Elektronische Patientenakte & Datenschutz: Wie sicher ist die ePA?

Die Idee ist gut: alle Patientenbefunde auf einer digitalen Plattform, immer griffbereit. Befunde, Krankheitsgeschichte und vieles mehr – nichts kann mehr verloren gehen, wenn ein Arztwechsel ansteht oder eine übergreifende Diagnose erstellt werden muss. Aber wie sicher ist die digitale Plattform ePA? Und welche Vorteile und Nachteile birgt sie?
    

Was ist die elektronische Patientenakte?

Die digitale Patientenakte soll, ebenso wie die elektronische Gesundheitskarte oder Videosprechstunden, der Telemedizin in Deutschland Aufschwung geben. Die elektronische Patientenakte (ePA), auch digitale Gesundheitsakte genannt, setzt sich im Grunde aus allen Patientenakten eines / einer Versicherten zusammen – gebündelt in einer digitalen Plattform. Informationen, die digital vereint werden, sind sog. Gesundheitsdaten. Diese Gesundheitsdaten werden verschlüsselt in einer zentralen Plattform abgelegt. Auf die Patientendaten wird mittels Telematikinfrastruktur zugegriffen, was ein sehr sicheres, in sich geschlossenes Netz darstellt. Eingesehen werden können die Informationen nur von ausgewählten Ärzt:innen – die Patient:innen entscheiden, von welchen. Für den Zugriff theoretisch autorisiert sind:

• (Zahn-) Ärzt:innen
• Therapeut:innen
• Apotheker:innen
• Weitere an einer Behandlung beteiligte sog. Leistungserbringer:innen, zum Beispiel Krankenhäuser

Wichtig: Die Krankenkassen sind nicht befugt, auf die elektronische Patientenakte zuzugreifen!
Die Patient:innen haben über ihre ePA in der Theorie die volle Kontrolle. Via App kann die e-Patientenakte selbst mit Prognosen, Medikationsplänen und Ähnlichem befüllt werden. Für Menschen ohne Smartphone oder Tablet gibt es zudem die Möglichkeit, beim Arzt oder der Ärztin die komplette Patientenakte digital in die elektronische Gesundheitsakte zu laden. Dies geschieht mittels PVS, dem Praxisverwaltungssystem der Arztpraxen. Aber um welche Daten handelt es sich genau, die in die ePA geladen werden?
    

Datenschutz im Gesundheitsbereich

In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.

Welche Daten werden in der digitalen Patientenakte gespeichert?

In der ePa werden Gesundheitsdaten gespeichert. Dabei handelt es sich um eine besonders schützenswerte Kategorie personenbezogener Daten, bei deren Erhebung, Verarbeitung und Speicherung besondere Schutzmaßnahmen ergriffen werden müssen (Art. 9 Abs. 1 DSGVO). Konkret handelt es sich um Daten wie:

• Diagnosen, Befunde
• Mutterpass und Untersuchungshefte für Kinder (letzteres ab 2022)
• Blutbilder und Blutwerte
• Röntgenbilder
• Medikationspläne, Behandlungsmaßnahmen sowie Therapien
• Impfungen und der Impfausweis
• Vorerkrankungen und Allergien
• Arztbriefe, ärztlicher Schriftverkehr

Da diese Daten einen Menschen sehr leicht identifizierbar und im schlimmsten Fall bei Datenverlust auch angreifbar machen, werden sie verschlüsselt gespeichert. Darauf zugegriffen werden kann, neben den Versicherten, nur von dem - oder derjenigen, dem es von dem / der Versicherten ausdrücklich erlaubt wurde.
    

Rechtliche Grundlagen für die elektronische Patientenakte

Für die elektronische Patientenakte gibt es verschiedene gesetzliche Grundlagen:

• Art. 9 Abs. 1 DSGVO: Dieser Artikel stuft die gespeicherten Gesundheitsdaten als besonders schützenswert ein. Dies verlangt sowohl bei der Speicherung als auch beim Zugriff besondere Regelungen, um den Schutz dieser Daten zu gewährleisten, wie z.B. die Verschlüsselung.
• §§ 341ff. SGB V.: In diesen Artikeln des Sozialgesetzbuch ist festgelegt, dass eine ePA geführt werden darf. 
• § 305 Sozialgesetzbuch V (SGB V): Laut dieser neu geregelten Grundlage muss sichergestellt werden, dass kein unbefugter Dritter Einblick in die digital übermittelten Daten von Versicherten bekommen kann. Ein Einblick ist nur, wie bereits erwähnt, mit der ausdrücklichen Genehmigung der Patient:innen möglich.
• Art. 9 Abs. 2 lit. b DSGVO: Dieser Artikel stellt die erforderliche Rechtsgrundlage für die Datenübermittlung dar und bezieht sich auf die oben erwähnte Einwilligung.

Und nicht zuletzt gibt es noch ein Gerichtsurteil zur digitalen Patientenakte: Das Bundesverfassungsgericht beschäftigte sich nach einer Verfassungsbeschwerde 2021 mit dem Thema und stufte die ePA als freiwilliges Angebot ein, zu dem Versicherte nicht gezwungen werden können (Beschluss vom 4.1.2021, Az. 1 BvR 619/20). 
    

Elektronische Patientenakte: Vorteile und Nachteile

Alle Gesundheitsdaten auf einen Griff – ist dies nun ein Digitalisierungs-Booster oder ein datenschutzrechtlicher Albtraum? Die Vorteile liegen klar auf der Hand:

• Doppelte Behandlungen können vermieden werden
• Auch bei einem Arztwechsel können Ärzt:innen alle relevanten Informationen auf einen Blick erhalten
• Krankenhäuser können im Notfall wichtige Hintergrundinformationen bekommen, zum Beispiel Auskunft über Allergien oder Medikamentenwechselwirkungen
• Versicherte entscheiden selbst, was in der ePA gespeichert werden soll

Im günstigsten Fall wird durch die ePA also eine bessere und reibungslosere Behandlung gewährleistet. Aber auch bei diesem Thema gilt: kein Vorteil ohne Nachteil:

• Die ePA kann lückenhaft sein, wenn Versicherte nur einen Teil ihrer Krankengeschichte mit aufnehmen
• Wird einem Arzt / einer Ärztin der Einblick in die elektronische Patientenakte erlaubt, so erhält er / sie Einblick in alles, was dort gespeichert ist. Eine Teileinsicht ist nicht möglich – aber für einen Zahnarzt sind beispielsweise die Befunde einer Psychotherapeutin wenig relevant. Dieser Umstand soll sich voraussichtlich 2022 ändern
• Kein barrierefreier Zugriff: Die Verwaltung der ePA ohne die App ist möglich, aber nur unter erschwerten Bedingungen
• Die Gesundheitsdaten werden zentral gespeichert. Eine dezentrale Speicherung würde aber die Sicherheit enorm erhöhen. Denn dann könnten Hacker:innen, sollten sie sich Zugriff auf die digitale Plattform verschaffen, nicht alle dort abliegenden digitalen Gesundheitsakten einsehen können.

Fazit: Wird der Datenschutz bei der elektronischen Patientenakte gewährleistet?

Die Arztpraxen rüsten nun fleißig nach; Praxisverwaltungssysteme werden aufgerüstet, um die digitalen Patientenakten bedienen zu können. Kommt nun die viel beschworene Digitalisierung des Gesundheitswesens? Es bleibt schwierig: Noch zu Beginn des Jahres 2021 teilte der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Prof. Ulrich Kelber, zum Thema ePA und Datenschutz mit: „In der jetzigen Form würde ich persönlich die ePA nicht nutzen“. Er begründete diese Aussage vor allem mit der Tatsache, dass es nicht möglich sei, Ärzt:innen nur einen Teilzugriff zu gewähren. Das Problem dabei: Die „feingranulare“ Freigabe, die Kelber fordert, ist mit der aktuellen Telematik-Infrastruktur aus technischer Sicht nicht möglich.

Mit der Meinung des BfDI gehen anscheinend auch ein Großteil der Bevölkerung konform: Der Digitalverband Bitkom veröffentlichte im Mai 2021 Zahlen zum Thema ePA – und diese sprechen Bände. So wollen 66 % der Deutschen die digitale Patientenakte zwar theoretisch nutzen, in der Praxis machen die aber nur 0,2 % aller Deutschen. Die Vorbehalte sind (noch) zu groß. Dies wird sich vielleicht ändern, wenn den Versicherten bei der ePA mehr Selbstbestimmungsrecht über ihre Daten eingeräumt wird.