Speicherung der elektronischen Patientenakte (ePA) in der Cloud – ist das sicher?

3. Februar 2020 FHWS Digital Health

Ein Gastbeitrag von Anna-Maria Schmitt und Alexander Frühwald im Rahmen unseres Kooperationsprojekts mit der FHWS.

Im Verlauf der letzten Jahre wurde die elektronische Patientenakte (ePA) bereits häufig angesprochen und diskutiert. Diese Patientenakte soll dazu führen, dass sowohl Patienten als auch Ärzte schnellen und leichten Zugriff auf vorliegende Befunde erhalten. Bei dem aktuellen Konzept, welches ab Ende 2021 verpflichtend umgesetzt werden muss, wird von den Patient*innen ein ePA-Anbieter gewählt und bei der Anmeldung der Arztpraxis oder Klinik angegeben. Als mitten in der Digitalisierung lebende Bürger*innen sind wir jedoch um unseren Datenschutz besorgt und fragen uns: Wo speichern die ePA-Anbieter eigentlich unsere Daten?

„Cloud“ – was ist das überhaupt?

In dem Kontext der Datenhaltung gibt es in den letzten Jahren nahezu keine Diskussion, in der nicht die Cloud-Technologie angesprochen wird. Um die Cloud zu erklären, müssen wir kurz ausschweifen.

Möchte man zum Beispiel einen eigenen Webauftritt erstellen, wie etwa eine Webseite für das eigene Unternehmen, so hat man früher in der Regel einen Server bei einem entsprechenden Anbieter gemietet, auf dem man die gewünschten Inhalte speicherte und der Öffentlichkeit zur Verfügung stellte. Bei diesem Konzept ist das Rechenzentrum jedoch der sogenannte Single-Point-Of-Failure: Gibt es dort einen Fehler, so kann es passieren, dass der gesamte Webauftritt nicht mehr erreichbar ist.

Anders ist dies beim Prinzip der Cloud: Die Anbieter besitzen hier mehrere Rechenzentren und vermieten statt ganzen Servern nur Teile ihrer Speicher- und Rechenkapazität. Die Anbieter übernehmen in der Regel auch einen Teil der Datensicherung, indem sie den Webauftritt regelmäßig in ein anderes Rechenzentrum kopieren. Fällt ein Rechenzentrum aus, so funktioniert die Webseite noch immer, da die Dateien von einem anderen Rechenzentrum aus erreichbar sind. Das bedeutet also, dass die „Cloud“ in diesem Kontext eine dezentrale Datenhaltung beschreibt (vgl. [1], [10]).

Was sind die Vor- und Nachteile der Speicherung in der Cloud?

Wie aus dem oben genannten Beispiel hervorgeht, ist ein großer Vorteil der Cloud also die Ausfallsicherheit dank der dezentralen Datenhaltung. Da die Daten an mehreren Orten gleichzeitig liegen, kann auch auf diese zugegriffen werden, wenn ein Serverzentrum überlastet sein sollte.

Doch die Cloud hat noch weitere Vorteile. Die Endanwender müssen sich nicht um die Administration der Datenhaltung kümmern.  Zusätzlich müssen sie nicht genau wissen, wo ihre Daten liegen – sie wollen lediglich darauf zugreifen.

Allerdings gibt es auch einige Kritik an dem Prinzip der Cloud: Da die Daten nicht mehr auf einem eigenen Server liegen, müssen die Nutzer sich vollständig darauf verlassen, dass die Cloud-Anbieter sich gut um die Daten kümmern und diese nicht an Dritte weitergeben. Der Datenschutz und die Datensicherheit liegen hier also größtenteils im Aufgabenbereich des Anbieters, bleiben jedoch in der Verantwortung der Nutzer. Die Herausforderung ist also, vertrauenswürdige Cloud-Anbieter für die gegebenen Aspekte zu finden.

Zurück zur ePA. Wären ePA-Anbieter und Cloud-Anbieter identisch, so würden sie sich selbst um die Sicherheit der Daten kümmern. Durch eine dezentrale Speicherung der Daten sind diese somit vor dem Ausfall eines Rechenzentrums geschützt.

Gesetzliche Lage in Deutschland

In Deutschland wurde 2015 das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health Gesetz) beschlossen. In diesem Gesetz wurden mehrere Aspekte des Gesundheitssektors geändert, zum Beispiel wurde die Einführung der elektronische Patientenakte beschlossen und der Weg für Online-Videosprechstunden geebnet. Die elektronische Patientenakte in Deutschland soll sektorübergreifend sein, d. h. verschiedene Fachärzte und Krankenhäuser können Daten schreiben und lesen (vgl. [7], [9]). Es ist geplant, Dokumente wie Befunde, Arztbriefe, Medikationsplan und Impfpass in der Patientenakte zu integrieren (vgl. [2], [8]). Alle Patient*innen können freiwillig entscheiden, ob sie eine ePA benutzen möchten und welche Dokumente die behandelnden Ärzte hochladen sollen. Alleinigen Zugriff auf die Dokumente haben Ärzte nur, wenn die Patienten ihnen eine Berechtigung erteilen, sonst müssen die Patienten anwesend sein. Diese Leitlinien sind den Umsetzungen in anderen Ländern ähnlich, wie z. B. in der Schweiz.

ePA: Vorreiter Schweden und Schweiz

Schweden führte die nationale Patientenakte schon im Jahr 2011 ein (vgl. [3], [5]). Mittlerweile sind alle Gesundheitseinrichtungen in Schweden vernetzt, damit die Daten zu Fachärzten, Kliniken, Apotheken oder Pflegeheimen barrierefrei gelangen können. Wichtig hierbei ist, dass Eigentümer der Daten die Anleger sind und die Daten online und passwortgeschützt sind. Für die Einführung wurden drei Hauptziele gesetzt: Patientenermächtigung, Unterstützung des Gesundheitspersonals und Unterstützung der politischen Entscheidungsträger. Letztere können die Daten benutzen, um die Qualität der Behandlungen zu überprüfen.

Da Schweden ein zentral gesteuertes Gesundheitssystem hat, könnte man im föderalistischen Deutschland Bedenken für die Umsetzung einbringen. Um diese aus der Welt zu schaffen, kann die Realisierung in der Schweiz betrachtet werden. Im Bundesgesetz über das elektronische Patientendossier ist geregelt, dass die Akten dezentral gespeichert und umgesetzt werden (vgl. [6]).  Die einzelnen Realisierungen in den Schweizer Kantonen werden zusammengeschlossen und regelmäßig auf Datenschutz und Datensicherheit kontrolliert. Die Patient*innen können eigene Dokumente hochladen und bestimmen, wer darauf Zugriff hat. Ein Vorteil aus Sicht des Gesundheitspersonals ist die gesteigerte Behandlungsqualität, da man unnötige oder doppelte Behandlungen vermeidet und alle für die Diagnose und Therapie benötigten Informationen zur Verfügung hat.

Ausblick in die Zukunft

Bis Ende 2021 muss die Patientenakte in Deutschland eingeführt werden (vgl. [4]). Eine ähnliche Umsetzung wie die in der Schweiz wäre nicht nur möglich, sondern auch sinnvoll. Durch die dezentrale Speicherung der Akte in der Cloud sind sie weniger anfällig für Ausfälle, z. B. durch Terroranschläge und Hacking. Die Softwareanbieter sollten jedoch regelmäßig überprüft und zertifiziert werden, um Datenschutz und eine möglichst große Datensicherheit zu gewährleisten.

Weitere Informationen zur ePA finden Sie zum Beispiel hier.

Quellen:

[1]: Feldmann, M. (2018); Umbau in der Wolke: Mit der EU-DSGVO Transparenz und Sicherheit in der Cloud-Branche schaffen; https://www.informatik-aktuell.de/betrieb/virtualisierung/mit-der-eu-dsgvo-transparenz-und-sicherheit-in-der-cloud-branche-schaffen.html (aufgerufen am 08.07.2019)

[2]:  N.N. (2019); Elektronische Patientenakte (EPA); https://www.kbv.de/html/epa.php (aufgerufen am 08.07.2019)

[3]: Bertelsmann Stiftung (2017); Elektronische Patientenakten; https://www.bertelsmann-stiftung.de/fileadmin/files/BSt/Publikationen/GrauePublikationen/VV_eEPA_Expertise_final.pdf (aufgerufen am 08.07.2019)

[4]: Hegemann L. (2018); Wie sicher sind meine medizinischen Daten?; https://www.zeit.de/digital/datenschutz/2018-12/elektronische-patientenakte-medizinische-daten-sicherheit-zweifel-datenschutz (aufgerufen am 08.07.2019)

[5]: Klein, M. (2016); Fünf Jahre nationale Patientenakte in Schweden; https://www.egovernment-computing.de/fuenf-jahre-nationale-patientenakte-in-schweden-a-518151/index2.html (aufgerufen am 08.07.2019)

[6]: N.N; Elektronisches Patientendossier; https://www.patientendossier.ch/de (aufgerufen am 08.07.2019)

[7]: N.N; E-HEALTH; https://www.kbv.de/html/e-health.php (aufgerufen am 08.07.2019)

[8]: Czeschik, C. (2018); Was ist eigentlich… der Unterschied zwischen elektronischer Patientenakte und Gesundheitsakte?, https://www.serapion.de/was-ist-eigentlich-der-unterschied-zwischen-elektronischer-patientenakte-und-gesundheitsakte/ (aufgerufen am 08.07.2019)

[9]: Bundesministerium für Gesundheit (2019); E-Health-Gesetz; https://www.bundesgesundheitsministerium.de/service/begriffe-von-a-z/e/e-health-gesetz.html (aufgerufen am 08.07.2019)

[10]: Servinga (2018); Dedizierte Server vs. Cloud Hosting; https://www.servinga.com/blog/openstack/dedizierte-server-vs-cloud-hosting/ (aufgerufen am 08.07.2019)

Über die Autoren: Alexander Frühwald und Anna-Maria Schmitt sind Studierende des Master-Studiengangs Informationssysteme an der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt. Im Laufe des Studiums spielen die Themen Datensicherheit und Cloud eine große Rolle – dies war Motivation der Autoren, sich auch in diesem Artikel damit zu beschäftigen.

Related Articles