantischen großen Datenspeicher, der Teil der Telematikinfrastruktur ist, also der IT-Struktur, über die schon jetzt viele medizinische Daten verwaltet werden.
Betrieben wird diese Infrastruktur von der gematik (Nationale Agentur für Digitale Medizin). Diese GmbH gehört dem Bundesgesundheitsministerium sowie Verbänden von Ärzten, Zahnärzten, Apothekern und Krankenhäusern gemeinsam. Sie ist bekannt im Zusammenhang mit der Einführung der Elektronischen Gesundheitskarte (eGK). Diese stellt einen Vorläufer bzw. einen Einstieg in die ePA dar – und funktioniert bislang alles andere als reibungslos.
Auch wenn die gematik GmbH und das Ministerium beteuern, dass beim Forschungsdatenzentrum höchste Sicherheitsstandards an den Tag gelegt würden: Die Erfahrung mit ebenfalls höchst anspruchsvoll konzipierten Sicherheitssystemen bei Banken, Konzernen und Behörden hat gezeigt, dass es ein wirklich sicheres IT-System nicht gibt und geben kann. Früher oder später wird eine Sicherheitslücke entdeckt werden und es wird zum Missbrauch oder Diebstahl der Daten kommen. Bei Gesundheitsdaten kann dies besonders gravierende Konsequenzen haben.
Wenn allein für einen einzigen Patienten-Datensatz in der Medizinbranche 250 bis 1000 € gezahlt werden, wird klar, welche Verlockung ein Server darstellt, der Millionen von Patientendaten über sehr lange Zeiträume speichert. Denn die ePA soll den Patienten ein Leben lang begleiten. Da Verschlüsselungsmethoden relativ schnell veralten, ist das Prinzip „Harvest now, decrypt later“ gang und gäbe: Erst einmal werden Daten abgegriffen, bis man sie irgendwann aufgrund fortgeschrittener Technologie entschlüsseln kann.
Anonyme Daten? Es gibt immer einen Weg zurück
Bundesgesundheitsminister Karl Lauterbach (SPD) versucht, Datenschutz-Bedenken damit zu entkräften, dass ein Rückschluss von den Daten auf die Person nicht möglich sei. Das ist allerdings nicht korrekt: Die Daten werden nicht anonymisiert, sondern lediglich „pseudonymisiert“. Warum ist dieser Unterschied so wichtig?
Bei der Anonymisierung werden alle Datenbestandteile, die eine Zuordnung zu einer Person ermöglichen, gelöscht (also Name, Anschrift etc.). Es gibt nach einer Löschung keine Möglichkeit mehr, diese rückgängig zu machen – Anonymisierung ist eine Einbahnstraße.
Pseudonymisierung dagegen bedeutet, dass die beiden Datenbestandteile (die reinen medizinischen Rohdaten und die Identitätsmerkmale) getrennt werden. Es wird eine Kennziffer vergeben (ID), mit der beide Bestandteile gekennzeichnet werden. Wer nur Zugriff auf die eine Datenbank mit den Rohdaten hat, kann die Person nicht identifizieren. Wer aber auch auf die zweite Datenbank Zugriff hat, kann sehr leicht anhand der ID feststellen, welche Rohdaten zu welcher Person gehören. Der Prozess der Pseudonymisierung ist also reversibel.
Es ist nur eine Frage der Zeit, bis entweder aufgrund von Missbrauch oder politischen Drucks eine solche Re-Identifizierung erfolgt. Mit der Pseudonymisierung hält man sich diese Möglichkeit jedenfalls offen.
Wenn Krankenkassen etwa beschließen, die Beiträge für Menschen zu erhöhen, die bestimmte Vorsorgeuntersuchungen nicht nutzen, liegt der Gedanke nahe, diese Menschen darüber zu identifizieren. Oder wenn ermittelt werden soll, welche Patienten für die Kassen besonders teuer sind, weil sie etwa genetische Veranlagungen zu bestimmten Erkrankungen mitbringen (ganz abgesehen vom grundsätzlichen Risiko bei genetischen Informationen, deren Offenlegung auch noch Kindern und Enkelkindern des Patienten nachteilig ausgelegt werden kann). Oder wenn in der nächsten Pandemie ermittelt werden soll, wer ungeimpft ist. Dass solche Ermittlungen politisch zugelassen werden müssen, ist kein Gegenargument, wie wir bei den Maßnahmen in der Corona-Pandemie bei bis dahin undenkbaren Entscheidungen gesehen haben.
Umso bedenklicher ist die Absicht der EU-Kommission, auch die in Deutschland erfassten ePA-Daten in einen Europäischen Gesundheitsdatenraum (EHDS) zu überführen. Das Ziel: ein EU-weiter Austausch von Patientendaten zur Verbesserung der medizinischen Versorgung, Forschung und für gesundheitspolitische Entscheidungen. Die Anzahl derjenigen, die Zugriff auf Gesundheits- und Impfdaten erhalten könnten, wäre unüberschaubar.
So funktioniert der Widerspruch
Bei besonders sensiblen medizinischen Daten (etwa zu psychischen Erkrankungen, sexuell übertragbaren Infektionen) besteht ein gesondertes Widerspruchsrecht. Dies ist beim jeweiligen Therapeuten anzumelden. Unklar bleibt für den Patienten, ob dies dort bekannt ist und auch umgesetzt wird. Darüber hinaus gibt es die Möglichkeit, der Anlage einer ePA grundsätzlich zu widersprechen (formlos bei der eigenen Krankenkasse) sowie der Weitergabe der Daten an das Forschungsdatenzentrum Gesundheit die Zustimmung zu verweigern.
Einen guten Überblick dazu sowie passende Generatoren zur Formulierung des jeweiligen Widerspruchs bietet die Webseite https://widerspruch-epa.de. Ebenfalls hilfreich ist das Musteranschreiben der IG Med.
Zwar ist es auch später, also nach der Anlage der ePA, noch möglich, zu widersprechen. Allerdings läuft man damit Gefahr, dass die eigenen Daten schon im Umlauf sind. Im Zweifelsfall empfiehlt es sich, vorab der ePA zu widersprechen. Denn umgekehrt kann man einen Widerspruch jederzeit widerrufen und eine ePA anlegen lassen.
Für ÄFI erklärt Dr. med. Alexander Konietzky, Ärztlicher Geschäftsführer und Sprecher des Vorstandes:
„Eine solche Ansammlung persönlicher medizinischer Daten und besonders die Einbeziehung der Impfdokumentation stellt eine massive Gefahr für die gesundheitliche Selbstbestimmung und die freie Impfentscheidung dar. Medizinische Daten gehören nur in die Hände von Arzt und Patient. Das Arztgeheimnis und damit das vertrauensvolle Arzt-Patienten-Verhältnis sind unmittelbar gefährdet, wenn Diagnosen und Therapien weithin verfügbar werden.
In der geplanten Form taugt die elektronische Patientenakte allenfalls marginal für den Praxisalltag und für den Behandlungserfolg. Dagegen bietet sie ein Einfallstor für die Pharmaindustrie, um Patientendaten zu generieren, wobei niemand weiß, zu welchen profitorientierten Zwecken sie letztendlich genutzt werden.
Nicht unterschätzt werden dürfen auch die Risiken, die sich aus den Daten für eine Bevormundung von Patienten künftig ergeben könnten. Der gewaltige ökonomische Druck, der auf den Krankenkassen lastet, wird ebenso wie eine mögliche politische Nutzung der Daten die bestehende Tendenz verstärken, Konformität durch Anreize und Belohnungen zu honorieren.
Die Corona-Pandemie sollte uns hier als warnendes Beispiel dienen: mit ihren Diskussionen darüber, ob ungeimpfte Menschen Anspruch auf Lohnfortzahlung oder Anspruch auf gleiche Behandlung haben oder ob sie für Behandlungskosten selbst aufkommen müssen. Mit der ePA wüsste man in der nächsten Pandemie jedenfalls sofort, wer geimpft ist und wer nicht.
Unter diesen Gesichtspunkten gilt es, individuell genau abzuwägen, ob man seine Daten auch anderen als nur seinem Arzt zur Verfügung stellt oder ob man lieber Widerspruch einlegen möchte. Um es mit der Datenschutzexpertin Bianca Kastl zu sagen: ‚Gesundheit funktioniert dann am besten, wenn sie nicht verwaltet wird, sondern wenn ich mich selbst um sie kümmere.‘“
Weitere Informationen:
Norbert Häring: Nackt in der Gesundheitscloud – Wie unsere Körper und Biodaten zum Rohstoff und zur Ware werden (Video auf Odysee)