Zum Inhalt springen
© spainter_vfx/ iStockphoto.com

Drei Fragen zu elektronischen Gesundheitsakten

Serie zur Digitalisierung in der Medizin, Teil 2

Patientenakte, Gesundheitsakte – sind das einfach nur zwei Begriffe für dieselbe Sache? Und wie sieht es bei den neuen Speicherungsmöglichkeiten eigentlich mit dem Datenschutz aus? Um diese Fragen geht es im zweiten Teil unserer Serie.

Was ist der Unterschied zwischen einer elektronischen Gesundheitsakte und einer elektronischen Patientenakte?

Ab dem Jahr 2021 soll die elektronische Patientenakte (ePA) in Deutschland flächendeckend  zur Verfügung stehen. Dann können Gesundheitsdaten zwischen Arztpraxen, Krankenhäusern, The­rapiepraxen, Apotheken, Pflegeeinrichtungen und Patienten elektronisch ausgetauscht werden. Einige Krankenkassen bieten ihren Versicherten aber schon jetzt als „Übergang“ sogenannte elektronische Gesundheitsakten (eGA) an.

Bei den meisten eGA werden medizinische Daten derzeit in diversen Dateiformaten eingefügt und gespeichert, zum Beispiel Röntgen-Bilder, eingescannte Arztbriefe oder Tabellen mit Medikamenten. Das vereinfacht zwar das Ablegen, aber Daten gezielt zu suchen und auszutauschen, ist dabei schwierig und zeitraubend.

Die aktuell verfügbaren elektronischen Gesundheitsakten unterscheiden sich voneinander: Einige Kassen, etwa die Techniker Krankenkasse und die AOK, haben eigene technische Systeme entwickelt. Andere, wie die DAK, einige BKK und private Krankenversicherungen, erstatten ihren Versicherten die Lizenzgebühren für die App Vivy, die von einem kommerziellen Anbieter stammt. Daneben gibt es eGA-Angebote, die Patientinnen und Patienten unabhängig von ihrer Versicherung nutzen können.1 Die Kosten müssen sie allerdings aus eigener Tasche bezahlen.

Diese technische eGA-Vielfalt sorgt für zwei Probleme: Zum einen können Versicherte derzeit nicht ohne Weiteres ihre Daten mitnehmen, wenn sie die Krankenkasse wechseln. Zum anderen erfüllen die aktuellen eGA noch nicht alle Standards, die ab 2021 für die elektronische Patientenakten gelten werden. Der Grund: Diese Standards standen noch nicht fest, als die meisten elektronischen Gesundheitsakten entwickelt wurden.2 Deshalb müssen diese technisch noch verändert werden, etwa im Hinblick auf die Art und Weise, wie Patienten ihre Daten hochladen und abrufen können.

Wer kann wie auf die elektronischen Gesundheitsakten zugreifen? Und wo sind die Daten dann gespeichert?

Wie es auch für die ePA geplant ist, dürfen bei den eGA allein die Patienten und Patientinnen bestimmen, welche ihrer Daten in die Akte gelangen und wer darauf zugreifen kann. Bei den meisten eGA können nur Patienten Daten einspeisen, bei einigen Anbietern können sie auch einen Zugang für Arzt oder Ärztin freischalten lassen. In eine eGA-Art stellt zusätzlich die anbietende Krankenkasse Abrechnungsdaten ein. Wenn es dann tatsächlich ab 2021 die elektronische Patientenakte gibt, sollen Arzt- und Therapiepraxen, Krankenhäuser und Apotheken etwa Untersuchungsergebnisse und Behandlungsdaten direkt darin speichern können.

Die meisten eGA legen die Daten zentral ab. Das heißt, der Anbieter hält Speicherplatz auf einem Server bereit, auf den die Nutzerinnen und Nutzer dann per App oder Browser zugreifen können.
Bei der künftigen ePA sollen die Daten jedoch teilweise dezentral gespeichert werden, sodass kein riesiger Datenpool aller Versicher­ter an einer Stelle entsteht. Mit teilweise dezentraler Speicherung arbeitet derzeit bereits die eGA der AOK.3 „Dezentral“ klingt vage? Ist es auch. Denn wie die Ablage technisch umgesetzt wird, steht zum jetzigen Zeitpunkt noch nicht genau fest.

Und wie steht es um den Datenschutz?

In allen Akten werden die Daten verschlüsselt gespeichert, und zwar in der sogenannten Ende-zu-Ende-Verschlüsselung, einer Sicherheitstechnik, die das derzeit höchste Schutzniveau bietet. Das soll gewährleisten, dass weder die Krankenkassen als Bereitsteller noch deren Technik-Partner noch Dritte, wie Hacker oder Internetunternehmen, die Daten auslesen können.
Allerdings gibt es bei einigen Aktentypen offene Fragen in Bezug auf den Datenschutz. Ende 2018 haben IT-Spezialisten bei der von 24 gesetzlichen Krankenkassen genutzten App Vivy Schwachstellen gefunden, vor allem bei der Datenübertragung aus der Arztpraxis in die zentrale Ablagestelle.4 Der Anbieter bestreitet, dass durch die Schwachstellen tatsächlich eine reale Sicherheitslücke bestanden hat. Nach eigenen Aussagen hat er die Mängel inzwischen beseitigt.

Was man in Sachen Datenschutz auch noch wissen muss: Für die Benutzung einiger eGA, zum Beispiel der App Vivy, ist es notwendig, Dritten den Zugriff auf sogenannte Metadaten zu gewähren, wie zum Beispiel Informationen über den eigenen Standort, Betriebssystem und Nutzungsdauer der App. Deshalb sollte man sich vor der Benutzung von elektronischen Gesundheitsakten gut informieren, welche Daten wie gespeichert und verarbeitet werden und ob und in welchem Umfang eventuell Dritte darauf Zugriff haben können.

Obwohl Metadaten für sich genommen nicht ohne Weiteres Rückschlüsse auf Krankheiten ermöglichen, können mit ihnen Datenanalysen gemacht werden, die sensible Informationen preisgeben. Ein Beispiel: Auch ohne die genauen Diagnosen zu kennen, lassen sich doch einige Aussagen zu Gesundheit oder Krankheit treffen: Wenn die App etwa speichert, dass man im letzten Jahr regelmäßig in der Kinderwunsch-Ambulanz oder bei einem Psychotherapeuten war. Das sind Informationen, die Werbetreibende, Arbeitgeber oder Anbieter von Berufsunfähigkeitsversicherungen sicher brennend interessieren würden.

Beim Thema Datenschutz darf man sich auch nicht von Prüfzertifikaten blenden lassen, etwa des TÜV Rheinland oder des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Denn die sind derzeit nicht auf die speziellen Probleme von elektronischen Gesundheitsakten ausgerichtet. Die Sicherheitskonzepte für die zukünftigen Patientenakten sollen aber viel strenger und spezifischer sein als der Maßstab für aktuelle TÜV oder BSI-Zertifikate.

Elektronische Patientenakte (ePA)
GPSP 3/2019, S. 25

PDF-Download

– Gute Pillen – Schlechte Pillen 04/2019 / S.25