"Elektronische Patientenakte ist nicht datenschutzkonform"

Bundesgesundheitsminister Jens Spahn (CDU) hat in den letzten 20 Monaten um die 20 Gesetze erlassen, die sich alle mit dem Thema Digitalisierung von Gesundheitsdaten beschäftigen. Im Speziellen geht es in den Gesetzen unter anderem um die Organisation einer Telematikinfrastruktur zum Datenaustausch zwischen Patient*innen, Ärzt*innen, Apotheken und Krankenhäusern. Es geht aber auch um den Schutz dieser Daten im Spannungsfeld zwischen der Weitergabe von Forschungsdaten zum medizinischen Fortschritt versus der ungebremsten Nutzung und Analyse von Daten in Big Data-Verfahren und die mögliche Schaffung des “gläsernen Patienten”. Die Diskussion dreht sich ebenso um die Themen It-Wirtschaft, Innovationsdruck auf Krankenkassen und Lobbyismus, um grundlegende Strukturveränderungen im deutschen Gesundheitswesen, um Be- und Entlastung von Arztpraxen, Krankenhäusern und Gesundheitsämtern sowie die Frage aller Fragen: Steht das Wohl der Patient*innen im Mittelpunkt der getroffenen Entscheidungen?

All diese Aspekte bekommen vor dem Hintergrund der Corona Krise noch einmal eine neue Dringlichkeit und Brisanz. Um die aktuelle Dynamik besser zu verstehen, haben wir im politik-digital:live Talk Expert*innen eingeladen, um einen Zugang zu diesem brisanten Thema zu ermöglichen. In einer Stunde haben der Informatiker tante, die Ärztin Dr. Silke Lüder und der Bundesdatenschutzbeauftragte Ulrich Kelber viele Fragen beantwortet und gleichzeitig neue aufgeworfen.

Dr. Silke Lüder ist niedergelassene Ärztin in Hamburg und stellvertretende Vorsitzende der Freien Ärzteschaft und beschäftigt sich seit über 15 Jahren mit der Digitalisierung von Patientendaten. Sie kennt jedes Gesetz, dass seit dem Libobay Skandal von 2001 verabschiedet wurde. Der Skandal bei dem Dutzende Menschen aufgrund von Wechselwirkungen zwischen Medikamenten starben, gilt als Geburtsstunde der elektronischen Gesundheitskarte.
Fast 20 Jahre später hat Silke Lüder maßgeblich dazu beigetragen, eine Petition gegen die Einführung der Patientenakte (epA) erfolgreich in den Petitionsausschuss des Bundestages zu bringen.

Lüder ist keine Gegnerin von Digitalisierung, im Gegenteil, sagt sie. Seit 1993 gibt es in ihrer eigenen Praxis keine Karteikarten mehr, sondern nur noch digitale Patientenakten. Die Daten werden allerdings nicht zentral irgendwo gespeichert, sondern liegen sicher auf dem Server der Praxis. Der Austausch mit anderen Ärzten läuft über verschlüsselte Emails.

„Ich meine sogar, dass die Digitalisierung im Gesundheitswesen, trotz der Behauptung, dass wir da ganz weit zurückhängen, schon relativ weit vorangeschritten ist.”

Was sie als Praktikerin an der epA und anderen Anwendungen rund um die Einführung der Telematikinfrastruktur kritisiert, beruht auf einer einfachen Kosten/Nutzen-Rechnung.
So wie die Umsetzung aktuell geplant ist, sieht sie nicht nur ein großes Datenschutzproblem, sondern auch einen wahnsinnigen, zusätzlichen Zeitaufwand für die betroffenen Akteur*innen im Gesundheitswesen. Sie sieht eine Überforderung der Patient*innen, die weder die “Medizinsprache” sprechen noch allesamt in der Lage sind, ihre Gesundheitsdaten per Smartphone zu verwalten. Sie prognostiziert eine Überforderung des Systems, was wiederum eine Verschlechterung der allgemeinen Versorgungslage zur Folge hat.

„Zeit und Vertrauen sind für mich die wichtigsten Kategorien bei der Behandlung von Patienten. Der Sinn von moderner Technik sollte immer sein, uns die Arbeit zu erleichtern, damit wir mehr Zeit für den einzelnen Menschen haben, der vor uns sitzt“

Dr. Silke Lüder

Auch Jürgen Geuter, alias tante fragt sich, welchen Nutzen viele der digitalen Innovationen des Gesundheitswesens den betroffenen AkteurInnen bringt.

„Die verschlüsselte Kommunikation zwischen Arztpraxen und Laboren zum Beispiel ergibt völlig Sinn. Da ist mir sofort klar, was das Problem ist, was gelöst werden soll. An vielen anderen Stellen ist mir das nicht 100% klar.“

Der Autor und Informatiker beobachtet immer wieder, dass über technische Lösungen komplexe Entscheidungen auf Bürger*innen abgewälzt werden und die Politik sich ihrer Verantwortung entzieht. Gerade wenn es um ihre Gesundheit geht, hätten Menschen oft andere Probleme, als sich mit der sicheren Datenpflege in der Patientenakte zu kümmern.

Das oft zitierte Freiwilligkeitsprinzip von Datenweitergabe, das auch bei der elektronischen Patientenakte gilt, sieht er unter anderem deswegen kritisch.

„Wenn jetzt aber was schief geht und jemand bekommt diese Daten in die Hand, haben sie das ja eingewilligt, jetzt sind die Leute selber schuld, wenn etwas passiert“

Jürgen “tante” Geuter

Die Frage danach was “schief” gehen könnte, führt relativ schnell zur Rolle der überlasteten Krankenkassen, die sich in einer schwierigen “Doppelnutzungssituation” der ihnen vorliegenden Daten befinden, stellt tante fest.

Ärzte übermitteln Daten an die Kassen zum Zwecke der Abrechnung von Behandlungen. Diese Daten allerdings beinhalten nicht nur reine Zahlenbeträge, sondern zeigen auch die Art der Behandlung und Diagnose an, die abgerechnet wurde. Ein Zweck, zu dem Krankenkassen diese Daten einsetzen, ist die Erstellung von “spezifischen Angeboten” für Patient*innen durch das Erstellen von Datenprofilen. Solche Angebote können zum Beispiel neue (digitale und analoge) Behandlungs- und Diagnosemöglichkeiten von Dritten sein, die an die medizinische Vorgeschichte der Patient*innen angepasst sind.
Die Möglichkeit der Datenverarbeitung durch Krankenkassen zu diesem Zweck ist nun seit der Änderung eines Gesetzentwurfs im Patienten-Daten-Schutzgesetz (PDSG), das im Juli verabschiedet wurde und unter anderem die Einführung der epA regelt, auch ohne Einwilligung der Patient*innen möglich. Wie es zu dieser durchaus schwerwiegenden Änderung kam, hat TELEPOLIS ausführlich recherchiert und bewertet und kann hier nachverfolgt werden.

An dieser Stelle zeigt sich der wahrscheinlich größte Interessenkonflikt in der Digitalisierung von Gesundheitsdaten: Die Hoffnung auf Verbesserung der medizinischen Versorgung durch Forschung und Innovation trifft auf die Möglichkeit der (gesundheitspolitischen und wirtschaftlichen) Steuerung von Menschen über Big Data.
Dr. Silke Lüder berichtet beispielsweise von Anfragen des Medizinischen Dienstes der Krankenkassen, ob Patient*innen von ihr „nicht bald mal wieder an ihren Arbeitsplatz zurückkehren können“. Das erkennbare Ziel solcher Anfragen sei den Bezug von Krankengeld zu reduzieren, sagt sie.

Wie also können wir garantieren, dass Profile von PatientInnen, die deren Krankheitsgeschichte im Detail abbilden zur Verbesserung der Gesundheitsversorgung und nicht für andere Interessen eingesetzt werden?

Ein Teil der Antwort liegt im Bereich der Datenschutzgrundverordnung und damit auf dem Schreibtisch von Ulrich Kelber. Als Bundesdatenschutzbeauftragter ist er seit gut einem Jahr auch für die Einhaltung des Datenschutzes in der Gesundheitspolitik zuständig. Kelber ist überzeugt, dass “eine gute Analyse bestimmter Daten zu Innovationen in der Versorgung führen” kann.

„Man kann Digitalisierung vorantreiben auch in Bereichen, wo es um sensiblen personenbezogene Daten geht, man muss nur sowohl Datenschutz als auch Datensicherheit by design, von Anfang an mitdenken und darum herum das Ganze bauen“

Ulrich Kelber

Dass das Patientendaten-Schutz-Gesetz allerdings nicht auf “Datenschutz by Design” fußt, deutet Kelber bereits im politik-digital Livetalk an und bestätigt dies bei der Bundespressekonferenz am Mittwoch:

“Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte.“

Ein Kritikpunkt von Kelber ist das “alles oder nichts” Prinzip im Zugriffsmanagement, dass im ersten Anwendungsjahr entweder nur einen kompletten Zugriff auf die Daten ermöglicht oder gar keinen. Ebenso bemängelt Kelber, dass Versicherte ohne Smartphone oder Tablet keinen eigenständigen Einblick in ihre Akte nehmen können. Darüber hinaus sei auch der Identitätsnachweis der Nutzer*innen aus Datenschutzsicht nicht ausreichend sicher und entspreche ebenfalls nicht den Vorgaben der DSGVO.
Der BfDI bereitet nun weitere Schritte vor und kündigt Warnungen und Weisungen an, wenn das PDSG an den kritisierten Stellen nicht nachgebessert wird.
Wir werden weiter berichten.

Das Gespräch zum Nachverfolgen gibt es als Aufzeichnung auf YouTube:

Original Photo by: NCI on Unsplash edited