Elektronische Patientenakte

E-Health Datenschutz
© Techniker Krankenkasse

Neue Funktionen – einige Datenschutzfragen bleiben

Ob Befunde, Röntgenbilder oder Arztbriefe: Mit der elektronischen Patientenakte (ePA) können Krankenversicherte seit letztem Jahr erste Gesundheitsdaten zentral in eine „elektronische Patientenakte“ (ePA) speichern lassen. Mit dem Jahreswechsel sind weitere Funktionen hinzugekommen. Dies wird in den nächsten Monaten vermutlich zu einem deutlichen Anstieg der Nutzer*innen führen. Für Menschen mit HIV stellt sich die Frage: Soll ich die ePA nutzen oder besser nicht? Wie sicher sind meine Daten vor unberechtigtem Zugriff?

Ein Beitrag aus HIV-Beratungaktuell 2022/1

Sinn und Zweck der ePA

Die ePA ist politisch gewollt und soll vor allem eins: die Kommunikation im Gesundheitswesen verbessern. Der Wechsel von einem Arzt zu einer anderen Ärztin soll erleichtert, Doppeluntersuchungen vermieden und eine Möglichkeit geschaffen werden, Gesundheitsdaten – in anonymisierter Form – der Forschung zur Verfügung zu stellen. Patient*innen soll sie mehr Übersicht und Autonomie über die eigenen Gesundheitsdaten verschaffen.

Zugang zur ePA

Die gesetzlichen Krankenkassen sind verpflichtet, allen Versicherten, die dies wünschen, eine ePA zur Verfügung zu stellen (ein sog. „Opt-in-Verfahren“). Auch wenn die Kassen die ePA bereitstellen, sind sie nicht befugt, auf die Inhalte zuzugreifen. Durch eine Verschlüsselung der Daten ist dies technisch auch nicht möglich.

Zunächst enthält die ePA nur Patientenstammdaten. Sollen medizinische Daten dazukommen, müssen Patient*innen ihre Ärzt*innen und anderen Therapeut*innen dazu gesondert berechtigen. Um zu sehen, was Ärzt*innen oder Psychotherapeut*innen in der ePA gespeichert haben, benötigen die Nutzer*innen ein Smartphone und eine entsprechende App. Die Apps werden von den Krankenkassen, in der Regel über App-Stores von Google und Apple, kostenlos zur Verfügung gestellt.

Wichtige Neuerung: Nach Plänen der neuen Bundesregierung soll das Verfahren in der Zukunft geändert werden. Dann erhalten alle Versicherten automatisch eine ePA und müssen aktiv werden, wenn sie die ePA nicht haben wollen (sog. „Opt-out-Verfahren)!

Ohne Smartphone wird es schwierig

Grundsätzlich soll die ePA auch Menschen zugänglich gemacht werden, die kein Smartphone nutzen (wollen/können). Dafür wollen im Laufe des Jahres die Krankenkassen mit eigenen Desktop-Anwendungen an den Start gehen. Die ursprüngliche Idee, Terminals in Krankenkassen-Geschäftsstellen zu installieren, an denen auch Menschen auf ihre ePA zugreifen können, die keine Internetanbindung haben, wird derzeit leider nicht mehr verfolgt.

Datenschutz und Datensicherheit

Grundsätzlich erscheint das Datenschutzniveau bei der ePA relativ hoch. Die Gesundheitsdaten liegen verschlüsselt auf Servern, die der EU-DSGVO unterliegen. Für die TK, die Barmer und die Knappschaft hat IBM diesen Dienst übernommen. (Quelle: ibm.com). Der Verschlüsselungsdienst, so eine kryptographische Analyse der Uni Darmstadt, „bietet ausreichend Schutz für die nächsten Jahre“. (Quelle: gematik)

Trotzdem kann natürlich niemand sagen, dass Hacker-Angriffe und Daten-Lecks nie vorkommen können. Wichtig ist auf jeden Fall, dass sich alle Beteiligten an die Regeln zur IT-Sicherheit und zum Datenschutz halten. Für Patient*innen bedeutet dies z.B., die ePA-Apps zusätzlich zum Smartphone per Passwort zu schützen und die Gesundheitskarte sowie den PIN-Code der Gesundheitskarte nicht Unberechtigten auszuhändigen. Praxen und Kliniken hingegen müssen ihre Software auf dem Laufenden halten, Schnittstellen absichern und Mitarbeitende schulen, wie sie mit der ePA von Patient*innen datenschutzkonform umgehen dürfen.

Wer in Kliniken und Arztpraxen Zugriff auf die ePA hat, ist für Patient*innen nur schwer kontrollierbar. Weil nach Zustimmung „neben Ihrer behandelnden Ärztin oder Ihrem Arzt eine Vielzahl weiterer Personen des medizinischen Fachpersonals der gleichen Leistungserbringereinheit rein technisch auf die Daten zugreifen können. Ein Zugriff darf jedoch nur erfolgen, soweit dies tatsächlich zu Behandlungszwecken erforderlich ist.“ (Quelle: Tk.de) Dies ist natürlich auch heute schon der Fall, wenn sich jemand ins medizinische System begibt. Der Unterschied ist jedoch, dass Praxen und Kliniken, die keinen Zugriff auf die ePA haben, immer nur jene Daten im Team teilen können, die ihnen vorliegen.

Nicht alle Praxen und Kliniken angeschlossen

Damit gesundheitsbezogene Daten in die ePA kommen, müssen Arzt-praxen, Kliniken, Psychotherapeut*innen und Apotheker*innen an die Telematikinfrastruktur angeschlossen sein. Sie benötigen spezielles technisches Equipment sowie einen digitalen Heilberufeausweis, der sie legitimiert, Daten auszulesen oder einzuspeisen.

Auch wenn seit 1. Juli 2021 alle Vertragsärzt*innen und -psychotherapeut*innen in der Lage sein müssen, die ePA lesen und befüllen zu können, gibt es noch Praxen, die nicht an diese Struktur angeschlossen sind. Teilweise gab es Lieferschwierigkeiten mit der Hardware oder Probleme bei der Schnittstelle zur Praxissoftware. Etli-che Gesundheitsdienstleister*innen scheinen mit der Installation aber auch überfordert zu sein. Da die Umsetzung der ePA ein politisches Ziel aller großen Parteien ist, ist jedoch davon auszugehen, dass diese Hindernisse in nächster Zeit sukzessive abgebaut werden.

Grundfunktionen der ePA

Seit 1.1.21 können Versicherte folgende Daten in ihre ePA einspeisen lassen:

• Notfalldatensatz
• Elektronischer Medikationsplan
• Elektronischer Arztbrief
• Dokumente von Ärzt*innen
• Eigene Dokumente

Neue Funktionen 2022

Größte und wichtigste Neuerung ist die Möglichkeit, nun genau zu bestimmen, welche Dokumente von wem eingesehen werden dürfen. Bisher konnten Patient*innen lediglich festlegen, ob das Personal einer Arztpraxis oder Klinik grundsätzlich Zugriff auf die ePA erhält oder nicht.

Diese „Entweder-Oder-Lösung“ wurde von vielen Seiten, auch von der Deutschen Aidshilfe, kritisiert. Denn: Erhält eine Praxis oder Klinik eine vollständige Berechtigung, wächst das Risiko, dass auch gesundheitsbezogene Daten kommuniziert werden, die Patient*innen sonst ggf. nur einem ausgewählten Kreis an Menschen mitteilen (z.B. HIV-Status, psychiatrische Diagnosen oder Suchterkrankungen – also Diagnosen, die vielfach mit Stigmatisierung einhergehen).

Des Weiteren können seit diesem Jahr der Impfpass, der Mutterpass, das Zahnbonusheft sowie das Kinderuntersuchungsheft digitalisiert eingespeist werden.

Im Laufe des Jahres soll zudem möglich werden, auf die ePA auch über einen Computer zugreifen zu können (Desktop-Anwendung).

© gematik GmbH

Wann kommen die Änderungen?

Wir haben bei einigen Kassen nachgefragt: Nahezu alle großen Krankenkassen haben ihren Versicherten die neuen Funktionalitäten bereits im Laufe des Dezembers 2021 zur Verfügung gestellt. Die Umsetzung der Desktop-Anwendung soll bei den meisten Kassen im 2.Quartal kommen. Die Techniker-Krankenkasse hat bereits eine Mac-Version am Start.

Eine Übersicht, wie weit die einzelnen Kassen mit der Umsetzung der 2. Stufe sind, findet sich auf beim GKV-Spitzenverband.

DIE ELEKTRONISCHE GESUNDHEITSKARTE

Die elektronische Gesundheitskarte 2.1 ist deutlich mehr als ein Aus-weis des Versicherungsschutzes. Sie stellt den Schlüssel zu einer Viel-zahl an E-Health-Anwendungen, wie der ePA oder dem E-Rezept, dar. Ausgerüstet mit einem Chip können gesundheitsbezogene Daten auch direkt auf die Karte geschrieben werden. Dies sind zum einen Notfall-daten, wie Angaben zu Allergien oder schweren chronischen Erkrankungen. Zum anderen kann eine Liste aller verwendeten Medikamente darauf gespeichert werden.

Den Zugriff auf die Medikationsliste müssen Versicherte über die Eingabe ihres PINs freigeben. Dann können z.B. Apotheker*innen diese auslesen, um zu überprüfen, ob bei einer neuen Verschreibung Medikamenten-Wechselwirkungen zu befürchten sind.

© gematik GmbH

Der Notfalldatensatz kann hingegen auch ohne PIN ausgelesen werden. Dies ist z.B. Ärzt*innen oder Rettungssanitäter*innen in begrün-deten Notfallsituationen gestattet. Auch wenn ein Auslesen ohne Rücksprache mit Patient*innen nur in Notfallsituationen gestattet ist, ist der Notfalldatensatz dadurch technisch am schlechtesten geschützt. Er kann, anders als alle anderen Daten in der ePA, auch nicht von Patient*innen, sondern nur von Ärzt*innen unter Verwendung ihres Heilberufeausweises geändert werden.

Es ist deshalb ratsam, zu überlegen, ob sehr sensible Daten – wie eine Suchterkrankung oder der HIV-Status – im Notfalldatensatz abgespeichert werden sollen. Zudem gilt zu bedenken, dass auch eine Medikationsliste über die verschriebenen Medikamente Hinweise auf die entsprechenden Erkrankungen liefert.

Die Vorteile und möglichen Risiken

Was spricht für die ePA?

  • Besserer Überblick über die eigene Gesundheitsbiographie. Laborwerte, Röntgenbilder, Bonushefte – alles an einer Stelle. Eigene Daten (z.B. aus Tracking-Apps oder Therapietagebüchern) können hinzugefügt werden.
  • Gefährliche Medikamentennebenwirkungen können rechtzeitig erfasst werden (wenn z.B. auch Apotheker*innen Zugriff auf die Medikationsliste bekommen).
  • Einfacherer Ärzt*innen-Wechsel und dadurch Vermeidung von Doppeluntersuchungen.
  • Sicherere Kommunikation zwischen Gesundheitsdienstleitern (also den Ärzt*innen und anderen Berufsgruppen). Allerdings ist dies den Fachkräften durch Nutzung des Kommunikationsdienstes KIM (Kommunikation im Medizinwesen) auch ohne ePA-Verwendung möglich.
  • Sicherere Kommunikation zwischen Gesundheitsdienstleitern (also den Ärzt*innen und anderen Berufsgruppen). Allerdings ist dies den Fachkräften durch Nutzung des Kommunikationsdienstes KIM (Kommunikation im Medizinwesen) auch ohne ePA-Verwendung möglich.
  • Daten für Gesundheitsforschung durch anonymisierte Datenauswertung.
  • Abrechnungsdaten der aufgesuchten Arztpraxen können kontrolliert werden (wenn diese Funktion von der Krankenkasse freigegeben wird).

Was gibt es für Risiken?

  • Zwar können Nutzer*innen der ePA genau festlegen, welche Daten sie wem zur Verfügung stellen, dies ist derzeit aber nur über eine Smartphone-App (bzw. in einigen Monaten auch über einen PC) möglich. Noch ist unklar, ob öffentliche Terminals installiert werden, an denen Menschen ohne eigne Technik ihre ePA verwalten können. Menschen ohne Zugang zu Smartphone oder PC werden es also schwer haben, ihre Daten zu verwalten.
  • Auch wenn Menschen digital gut aufgestellt sind, braucht es einiges an „Standing“, einem Gesundheitsdienstleister offen zu kommunizieren, dass sie zwar eine ePA haben, den Mitarbeitenden einer Arztpraxis allerdings keinen oder nur begrenzten Einblick geben möchten (z.B. weil die HIV-Diagnose, die durch-geführte Abtreibung oder die bestehende Suchterkrankung nicht kommuniziert werden soll).
  • Grundsätzlich stellt sich die Frage, ob es bei Nutzung einer ePA überhaupt möglich ist, bestimmte Diagnosen „zu verheimlichen“. Eine HIV-Diagnose bildet sich ja z.B. in vielen Dokumenten (Arztbriefen, Medikationsplänen, Entlassungsbriefen) ab.
  • Der Kreis von Personen, die potentiell auf die ePA zugreifen können, ist ziemlich hoch: Ärzt*innen, Physiotherapeut*innen, Psychotherapeut*innen, Apotheker*innen, Mitarbeitende aus Gesundheitsämtern, Betriebsärzt*innen. Die einzelnen Akteure haben zwar in der Regel nie Zugriff auf alle Daten. Es bleibt allerdings das Risiko, insbesondere wenn Berechtigungen auf ganze Praxen oder Kliniken übertragen werden, dass Patientinnen den Überblick verlieren, wer auf welche Informationen zugreift.

Datenschutz-Tipp: Patient*innen sollten, bevor sie einem*r Gesundheitsdienstleister*in eine Leseberechtigung zur ePA erteilen, überlegen, welche Dokumente sie tatsächlich zur Verfügung stellen möchten und dann diese einzeln freigeben. Die Datenfreigabe kann zeitlich limitiert werden.

Des Weiteren kann es sinnvoll sein, die von Gesundheitsdienstleister*innen eingestellten Dokumente von Zeit zu Zeit zu überprüfen. Über die Smartphone-APP können Versicherte im Zweifelsfall auch jederzeit Dokumente löschen, sollte z.B. die Sorge bestehen, dass abgespeicherte Informationen zu einer schlechteren Versorgung oder Diskriminierung führen könnten.

Hinweise für die Beratung

Unterstützung bei der Einrichtung der ePA erhalten Patient*innen von ihren Ärzt*innen und Krankenkassen. Auf dem DAH-Fachtag „Digitalisierung von Aidshilfen“ (22./23.10.2021 in Bielefeld) forderten die Teilnehmenden eines Workshops zur ePA, dass Aidshilfen zusätzlich eigene, unabhängige Beratungs- und Informationsangebote zur ePA zur Verfügung stellen sollten. Es wurde befürchtet, dass eine ausführliche und ergebnisoffene Beratung im hohen Takt einer Arztpraxis nur schwer möglich sei.

Klient*innen empowern

Beratung in Aidshilfen könnte Patient*innen bei der Entscheidungsfindung für oder gegen die ePA unterstützen. Zudem können Menschen mit HIV hier auch für einen selbstbewussten Umgang mit den eigenen Gesundheitsdaten empowert werden.

In der Beratung gilt es – wie immer –, eine neutrale Haltung zu bewahren. Klient*innen sollten sowohl über die Möglichkeiten der digitalen Anwendungen (ePA, Notfalldatensatz, Medikationsliste) als auch über mögliche Risiken informiert werden (siehe weiter oben). Neben der Frage, ob die ePA überhaupt genutzt werden soll, könnten geschulte Berater*innen auch Unterstützung dabei bieten, wie die ePA so eingestellt und genutzt wird, dass nur jene Personen Zugriff auf sensible Daten bekommen, die das auch sollen.

Tipp: Mensch kann die ePA auch einfach mal ausprobieren. Es ist jederzeit möglich, der weiteren Nutzung zu widersprechen. Die auf den Servern gespeicherten Daten müssen von den Krankenkassen dann wieder gelöscht werden.

Fazit

Die ePA und damit verbundene digitale Anwendungen werden in den nächsten Jahren eine zentrale Rolle im Gesundheitswesen spielen. Sie könnten den Umgang mit der eigenen Erkrankung und dem Gesund-heitssystem – insbesondere für Menschen mit Mehrfacherkankungen – deutlich erleichtern. Kliniken und Arztpraxen sind schon heute gesetzlich verpflichtet, sich an der Telematikplattform zu beteiligen.

Die Vielzahl an Möglichkeiten und die sich ständig ändernden Rahmenbedingungen des digital organisierten Gesundheitssystems fordern von Patient*innen allerdings auch ein hohes Maß an digitaler und sozialer Kompetenz, damit diese ihre Patientenrechte wahrnehmen können.

Patientenorganisationen können einen wesentlichen Beitrag leisten, diese Entwicklungen zu begleiten, zu digitalen Gesundheitsanwendungen unabhängig zu beraten und Klient*innen zu empowern, ihre For-derungen und Bedürfnisse gegenüber den Fachkräften im Gesund-heitswesen zu vertreten.

Weitere Informationen

auf der DAH-Seite https://hiv-diskriminierung.de/

1. „Die elektronische Patientenakte (ePA) 2.0 kommt, die Unsicherheiten bleiben“.

2. „Ich werde mir erst eine ePA zulegen, wenn ich dokumentengenaue Berechtigungen vergeben kann“. Interview mit dem Bundesdatenschutzbeauftragter Ulrich Kelber

3. „Ziel muss es sein, Datenschutz im Sinne der Versicherten zu betreiben“. Interview mit Florian Lanz, dem Sprecher des GKV-Spitzenverbandes.

sowie auf der Webseite der GEMATIK

Steffen Taubert

Diesen Beitrag teilen

Weitere Beiträge zu diesem Thema

Das könnte dich auch interessieren

Materialien der Fachöffentlichkeit findest du hier.

Zum Materialbereich

Finde die passende Fortbildung zu deiner Ausbildung.

Zu den Fortbildungen auf seminar.aidshilfe.de

Finde HIV-Einrichtungen in deiner Nähe.

Zum Adressbereich auf kompass.hiv

Finde die passende Stelle bei uns.

Zu unseren Jobangeboten auf aidshilfe.de