Anzeige

Elektronische Patientenakte

Hier eine Röntgenaufnahme, dort ein Blutbild – und beim nächsten Arzt beginnt alles von vorn: Viele Untersuchungen wären vermeidbar, wenn Patienten ihre Krankengeschichte mit allen Befunden stets bereithalten könnten. Ermöglichen soll dies die elektronische Patientenakte (ePA).

Sie gilt als Meilenstein in der Digitalisierung des Gesundheitswesens, wirft bei Patienten, Arztpraxen und Kliniken aber noch zahlreiche datenschutzrechtliche Fragen auf. Eine Einordung.

Das Wichtigste in Kürze 

  • Seit 1. Januar 2021 bieten gesetzliche Krankenkassen ihren Versicherten die kostenlose elektronische Patientenakte (ePA) an.  

  • Ab dem 1. Juli 2021 sind Ärzte, Fachärzte und Zahnärzte zur Anbindung an die ePA verpflichtet – trotz anhaltender Datenschutzbedenken. Die Testphase läuft bis Ende 2021. In dieser Zeit können Patienten ihren behandelnden Ärzten nur pauschal Zugriff auf die Dokumente in der ePA gewähren.  

  • Diese Form des Zugriffsmanagements sowie weitere Aspekte der Umsetzung verstoßen gegen die DSGVO – bemängelt der Bundesdatenschutzbeauftragte. 

  • Für Krankenkassen, Arztpraxen und Kliniken ergeben sich daraus datenschutzrechtliche Risiken. 

  • Diesen Risiken sollten die Akteure in Zusammenarbeit mit ihrem Datenschutzbeauftragten proaktiv begegnen.

Definition und Leistungen der elektronischen Patientenakte

Seit Januar 2021 müssen gesetzliche Krankenkassen ihren Versicherten die neue elektronische Patientenakte anbieten. Dies schreibt das neue Patientendaten-Schutz-Gesetz (PDSG) vor, das am 20. Oktober 2020 verabschiedet wurde. Die zivilrechtlichen Grundlagen finden sich im Bürgerlichen Gesetzbuch (BGB). Hier ist in § 630 f BGB die Dokumentation der Behandlung durch Leistungserbringer im Gesundheitswesen geregelt. Die Vorschrift verlangt, dass jeder behandelnde Arzt den Grund der medizinischen Behandlung und die getroffenen Maßnahmen in unmittelbarem zeitlichem Zusammenhang mit der Behandlung dokumentiert. Zu diesem Zweck ist weiterhin eine Patientenakte in Papierform oder elektronisch zu führen.

Es existiert demnach bei allen Ärzten und in jeder Klinik, die ein Patient besucht hat, in irgendeiner Form eine personenbezogene Patientenakte. Was bisher vollständig fehlte, war eine behandlungsfall- und einrichtungsübergreifende Dokumentation, die alle Gesundheitsinformationen über einen Patienten zusammenfasst. Dies soll die elektronische Patientenakte leisten. In der ePA können alle Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte, Arztbriefe und Impfungen zentral gespeichert werden.  

Nutzung der ePA ist nicht verpflichtend

Es gibt für Versicherte keine Verpflichtung, die ePA zu verwenden. Das im Vorfeld der ePA verabschiedete Patientendaten-Schutz-Gesetz formuliert ausdrücklich die Freiwilligkeit der Nutzung durch gesetzlich Versicherte. Anders sieht es bei Arztpraxen, Kliniken und anderen Gesundheitsdienstleistern aus. Diese müssen gemäß § 341 SGB V zur elektronischen Patientenakte (Sozialgesetzbuch V) im Laufe des Jahres 2021 die für eine ePA-Nutzung nötigen technischen Komponenten und Schnittstellen einrichten. Für die an der vertragsärztlichen Versorgung beteiligten Leistungserbringer gilt eine Umsetzungspflicht, die am 30. Juni 2021 endet. Krankenhäuser müssen eine Einbindung bis Januar 2022 eingerichtet haben.  

Zugriff auf die in der ePA gespeicherten Daten 

Eines der Ziele des Patienten-Daten-Schutz-Gesetzes ist es, gesetzlich Versicherten mehr Kontrolle und Hoheit über die eigenen Gesundheitsdaten einzuräumen. Deshalb entscheidet allein der Patient, welche Daten gespeichert und welche wieder gelöscht werden. Der Patient kann zudem in jedem Einzelfall bestimmen, wer auf die ePA zugreifen darf. Entsprechende Erlaubnisse setzen eine dokumentierte Einwilligung des Patienten und eine Zugriffsfreigabe voraus. Letztere sollte per PIN erfolgen. Freigaben können entweder für die aktuelle Behandlung oder für einen längeren Zeitraum erteilt werden.  

Gut zu wissen: Die gesetzlichen Krankenkassen müssen die ePA entsprechend der gesetzgeberischen Vorstellung zur Verfügung stellen, erhalten aber keinerlei Zugriff auf die darin gespeicherten Daten. Ausgenommen davon ist allenfalls der medizinische Dienst der Krankenkassen (MDK), doch auch der MDK darf nur unter bestimmten Voraussetzungen und in engen Grenzen Einsicht in die Patientenakte erhalten.   

Datenschutzbedenken bei der ePA

Die ePA wird im Laufe des Jahres 2021 etappenweise eingeführt. Die nächste Phase der Einführung beginnt am 1. Juli und verpflichtet alle Ärzte, Fachärzte und Zahnärzte gesetzlich, sich an die ePA anzubinden. Bis Januar 2022 verfügen Versicherte jedoch noch über eine teilweise eingeschränkte Funktionalität. 

So sollen Versicherte erst ab 2022 die Möglichkeit bekommen, für jedes in der ePA gespeicherte Dokument einzeln festzulegen, wer darauf zugreifen darf. Bis dahin können Versicherte die ePA für einen behandelnden Arzt entweder freigeben oder nicht freigeben, nach dem „Alles oder Nichts“-Prinzip. Beispiel Zahnarzt: Willigt der Patient ein, dass dieser auf die ePA zugreifen und Dokumente lesen und speichern darf, kann der Zahnarzt alle Dokumente einsehen – auch Befunde aus einer etwaigen psychotherapeutischen Behandlung.  

Bei Datenschützern stößt diese Übergangsregelung beim Zugriffsmanagement auf massive Kritik. In seiner Pressemitteilung vom 19. August 2020 weist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (bfDI) Professor Ulrich Kelber auf die Risiken infolge der Einführung der ePA hin. Auch nach 2022 sei eine volle Zugriffskontrolle wohl nur für Patienten mit eigenem Smartphone oder Tablet möglich. Zudem verstoße die ePA schon deshalb gegen die DSGVO, weil sie den dort gesetzlich vorgeschriebenen Prinzipien der Datenminimierung und Datensparsamkeit zuwiderlaufe. Ebenfalls nicht DSGVO-konform sei nach Einschätzung des BfDI das Authentifizierungsverfahren mithilfe der Gesundheitskarte und einer einfachen PIN. Ein solches Verfahren werde dem hohen Schutzbedarf sensibler Gesundheitsdaten nicht gerecht. Wenig Transparenz und kritische Fragen gibt es auch in puncto Datenverschlüsselung: Wie sicher ist sie – und wer hat den Schlüssel?  

Umsetzung der ePA 

Das Frontend für gesetzlich Versicherte ist eine App für Smartphone oder Tablet. Ursprünglich vorgesehen waren auch Bedienterminals bei den Krankenkassen, in Kliniken und Praxen, aber deren Einführung liegt aktuell auf Eis. Dies bedeutet: Wer über kein eigenes Tablet oder Smartphone verfügt, besitzt nur eingeschränkt Zugriff auf seine ePA und muss einen technisch ausgestatteten Vertreter benennen oder einen behandelnden Arzt um Mithilfe bitten. Informationsfreiheit und Datenhoheit sind in diesen Fällen nicht wirklich gegeben.  

Maren Wienands, Projektmanagerin
Maren Wienands
Projektmanagerin, DataGuard
Als zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) ist Maren Wienands Projektmanagerin bei DataGuard und betreut rund 280 Kunden in puncto internationalem (Konzern-)Datenschutz. Sie kam mit dem Thema in einer Unternehmensberatung in Berührung, wo sie sich mit datenschutzrechtlichen Maßnahmen für die Verarbeitung von Big Data befasste. In ihrem Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erlangen können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Heute ist ihr Datenschutz ein besonderes Anliegen. Sie setzt sich dafür ein, die gleichen fairen Bedingungen für Verbraucher und Unternehmen zu schaffen.

Weitere Artikel

Wetter-App

(Un-)Wetter-Apps im Datenschutz-Vergleich

Wer kennt es nicht: Die Sonne scheint und man lässt den Regenschirm Zuhause – und dann regnet es den restlichen Tag wie aus Eimern. Mit einer zuverlässigen Wettervorhersage lassen sich solche bösen Überraschungen vermeiden.
Laptop

Ein Jahr nach „Schrems II-Urteil": Rechtslage weiterhin unklar

Es ist ein Jahr her, dass der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil" erlassen hat, mit dem das Privacy-Shield-Abkommen gekippt wurde. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in…
Datenschutz

Datenschutz versus Innovation?

Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH sowie der cobra computer's brainware AG in Tägerwilen, Schweiz, äußert sich als Experte für DSGVO-konformes Arbeiten über den anhaltenden Diskurs zwischen Datenschützern und Unternehmen.
Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.