{"id":10377,"date":"2020-08-15T13:55:00","date_gmt":"2020-08-15T11:55:00","guid":{"rendered":"https:\/\/blog.mi.hdm-stuttgart.de\/?p=10377"},"modified":"2023-08-06T21:44:05","modified_gmt":"2023-08-06T19:44:05","slug":"e-health-in-deutschland-die-neue-elektronische-patientenakte","status":"publish","type":"post","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2020\/08\/15\/e-health-in-deutschland-die-neue-elektronische-patientenakte\/","title":{"rendered":"E-Health in Deutschland: Die neue Elektronische Patientenakte"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Anfang 2021 soll die elektronische Patientenakte (ePA) starten. Damit wird es m\u00f6glich sein, alle Gesundheitsdaten (Befunde, Diagnosen, Behandlungsma\u00dfnahmen, Arztbriefe, etc.) zentral zu speichern. Patienten bekommen so einen zentralen \u00dcberblick \u00fcber all ihre bei verschiedenen \u00c4rzten erfassten Daten, und sind in der Lage, diese Informationen mit bestimmten \u00c4rzten zu teilen. So wird der Datenaustausch zwischen \u00c4rzten, Krankenh\u00e4usern, Apotheken etc. stark vereinfacht, und das manuelle Transportieren von z.B. Arztbriefen oder R\u00f6ntgenbildern vom einen Arzt zum Anderen geh\u00f6rt der Vergangenheit an. Die Nutzung ist freiwillig und die Daten sind selbstverst\u00e4ndlich sicher verwahrt.<\/p>\n\n\n\n

Soweit die Versprechungen des Gesundheitsministeriums.<\/p>\n\n\n\n

In der bisherigen Umsetzung zeigen sich allerdings fundamentale Schw\u00e4chen, sowohl im Rollout der Infrastruktur, als auch bei der ePA selbst.<\/p>\n\n\n\n\n\n\n\n

Die Telematikinfrastruktur<\/h2>\n\n\n\n

Die ePA wird auf der sogenannten Telematikinfrastruktur (TI) laufen. Die TI ist im Grunde ein gro\u00dfes virtual private network<\/em> (VPN), mit dem alle Akteure im deutschen Gesundheitssystem vernetzt werden sollen. Aktuell betrifft das nur Einrichtungen wie Arztpraxen und Krankenh\u00e4user, aber auch weitere, z.B. Apotheken, sollen sp\u00e4ter in dieses Netz mit aufgenommen werden.<\/p>\n\n\n\n

Laut dem “e-health Gesetz<\/em>” von 2015 mussten alle niedergelassenen Arztpraxen bis zum 1.7.2018 (sp\u00e4ter verl\u00e4ngert auf den 1.1.2019) an die TI angebunden sein. \u00c4rzte, die seit dem Stichtag nicht an die TI angeschlossen sind, m\u00fcssen Honorarabz\u00fcge von urspr\u00fcnglich 1%, seit M\u00e4rz 2020 aber 2,5% pro Quartal in Kauf nehmen. Stand Ende 2019 waren aber erst rund 67% (115.000) der ca. 170.000 deutschen Arztpraxen mit der TI verbunden. Warum?<\/p>\n\n\n\n

Verantwortlich f\u00fcr die TI ist die Gesellschaft f\u00fcr Telematikanwendungen der Gesundheitskarte<\/em>, kurz gematik GmbH<\/em>. Deren Anteile lagen urspr\u00fcnglich zu 50% beim Bundesministerium f\u00fcr Gesundheit<\/em> (BMG), sowie zu gleichen Teilen beim Spitzenverband der gesetzlichen Krankenkassen<\/em> und den Spitzenorganisationen der Leistungserbringer (Bundes\u00e4rztekammer, Deutsche Krankenhausgesellschaft, Deutscher Apothekerverband, etc.).<\/p>\n\n\n\n

S\u00e4mtliche Konzepte und Spezifkationen der gematik f\u00fcr die TI sind \u00fcbrigens auf deren Webseite<\/a> \u00f6ffentlich zug\u00e4nglich.<\/p>\n\n\n\n

Der eigentliche Betrieb der TI wird, genau wie die Herstellung und Verteilung der VPN-Appliances und der ID-Karten, nicht von der gematik<\/em> selbst durchgef\u00fchrt, sondern von zugelassenen Trusted Service Providern<\/em>. Diese k\u00f6nnen ihrerseits wieder Subunternehmen z.B. mit dem Rollout der Infrastruktur-Komponenten beauftragen.<\/p>\n\n\n\n

Die TI befindet sich schon seit 15(!) Jahren in Entwicklung, und kann bisher kaum tats\u00e4chliche Funktionen vorweisen. Deshalb hat das BMG unter Gesundheitsminister Spahn seinen Anteil an der gematik<\/em> im Mai 2019 auf 51% ausgeweitet. So soll der Ausbau der TI und des Vorzeigeprojekts ePA konsequenter vorangetrieben werden. Mit den neuen Anteilsverh\u00e4ltnissen kann das BMG in der gematik<\/em> weitgehend ohne Widerst\u00e4nde der anderen Gesellschafter agieren.<\/p>\n\n\n\n

Komponenten der TI<\/h2>\n\n\n\n

Abbildung 1 zeigt den Aufbau der TI. Sie gliedert sich im Wesentlichen in drei Abschnitte:<\/p>\n\n\n\n

\"\"
Abbildung 1: Aufbau der TI
Quelle: gematik<\/a><\/figcaption><\/figure>\n\n\n\n

In der Provider-Zone<\/strong> werden die Dienste verschiedener Anbieter laufen. Aktuell gibt es hier lediglich das Versichertenstammdatenmanagement (VSDM)<\/em> zum Abgleich und Update der Stammdaten auf der elektronischen Gesundheitskarte (eGK<\/em>), und sichere Kommunikation im Medizinwesen (KIM)<\/em>, eine Art E-Mail-Verschl\u00fcsselung f\u00fcr die Kommunikation zwischen Leistungserbringern (fr\u00fcher als KOM-LE<\/em> bekannt). Au\u00dferdem werden eventuelle bereits bestehende Systeme, z.B. ein Netz zur Abrechnung von Leistungen bei den Krankenkassen, hier in die TI eingegliedert.<\/p>\n\n\n\n

Die zentrale TI-Platform-Zone<\/strong> beinhaltet einige zentrale Dienste wie unter anderem PKI-Dienste, einen (LDAP) Verzeichnisdienst und die Endpunkte der VPN-Tunnel, \u00fcber die die Leistungserbringer angeschlossen sind.<\/p>\n\n\n\n

Am anderen Ende dieser Tunnel befinden sich die dezentralen Platformen<\/strong>, also die lokalen Netzwerke der Gesundheitseinrichtungen. Neben dem jeweiligen Praxisverwaltungssystem (PVS) gibt es zwei wichtige Hardwarekomponenten, die mit dem Anschluss an die TI von den Arztpraxen gekauft werden m\u00fcssen: Das Kartenterminal zur Authentisierung der \u00c4rzte bzw. Versicherten, sowie den VPN-Router, auch Konnektor<\/em> genannt.<\/p>\n\n\n\n

Kartenterminal und ID-Karten<\/h3>\n\n\n\n

In das Kartenterminal werden insgesamt vier Karten eingesteckt (Abbildung 2<\/em>):<\/p>\n\n\n\n

\"\"
Abbildung 2: Slots des TI-Kartenterminals
Quelle: Wikipedia<\/a>, Bild Terminal: Ralf Roletschek, modifiziert von Felix Messner<\/figcaption><\/figure>\n\n\n\n

Ein ger\u00e4tespezifischer ID-Chip, sowie der Praxisausweis<\/em> (SMC-B Karte<\/em>) bleiben permanent im Terminal. Diese beiden Kartenslots m\u00fcssen vom Techniker nach dem Aufbau des Ger\u00e4ts versiegelt werden.<\/p>\n\n\n\n

Wird ein Vorgang ausgel\u00f6st, der die Authentisierung des Arztes bzw. des Versicherten erfordert, stecken diese jeweils ihren Elektronischen Heilberufsausweis <\/em>(eHBA oder \u201eArztausweis\u201c<\/em>) bzw. die elektronische Gesundheitskarte<\/em> (eGK<\/em>) ein.<\/p>\n\n\n\n

Konnektor<\/h3>\n\n\n\n

Der Konnektor<\/em> kann entweder \u201eparallel<\/em>\u201c in ein bestehendes Praxisnetz mit Internetanbindung integriert werden (Abbildung 3<\/em>):<\/p>\n\n\n\n

\"\"
Abbildung 3: Konnektor in bestehendem Netz (“Parallel”)
Quelle: gematik<\/a><\/figcaption><\/figure>\n\n\n\n

\u2026 oder \u201eseriell<\/em>\u201c die Rolle des zentralen Gateways und der Firewall einnehmen (Abbildung 4<\/em>). In diesen F\u00e4llen besteht zun\u00e4chst nur Zugang zur TI und noch nicht zum Internet; dieser kann optional dazugekauft werden (\u201eSicherer Internet Service<\/em>\u201c).<\/p>\n\n\n\n

\"\"
Abbildung 4: Konnektor als Gateway (“Seriell”)
Quelle: gematik<\/a><\/figcaption><\/figure>\n\n\n\n

Der serielle Anschluss ist somit f\u00fcr Netze sinnvoll, die vor dem TI-Rollout noch nicht am Internet angebunden waren. Die Parallele Anbindung ist f\u00fcr gro\u00dfe, bestehende Praxisnetze gedacht, die bereits (sicher) mit dem Internet verbunden sind.<\/p>\n\n\n\n

Das Problem ist, dass die Techniker, welche die Komponenten vor Ort installieren, oft eher schlecht geschult sind. Hinzu kommt der vom BMG geschaffene Zeitdruck, unter dem der Rollout steht. So passiert es viel zu oft, dass die Kartenterminals nicht versiegelt werden, oder Konnektoren<\/em> unsachgem\u00e4\u00df installiert werden und damit erhebliche Sicherheitsl\u00fccken entstehen. Speziell Praxisnetze, die vorher noch gar nicht ans Internet angebunden waren, werden h\u00e4ufig in der parallel-Konfiguration angeschlossen und bleiben so im schlimmsten Fall ohne Firewall mit dem Internet verbunden.<\/p>\n\n\n\n

Dass \u00c4rzte in der Regel keine IT-Fachkenntnisse besitzen, und die Sicherheit ihres Netzwerks in der Regel nicht ohne weiteres beurteilen k\u00f6nnen, scheint f\u00fcr das BMG und die gematik keine Rolle zu spielen. Weil in den Praxissystemen vertrauliche Patientendaten gespeichert sind, stellen m\u00f6gliche Sicherheitsl\u00fccken oder Hackerangriffe nat\u00fcrlich auch in Bezug auf den Datenschutz ein gro\u00dfes Risiko dar. Da sie nat\u00fcrlich f\u00fcr die Sicherheit ihrer Daten haftbar sind, wehren sich viele \u00c4rzte deshalb so lange wie m\u00f6glich gegen die Anbindung an die TI, und nehmen daf\u00fcr auch die Honorarabz\u00fcge in Kauf. Diese sind immer noch gering im Vergleich zu m\u00f6glichen DSGVO-Strafen – Vom Vertrauensverlust der Patienten im Fall eines erfolgreichen Hackerangriffs ganz zu schweigen.<\/p>\n\n\n\n

Die Elektronische Patientenakte<\/h2>\n\n\n\n

Allgemeines Design<\/h3>\n\n\n\n

Die ePA ist eine zentrale Patientenakte, die ab 2021 von allen gesetzlichen Krankenversicherungen angeboten werden muss. Darin k\u00f6nnen alle behandelnden \u00c4rzte, je nach Freigabe des Patienten, die gespeicherten Eintr\u00e4ge zugreifen und selbst Eintragungen machen. So entsteht eine einrichtungs\u00fcbergreifende Patientenakte. In dieser sollen dann in erster Linie Befunde und Diagnosen sowie elektronische Arztbriefe gespeichert werden k\u00f6nnen. Im Lauf der kommenden Jahre sollen aber auch z.B. R\u00f6ntgenbilder, Impfpass, Kinderuntersuchungsheft, Mutterpass, Zahnbonusheft, und Pflege- und Therapiedokumentationen in die Akte \u00fcberf\u00fchrt werden.<\/p>\n\n\n\n

Da die Nutzung der ePA nach dem opt-in Modell freiwillig ist, muss ein Patient, der die ePA nutzen m\u00f6chte, die Erstellung der Akte bei seiner Krankenkasse beantragen. Grunds\u00e4tzlichen Zugriff auf die ePA, sowie Kontrolle \u00fcber die erfassten Daten, hat nur ein Patient selbst. \u00c4rzten bzw. anderen Gesundheitseinrichtungen kann dann zeitlich begrenzter Zugriff erteilt werden, um auf die Informationen zuzugreifen, oder eigene Eintr\u00e4ge zu machen. F\u00fcr Patienten soll es auch m\u00f6glich sein, Informationen aus der ePA zu l\u00f6schen. Diese Freiheit hat allerdings zur Folge, dass sich der Arzt nicht mehr auf die Vollst\u00e4ndigkeit der Daten verlassen kann.<\/p>\n\n\n\n

Zum Start der ePA wird das System zur Freigabe von Daten noch eingeschr\u00e4nkt sein. Am Anfang wird es nur m\u00f6glich sein, die komplette Akte freizugeben. Sprich: wenn z.B. dem Augenarzt Zugriff auf die Akte gew\u00e4hrt wird, k\u00f6nnte dieser auch die Diagnosen und Befunde z.B. des Psychiaters sehen, was f\u00fcr viele Nutzer absolut inakzeptabel sein d\u00fcrfte. Die selektive Freigabe von Daten soll dann 2022 nachgeliefert werden. (Das Ganze erinnert so langsam an ein early-access<\/em> Releasemodell.) Aber auch damit hat man wieder das Problem, dass ein Arzt m\u00f6glicherweise f\u00fcr eine Diagnose oder Behandlung relevante Informationen einer anderen Einrichtung nicht zu sehen bekommt, selbst wenn diese in der ePA erfasst sind.<\/p>\n\n\n\n

Schl\u00fcsselmanagement<\/strong><\/h3>\n\n\n\n

Auf technischer Ebene werden verschiedene private Dienstleister der gematik<\/em> die ePA betreiben. Um die vertraulichen Patientendaten zu sch\u00fctzen, werden diese nat\u00fcrlich verschl\u00fcsselt im Aktensystem abgelegt. Die Frage ist nur: was tun mit dem Schl\u00fcssel?<\/p>\n\n\n\n

Urspr\u00fcnglich war die Idee wohl, den Schl\u00fcssel auf der eGK des Versicherten abzulegen. Das h\u00e4tte allerdings zur Folge, dass bei Verlust der Karte der Schl\u00fcssel, und damit auch der Inhalt der ePA verloren w\u00e4re. Unter Umst\u00e4nden k\u00f6nnte er sogar einer anderen Person in die H\u00e4nde fallen. Daher wurde dieser Ansatz verworfen.<\/p>\n\n\n\n

Stattdessen wird der Aktenschl\u00fcssel, wie in Abbildung 5<\/em> gezeigt, ebenfalls auf den ePA-Servern gespeichert. Um den Schl\u00fcssel seinerseits vor Zugriffen zu sch\u00fctzen, wird dieser ebenfalls verschl\u00fcsselt. Wenn eine berechtigte Person auf eine ePA zugreifen will, muss diese sich mit der eGK bzw. dem Arztausweis bei zwei separaten Schl\u00fcsselgenerierungsdiensten (SGD)<\/em> identifizieren, und bekommt von diesen dann je einen Schl\u00fcssel, mit denen der eigentliche Aktenschl\u00fcssel entschl\u00fcsselt werden kann. Die SGDs sind bewusst in verschiedenen Netzen platziert, und stehen in der Zust\u00e4ndigkeit von verschiedenen, voneinander unabh\u00e4ngigen, Betreibern. Sollte einer der SGDs kompromittiert werden, ist so immer noch kein Zugriff auf den Aktenschl\u00fcssel m\u00f6glich (secret-sharing<\/em>).<\/p>\n\n\n\n

\"\"
Abbildung 5: Aufbau der ePA
Quelle: 36C3: “Hacker hin oder her”: Die elektronische Patientenakte kommt!<\/em><\/a><\/figcaption><\/figure>\n\n\n\n

Es kann so zwar immer noch von einer Ende-zu-Ende <\/em>Verschl\u00fcsselung geredet werden (gut f\u00fcr\u2018s Marketing), weil die Daten wirklich erst im Endger\u00e4t des Patienten bzw. des Arztes entschl\u00fcsselt werden. Auf technischer Ebene liegt der Schl\u00fcssel jetzt aber nicht mehr bei dem Patienten selbst, sondern bei einer dritten Instanz, welche berechtigten Personen ausschlie\u00dflich aufgrund ihrer Identifikation (durch z.B. die eGK) den Zugriff erm\u00f6glicht. Hier ist der Schl\u00fcssel sicherer vor Verlust, als wenn er dem Nutzer physisch anvertraut wird. Dieser Ansatz zur Schl\u00fcsselverwaltung ist allerdings aus mehreren anderen Gr\u00fcnden problematisch.<\/p>\n\n\n\n

Schwachstellen in der Sicherheit<\/strong><\/h4>\n\n\n\n

Zum Einen basiert die Authentisierung bei den SGDs haupts\u00e4chlich auf der eGK (bei Patienten) bzw. dem Praxisausweis und dem eHBA (bei \u00c4rzten). Die Sicherheit beruht daher im Endeffekt auf dem Kartenherausgabeprozess, also der korrekten Zuordnung der elektronischen ID-Karten zu einer realen Person.<\/p>\n\n\n\n

Das ist der gematik<\/em> auch bewusst \u2013 zumindest steht es so in der Spezifikation der SGD<\/em>s: \u201eDie Korrektheit der Kartenherausgabeprozesse ist \u2013 wie bei nahezu allen digitalen Prozessen in der TI \u2013 notwendige Voraussetzung.<\/em>\u201c. Dass diese Spezifikationen allerdings von den Serviceprovidern der gematik<\/em> zum Teil nicht ausreichend umgesetzt wurden, haben Martin Tschirsich, Dr. med. Christian Brodowski und Dr. Andr\u00e9 Zilch vom Chaos Computer Club<\/a> (CCC) Ende 2019 gezeigt<\/a>. Ohne Probleme konnten sie alle vier Komponenten in ihre H\u00e4nde bekommen, die f\u00fcr den Zugang zur TI, sowohl von der Seite eines Versicherten, als auch von der Seite der Leistungserbringer, erforderlich sind: die eGK, den Arztausweis, den Praxisausweis und sogar den Konnektor selbst.<\/p>\n\n\n\n

Eine fremde eGK konnte Zilch seit vielen Jahren immer wieder erlangen, in der Regel mit einem einfachen Anruf bzw. einer E-Mail im Namen einer dritten Person, in der die Krankenkasse \u00fcber einen Umzug, also eine Adress\u00e4nderung informiert wird. Eine Adress\u00e4nderung hatte in diesem Fall zur Folge, dass ohne weitere \u00dcberpr\u00fcfung eine neue eGK an die neue Adresse gesendet wurde.<\/p>\n\n\n\n

Bei der bisherigen Funktion der eGK als reine Abrechnungshilfe w\u00e4re das auch nicht so kritisch, allerdings erf\u00fcllt die Karte in der TI auch die Funktion einer digitalen Identit\u00e4t. H\u00f6here Sicherheitsstandards als bisher w\u00e4ren in der Herausgabe solcher Karten dementsprechend sinnvoll. Evtl. sollte die eGK in Zukunft auch als rechtlich belastbarer Identit\u00e4tsnachweis anerkannt werden, weil sie in der TI ja genau diese Funktion erf\u00fcllt.<\/p>\n\n\n\n

Mit dem VSDM<\/em> existiert in der TI ein Weg, die Daten auf einer bestehenden eGK zu aktualisieren, sodass gar keine neue Karte verschickt werden m\u00fcsste. Die Krankenkassen nutzen diese M\u00f6glichkeit in der Realit\u00e4t bisher aber nicht wirklich, weil die TI ja noch nicht in jeder Arztpraxis verf\u00fcgbar ist. Es k\u00f6nnte nicht garantiert werden, dass das VSDM<\/em> fl\u00e4chendeckend funktioniert.<\/p>\n\n\n\n

Ein weiteres Beispiel: F\u00fcr die Bestellung eines Praxisausweises der Firma Medisign<\/em>, die damit wirbt, schon \u00fcber 28 000 Ausweise produziert zu haben, sind keinerlei besonders geheime Daten erforderlich gewesen: Name und Geburtsdatum und Profession des Arztes, die Arztnummer und die Betriebsst\u00e4ttennummer. Fast alle dieser Daten sind auf jedem Rezept oder \u00dcberweisungsschein zu finden, nur f\u00fcr das Geburtsdatum m\u00fcsste man im Handels- bzw. Partnerschaftsregister recherchieren. Nach der Ver\u00f6ffentlichung des CCC-Berichts wurde die Kartenausgabe bei Medisign vor\u00fcbergehend gestoppt, um die Sicherheitsm\u00e4ngel zu beheben.<\/p>\n\n\n\n

\u201eLegaler Missbrauch\u201c<\/h4>\n\n\n\n

Zum Anderen kann die dritte Instanz in der Schl\u00fcsselverwaltung rein theoretisch auch weiteren Parteien Zugang gew\u00e4hren \u2013 m\u00f6glicherweise sogar ohne Wissen oder Erlaubnis des Patienten, weil dieser ja den Schl\u00fcssel seiner Akte nicht direkt selbst kontrolliert. Durch das secret-sharing<\/em> zwischen den beiden SGDs ist ein Angriffsszenario hier eher unwahrscheinlich. Es w\u00e4re aber z.B. m\u00f6glich, dass durch zuk\u00fcnftige Gesetze oder Gesetzes\u00e4nderungen staatliche Stellen oder private Unternehmen Zugriff auf die Akte erhalten. Dagegen w\u00e4re ein Patient machtlos.<\/p>\n\n\n\n

Genau sowas wurde erst vor Kurzem in einem anderen Zusammenhang gemacht. Mit dem \u201eDigitale-Versorgung-Gesetz\u201c (DVG) wurde im November 2019 f\u00fcr die Krankenkassen eine M\u00f6glichkeit geschaffen, in Zusammenarbeit mit Unternehmen an der Entwicklung von digitalen Medizinprodukten zu arbeiten, und dazu auch Daten ihrer Versicherten zu verarbeiten. Au\u00dferdem d\u00fcrfen personalisierte Angebote f\u00fcr die Versicherten erstellt werden, wenn diese ausdr\u00fccklich der Verarbeitung ihrer Daten zu diesem Zweck zustimmen.<\/p>\n\n\n\n

Soweit, so \u201egut\u201c. Jetzt wurde aber mit dem \u201ePatientendaten-Schutz-Gesetz\u201c (PDSG) vom Juli 2020, das eigentlich die Datenschutzregelungen in der ePA klarstellen soll, auch eine \u00c4nderung in den den \u00a7 68b Abs. 3 SGB V<\/a> aus dem DVG eingebracht. W\u00e4hrend bisher klar die Einwilligung der Versicherten f\u00fcr die Datenverarbeitung gefordert wurde:<\/p>\n\n\n\n

\n

\u201eDie Krankenkassen d\u00fcrfen die Auswertung von Daten eines Versicherten nach Absatz 1 und die Unterbreitung von Informationen und Angeboten nach Absatz 2 jedoch nur vornehmen, wenn die oder der Versicherte zuvor schriftlich oder elektronisch eingewilligt hat [\u2026]\u201c<\/em>
\u00a7 68b Abs. 3 SGB V (alte Fassung)<\/p>\n<\/blockquote>\n\n\n\n

…wird die Einwilligung in der neuen Version nur noch auf das Unterbreiten der personalisierten Angebote bezogen. In der neuen Fassung nach dem Gesetzesentwurf<\/u><\/a> (S. 13) hei\u00dft es:<\/p>\n\n\n\n

\n

\u201eDie Teilnahme an Ma\u00dfnahmen nach Absatz 2 ist freiwillig. Die Versicherten k\u00f6nnen der gezielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. […]\u201c<\/em>
\u00a7 68b Abs. 3 SGB V (neue Fassung)<\/p>\n<\/blockquote>\n\n\n\n

Das bedeutet, dass die Versicherten jetzt nicht mehr dem Erstellen <\/em>der Angebote (was die Datenverarbeitung logischerweise beinhaltet) widersprechen k\u00f6nnen, sondern nur noch der Unterbreitung<\/em>. Es ist auch auff\u00e4llig, dass in der alten Fassung noch der Begriff \u201eEinwilligung\u201c (opt-in) verwendet wird, und in der neuen Version pl\u00f6tzlich von \u201eWiderspruch\u201c (opt-out) die Rede ist.<\/p>\n\n\n\n

Dass diese \u00c4nderung in einem eigentlich v\u00f6llig unabh\u00e4ngigen Gesetzesentwurf untergebracht ist, deutet darauf hin, dass sie bewusst an der Aufmerksamkeit der \u00d6ffentlichkeit und am Bundesdatenschutzbeauftragten vorbeigeschmuggelt wurde. (Scheinbar hat sich Gesundheitsminister Spahn hier von seinem Kollegen Seehofer inspirieren lassen, der letztes Jahr noch gesagt hat<\/a>: \u201eMan muss Gesetze kompliziert machen. Dann f\u00e4llt das nicht so auf.<\/em>\u201c)<\/p>\n\n\n\n

Auch wenn dieses Man\u00f6ver (noch) nicht die Daten in der ePA selbst betrifft, erscheint es doch alles andere als undenkbar, dass etwas \u00c4hnliches irgendwann auch mit der ePA versucht werden k\u00f6nnte. Mit dem Aktenschl\u00fcssel au\u00dferhalb der Kontrolle des Versicherten besteht die technische M\u00f6glichkeit daf\u00fcr jedenfalls.<\/p>\n\n\n\n

Fazit<\/h2>\n\n\n\n

Man denke beispielsweise an einen Patienten, der mit demselben Problem immer wieder von Arzt zu Arzt weitergeschickt wird: Hier w\u00e4re eine ePA unmittelbar eine Vereinfachung f\u00fcr den Patienten, der sonst jedem Arzt aufs Neue seine ganze Geschichte erz\u00e4hlen m\u00fcsste. Sie w\u00fcrde den Patienten auch als Fehlerquelle ausschlie\u00dfen, der relevante Informationen oder Unterlagen des einen Arztes beim n\u00e4chsten vergessen oder falsch wiedergeben k\u00f6nnte. Auch f\u00fcr den Arzt ist es sicher einfacher, die Krankheitsgeschichte des Patienten direkt auf einen Blick in der Fachsprache zu lesen, anstatt sie sich erst St\u00fcck f\u00fcr St\u00fcck berichten zu lassen. Bei umfangreicheren Akten k\u00f6nnte das allerdings auch zu einer Informationsflut werden, die der Arzt in der begrenzten Zeit, die er f\u00fcr einen Patienten hat, erst mal durcharbeiten muss.<\/p>\n\n\n\n

Damit der Arzt \u00fcberhaupt auf die Daten in der ePA zugreifen kann, muss der Patient sie explizit freigeben. Allerdings erh\u00e4lt der Arzt zu Beginn immer Vollzugriff auf die komplette Akte, was in Bezug auf Datenschutz oder die \u00e4rztliche Schweigepflicht eigentlich ein absolutes No-Go sein muss. Die selektive Datenfreigabe (wenn sie dann mal nachgeliefert wird) gibt dem Patienten zwar die Entscheidung in die Hand, welche Daten ein Arzt zu sehen bekommt, das hat aber zur Folge, dass der Arzt sich nicht mehr darauf verlassen kann, dass ihm alle relevanten Daten freigegeben wurden. Kann ein Patient im Zweifel beurteilen, was relevant ist? Was passiert rechtlich bei einem Behandlungsfehler aufgrund von Daten, die dem Arzt mangels Freigabe nicht zur Verf\u00fcgung standen? Vollzugriff w\u00e4re also rein medizinisch sinnvoll, ist aber gleichzeitig in Bezug auf Datenschutz absolut kritisch.<\/p>\n\n\n\n

Auf der technischen Seite liegen die Probleme haupts\u00e4chlich im schlampigen Rollout der TI und in der mangelnden Sicherheit rund um die Herausgabe der Zugangskomponenten. Dass diese fundamentalen Schwachstellen in der Kartenherausgabe erst von Hackern aufgedeckt werden mussten, und nicht von der gematik<\/em> selbst erkannt wurden, zeigt, dass die Probleme strukturell bedingt sind, und wirft nat\u00fcrlich die Frage auf, welche anderen Sicherheitslecks noch darauf warten, ans Tageslicht zu kommen\u2026<\/p>\n\n\n\n

Man kann also sagen, dass die ePA sicherlich einen Nutzen in den t\u00e4glichen Ablauf im Gesundheitssystem bringen kann. Gleichzeitig zeigen sich nach aktuellem Stand sowohl technisch als auch konzeptionell massive Probleme, sodass das Projekt eigentlich pausiert, und einige Aspekte komplett \u00fcberdacht werden m\u00fcssten. Weil der politische Wille besteht, die ePA zum Jahresbeginn 2021 zu starten, wird das sehr wahrscheinlich nicht passieren.<\/p>\n\n\n\n

Zur Nutzung der ePA ist (Stand heute) ein opt-in erforderlich, das hei\u00dft, man wird wenigstens nicht zur Nutzung gezwungen, sondern kann selbst entscheiden, ab wann man die ePA nutzen m\u00f6chte. Es ist schade, dass das in den meisten F\u00e4llen keine informierte Entscheidung sein wird, weil Risiken und Nachteile in der offiziellen Kommunikation komplett ausgeblendet werden. Man sollte sich au\u00dferdem dar\u00fcber im Klaren sein, dass die in der ePA gespeicherten Gesundheitsdaten m\u00f6glicherweise irgendwann auf v\u00f6llig legalem Weg in fremde H\u00e4nde gelangen, oder f\u00fcr wirtschaftliche Zwecke benutzt werden.<\/p>\n\n\n\n

Bleibt nur zu hoffen, dass das System in den kommenden Jahren auf ein akzeptables Level nachgebessert wird. Zumindest dort, wo das \u00fcberhaupt m\u00f6glich ist.<\/p>\n\n\n\n

Ressourcen<\/h2>\n\n\n\n