Datenschutz und ePA: Wie viel Eigenverantwortung trägt der Versicherte?

Ab 2021 soll es sie geben: die elektronische Patientenakte (ePA) nach der im Dezember 2018 veröffentlichten gematik-Spezifikation. Elektronische Gesundheitsakten (eGA) wie Vivy und Co. gibt es dagegen jetzt schon – und damit auch Bedenken, wie es um den Schutz von Versichertendaten im digitalen Raum aussieht.

Wie es um den Datenschutz in der ePA bestellt sein wird, das war Thema der Podiumsdiskussion „All your data belong to us: ePA in der Datenschutzperspektive“ auf der DMEA am 10.04.2019. Susanne Mauersberg (Referentin Team Gesundheit und Pflege, Verbraucherzentrale-Bundesverband), Holm Diening (Leiter Datenschutz und Informationssicherheit der gematik), Christian Rebernik (CEO, Vivy GmbH) und Christof Basener (Leiter eID Solutions, Achelos GmbH) diskutierten mit mir unter anderem über das Spannungsfeld zwischen Fürsorge und Bevormundung durch den Staat: Kann man einem Versicherten zutrauen, dass er selbst für Sicherheitsupdates auf dem Smartphone sorgt, wenn er damit auf die ePA zugreifen will? Werden Versicherte ihr Recht nutzen, Befunde und Berichte absichtlich nicht in die ePA einzustellen? Was bedeutet das für die ePA als Informationsgrundlage der ärztlichen Behandlung?

Podiumsdiskussion ePA und Datenschutz auf der DMEA 2019 mit Susanne Mauersberg, Holm Diening, Christian Rebernik und Christof Basener

Dass Versicherte über die mit der ePA einhergehenden Möglichkeiten und auch Risiken informiert werden müssen, steht wohl außer Frage. Debattiert wird jedoch das „Wie“: Susanne Mauersberg verglich die gängigen Einwilligungsbögen in Datenspeicherung und -verarbeitung mit Beipackzetteln, die zum einen kaum gelesen würden und zum anderen durch eine schwer verständliche Darstellung insbesondere von Risiken zuweilen sogar kontraproduktiv für die Therapie seien. Sie forderte, endlich konkret zu werden in der Diskussion über Datenschutz und Versicherte beispielsweise durch Erklärfilme zu informieren. Auch die gematik solle das Mandat erhalten, den Endnutzer aufzuklären – bisher sei das den Krankenkassen vorbehalten.

Holm Diening wies darauf hin, dass die Berichterstattung zum Thema Datenschutz und Vertraulichkeit der ePA oft verzerrt und sogar sachlich falsch sei: Mit der Digitalisierung von Patientendaten, so werde es oft dargestellt, hätte die Vertraulichkeit der Arzt-Patienten-Beziehung ein Ende. In Wirklichkeit jedoch sei die ePA so angelegt, dass keine Instanz zentral Einblick in alle elektronischen Patientenakten nehmen könne. Nicht einmal mit nicht-profitorientierter, wissenschaftlicher Intention sei das möglich: Wenn der Versicherte wolle, dass seine digitalen Daten der Forschung zugute kommen, könne er diese natürlich freiwillig außerhalb der ePA entsprechenden Institutionen zur Verfügung stellen. In der ePA selbst gebe es aber keine übergreifenden Auswertungen.


Ein aktuelles Interview mit Holm Diening zum Thema „zentrale oder dezentrale Speicherung von Gesundheitsdaten?“ finden Sie hier im Blog.


Dies konnte Christian Rebernik von Vivy für die elektronische Gesundheitsakte seines Unternehmens nicht so klar verneinen: Der Nutzer erhalte hier die Möglichkeit, beispielsweise in personalisierte Hinweise zu seinen Erkrankungen einzuwilligen mit dem Ziel, seine Versorgung zu verbessern. Dies sei jedoch strikt an eben diese Einwilligung gebunden und könne vom Nutzer auch komplett ausgeschlossen werden.


Wir berichteten: Hintergründe zu Vivy und anderen Gesundheitsakten und zur Kritik an deren Datenschutz und Datensicherheit auf dem Chaos Communication Congress.


Auch Christof Basener bewertete das Niveau der Sicherheitsmaßnahmen in der ePA als erfreulich hoch. Eine ePA, die durch ein vernünftiges Sicherheitsniveau in der Bevölkerung gut akzeptiert werde, führe zu mehr Transparenz im Gesundheitswesen insbesondere für Versicherte, und dies wiederum könne zu einigen heute bestehenden ökonomischen Fehlanreizen ein Gegengewicht sein.

Die abschließende Diskussion mit dem Publikum zeigte, dass vor allem bei Ärztinnen und Ärzten einige Fragen noch offen sind und wohl auch bis auf weiteres offen bleiben müssen: So sind den Datenmengen, die in einer ePA gespeichert werden können, technisch kaum Grenzen gesetzt – müssen Ärzte alle diese Daten zur Kenntnis nehmen und bei der Entscheidungsfindung berücksichtigen? Bis die daraus folgenden Haftungs- und Vergütungsfragen abschließend geklärt sind, wird die DMEA wohl noch einige Male stattfinden.