ePA – mit dem Opt-Out-Verfahren zum gläsernen Patienten!

ePA – mit dem Opt-Out-Verfahren zum gläsernen Patienten?
Ab dem 15. Jan 2025 bekommen alle Kassenpatienten automatisch eine elektronische Patientenakte
(ePA). Hintergrund ist, dass sich bisher nur ca. 1 Prozent der Versicherten für die ePA entschieden
haben. Dem Bundesgesundheitsministerium war dies zu wenig. Ähnlich wie beim Personalausweis
mit der Online-Funktion und RFID-Chip wird nun ein Opt-Out-Verfahren angewendet – d.h. die
Betroffenen müssen aktiv widersprechen, ansonsten wird die Funktion in Kraft gesetzt.
Dieser Vorgang wurde vom Bundes-Gesundheitsministerium initiiert und vom Bundestag im letzten
Dezember gesetzlich verabschiedet. Begründet wurde dies von Karl Lauterbach u.a. mit fehlenden
Gesundheitsdaten für Forschungseinrichtungen und die Pharmaindustrie.
Die Techniker Krankenkasse schreibt z.B. ihren Mitglieder:innen: „Sie müssen gar nichts tun. Wir
kümmern uns um alles“. Am Ende der Mitteilung wird erwähnt, dass es ein Widerspruchsrecht gibt
(Opt-Out-Verfahren) – aber nicht, dass die Widerspruchsfrist 6 Wochen beträgt. Dann wird die ePA
angelegt, auch wenn später noch ein Antrag auf Löschung gestellt werden kann.
Im Jahresbericht kritisierte der Bundesdatenschutzbeautragte Ulrich Kelber dass die
Widerspruchslösung erheblich in das Grundrecht auf die informationelle Selbstbestimmung
eingreife. „Schweigen ist keine Zustimmung“. Konkret bedeutet dies, wer nicht aktiv widerspricht,
stimmt zu.
Was ist die ePA? Die ePA ist als lebenslange digitale Akte konzipiert. Die darin gesammelten
Informationen werden auf zentralen Servern in der Telematikinfrastruktur der gematik GmbH
(„Nationale Agentur für Digitale Medizin“) abgelegt. In der ePA werden medizinische
Informationen über den Versicherten, insbesondere Befunde, Diagnosen, Vorsorgeuntersuchungen,
Behandlungsberichte, Rezepte, Arbeitsunfähigkeitsbescheinigungen und vieles mehr gespeichert.
Geworben mit den Vorteile der ePA: Austausch von Informationen, effizientere Behandlungen und
damit eine bessere Gesundheitsversorgung.
Geschichte der ePA
Die elektronische Patientenakte gibt es seit Januar 2021. Das Vertrauen scheint bisher
berechtigterweise nicht sehr gross. Weniger als ein Prozent der 74 Millionen gesetzlich Versicherten
nutzen die ePA (Stand 2023). Und die Geschichte der ePA ist durchzogen von Skandalen. Im Jahr
2022 verlangte die für die Telematikinfrastruktur zuständige Gematik den Austausch von 130.000
Hardware-Konnektoren in den Arztpraxen bis Ende 2024, weil ein Sicherheitszertifikat abläuft. Die
Kosten für das Update sollten die Beitragszahler:innen leisten: 300 Millionen. Der CCC (Chaos
Computer Club) ließ den Schwindel auffliegen. Ihm war es gelungen die Sicherheitsvorkehrungen
der Hersteller zu umgehen und nachzuweisen, dass es eine Alternative zum teuren HardwareTausch gäbe.
Im Sommer 2020 waren nach einem fehlerhaften Zertifikatswechsel rund 80.000 Arztpraxen aus der
telematischen Infrastruktur geflogen. Die Störungsbeseitigung dauerte 52 Tage.
Die Kosten der obsoleten Hardware lagen bei über zwei Millarden Euro im Jahr 2020. Aufgrund der
vielen Fehler wurde die ePA neu zur „TI 2.6“ konzipiert – ab 15.01.25 trägt sie den Namen ePA für
alle (ePA 3.0)“.
Wer kann die Daten einsehen: Laut § 352 SGB V sind dies zugriffsberechtige Personen, sofern sie
in einem Behandlungsverhältnis mit dem Patienten stehen. Konkret bedeutet das: Stecken
Patient:innen in einer Praxis die elektronische Gesundheitskarte in das dortige Lesegerät, erhalten
die Ärzt:innen damit standardmäßig die Berechtigung, 90 Tage lang auf die ePA zuzugreifen.
Apotheken, der öffentliche Gesundheitsdienst und Arbeitsmediziner:innen dürfen nach
Einwilligung der Versicherten 3 Tage lang auf die ePA zugreifen. Unter den Paragraphen fallen auch
Ärzte & Mitarbeiter:innen im öffentlichen Gesundheitsdienst, Fachärzte für Arbeitsmedizin und
Betriebsärzte, sowie Notfallsanitäter:innen.
Wie kann die Dateneinsicht gesteuert werden. Derzeit können Patient:innen noch relativ genau
steuern, wer die hinterlegten Daten und Informationen, wie lange einsehen darf. Ab 2025 wird die
Steuerung wesentlich komplizierter und aufwendiger für die Patienten. Die Deutsche Aidshilfe
hatte kürzlich kritisiert, dass die Daten nicht mehr wie versprochen “feingranular (in kleinen
Schritten)“ freigegeben werden können. Diese Auffassung vertrat der ehemalige Bundesdatenschutzbeauftrage Kelber ebenfalls: "Inakzeptabel ist [...], dass jetzt in der neuen ePA die
Möglichkeiten der Bürgerinnen und Bürger zur feingranularen Steuerung des Zugriffs reduziert
werden", sagt Ulrich Kelber in einem Interview mit dem Ärztenachrichtendienst. "Das wird sich
noch als Fehler in der Vertrauensbildung herausstellen". "Und es war sicherlich auch ein völliger
Fehler, Sicherheitsmaßnahmen herauszunehmen. Sowohl beim Zugriff auf die Akte, als auch für die
Aufgabe der individuellen Verschlüsselung im System", mahnt Kelber.
Das Bundesgesundheitsministerium plant Verknüpfung der Daten aus der elektronischen
Patientenakte (ePA) mit mehr als 400 Registern von Gesundheits- und Behandlungsdaten. Das sind
Forschungseinrichtungen, Krankenhäuser, öffentliche Einrichtungen und privatwirtschaftlich
organisierte Gesellschaften und Vereine. Die meisten stützen sich bei der Datenverarbeitung auf
Einwilligungen. Eine Übermittlung von Daten an die Antragsteller erfolgt – in Abhängigkeit von
den Daten – in anonymisierter und aggregierter oder in pseudonymisierter Form schreibt das
Bundesgesundheitsministerium dazu. In einem Beitrag von Heise.de ist nachzulesen, dass für die
Verknüpfung von Daten aus medizinischen Registern unter anderem eine Forschungskennziffer
geplant ist. Diese basiert auf der Krankenversichertennummer. Dazu schreibt das BMG in einer
FAQ: „1. Regelung, die es den Registern ausdrücklich erlaubt, die Krankenversichertennummer zu
erheben und in der Vertrauensstelle zu speichern“.
Freigemacht wurde auch der Weg für den Aufbau eines europäischen Gesundheitsdatenraumes
(EHDS). Darin wurde sich für den grenzüberschreitenden Austausch von Gesundheitsdaten
geeinigt. Für die Weitergabe der Daten an Dritte, etwa zu Forschungszwecken gilt die Opt-OutRegelung auch für das EHDS. D.h. der Versicherte muss widersprechen.
Zugriff von Behörden: Die elektronische Gesundheitskarte unterliegt einem Beschlagnahmeverbot
nach § 97 Abs. 3 StPO, so wie es auch eine ärztliche Schweigepflicht gibt. Dies gilt aber nicht für
die elektronische Patientenakte (§ 431 SGB V), weil diese sich nicht im Gewahrsam des Arztes
befindet. Die ePA wird von den Krankenkassen zur Verfügung gestellt. Auf Krankenkassen würde
sich ein Beschlagnahmeverbot nach der gesetzlichen Regelung nicht erstrecken. Der BFDI
( Bundesbeauftragter für Datenschutz und Informationsfreiheit) schließt nicht aus, dass eine
elektronische Patientenakte incl. der darin dokumentierten Gesundheits- und Behandlungsdaten
dem Zugriff der Strafverfolgungsbehörden unterliegt, wenn diese es im Einzelfall darauf anlegen.
Datenschutz und Sicherheit:
Die Daten liegen nicht direkt bei den Krankenkassen, sondern im soganannten „ePA-Aktensystem“
das von der Gematik betrieben wird.
Das Risiko tragen die Patienten. Wenn so viele sensible Daten zentral an einem Ort gespeichert
werden, ist das fast eine Einladung. Hacker könnten in die Datenbanken einbrechen und hätten dann
Zugriff auf hochsensible und persönliche Informationen. Tatsächlich sind erbeutete
Gesundheitsdatensätze derzeit mehr wert als etwa Kreditkartendaten – weil sie so viel über uns
preisgeben. In den letzten Jahren war immer wieder von Hackerangriffen auf Krankenhäuser zu
lesen. Zuletzt am 01.09.2024 auf die Wertachkliniken in Bobingen und Schwabmünchen.
Wie bereits weiter oben erwähnt, werden die Daten an Forschung, Wirtschaft und „wer berechtigtes
Interesse“ hat weitergegeben. Insgesamt entsteht so ein gigantischer Datenpool bestehend aus Daten
von 73 Millionen gesetzlich versicherter Bürger: Geburtsjahr, Geschlecht, Postleitzahl des
Wohnortes, die Anzahl der Versichertentage, an denen die versicherte Person ihren Wohnsitz oder
gewöhnlichen Aufenthalt außerhalb des Gebietes der Bundesrepublik hatte, Behandlungsmethoden,
in Anspruch genommene Krankengeld-Tage, Abrechnungsbegründungen, Angaben zu ärztlichen
Zweitmeinungen und gestellten Diagnosen, Kosten-und Leistungsdaten zu
Krankenhausbehandlung, ambulanter Versorgung, Arzneimittel, Heil- und Hilfsmittel,
Hebammenleistungen … Über diese Algorithmen und den stark erweiterten Datenumfang ist eine
Re-Identifikation sehr viel wahrscheinlicher geworden.
Bevor Gesundheitsdaten für Forschungszwecke bereitgestellt werden, werden diese Daten
pseudonymisiert. Den Daten wird also statt eines Namens eine Kennziffer zugeordnet. Fachleute
kritisieren jedoch, dass pseudonymisierte Daten mit nur geringem Aufwand wieder einzelnen
Personen zugeördnet werden können. Dafür reichen schon einige Datenpunkte aus, etwa das Alter,
die Postleitzahl oder der Geburtstag eines Kindes. In der Vergangenheit findet man zahlreiche
Beispiele dafür, wie Sicherheitsexpert:innen Personen anhand ihrer pseudonymisierten Daten
identifiziert haben – und damit auch prompt deren gesamte Krankengeschichte kannten.
Während bei einer Pseudonymisierung die Person (unter Hinzuziehung von gesondert aufbewahrten
Informamationen wieder identifiziert werden kann), bedeutet dagegen anonymisiert, dass die
betroffene Person nicht oder nur mit hohem Aufwand wieder identifiziert werden kann. Allerdings
ist selbst die Anonymisierung der Daten bei modernen Big-Data-Anwendungen kaum gegeben.
Gesundheitsdatenanalyse und KI: Grundlage der meisten KI-Anwendungen ist ein großer
Datenhunger, der nahezu alle Lebensbereiche berührt – einschließlich sehr sensibler Gebiete wie
etwa der Gesundheit. Je nachdem, wie Künstliche Intelligenz eingesetzt werde, berge sie „das
Potential für Grundrechtseinschränkungen und Diskriminierungen“, sagt Ulrich Kelber,
Bundesbeauftragter für Datenschutz und die Informationsfreiheit in seinem vorgelegten
Datenschutzbericht vom 20.03.2024.
So könnten Telematiktarife z.B. von der KI berechnet werden. Nach welchen Parametern die
Hidden Layer (versteckte Neuronen) ein Scoring berechnen würden ist nicht nachvollziehbar.
Die Generali-Tochter Dialog wirbt z.B. damit: Wer gesund lebt, soll mit einem günstigeren
Versicherungsbeitrag belohnt werden. Ebenso könnte zukünftig der Krankenkassenbeitrag aufgrund
der Analyse von Fittness-Apps oder Daten die von der ePA zur Verfügung gestellt werden –
berechnet werden. Es gäbe viele Einsatzmöglichkeiten.
Die ePA reiht sich ein in den zunehmenden Digitalisierungszwang:
Allein in der Altersgruppe zwischen 16 und 74 sind in Deutschland drei Millionen Menschen
offline, so das Statistische Bundesamt für das Jahr 2023. Einige sind es freiwillig, andere haben
keine Wahl, etwa weil die nötigen Geräte nicht ausreichend barrierefrei für sie nutzbar sind. Fast
zwei Drittel der Menschen über 80 sind offline. Laut Paritätischem Gesamtverband hat ein Fünftel
der armutsbetroffenen Menschen keinen Internetanschluss.
Hinzu kommt, dass für Smartphones das Betriebssystem mindestens IOS 15 bzw. Android 7 sein
sollte und NFC (Near Field Communication) fähig sein.
Die elektronische Patientenakte ist auf die Nutzung mit digitalen Endgeräten ausgelegt.
Versicherte ohne Smartphone, Tablet oder Computer können die ePA dennoch nutzen, sie müssen
aber mit Einschränkungen leben und können die ePA dann nur passiv nutzen.
Das bedeutet: Sie können keine Daten einsehen, hochladen oder verwalten, und Widersprüche
müssen über die Ombudsstelle Ihrer Krankenkasse erklärt werden. Oder, wenn Sie einzelne Ärzte
oder Leistungserbringer ausschließen oder einzelne Dokumente verbergen möchten, geht das nur
über die App oder über die Ombudsstelle bei der Krankenkasse.
Eine Studie Anfang diesen Jahres der Ernst-Abbe-Hochschule in Jena besagt, dass angeblich rund
76 Prozent der Bevölkerung bereits von der ePA gehört haben. Tatsächlich wird sie dagegen nur von
wenigen genutzt. Das Bundesgesundheitsministerium, die Krankenkassen und Medien preisen die
ePA als alternativlos und innovativ an. Betont werden die Vorteile der ePA und immer wieder wird
die Sicherheit des Datenschutzes betont. Allerdings ist laut Ulrich Kelber meist nicht einmal die
grundlegende IT-Sicherheit gewährleistet und führte mehrere Beispiele im In- und Ausland an, wie
z.B. ein kürzlich in Finnland bekannt gewordenen Cybervorfall, in dem die Menschen erpresst
wurden. Vermutlich weil er oft den Finger in die Wunde legte und auf mangelnden Datenschutz
aufmerksam machte wurde er vom Deutschen Bundstag nicht wieder zum Bundesbeauftragen für
den Datenschutz und die Informationsfreiheit gewählt.
Vertreter der Zivilgesellschaft kritisierten die Bundesregierung für diesen Umgang. Zu den
Unterzeichnern gehören unter anderem der Chaos Computer Club (CCC), die Digitale Gesellschaft,
die Gesellschaft für Informatik und die Free Software Foundation Europe.
Am 3. Sept. 2024 wurde Prof. Dr. Luisa Specht-Riemenschneider vom Bundespräsident Dr . FrankWalter Steinmeier zur neuen Bundesbeauftragten des BFDI ernannt.
Widerspricht Opt-Out der informationellen Selbstbestimmung?
1983 formulierte das Bundesverfassungsgericht das Grundrecht auf informationelle
Selbstbestimmung. Opt-out-Verfahren sind grundsätzlich problematisch, da zahlreiche
Bevölkerungsgruppen nicht das Wissen, die Ressourcen oder die Kraft haben, Widerspruch
einzulegen. Deren Recht auf informationelle Selbstbestimmung wird dadurch de facto ausgehebelt.
Wenn das Opt-out-Verfahren für die ePA eingeführt wird, steht zu erwarten, dass es auch in vielen
anderen Lebensbereichen zum Standard wird: Da es sich bei Gesundheitsdaten als Präzedenzfall um
die persönlichsten Daten handelt, sind die Hürden für andere, weniger kritische Daten eher
niedriger. Aktuell (Juni 2024) ist eine Opt-out-Regelung für Organspenden in der Diskussion.
Mittelfristig wird dies dazu führen, dass niemand mehr eine umfassende Übersicht hat, wann und
wo Widersprüche möglich sind. Im Zweifel werden Einzelne versuchen, bestmöglich überall zu
widersprechen, da es zeitlich und fachlich gar nicht möglich sein dürfte, sämtliche Themenbereiche
mit ihren Auswirkungen vollständig erfassen zu können. Oder es wird der Einfachheit halber die
Beschäftigung mit der komplexen Thematik vermieden und die Möglichkeit zum Widerspruch
generell nicht wahrgenommen. Letztlich wird das Recht auf informationelle Selbstbestimmung mit
der Opt-out-Regelung ausgehöhlt.
Ein Widerspruchsschreiben an die Krankenkasse könnte z.B. so aussehen:
Sehr geehrte Damen und Herren,
hiermit widerspreche ich vorsorglich dem Anlegen einer elektronischen Patienenakte von meiner
Person. Eine eventuell bereits angelegte elektronische Patientenakte bitte ich zu löschen.
Für den Fall, dass die Bestimmungen, die einen Widerspruch erforderlich machen, erst zu einem
späteren Zeitpunkt in Kraft treten, möchte ich diesen schon dafür abgeben und bitte Sie, mir
rechtzeitig Bescheid zu geben, falls ein erneuter Widerspruch eingelegt werden muss.
Zudem weise ich auf § 335 SGB V in der Fassung des PDSG hin:
(3) Die Versicherten dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff auf
Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 bewirkt oder verweigert haben.
Mit freundlichen Grüßen
Angeboten werden soll zeitnah vor dem 15.01.2025 ein Widerspruchsgenerator:
https://widerspruch-epa.de/widerspruchs-generator/