Elektronische Patientenakte - zu Risiken und Nebenwirkungen

Rezepte, Medikationspläne und Behandlungsberichte – das alles soll zukünftig in der elektronischen Patientenakte (ePA) gespeichert werden. Seit dem 1. Januar 2021 können Patient.innen die ePA über die App der Krankenkassen mit Dokumenten, Arztberichten und Befunden befüllen. Die Daten werden in der Telematikinfrastruktur der Firma Gematik zentral gespeichert. Durch die ePa werden viele Arbeitsschritte, die sonst analog abliefen, digitalisiert und vereinfacht. Die Gesundheitsdaten stehen Ärzt.innen und Patient.innen so auf einem Blick zur Verfügung.

Auch wenn es praktisch erscheinen mag, alle gesundheitlichen Informationen zentral zu speichern und verfügbar zu haben: Eine zu schnelle und nachlässige Einführung und Umsetzung der ePA kann zu irreversiblen Schäden führen, die uns alle betreffen.

Die Einführung der elektronischen Patientenakte bringt folgende Probleme mit sich, die wir datenschutzrechtlich als bedenklich einstufen:

1. Es ist nicht möglich, die Zugriffsrechte auf die Patientenakte dokumentengenau einzustellen. Das bedeutet zum Beispiel: Wenn Sie Ihrem Zahnarzt erlauben, auf die Patientenakte zuzugreifen, kann er alles sehen - auch die Einträge der Hautärztin oder einer psychotherapeutischen Beratung. Eine dokumentengenaue Freigabe soll erst 2022 möglich sein. Hier werden die Rechte der Patient.innen somit ohne dringende Notwendigkeit und unter Verstoß gegen die europäische DSGVO beschnitten.
2. Das angewendete Authentifizierungsverfahren entspricht nicht dem Stand der Technik, was unserer Auffassung nach bei so sensiblen Daten einfach untragbar ist.
3. Auch nach dem 1. Januar 2022 können nur Patient.innen, die ein Smartphone oder Tablet verwenden, die Zugriffsrechte nach Dokumenten differenziert vergeben. Mit dem PC oder Laptop soll es diese Möglichkeit nicht geben. Da Smartphones und Tablets meist weniger gut abgesichert werden, entstehen hier Sicherheitsrisiken.
4. Für Menschen, die weder Smartphone noch Tablet besitzen, existiert dann erst einmal keine Möglichkeit, ihre Patientenakte selbstbestimmt zu verwalten. Denn die ursprünglich vorgesehene Verpflichtung der Krankenkassen, Patiententerminals zur Verwaltung der elektronischen Patientenakte anzubieten, wurde aus dem Gesetzesentwurf gestrichen. Es werden somit ungleiche Zugangsbedingungen geschaffen.

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat in einem Brief an die Krankenkassen angemahnt, dass das jetzige „Alles-oder-Nichts-Prinzip" bei den Zugriffsrechten nicht der Europäischen Datenschutzgrundverordnung entspricht.

Gesundheitsdaten zählen zu den intimsten und sensibelsten Daten überhaupt, deshalb ist es besonders wichtig, die ePA vor Fremdzugriffen zu schützen. Was alles passieren kann, wenn der Datenschutz nicht ernst genommen wird und Gesundheitsdaten in die falschen Hände geraten, zeigt ein Fall aus Finnland sehr eindrücklich: 2018 entwendeten Kriminelle in Finnland Daten eines Psychotherapiezentrums. Anschließend nutzten die Kriminellen die Informationen zur Erpressung der Patient.innen – sie drohten damit, die Eintragungen ihrer psychotherapeutischen Sitzungen zu veröffentlichen, wenn sie nicht zahlen.

Da die Nutzung der ePA für Patient.innen vorerst freiwillig ist, raten wir solange von der Nutzung ab, bis Datenschutz und Datensicherheit vollständig gewährleistet sind. Insbesondere die Krankenkassen sollten sich weigern, eine ePA zu installieren, die weder dem Datenschutz noch der Datensicherheit genügt. Denn eine zentrale Sammlung von Gesundheitsdaten bringt enorme Missbrauchsrisiken mit sich. Deshalb muss die oberste Prämisse lauten: Die Daten der Patient.innen müssen sicher und DSGVO-konform aufbewahrt und vor jeglichem Zugriff Krimineller geschützt werden. Erst wenn diese Prämisse erfüllt ist, sollten die Patient.innen und Krankenkassen die elektronische Patientenakte nutzen.