Nach vielem hin und her geht es morgen nun endlich los: Die elektronische Patientenakte (ePA) kommt als „ePA für alle“ – jedenfalls für diejenigen, die diese (immer noch) wollen. Hierzu dürften die meisten gesetzlich Versicherten in den letzten Wochen Post von ihrer Krankenkasse bekommen haben.
Was ist die ePA?
Mit der ePA erhalten Versicherte ihre Patientenakte in digitaler Form. Die ePA soll die Nutzung von Gesundheitsdaten erleichtern. So sind persönliche Befunde, Diagnosen, Medikationsinformationen, Arztbriefe sowie Angaben zu durchgeführten und geplanten Therapiemaßnahmen gebündelt an einem Ort verfügbar. Ziel ist es, dass die sog. Leistungserbringer (Ärzte in Praxen und Krankenhäusern, Psychotherapeuten) einrichtungsübergreifend schnell und effizient alle relevanten Informationen und Dokumente auf einen Blick zur Verfügung gestellt bekommen. Im Rahmen der ePA können Versicherte zudem auch eigene Informationen ergänzen (z. B. aus Fitnesstrackern) und zur Selbstverwaltung einen eigenen Überblick über ihre persönliche Patientengeschichte erhalten, bspw. durch Abruf der ePA über die ePA-App der jeweiligen Krankenkassen. Eine Übersicht hierzu sowie zu den Info-Seiten der gesetzlichen Krankenkassen finden Sie hier.
Was ist der Plan?
Hatte der Gesetzgeber den ursprünglichen Plan, dass interessierte Versicherte in die Einrichtung einer ePA einwilligen müssen, musste er jedoch schnell feststellen, dass die erhoffte Resonanz ausblieb. In der Folge wurde die ursprüngliche Opt-in-Lösung in eine Widerspruchslösung (Opt-out) gewandelt (wir berichteten). Nach dem neuen Digital-Gesetz (DigiG) zur Beschleunigung der Digitalisierung des Gesundheitswesens sind die Krankenkassen nun ab dem 15. Januar 2025 verpflichtet, ihren Versicherten eine ePA zur Verfügung zu stellen. Versicherte haben ab dann sechs Wochen Zeit gegenüber ihrer Krankenkasse zu widersprechen, sollten sie die ePA nicht wünschen. Aber auch wenn die Frist nicht genutzt oder vergessen werden sollte, können Versicherte auch danach jederzeit widersprechen. Weitere individuelle Widersprüche können nach Einrichtung der ePA unmittelbar über die zugehörige App umgesetzt werden. Versicherte, die keine App nutzen wollen, können sich zudem an speziell von den Krankenkassen einzurichtende Ombudsstellen wenden. Für minderjährige Versicherte können bis zur Vollendung des 15. Lebensjahres die jeweiligen gesetzlichen Vertreter (im Regelfall die Eltern) den Widerspruch erklären.
Spätestens ab März 2025 soll die ePA bundesweit von Praxen und Krankenhäusern genutzt werden. In der jetzigen Form der ePA soll jeder selbst entscheiden können, wer – also welche Praxis, welche Apotheke oder welches Krankenhaus – auf welche Gesundheitsdaten wie lange zugreifen darf.
Zweifel an der Sicherheit?
Zuletzt häuften sich indes Stimmen, die die getroffenen Sicherheitsmaßnahmen der ePA in Frage stellen. So machte Ende letzten Jahres der Chaos Computer Club (CCC) auf essenzielle Schwachstellen aufmerksam. Laut CCC konnte u. a. festgestellt werden, „wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. Dies ist möglich, ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.“
Auch die Bundesärztekammer (BÄK) und der Berufsverband der Kinder- und Jugendärztinnen und -ärzte (BVKJ) warnen laut einem Bericht im Ärzteblatt vor den aufgedeckten Sicherheitslücken, ergänzt mit der deutlichen Forderung, die jetzige Version der ePA durch ein neues, sichereres System zu ersetzen.
Eine brutale Bruchlandung noch vor dem Start?
Die als „bedenklich“ bezeichneten Sicherheitsmängel wurden umgehend von der Gematik, verantwortlich für die Telematikinfrastruktur im deutschen Gesundheitswesen, pariert und in einer Stellungnahme zurückgewiesen. Die ePA sei mit den höchsten und modernsten Sicherheitsstandards ausgerüstet, welche die Gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt habe. Zusätzlich würde die Telematikinfrastruktur durch ein mehrstufiges Sicherheitskonzept geschützt. In enger Abstimmung mit den zuständigen Behörden und externen Experten würde die Sicherheit der Telematikinfrastruktur und aller Anwendungen fortlaufend geprüft. Die vom CCC vorgebrachten Mängel seien zwar technisch möglich, aber höchst unwahrscheinlich, so die Gematik. Zudem würden derzeit weitere Sicherheitsmaßnahmen ergriffen, wie z. B. die Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer. Auch die Möglichkeit der missbräuchlichen Verwendung der Ausweise der Telematikinfrastruktur soll durch Maßnahmen verhindert werden.
Und nun – alles auf null?
Führen die jüngsten Sicherheitsbedenken womöglich zu einem kurzfristigen Stopp der ePA? Dies scheint nicht allzu wahrscheinlich zu sein. Die durch den CCC aufgedeckten Schwachstellen haben zwar zu einem breiten Medienecho geführt und dem Image der ePA als Vorzeigeprojekt des deutschen Gesundheitswesens wahrlich keinen Gefallen getan. Es darf aber damit gerechnet werden, dass die bereits begonnenen Einfangversuche der entscheidenden Instanzen noch weitergeführt und intensiviert werden, möchte man doch das Vertrauen in die ePA und das zugesicherte Versprechen eines effektiven Schutzes der in der ePA enthaltenen Informationen erfüllen.
Wer dennoch Misstrauen hegt oder die ePA aus anderen Gründen ablehnt, sollte von seinem Widerspruchsrecht Gebrauch machen. Verschiedene datenschutzrechtliche Aufsichtsbehörden wie z. B. die LDI NRW oder der LfDI MV empfehlen ausdrücklich, dass sich Versicherte rechtzeitig mit der neuen ePA vertraut machen und dann sorgfältig abwägen sollten, ob und in welchem Umfang sie von ihren Widerspruchsmöglichkeiten Gebrauch machen. Weitere Informationen zu den Widerspruchsmöglichkeiten finden Sie hier.