2021/8 | | Automatisierung

Die Bedeutung der elektronischen Patientenakte für die Gesundheitsbranche

Hier eine Röntgenaufnahme, dort ein Blutbild - und beim nächsten Arzt beginnt alles wieder von vorn: Viele Untersuchungen wären vermeidbar, wenn Patienten ihre Krankengeschichte mit allen Befunden stets bereithalten könnten. Ermöglichen soll dies die elektronische Patientenakte (ePA). Sie gilt als Meilenstein in der Digitalisierung des Gesundheitswesens, wirft bei Patienten, Arztpraxen und Kliniken aber noch zahlreiche datenschutzrechtliche Fragen auf. Eine Einordung.

Bildquelle: (C) mcmurryjulie / Pixabay

Das Wichtigste in Kürze

  • Seit 1. Januar 2021 bieten gesetzliche Krankenkassen ihren Versicherten die kostenlose elektronische Patientenakte (ePA) an.
  • Die Testphase läuft bis Ende 2021. In dieser Zeit können Patienten ihren behandelnden Ärzten nur pauschal Zugriff auf die Dokumente in der ePA gewähren.
  • Diese Form des Zugriffsmanagements sowie weitere Aspekte der Umsetzung verstoßen gegen die DSGVO - bemängelt der Bundesdatenschutzbeauftragte.
  • Für Krankenkassen, Arztpraxen und Kliniken ergeben sich daraus datenschutzrechtliche Risiken.
  • Diesen Risiken sollten die Akteure in Zusammenarbeit mit ihrem Datenschutzbeauftragten proaktiv begegnen.

Definition und Leistungen der elektronischen Patientenakte

Seit Januar 2021 müssen gesetzliche Krankenkassen ihren Versicherten die neue elektronische Patientenakte anbieten. Dies schreibt das neue Patientendaten-Schutz-Gesetz (PDSG) vor, das am 20. Oktober 2020 verabschiedet wurde. Die zivilrechtlichen Grundlagen finden sich im Bürgerlichen Gesetzbuch (BGB). Hier ist in § 630 f BGB die Dokumentation der Behandlung durch Leistungserbringer im Gesundheitswesen geregelt. Die Vorschrift verlangt, dass jeder behandelnde Arzt den Grund der medizinischen Behandlung und die getroffenen Maßnahmen in unmittelbarem zeitlichem Zusammenhang mit der Behandlung dokumentiert. Zu diesem Zweck ist weiterhin eine Patientenakte in Papierform oder elektronisch zu führen.

Es existiert demnach bei allen Ärzten und in jeder Klinik, die ein Patient besucht hat, in irgendeiner Form eine personenbezogene Patientenakte. Was bisher vollständig fehlte, war eine behandlungsfallbezogene- und einrichtungsübergreifende Dokumentation, die alle Gesundheitsinformationen über einen Patienten zusammenfasst. Dies soll die elektronische Patientenakte leisten. In der ePA können alle Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte, Arztbriefe und Impfungen zentral gespeichert werden.

Nicht verpflichtend: Nutzung der ePA

Es gibt für Versicherte keine Verpflichtung, die ePA zu verwenden. Das im Vorfeld der ePA verabschiedete Patientendaten-Schutz-Gesetz formuliert ausdrücklich die Freiwilligkeit der Nutzung durch gesetzlich Versicherte. Anders sieht es bei Arztpraxen, Kliniken und anderen Gesundheitsdienstleistern aus. Diese müssen gemäß § 341 SGB V zur elektronischen Patientenakte (Sozialgesetzbuch V) im Laufe des Jahres 2021 die für eine ePA-Nutzung nötigen technischen Komponenten und Schnittstellen einrichten. Für die an der vertragsärztlichen Versorgung beteiligten Leistungserbringer gilt eine Umsetzungspflicht bis zum 30. Juni 2021. Für Krankenhäuser lief die Umsetzungsfrist bereits im Januar 2021 ab.

Zugriff auf die in der ePA gespeicherten Daten

Eines der Ziele des Patienten-Daten-Schutz-Gesetzes ist es, gesetzlich Versicherten mehr Kontrolle und Hoheit über die eigenen Gesundheitsdaten einzuräumen. Deshalb entscheidet allein der Patient, welche Daten gespeichert und welche wieder gelöscht werden. Der Patient soll zudem in jedem Einzelfall bestimmen, wer auf die ePA zugreifen darf. Entsprechende Erlaubnisse setzen eine dokumentierte Einwilligung des Patienten und eine Zugriffsfreigabe voraus. Letztere sollte per PIN erfolgen. Freigaben können entweder für die aktuelle Behandlung oder für einen längeren Zeitraum erteilt werden.

Gut zu wissen: Die gesetzlichen Krankenkassen müssen die ePA entsprechend der gesetzgeberischen Vorstellung zur Verfügung stellen, erhalten aber keinerlei Zugriff auf die darin gespeicherten Daten. Ausgenommen davon ist allenfalls der medizinische Dienst der Krankenkassen (MDK), doch auch der MDK darf nur unter bestimmten Voraussetzungen und in engen Grenzen Einsicht in die Patientenakte erhalten.

Datenschutzbedenken bei der ePA

Geplant ist eine etappenweise Einführung im Laufe des Jahres 2021. Es fungiert damit als eine Art Übergangs- und Testjahr für die ePA - mit zum Teil eingeschränkter Funktionalität.

So sollen Versicherte erst ab 2022 die Möglichkeit bekommen, für jedes in der ePA gespeicherte Dokument einzeln festzulegen, wer darauf zugreifen darf. Bis dahin können Versicherte die ePA für einen behandelnden Arzt entweder freigeben oder nicht freigeben. Beispiel Zahnarzt: Willigt der Patient ein, dass dieser die ePA betrachten und Dokumente lesen und speichern darf, kann der Zahnarzt alle Dokumente einsehen - auch Befunde aus einer etwaigen psychotherapeutischen Behandlung.

Bei Datenschützern stößt diese Übergangsregelung beim Zugriffsmanagement auf massive Kritik. In seiner Pressemitteilung vom 19. August 2020 weist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (bfDI) Professor Ulrich Kelber auf die Risiken infolge der Einführung der ePA hin. Auch nach 2022 sei eine volle Zugriffskontrolle wohl nur für Patienten mit eigenem Smartphone oder Tablet möglich. Zudem verstoße die ePA schon deshalb gegen die DSGVO, weil sie den dort gesetzlich vorgeschriebenen Prinzipien der Datenminimierung und Datensparsamkeit zuwiderlaufe. Ebenfalls nicht DSGVO-konform sei nach Einschätzung des BfDI das Authentifizierungsverfahren mithilfe der Gesundheitskarte und einer einfachen PIN. Ein solches Verfahren werde dem hohen Schutzbedarf sensibler Gesundheitsdaten nicht gerecht. Wenig Transparenz und kritische Fragen gibt es auch in puncto Datenverschlüsselung: Wie sicher ist sie - und wer hat den Schlüssel?

Umsetzung der ePA

Das Frontend für gesetzlich Versicherte ist eine App für Smartphone oder Tablet. Ursprünglich vorgesehen waren auch Bedienterminals bei den Krankenkassen, in Kliniken und Praxen, aber deren Einführung liegt aktuell auf Eis. Dies bedeutet: Wer über kein eigenes Tablet oder Smartphone verfügt, besitzt nur eingeschränkt Zugriff auf seine ePA und muss einen technisch ausgestatteten Vertreter benennen oder einen behandelnden Arzt um Mithilfe bitten. Informationsfreiheit und Datenhoheit sind in diesen Fällen nicht wirklich gegeben.

Zur IT-technischen Umsetzung: Alle gesetzlichen Krankenkassen müssen ihren Versicherten eine ePA anbieten. Die Vernetzung der verschiedenen Lösungen der Krankenkassen erfolgt in der sogenannten Telematikinfrastruktur, bei der es sich um ein geschlossenes Netzwerk handelt. Um die Gesundheitsdaten der Patienten zu schützen, läuft die Kommunikation im Netzwerk verschlüsselt und ausschließlich zwischen registrierten Nutzern ab.

Die Sicherheit des Telematiknetzwerks und der IT-technischen ePA-Umsetzung wird dennoch von verschiedenen Experten angezweifelt. Zweifel bestehen zum Beispiel, weil aus datenschutzrechtlicher Sicht bislang keine hinreichende Transparenz über die verwendeten Datenspeicher der einzelnen Krankenkassen, die Serverstandorte sowie die Art der Datenverschlüsselung gegeben ist.

Das datenschutzrechtliche Dilemma der gesetzlichen Krankenkassen

Nach der aktuellen Rechtslage können sich die gesetzlichen Krankenkassen also nicht vollständig gesetzeskonform verhalten. Denn gemäß § 341 SGB V sind die Kassen verpflichtet, eine geeignete, von der gematik GmbH zertifizierte Datenbanklösung aufzubauen und ihren Versicherten die ePA kostenlos anzubieten. Wenn sie dies aber tun, verstoßen sie damit nach Einschätzung des BfDI bereits gegen die in der europäischen Datenschutzgrundverordnung formulierten Prinzipien der Datenminimierung und Datensparsamkeit.

Datenschutzrechtliche Herausforderungen der ePA für Arztpraxen und Kliniken

Datenschutzrechtlich verantwortlich für die DSGVO-Konformität der ePA sind formal die Anbieter, also die gesetzlichen Krankenkassen. Hinzu kommt, dass die Patienten selbst darüber entscheiden, ob sie einem behandelnden Arzt den Zugriff auf die ePA gewähren. Zumindest im laufenden Jahr 2021 kann die Freigabe jedoch nur pauschal für alle gespeicherten Daten erteilt oder verwehrt werden. Datenschutzrechtlich beginnen spätestens hier auch für niedergelassene Ärzte und Kliniken die Probleme. Denn sobald Ärzte auf die gespeicherten Daten zugreifen möchten, benötigen sie die Einwilligung des Patienten. Nach der DSGVO kann eine Einwilligung nur dann wirksam erteilt werden, wenn sie freiwillig, zweckgebunden sowie für einen Einzelfall erklärt wird. Da Patienten im laufenden Jahr jedoch nur alle oder gar keine Daten freigeben können, ist die Freiwilligkeit der Einwilligung auf Ebene der Einzeldokumente fragwürdig. An einer pauschal erteilten Zugriffsberechtigung bestehen erhebliche datenschutzrechtliche Zweifel. Arztpraxen und Kliniken würden als Datenempfänger im Einzelfall womöglich gegen die Datenschutzgrundverordnung verstoßen und müssten eventuell mit Sanktionen rechnen.

Wichtig: Die Einführung der ePA konterkariert die ärztliche Schweigepflicht nicht im Geringsten. Ärzte und Kliniken müssen sensible Patientendaten nach wie vor in besonderer Weise schützen. Ob und wie dies im Rahmen der ePA-Nutzung in der jeweiligen Organisation gelingen kann, sollte in Rücksprache mit dem Datenschutzbeauftragten überprüft werden. Verstößen gegen die ärztliche Schweigepflicht ziehen straf- und datenschutzrechtliche Sanktionen nach sich.

Das können Ärzte und Kliniken tun, um sich datenschutzrechtlich abzusichern

In Absprache mit ihrem Datenschutzbeauftragten sollten die medizinischen Leistungserbringer ihre technischen und organisatorischen Maßnahmen (TOM) im Hinblick auf die ePA-Nutzung gründlich überprüfen und gegebenenfalls optimieren. Dazu kann beispielsweise die Einführung eines rollenbasierten Berechtigungskonzeptes gehören, um sicherzustellen, dass nach einer ePA-Freigabe durch den Patienten nicht jeder im Praxis- oder Klinikteam vollen Zugriff auf die elektronische Akte besitzt.

Um ihr Haftungsrisiko zu minimieren, sollten Mediziner zudem vor jeder Einsichtnahme in ePA-Dokumente explizit die Einwilligung des Patienten einholen und diese auch dokumentieren - nicht pauschal, sondern spezifisch für das jeweils benötigte ePA-Dokument. Denn die pauschale Zugriffsfreigabe durch den Patienten stellt im Zweifelsfall keine rechtssichere Einwilligung dar.

Anpassung der Datenschutzerklärung im Zuge der ePA-Einführung

Es empfiehlt sich, die eigene Datenschutzerklärung in Abstimmung mit dem Datenschutzbeauftragten zu überprüfen. Gegebenenfalls sollte sie beim ePA-Daten-Handling angepasst und punktuell erweitert werden. Eine gute Sache wäre beispielsweise die Erteilung spezifischer Informationen zu den Zugriffsrechten und -möglichkeiten sowie zum ergänzenden Einwilligungsverfahren im Testjahr 2021.

Fazit: Rechtliche Unsicherheiten erfordern eine proaktive Auseinandersetzung mit datenschutzrechtlichen Anforderungen

Die elektronische Patientenakte ist ein großer Schritt in Richtung Digitalisierung des Gesundheitswesens. Den Vorteilen aus der zentralen Ablage und digitalen Verfügbarkeit aller relevanten medizinischen Daten über eine Person stehen jedoch aktuell noch erhebliche datenschutzrechtliche Bedenken und Unsicherheiten gegenüber. Insbesondere Arztpraxen und Klinken sollten sich deshalb nicht allein auf die Verantwortlichkeit der anbietenden Krankenkassen verlassen, sondern in Abstimmung mit ihrem Datenschutzbeauftragten selbst das Ruder übernehmen. Nur so lassen sich die datenschutzrechtlichen Risiken beherrschen und mögliche Verletzungen der ärztlichen Schweigepflicht verhindern.


Die Autorin:

Als zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) ist Maren Wienands Team Lead Privacy (Corporate) bei DataGuard und betreut rund 280 Kunden in puncto internationalem (Konzern-)Datenschutz. In ihrem Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erlangen können. Heute ist ihr der Datenschutz im Gesundheitswesen und der angestrebten Digitalisierung ein besonderes Anliegen.

Diese Artikel könnten Sie auch interessieren

So wirkt Generative KI in der Fertigung!

Neben den vielen Anwendungsbereichen von GenAI untersuchte die Studie "Von der Fertigungshalle ins KI-Zeitalter: Haben Sie einen Masterplan oder Nachholbedarf?" auch die Herausforderungen, denen sich das produzierende Gewerbe gegenübersieht. Im Fokus standen in erster Linie Hürden im Bereich Personal, Infrastruktur und ethischer Rahmenbedingungen. ...

Weiterlesen

Insider Threats: Willkommen im Zeitalter der kriminellen KI!

WISSENplus
Künstliche Intelligenz (KI), ursprünglich als Treiber von Innovation und Effizienz gefeiert, wird zunehmend zur Waffe in den Händen von Cyberkriminellen. In einer digital vernetzten Welt nutzen Täter KI, um ihre Methoden zu perfektionieren, Angriffe zu automatisieren und neue Schwachstellen auszunutzen. Die Folge: Eine neue Dimension der Cyberkriminalität, die Privatpersonen, Unternehmen und Regie...

Weiterlesen

Wie strukturiert ist Ihre Wissensarbeit?

Wussten Sie, dass nur 33 Prozent der deutschen Unternehmen mit einer "guten digitalen Gesundheit" ins Jahr 2025 gestartet sind? Das ist das Ergebnis der aktuellen Digital Health Studie von Zoho. Gemeint ist damit die digitale Reife von Organisationen - angefangen bei smarten Arbeitsprozessen über die strukturierte Datenhaltung bis hin zum strategischen Technologieeinsatz. Die Studie zeigt: Wer he...

Weiterlesen

Agent oder Agentic: KI-Agenten etablieren sich

Der Hype rund um Agentic AI ist riesig – und berechtigt. Denn wir haben es mit nicht weniger als einer neuen Qualität Künstlicher Intelligenz zu tun. Mit Agentic AI verliert KI zunehmend ihren Werkzeugcharakter und entwickelt sich vielmehr zu einem eigenständig agierenden System. Wie weit Agentic AI bereits praktisch gediehen ist, zeigen ihre verschiedenen Ausprägungen und Varianten. Eines der wichti...

Weiterlesen

Sechs Bausteine zur KI-Readiness: Künstliche Intelligenz lebt von hochwertigen Daten und intelligenter Planung

Künstliche Intelligenz hat sich in den letzten Jahren zu einem der einflussreichsten Werkzeuge der Digitalisierung entwickelt. Sie ermöglicht es Unternehmen, Erkenntnisse aus riesigen Datenmengen zu gewinnen, Prozesse zu automatisieren und fundierte Entscheidungen in Echtzeit zu treffen. Doch bei allem Potenzial hängt der Erfolg von KI-Systemen von mehreren entscheidenden Faktoren ab, allen voran von der...

Weiterlesen

KI im Projektmanagement: Der Mensch als Erfolgsfaktor!

WISSENplus
Neue Technologien, allen voran die vielbesagte - zugleich beschworene und gefürchtete - KI scheinen dem Menschen in vielen Bereichen den Platz streitig zu machen. Doch etwas darf dabei nicht übersehen werden: Soft Skills bleiben fest in unserer Hand! Immer noch entscheiden zwischenmenschliche Fähigkeiten über Nichterfolg oder Erfolg. Denn: Unternehmen und Projekte bestehen nicht nur aus Zahlen, Te...

Weiterlesen

Wissenstransfer in der öffentlichen Verwaltung

WISSENplus
Weiterhin steigt in vielen Behörden die Zahl der Beschäftigten, die in Ruhestand gehen. Viele nehmen wichtiges Erfahrungswissen zu Spezialgebieten mit. Zusätzlich nimmt aber auch der Anteil derer zu, die lange vor dem Ruhestand den Job wechseln, in Elternzeit gehen etc. Immer häufiger müssen daher neue Beschäftigte eingearbeitet und auch Quereinsteigern erstmal Grundlagen vermittelt werden. Ein strukt...

Weiterlesen

Wissen vernetzen, Räume gestalten: Digitale Bauplanung mit BIM als Wettbewerbsvorteil für Unternehmen

WISSENplus
Die Anforderungen an moderne Arbeitsumgebungen wandeln sich rasant: Flexibilität, Kosteneffizienz und Nachhaltigkeit sind für Unternehmen essenziell, um langfristig wettbewerbsfähig zu bleiben. Gleichzeitig wünschen sich Mitarbeitende inspirierende, funktionale und gesundheitsfördernde Arbeitsräume. Doch wie lassen sich diese Faktoren in Bauprojekten am besten vereinen? Die Antwort liegt unter an...

Weiterlesen