Der alltägliche Diskurs über E-Health ist in Deutschland stark von datenschutzrechtlichen Fragestellungen beherrscht. Die eigentlichen Chancen, die sich aus der Digitalisierung für eine qualitativ hochwertige und breitgefächerte medizinische Versorgung ergeben können, bleiben dagegen oft im Hintergrund. Vor der Kulisse eines vollharmonisierten Datenschutzrechts ergibt sich die Frage, ob die unter der DSGVO prinzipiell mögliche Gesundheitsdatenverwaltung in Deutschland richtig und vollständig implementiert wird. Der Vergleich mit den „digitalen Vorbildstaaten“ Österreich, Estland und Spanien signalisiert die Notwendigkeit, das deutsche paternalistische Konzept der elektronischen Patientenakte (ePA) zu überdenken. Im internationalen Vergleich zum Thema E-Health schneidet Deutschland regelmäßig auffällig schlecht ab – auch gegenüber anderen europäischen Staaten. In der 2018 erstellten Studie der Bertelsmann Stiftung lag Deutschland abgeschlagen auf dem vorletzten 16. Platz.

Stockende Einführung der ePA

Die digitale Transformation ist dabei eine der größten Herausforderungen unserer Zeit und verändert auch den medizinischen Versorgungsalltag. Aus Anlass der Einführung der ePA durch das Patientendaten-Schutz-Gesetz (PDSG) vom 14. Oktober 2020 gewinnt der Blick auf ein effektives elektronisches Patientenaktensystem an Bedeutung. Die ePA muss seit Januar dieses Jahres verpflichtend allen gesetzlich Krankenversicherten angeboten und spätestens ab 1. Januar 2023 von Leistungserbringern mit Daten befüllt werden. Doch sowohl das Anlegen als auch das Befüllen muss aktiv vom Versicherten gefordert werden – eine strikte Opt-in-Regelung, die ein großes Hindernis für die erfolgreiche Implementierung sein kann und die es in anderen europäischen Ländern so nicht gibt. Sind dann Informationen in der ePA hinterlegt, gilt es, diese zu sichern. Dazu muss unter anderem genau geregelt werden, wer auf welche Dokumente Zugriff hat und wie lange dieser gewährt wird. Und auch hier gibt es unterschiedliche Lösungen in verschiedenen europäischen Ländern. Die verschiedenen Wege der Länder bei der Anlage und beim Zugriffsmanagement der ePA haben eine Vorgabe gemeinsam: Sie müssen mit der Datenschutzgrundverordnung DSGVO konform gehen, die europaweit harmonisiert ist. Seit 2021 haben alle Menschen in Deutschland die Möglichkeit, eine ePA zu erhalten. Bereitgestellt wird sie von ihrer gesetzlichen Krankenversicherung, befüllt auf Wunsch des Patienten von den behandelnden Ärzten. Schrittweise sollen die Möglichkeiten der ePA ausgebaut werden, also ab 2022 zum Beispiel den Impfpass oder den Mutterpass integriert haben. Die Zugriffe auf die einzelnen Dokumente können vom Inhaber der Akte ab 2022 ebenfalls feingranular freigegeben werden.

Verzögerungen sind absehbar

Aktuell ist erneut ein Streit entbrannt: Der Datenschutzbeauftragte der Bundesregierung hat gerade die bundesweiten Krankenkassen aufgefordert, die Möglichkeit, einzelne Dokumente freizuschalten, auch wirklich ab 2022 umzusetzen. Außerdem müssten auch Patienten ohne ein Smartphone oder Tablet die Chance dazu haben. Doch die ePA wird nur sehr schleppend angenommen. Daraus resultieren Probleme: Kommt nur etwa jeder 20. Patient mit einer ePA in die Praxis, können Ärzte keine Routine in der Handhabung entwickeln, was die Ablehnung befeuert. Und auch die gewünschten Effizienzen entstehen nur, wenn sie von vielen Menschen genutzt wird. Deshalb sagen viele Planer „Wir müssen raus aus der Pilotphase“, nur dann kämen Skalierungseffekte zum Tragen. Aber es gibt noch eine Vielzahl ethischer und rechtlicher Risiken, vom Datenmissbrauch bis zur Entmenschlichung der Arzt-Patienten-Beziehung.

Warum Opt-in?

Ein gängiges Argument ist, dass der Datenschutz die Opt-in-Regelung zur Anlage der Akte vorgebe und damit der Etablierung im Weg stehe. Doch in vielen anderen europäischen Ländern, wie z.B. Spanien, Österreich und Estland, bekommen Versicherte die Akte automatisch und haben dann die Option, sich dagegen zu entscheiden, also mittels Opt-out die Akte in den virtuellen Papierkorb zu verschieben. In Österreich gibt es zudem den „situativen Opt-out“: Werden besonders sensible Daten wie z.B. über eine HIV-Infektion oder eine Psychotherapie in die Akte eingespeist, muss der Inhaber darüber gesondert informiert und auf die Möglichkeit des Opt-out hingewiesen werden. Der Grund für die Entscheidung zum Opt-in beruht in Deutschland auf einem verfassungsrechtlichen Ausgangspunkt und betont die informationelle Selbstbestimmung. Damit soll die Selbstbestimmung und Entscheidungsfreiheit des Einzelnen gestärkt werden. Jeder Mensch bekommt die Möglichkeit, zu überlegen, ob er überhaupt will, dass seine Daten in die Akte gehen, und muss dem zunächst zustimmen. Die Betonung der informationellen Selbstbestimmung sei in Deutschland historisch gewachsen, daher hätte bei der Entscheidung für eine Opt-in-Lösung die Verfassungsrechtstradition eine starke Rolle gespielt. Dies sei jedoch keine datenschutzrechtliche Entscheidung und es sei auch die Frage, ob dies rechtlich zwingend sei. Anders beim Opt-out: Bei der Entscheidung für ein Opt-out wird die informationelle Selbstbestimmung etwas zurückgestellt, aber man hat bei der Ausgestaltung die Möglichkeit, diese dennoch zu gewähren. Der Gesetzgeber könnte die Möglichkeiten regeln und ein Versprechen abgeben: Wenn zu einem späteren Zeitpunkt die Daten zu anderen Zwecken verwendet werden sollen, müssten aufgrund des informationellen Selbstbestimmungsrechts Schutzmechanismen greifen. Eine Lösung könnte ein gestuftes System sein: Opt-in sollte zum Tragen kommen, je sensibler uns spezifischer die Daten seien. Notfalldaten würden unter eine Opt-out-Regelung fallen.

Wer darf wann zugreifen?

Die deutsche ePA sieht seit 2022 die Möglichkeit vor, einzelne Dokumente gezielt freizugeben und zu entscheiden, wer Einsicht nehmen darf. Auch hier muss der Inhaber der Patientenakte aktiv werden. Aktuell wird darüber diskutiert, da zum einen diese Möglichkeit derzeit nicht besteht, zum anderen haben Menschen ohne ein Smartphone oder Tablet diese Möglichkeit nicht. Auch das bemängelt der Bundesdatenschutzbeauftragte und hat die Krankenkassen zur Restitution aufgefordert. Während in Deutschland der Nutzer die Dokumente für Leistungserbringer freigeben muss, sind sie in anderen Ländern für definierte Gruppen einsehbar und müssen, wenn dies nicht gewünscht ist, gelöscht oder verschattet werden. Die aktuelle Studie „Die elektronische Patientenakte und das europäische Datenschutzrecht“ zeigt die Möglichkeiten der rechtskonformen Ausgestaltung der ePA im europäischen Vergleich auf. Sie kommt zu dem Schluss, dass insbesondere das strikte Opt-in bei Anlage und Zugriff für Nutzer und Leistungserbringer überdacht und stattdessen mit einem gestuften Opt-out geregelt werden sollte. Prof. Dr. Christoph Krönke hat in seiner Studie im Auftrag der Stiftung Münch die Möglichkeiten zur datenschutzkonformen Ausgestaltung der elektronischen Patientenakte (ePA) im europäischen Rechtsvergleich untersucht. Grundlage und Gegenstand des Vergleichs bilden die Regelungen über die elektronischen Patientenakten in Österreich, Estland und Spanien, die den jüngst ins Werk gesetzten deutschen Regeln über eine elektronische Patientenakte (ePA) gegenübergestellt werden. Die Studie kommt zu dem Schluss, dass der deutsche Gesetzgeber es in zentralen Punkten versäumt hat, ein wirksames Patientenaktensystem zu schaffen, das die Spielräume der DSGVO voll ausschöpft. In den untersuchten Ländern erhalten die Versicherten alle automatisch eine Akte, die befüllt wird. Durch Opt-out, das unterschiedlich gestaltet ist, können die Patienten der Anlage und dem Befüllen der Akte sowie dem Zugriff widersprechen oder Dokumente für verschiedene Gruppen löschen oder zumindest verschatten lassen, so dass sie zwar vorhanden, aber nicht lesbar sind. Einzig Deutschland hat sich für ein striktes Opt-in entschieden. Der Rechtsvergleich zeigt, dass es datenschutzrechtskonforme Alternativlösungen für das deutsche Modell gibt. „Patientensouveränität und die Wirksamkeit einer ePA dürfen keineswegs gegeneinander ausgespielt werden“, fordert Krönke. Gerade wenn die Akte nicht befüllt wird, könne der Nutzer im Bedarfsfall nicht auf relevante Inhalte zugreifen – und damit keine informierte, selbstbestimmte Entscheidung über den weiteren Umgang mit der eigenen Gesundheit treffen. Für die Anlage und die Befüllung der Akte und die Freigabe der einzelnen Dokumente muss der Versicherte aktiv werden. Die deutsche ePA sieht also eine strikte Opt-in-Regelung vor. Basis für diese Entscheidung ist die informationelle Selbstbestimmung und die Patientensouveränität, die höchste Priorität haben sollen.

Nutzen der ePA ist konfus

Die für die Regelung der ePA geltende Datenschutzgrundverordnung DSGVO ist europaweit gültig. Für die Patienten wird die ePA erst dann attraktiv, wenn sie den Nutzen spüren. Das Deutsche Psychotherapeuten Netzwerk (DPNW) befragte von Dezember 2020 bis März 2021 zum zweiten Mal zur Akzeptanz der ePA: Etwa 90% der Befragten haben Angst vor Datenmissbrauch, 86% lehnen die zentrale Speicherung in der Gesundheitscloud ab („ein roter Teppich für Hacker, ein rotes Tuch für Mediziner und Patienten“), 84% lehnen eine Nutzung ihrer Daten zu Forschungszwecken ab – sie wollen vorher gefragt werden. 85% der Befragten finden die bisherige Speicherung der Krankendaten in den Arztpraxen als ausreichend. Es gibt mindestens eine verschwendete Chance: Die Einführung des eRezepts als größter „Massen-Use-Case“ hätte die Nutzung der ePA sowohl bei Patienten als auch bei Ärzten als zentral steuerndes Element etablieren und damit voranbringen können. Doch das eRezept läuft nicht über die ePA, sondern über eine gesonderte App der Gematik.

Autor: Hans-Otto von Wietersheim, Bretten

Terminhinweis:

WebSeminar am 05.05.2022, 14 Uhr: Messaging – Das Zentrum einer kommunikativen Vernetzung des Gesundheitssektors

Hier als On Demand Version ansehen