Das Jahr 2024 biegt langsam auf die Zielgeraden ein und wartet pünktlich zur Weihnachtszeit mit Geschenken auf. Die trudeln allmählich in Form von Schreiben der Krankenkassen ein. Nachdem zum 1.1.2021 die elektronische Patientenakte (ePA) Version 1.0 startete, beginnt zum 15.1.2025 die Ausbaustufe 3.0 unter dem Motto „ePA für alle“.
Was im ersten Moment so blumig wirkt, entpuppt sich bei genauerem Hinsehen aus datenschutzrechtlicher Sicht als wenig rosig.
Ursprünglich war geplant, dass die Nutzung der ePA auf freiwilliger Basis erfolgt. Wer die ePA wollte, musste also aktiv werden (Opt-In). Die Akzeptanz und Resonanz hielten sich aber in Grenzen. Der Gesetzgeber musste also kreativ werden und Anreize zur Nutzung der ePA schaffen. Das gelang ihm dadurch, dass die versicherten Personen zwar weiterhin aktiv werden müssen, jedoch nur, wenn sie die ePA nicht wollen (Opt-Out). Sie müssen der Nutzung der ePA mithin widersprechen. In Gesetzesform liest sich das in § 344 SGB V (in der Fassung ab dem 15.1.2025) dann folgendermaßen:
„Hat der Versicherte nach vorheriger Information gemäß § 343 der Einrichtung einer elektronischen Patientenakte gegenüber der Krankenkasse nicht innerhalb einer Frist von sechs Wochen widersprochen, stellt die Krankenkasse dem Versicherten eine elektronische Patientenakte bereit. […]“
Wird das Widerspruchsrecht von der versicherten Person nicht ausgeübt, dürfen die medizinischen Leistungserbringer künftig Behandlungsdaten, inkl. Daten zu Laborbefunden, Befundberichte aus bildgebender Diagnostik, aus invasiven oder chirurgischen sowie aus nicht-invasiven oder konservativen Maßnahmen und elektronische Arztbriefe bzw. Entlassungsbriefe (von Krankenhäusern) in die ePA übermitteln und dort speichern.
Was steht im § 343 Abs. 1 SGB V (in der Fassung ab dem 15.1.2025)?
„Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. […]“
Eine unglaublich komplexe Regelung, die bemerkenswert hohe Anforderungen (insgesamt 21 nummerierte Informationen) definiert. Dagegen gehen die Anforderungen des Art. 13 DSGVO fast unter. Folgende ersten Fragen stellen sich:
- Was passiert, wenn diese Anforderungen nicht erfüllt sind?
- Darf dann die ePA nicht erstellt werden?
- Was ist, wenn die ePA bereits erstellt wurde und Daten nach § 363 Abs. 2 SGB V bereits an das Forschungsdatenzentrum übertragen wurden?
Wenn der Widerspruch gegen das Anlegen der ePA bis zum 15.01.2025 nicht erfolgte, kann dieser jederzeit nachgeholt werden.
Wenn die ePA existiert, stehen der versicherten Person zudem weitere Widersprüche zur Verfügung. Weitere Widersprüche werfen aber auch weitere juristische Fragestellungen auf. Hervorgehoben soll der Widerspruch nach § 348 Abs. 2 S. 2 SGB V i.V.m. § 347 Abs. 1 S. 4, 5 SGB V (in der Fassung ab dem 15.1.2025). Danach besteht die Möglichkeit des Widerspruchs gegen die Übermittlung von Daten deren Bekanntwerden Anlass zu Diskriminierung oder Stigmatisierung des Versicherten geben kann, insbesondere zu sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen.
Die betroffene Person kann demnach bei Daten mit Diskriminierungs- oder Stigmatisierungspotential einer Übermittlung widersprechen. Das setzt wiederum voraus, dass eine umfassende Aufklärung in diesen Fällen durch die regelmäßig stark ausgelasteten Mediziner*innen erfolgen muss. Weitere zu klärende Fragen wären dann:
- Was passiert, wenn die Aufklärung unterblieb oder unzureichend war?
- Wer trägt die Beweislast? Wie können Daten in einem solchen Fall aus der ePA entfernt werden?
- Muss das Widerspruchsrecht bei jeder Untersuchung neu ausgeübt werden?
Zu diesem relevanten und heiklen Fragen kommen technischen Fragestellungen. Das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) hat die Sicherheit der ePA geprüft und in einem fast 90-seitigen Gutachten zusammengetragen. Dabei wurden 21 Schwachstellen identifiziert:
- Vier mit dem Schweregrad „hoch“
- Sechs mit dem Schweregrad „mittel“
- 11 mit dem Schweregrad „niedrig“
Darüber hinaus wurde die Möglichkeit des Uploads von Bild-Dateien in die ePA auf Grund offener Sicherheitsfragen vorerst deaktiviert. Das betrifft die klassischen Bilddateien, insbesondere jpeg und png.
So ganz ohne Einwilligung (OptIn) kommt die elektronische Patientenakte dann doch nicht aus: Im Falle einer Übermittlung und Speicherung von Ergebnissen genetischer Untersuchungen oder Analysen im Sinne des Gendiagnostikgesetzes in der elektronische Patientenakte bedarf es der Einwilligung der versicherten Person. Die Einwilligung muss ausdrückliche und schriftlich oder in elektronischer Form erklärt werden, § 347 Abs. 1 S. 3 SGB V (in der Fassung ab dem 15.1.2025).
Fazit
ePA für Alle? Das muss jede Person für sich entscheiden. Aufgrund der skizzierten Fragestellungen und der bestehenden Schwachstellen sollte die Entscheidung jedoch nicht auf die lange Bank geschoben oder nur halbherzig getroffen werden. Eine Auseinandersetzung ist in jedem Fall geboten und ist mit den verfügbaren Informationen im Netz differenziert möglich. Empfohlen wird an dieser Stelle beispielsweise die Seite der Deutschen Aidshilfe unter https://www.aidshilfe.de/medien/md/epa/.