Für das Sat1 Frühstücksfernsehen durfte ich am 6. Oktober 2021 erklären, was die Umstellung auf die neue elektronische Patientenakte (ePA) für Ärzte und Patienten bedeutet: In der ePA sollen Gesundheitsdaten, Diagnosen, Behandlungen, Rezepte elektronisch, verschlüsselt und zentral gespeichert werden. Das halte ich für die Verbesserung der Datensicherheit und des Informationsaustauschs im Gesundheitswesen sinnvoller. Ist Zettelwirtschaft und Versand sensibler Daten per E-Mail oder Fax etwa die bessere Alternative?

Inhaltsverzeichnis:

  • Was ist die elektronische Patientenakte?
  • Wie bekomme ich eine elektronische Patientenakte?
  • Wie speichert man Daten in der elektronischen Patientenakte?
  • Was passiert mit den Patientendaten bei der Umstellung auf die ePA?
  • Wo werden die Daten gespeichert?
  • Sind die Daten in der elektronischen Patientenakte sicher?
  • Wie leicht kann man die elektronische Patientenakte hacken?
  • Kann ich die ePA auch ohne die App nutzen?
  • Kann ich mich selbst als Verbraucher schützen?

Was ist die elektronische Patientenakte?

Je besser Ärzte, Apotheker und Krankenhäuser die Krankheitsgeschichte ihrer Patienten nachvollziehen können, desto besser können sie die geeignete Behandlung wählen. Mit der elektronischen Patientenakte (ePA) soll nun der Informationsaustausch durch Digitalisierung verbessert werden. Die ePA vernetzt Patienten mit Ärzten, Apotheken und Krankenhäusern. Viele bisher analog oder in Papierform ablaufende Arbeitsschritte können durch die ePA digitalisiert und vereinfacht werden. Statt einer Zettelwirtschaft zuhause oder einzelnen Befunden in den Computern der Arztpraxen haben Arzt und Patient alle relevanten Dokumente auf einen Blick sicher verfügbar. Besonders dann, wenn sich der Patient mal bei einem anderen Arzt behandeln lässt. So können  Mehrfachuntersuchungen vermieden werden, die teuer und für den Patienten gesundheitlich belastend sein können.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hält die ePA derzeit für rechtswidrig, da das Zugriffsrechtesystem nicht feingranular ausgestaltet ist und BSI-Vorgaben für Endgerätesicherheit nicht umgesetzt wurden. Wer will schon, dass sein Zahnarzt den Befund des Psychologen lesen kann?! Aber ist das wirklich das Problem?

Ich befürchte, dass Cyberkriminelle nicht nur die Server der ePA angreifen werden, sondern vor allem die Nutzer, z.B. Arztpraxen und Krankenhäuser. Ärzte werden verstärkt mit Ransomeware-Angriffen rechnen müssen. Mit perfiden Social Engineering-Tricks werden die Täter versuchen, bei den Patienten Passwörter zu erbeuten oder eine Datenfreigabe per Teamviewer zu erhalten, wie das derzeit bei der Microsoft-Anrufer-Masche grassiert.

Wer als Datendieb Zugriff auf besonders sensible Gesundheitsdaten erhält, kann nicht nur Identitätsdiebstahl begehen, z.B. um sich medizinische Leistungen oder Rezepte unter fremden Namen zu erschleichen. Auf diese Weise könnten leicht Medikamente erworben und auf dem Schwarzmarkt im Darknet verkauft werden. Sicherlich dürfte auch der Verkauf von umfangreichen Datensätzen an die Pharmawerbeindustrie einträglich sein.

Ich persönlich finde Digitalisierung im Gesundheitssektor gut und richtig. Vernetzung und schneller Informationsaustausch kann Leben retten, wenn z.B. Ärzte in der Notaufnahme über die elektronische Patientenakte sofort lebenswichtige Informationen über eine Vorerkrankung abrufen können. Datenschutz und Datensicherheit dürfen aber nicht auf der Strecke bleiben – hier sind nunmal leider die ePA-Nutzer gefragt. Arztpraxen sollten daher nicht nur das Datenschutzmanagement und ihre eigene IT-Sicherheit überprüfen lassen. Vielmehr müssen sie ihre Patienten in leicht verständlicher Weise über die Veränderungen, Folgen und Gefahren informieren, damit niemand abgehängt wird. So kann der Kraftakt der Digitalisierung des Gesundheitswesens gelingen.

Wie bekomme ich eine elektronische Patientenakte?

Die ePA kann bei der Krankenkasse beantragt werden. Sie benötigen Ihre elektronische Gesundheitskarte (eGK) und einen persönlichen PIN von der Krankenkasse. Die elektronische Patientenakte wird dann spätestens ab dem 1. Juli 2021 beim nächsten Arztbesuch durch Ihre Freigabe aktiviert.

Seit dem 01.01.2021 bieten die Krankenkassen ihren Versicherten eine App zum Download an, mit der sie Zugang zur elektronischen Patientenakte bekommen. Damit können Versicherte ihre ePA über ein Smartphone oder Tablet selbstständig nutzen. Zeitgleich hat die Test- und Einführungsphase mit ausgewählten Arztpraxen begonnen. Zum 01.07.2021 müssen sich alle vertragsärztlich tätigen Leistungserbringer mit den für die Nutzung der ePA erforderlichen Komponenten ausgestattet bzw. diese verbindlich bestellt haben, so dass im 3. und 4. Quartal 2021 bundesweit mit der Nutzung und Datenspeicherung in der ePA in den Arztpraxen gestartet werden kann. Im kommenden Jahr gehen Krankenhäuser ab 01.01.2021 an den Start.

Wie speichert man Daten in der elektronischen Patientenakte?

Die ePA wird von den Krankenkassen zum 1. Januar zusammen mit einer App bereitgestellt. Mit dieser App können die  Patientinnen und Patienten ihre ePA mit Dokumenten, Arztbriefen, Befunden etc. befüllen. Wie jedes digitale Projekt ist die ePA ein lernendes System. Anfangs müssen die Dokumente, die den Versicherten nicht digitalisiert vorliegen, noch mit dem Handy oder Tablet eingescannt werden. In weiteren Stufen soll das Ablegen auch strukturiert möglich sein.

 Was passiert mit den Patientendaten bei der Umstellung auf die ePA?

Am 20.10.2020 ist das PDSG (Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur – Patientendatenschutz-Gesetz) in Kraft getreten. Fokus der Gesetzgebung ist die elektronische Patientenakte „ePA“, die bereits nach bisheriger Rechtslage in § 291a Abs. 3 Nr. 4 und Abs. 5c S. 4 bis 6 SGB V a.F. vorgesehen war.

In der ePA werden Patientendaten, z.B. bereits erfolgte Behandlungen, Diagnosen oder Untersuchungsergebnisse in elektronischer Form gespeichert. Sie soll unter anderem einen besseren Informationsaustausch zwischen allen an einer Behandlung Beteiligten ermöglichen und für mehr Effizienz durch elektronische Ausstellung von Überweisungen, Rezepten etc. sorgen. Dabei liegt die Entscheidung, welche Gesundheitsdaten zur Verfügung gestellt werden sollen und welche nicht, beim Patienten.

Das ist aber wahrscheinlich erst ab 2023 möglich – bis dahin gilt das „Alles oder Nichts“-Prinzip. Patienten können nicht entscheiden, welche Daten in seiner ePA von einem Arzt oder Leistungsträger eingesehen werden dürfen, sondern lediglich, ob dieser überhaupt Daten einsehen darf. Wird ihm die Erlaubnis erteilt, hat er Zugriff auf alle vorhandenen, in der ePA gespeicherten Gesundheitsdaten. So kann bis 2022 z.B. ein Hausarzt psychologische Befunde auslesen, obwohl der Patient das eigentlich nicht möchte, sofern dieser ihm zuvor den Zugriff auf die ePA gewährt hat. Dieser Aspekt sei laut dem Bundesdatenschutzbeauftragten Prof. Dr. Ulrich Kelber nicht mit der DSGVO vereinbar.

Wo werden die Daten gespeichert?

Nicht erst seit Kurzem arbeiten bereits viele Praxen und Krankenhäuser mit elektronischen Patientenakten – jedoch werden die darin enthaltenen Daten dezentral gespeichert. Die Daten aus der ePA hingegen werden zentral auf Servern in Deutschland gespeichert, was wiederum seine eigenen Risiken mit sich bringt und für einen effektiven Datenschutz weniger geeignet ist.

Sind die Daten in der elektronischen Patientenakte sicher?

Die Server, auf denen die Daten zentral verschlüsselt gespeichert werden, sind hoch abgesichert und unterliegen den europäischen Datenschutzbestimmungen. Zudem wird jeder Datenverarbeitungsschritt in einer Akte in einem nochmals abgesicherten Bereich innerhalb der geschützten Rechenzentren ausgeführt (sog. Vertrauenswürdige Ausführungsumgebung- „VAU“). Der Zugriff auf die ePA erfolgt über die Telematikinfrastruktur, ein sicheres, in sich geschlossenes Netz (Virtual Private Network – „VPN“), wobei nur der Patient und von ihm berechtigte Personen vom Inhalt der ePA Kenntnis nehmen können. Jeder Nutzer dieser Telematikinfrastruktur (Arzt, Krankenhaus, Apotheker, etc.) ist dabei für den Schutz der von ihm verarbeiteten Daten verantwortlich. Störungen und Sicherheitsmängel müssen indes unverzüglich gemeldet werden – ansonsten droht ein Bußgeld von bis zu 300.000 €. Jedoch ist zu kritisieren, dass nicht alle Anforderungen an ein sicheres Authentisierungsmittel, wie sie vom BSI formuliert wurden, erfüllt werden. Das Verfahren, mit dem sich Versicherte auch ohne Einsatz der eGK (elektronische Gesundheitskarte) bei ihrer ePA anmelden können (sog. Verfahren der Alternativen Versichertenidentität), basiert auf einem Signaturdienst und erfüllt nicht die Anforderung an ein hochsicheres Authentifizierungsverfahren, das dem aktuellen Stand der Technik entspricht.

Wie leicht kann man die elektronische Patientenakte hacken?

Die Gefahr bei der zentralen Speicherung von Daten liegt darin, dass im Falle eines Hackings sofort Millionen von Daten -in diesem Fall sensible Gesundheitsdaten- kompromittiert sind. Um die Sicherheit der Daten gewährleisten zu können, gibt es die Telematikinfrastruktur. Über eine Zwei-Faktor-Authentifizierung erfolgt die Anmeldung, im Anschluss erhält der Nutzer Zugriff auf alle gespeicherten Gesundheitsdaten. Ein solches System setzt voraus, dass Arzt und Patient sich gegenseitig authentifizieren können. Dafür benötigt jede an das System angebundene Praxis einen sog. „Konnektor“, einen Virtual Private Network-Router, der den Zugang in das Netzwerk ermöglicht. Im Optimalfall ist dieser Konnektor nicht direkt mit dem Internet verbunden und mit Passwort und Nutzername geschützt, was jedoch oft nicht der Fall ist, wie der CCC festgestellt hat. Konnektoren waren in circa 200 Fällen so offensichtlich über das Internet erreichbar, dass es auch für nicht versierte Nutzer möglich gewesen sein soll, diese ausfindig zu machen.

Kann ich die ePA auch ohne die App nutzen?

Ja. Versicherte können ihre ePA ab Juli 2021 mit ihrer elektronischen Gesundheitskarte und einer PIN, die ihnen von ihrer Krankenkasse zugestellt wird, auch direkt in der Arztpraxis bzw. beim Leistungserbringer nutzen. Sie können sie mit Daten, die ihren Behandlern im Zusammenhang mit der aktuellen Behandlung digital vorliegen, befüllen lassen. Die Arztpraxis nutzt ihr Praxisverwaltungssystem (PVS) und lädt die lokal gespeicherten Daten in die ePA hoch. Alternativ kann man auch eine dritte Person, zum Beispiel ein Familienmitglied, beauftragen, die ePA über die App zu verwalten.

Kann ich mich selbst als Verbraucher schützen?

Die Nutzung der ePA soll für Versicherte weiterhin freiwillig bleiben. Der Patient muss in Deutschland, wenn er die ePA nutzen möchte, aktiv werden und den Zugriff freigeben (Opt-in-Verfahren).

In anderen Ländern läuft das nach dem Opt-out-Verfahren ab: wenn der Versicherte keine digitale Akte wünscht, muss er ausdrücklich widersprechen. Derzeit wird von einigen Sachverständigen die Durchsetzung des Opt-Out-Verfahrens zu Forschungszwecken gefordert. Ab 2023 wird es voraussichtlich für Patienten möglich sein, selbst darüber zu entscheiden, welche Informationen sie teilen möchten.

Wer sich für die elektronische Patientenakte entscheidet, sollte seine Zugangsdaten mit Bedacht auswählen:

1. Ein sicheres Passwort auswählen.

2. Ein Passwort verwenden, was nur für die ePA App und nichts sonst genutzt wird!

3. Nutzen Sie die Zwei-Faktor-Authentifizierung

4. Immer aktuelle Updates machen für die App und das Betriebssystem des Endgeräts .

5. Im Idealfall verwenden Sie ein Endgerät nur dafür, um auf die ePA (und ggf. auf Online-Banking) zuzugreifen. Dieses Gerät verwahren Sie sicher zuhause.

6. Vorsicht vor Anrufern, die sich per Fernwartungssoftware auf PCs oder Smartphones Zugriff verschaffen wollen – sofort auflegen und die Polizei rufen!

7. Datensparsamkeit: Überlegen Sie, welche Daten sie in die ePA App hochladen wollen und welche nicht

8. Fragen Sie Ihren Arzt, ob und welche Informationen er über Sie in der elektronischen Patientenakte speichert.

Das könnte Sie auch interessieren
Warum erhalte ich Anrufe von „Microsoft-Support-Mitarbeitern“? Bereits in den vergangenen Jahren gab es immer wieder Meldungen und Beschwerden über an [...]
Weiterlesen
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) befasst sich seit längerer Zeit mit der Frage des [...]
Weiterlesen
Inhaltsverzeichnis Sind Identitätsdiebstahl und Datenklau strafbar? Immer wieder höre ich den Satz „Identitätsdiebstahl ist doch in Deutschland kein S [...]
Weiterlesen
Inhaltsverzeichnis Trends 2021: Cyberangriffe werden immer gefährlicher Nicht nur höhere Gewalt sondern auch Cyberangriffe können Katastrophenfälle au [...]
Weiterlesen