Die Gefahren der elektronischen Patientenakte
Ab 2025 sollen die Krankenkassen für jeden Patienten, der nicht ausdrücklich widerspricht, eine elektronische Akte anlegen. Gastautor Andreas Heyer kritisiert dies, weil er Datenmissbrauch befürchtet. Dafür gibt es bereits Beispiele aus dem Ausland.
Von Andreas Heyer * Bislang sehen offenbar nur wenige Patienten einen Nutzen darin, dass ihre Gesundheits- und Behandlungsdaten zentral auf einem Server in einer elektronischen Patientenakte gespeichert werden. Zwei Jahre nach Einführung der elektronischen Patientenakte hatten sich bis Ende Januar 2023 erst 595.000 Versicherte dafür entschieden – das entspricht weniger als einem Prozent aller Versicherten.
Das reicht aus Sicht der Bundesregierung nicht aus, um einen möglichst vollständigen Datensatz mit Gesundheitsdaten der Versicherten zu erstellen und ihn Institutionen aus der öffentlichen und kommerziellen Forschung zur Auswertung zur Verfügung zu stellen.
Die Bundesregierung plant daher, das Prinzip umzukehren, so dass für alle Versicherten, die nicht ausdrücklich widersprechen, eine elektronische Patientenakte angelegt wird.
Ende Juni veröffentlichte das Portal Netzpolitik die Gesetzesentwürfe des Bundesgesundheitsministeriums zum Digitalgesetz und zum Gesundheitsdatennutzungsgesetz. Nach dem Entwurf des Digitalgesetzes wären die gesetzlichen Krankenkassen ab Januar 2025 verpflichtet, für alle Versicherten, die dem nicht ausdrücklich widersprochen haben, elektronische Patientenakten (ePA) anzulegen (sogenannte Opt-Out-Regelung).
Gleichzeitig sollen nach dem Gesetzentwurf Ärzte, Psychotherapeuten und andere Leistungserbringer im Gesundheitswesen verpflichtet werden, ihre Behandlungsdaten auf die Server der Anbieter elektronischer Patientenakten zu übertragen.
Keine Kontrolle über den Verbleib der Daten
Der Entwurf verpflichtet Ärzte und Psychotherapeuten ausdrücklich dazu, Daten zu HIV-Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen an die ePA zu übermitteln. Bei diesen besonders sensiblen Daten soll es jedoch (im Gegensatz zur Übermittlung anderer Behandlungsdaten) eine Pflicht des Behandlers geben, den Patienten auf seine Widerspruchsrechte hinzuweisen.
Der Grundgedanke einer Speichermöglichkeit für digitalisierte Dokumente für Patienten, um den verschiedenen Fachärzten einen einfachen und zeitnahen Zugriff auf Vorbefunde von Kollegen zu ermöglichen, wenn der Patient damit einverstanden ist, mag durchaus sinnvoll sein.
Im Gegensatz zu früheren Vorschlägen werden die elektronischen Patientenakten jedoch nicht auf der Versichertenkarte der Patienten gespeichert, wo diese physisch die Kontrolle über den Verbleib ihrer Gesundheitsdaten behalten würden. Stattdessen wurde ein System eingeführt, bei dem die ePA auf den Servern von privaten IT-Anbietern (in einer „Cloud“) gespeichert wird, mit denen die jeweilige Krankenkasse einen Vertrag abgeschlossen hat. Im Falle der Techniker Krankenkasse und der Barmer werden die elektronischen Patientenakten auf Servern der Firma IBM gespeichert.
Die digitale Infrastruktur des Gesundheitssystems, die sogenannte Telematikinfrastruktur, wird über die Server der Bertelsmann-Tochter Gesellschaft Arvato betrieben .
Anfällig für Daten Misbrauch
Entgegen den Beteuerungen des Gesundheitsministeriums und der IT-Partner, die digitale Infrastruktur sei sicher, sind bereits zahlreiche Datenpannen aufgetreten.
So wurde bekannt, dass seit der kürzlichen Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung aufgrund eines Softwarefehlers rund 116.000 Datensätze an eine einzelne Arztpraxis statt an die Krankenkassen übermittelt wurden .
In Finnland wurden die Daten von Psychotherapeuten bei einem Cyberangriff gehackt und die Patienten wurden von den Cyberkriminellen teilweise zu Bitcoin-Zahlungen erpresst.
In Australien waren die Gesundheitsdaten von 9,7 Millionen Versicherten einer Krankenkasse von Hackern im Darknet veröffentlicht worden.
Bereits in diesem Jahr sind die gesetzlichen Krankenkassen verpflichtet, ihre Abrechnungsdaten einschließlich Diagnosen, Medikation und Behandlungsdauer ihrer Versicherten in pseudonymisierter Form an das Health Research Data Centre zu übermitteln. Ein Widerspruchsrecht für Versicherte gibt es nicht.
Behandlungsdaten für Forschungszwecke
Nach dem Gesetzentwurf zur Nutzung von Gesundheitsdaten sollen Behandlungsdaten in elektronischen Patientenakten demnächst über eine noch zu schaffende „Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten“ Hochschulen und Unternehmen zur Auswertung für Forschungszwecke zur Verfügung gestellt werden.
Dazu wird auch eine Verordnung diskutiert, die die pseudonymisierte Weitergabe von Daten grundsätzlich erlaubt, solange der Versicherte nicht aktiv widerspricht.
Im Gegensatz zur Anonymisierung von Daten wird die Pseudonymisierung jedoch aus datenschutzrechtlicher Sicht als unsicherer angesehen, da aus den Pseudonymen in vielen Fällen aufgrund der enthaltenen Informationen wie Geburtsjahr, Geschlecht und Postleitzahl des Patienten die Person rekonstruiert werden könnte.
Weitergabe sensibler Daten nur nach ausdrücklicher Zustimmung?
Es lässt sich argumentieren, dass das Ziel des Bundesgesundheitsministeriums, möglichst große Gesundheitsdatenbanken für die Auswertung durch die öffentliche und kommerzielle Forschung aufzubauen, durch die geplanten Opt-Out-Regelungen auf unreife Bürgerinnen und Bürger setzt, die sich nicht über die Risiken der digitalen Übermittlung ihrer Gesundheits- und Behandlungsdaten informieren oder einer zentralen Datenspeicherung in der Cloud aus Bequemlichkeit nicht aktiv widersprechen werden.
Zugleich betont die Politik, dass durch die geplante Opt-Out-Regelung jeder Versicherte die Möglichkeit behält, der Übermittlung seiner Daten durch Ärzte und Psychotherapeuten in eine elektronische Patientenakte zu widersprechen.
Um die bisherigen Grundsätze der ärztlichen Schweigepflicht zu wahren, sei es wichtig, dass die Weitergabe sensibler Behandlungsdaten durch Ärzte und Psychotherapeuten nur nach ausdrücklicher Einwilligung der Patienten zulässig bleibe.
Bei einer politischen Durchsetzung von Opt-Out-Regelungen hätten Patienten jedoch weiterhin die Möglichkeit, sich als mündige Bürger über die Chancen und Risiken der geplanten Übermittlung ihrer Gesundheitsdaten an zentrale Datenbanken zu informieren und zu entscheiden, ob sie der Nutzung ihrer Daten widersprechen wollen oder nicht.
Dieser Text erschien zuerst in der Berliner Zeitung unter dem Titel „Medizin vs. Digitalisierung: Was sind die Gefahren der elektronischen Patientenakte?
*Andreas Heyer arbeitet als Psychotherapeut mit dem Schwerpunkt Tiefenpsychologie in eigener Praxis. Er ist in Westdeutschland aufgewachsen und lebt und arbeitet in seiner Wahlheimat in Ostdeutschland.
Hinweis
Eine Bundestagspetition gegen das Opt-Out-Verfahren für elektronische Patientenakten braucht noch Unterschriften, um das Quorum zu erreichen. Sie läuft noch bis zum 25. Juli.
Ursprünglich veröffentlicht auf Money and More, übersetzt von CHD Europe
Korrektur vorschlagen