Derzeit informieren die Krankenkassen ihre Mitglieder über die elektronische Patientenakte (ePA), die ab Januar 2025 jede:r Patient:in erhält – es sei denn, sie oder er widerspricht. „Sie müssen gar nichts tun, wir kümmern uns um alles“, heißt es in dem Schreiben einer Kasse. Also eine sogenannte „Opt-out“-Lösung. Man könnte darin auch so etwas wie „nudging“ sehen, eine Strategie zur Verhaltensänderung (to nudge: anstoßen, schubsen). Welche:r Versicherte wäre nicht froh darüber, sich Schreibkram zu ersparen?! Auch leuchten auf den ersten Blick die Vorteile ein, wie sie das Bundesministerium für Gesundheit auf seiner Website aufzählt. Hierzu gehören etwa eine bessere Übersichtlichkeit in Bezug auf die eigene Krankengeschichte für Ärzt:innen und Versicherte, die Selbstbestimmung der Versicherten und die Datensicherheit.

Die gesamte Krankengeschichte wird also an einer Stelle gebündelt und gespeichert und steht bei jedem Arztbesuch, jeder Notfallmaßnahme zur Verfügung. Sowohl Ärzt:innen als auch Patient:innen sollen so einen besseren Überblick erhalten. Das soll zu einer effizienteren Behandlung führen, zur Vermeidung von Doppeluntersuchungen und zur Kontrolle, welche Diagnose gestellt und welche Leistung abgerechnet wurde. Voraussetzung für die Patient:innen ist mindestens ein PC, besser aber ein Smartphone, auf das die entsprechende App der Krankenkasse heruntergeladen wird. So weit, so gut. Doch es tun sich Fragen und Zweifel auf:

• Nur Personen, die ein Smartphone besitzen und dieses kundig bedienen können, ist es möglich, selbst Einsicht und Zugriff auf ihre Akte zu erhalten (schon am PC sind nicht alle Funktionen verfügbar). Hat eine Patient:in diesen Zugang nicht und der ePa auch nicht widersprochen, braucht sie eine:n Vertretungsberechtigte:n. Alternativ kann sie sich an die Ombudsstelle ihrer Krankenkasse wenden oder über ausgewählte Apotheken Einsicht erhalten. Autonomer wäre sie mit dem Aktenordner zu Hause.
• Die Behandelnden sind verpflichtet, Befundberichte, Arztbriefe und Verordnungen etc. in der ePa zu speichern. Ausnahmen gibt es u. a. bei psychischen Erkrankungen und Schwangerschaftsabbrüchen, hier müssen die Ärzt:innen oder Therapeut:innen ihre Patient:innen ausdrücklich auf ihr Widerspruchsrecht hinweisen. Da Diagnosen sowohl in den Befunden als auch in der Medikationsübersicht und in den Abrechnungsdaten auftauchen, erfordert ein wirksamer Widerspruch immer auch mehrere Schritte. Gerade bei Daten, die ein Potenzial für Diskriminierung und Stigmatisierung bergen oder die zu beruflichen Nachteilen führen könnten, wenn etwa Betriebsärzt:innen sie einsehen können, ist größte Vorsicht und Zurückhaltung geboten.
• Auch die Abrechnungsdaten der Krankenkassen werden automatisch in die ePA eingestellt. Hierzu hat der Datenschutzbeauftragte der Bundesregierung festgestellt, dass das gegen das sozialdatenschutzrechtliche Trennungsgebot verstößt und den Krankenkassen eine Profilbildung („gläserner Versicherter“) ermöglicht.
• Die versicherte Person kann zwar den Zugriff auf einzelne Dokumente verweigern, jedoch sind diese dann für keine:n der Behandler:innen sichtbar. Zu entscheiden, ob ein bestimmtes Dokument nur ausgewählten Behandler:innen zugänglich sein soll, ist nicht möglich. Standardmäßig haben derzeit Ärzt:innen, Zahnärzt:innen, Psychotherapeut:innen und Leistungserbringer:innen wie Krankhäuser sowie deren Fachpersonal ab dem Zeitpunkt des Einlesens der elektronischen Gesundheitskarte die Zugriffsberechtigung auf alle Daten für 90 Tage, Apotheken für drei Tage.
• Der versprochene Schutz der Daten ist keineswegs so sicher gewährleistet, wie das Bundesgesundheitsministerium behauptet. Geradezu amüsant finde ich, dass bei den Vorteilen hervorgehoben wird, die ePa sei vor Wasserschäden geschützt. Klar, digitale Daten sind auch vor Kaffeeflecken und Brandschäden sicher – wie aber ist es mit Hackerangriffen, Datenlecks und missbräuchlichem Zugriff? Gerade die Speicherung auf zentralen Servern privater Unternehmen stellt eine problematische Schwachstelle dar, sind doch sensible Daten nicht nur ein lukratives Geschäft für Kriminelle, sondern wecken auch die Begehrlichkeit von Versicherungen, IT-Unternehmen, der Gesundheitsindustrie und von Behörden. Gesundheitsdaten werden langfristig gespeichert, bis zu 30 Jahre, die verwendeten Verschlüsselungsverfahren unterliegen jedoch einer weitaus kürzeren Halbwertszeit, und ob eine Umstellung auf quantenmechanische Prinzipien rechtzeitig gelingt und dann ausreichend ist, ist durchaus unklar. IT-Sicherheitsexperten warnen daher vor den Risiken.
• Daten aus der ePA werden – pseudonymisiert – an das Forschungsdatenzentrum (FDZ) Gesundheit im Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) weitergeleitet. Forschung, Versorgungsqualität und Statistik sollen davon profitieren. Möchte man das nicht, muss man dieser Verwendung extra widersprechen. Detaillierte Datensätze sind jedoch durch Pseudonymisierung nicht vor einer Re-Identifizierung geschützt. Je nachdem, wie spezifisch die Daten sind, reichen dafür oftmals schon wenige Parameter wie das Krankheitsbild und die Postleitzahl aus.

Dies sind nur einige Gedanken, die aber Anlass geben sollten, die Entscheidung für die ePA zu überdenken. Ein Widerspruch ist auch nach Bereitstellung der ePA möglich und führt dann zu deren Löschung: https://widerspruch-epa.de 

1.) Stellungnahme vom 22.09.2023

2.) https://netzpolitik.org/2023/offener-brief-zu-gesundheitsdigitalisierung-vertrauen-laesst-sich-nicht-verordnen/