Die elektronische Patientenakte ePA ist da – so verläuft der Start
– Tanja Altmaier –
Lange hat man auf die Einführung der elektronischen Patientenakte im Gesundheitswesen hingearbeitet. Zum 01. Januar 2021 fiel nun der offizielle Startschuss der ePA für alle gesetzlich Versicherten in Deutschland.
Für die fachübergreifende Versorgung von Patienten ist dies mit Sicherheit ein Meilenstein. Soll es doch mit der ePA möglich sein, wichtige Behandlungs- und Diagnosedaten für mit- und weiterbehandelnde Ärzte und Krankenhäuser zugänglich zu machen.
Für die gesetzlichen Krankenkassen war es ein Muss, ihren Mitgliedern die Nutzung der ePA zu ermöglichen (siehe dazu §341 und §342 SGB V). Der jeweilige Versicherte dagegen kann selbst entscheiden, ob er dieses Angebot nutzen möchte, handelt es sich doch um eine freiwillige Anwendung.
Aber halt – wieso wird die ePA nur für die gesetzlich Versicherten eingeführt?
Die elektronische Patientenakte ist ein zentrales Instrument zur Digitalisierung im Gesundheitswesen. Die offizielle Einführung für gesetzlich Versicherte war der Startschuss eines Projektes, das in den kommenden Jahren Schritt für Schritt ausgebaut wird.
Jetzt startet Phase 1, in der primär die gesetzlichen Krankenkassen in der Pflicht sind, ihren Versicherten die ePA anzubieten. Zum 01. Januar 2022 erreicht die ePA dann auch die Privaten Krankenversicherungen. Aktuell geht es vor allem darum, dass die gesetzlichen Krankenkassen geeignete Apps zur Verfügung stellen, die es möglich machen per Smartphone oder Tablet auf medizinische Unterlagen zuzugreifen. Hierin sollen dann schon einmal Arztbriefe, Medikamentenpläne und Ergebnisse von Blutuntersuchungen hinterlegt werden. Gefolgt von Röntgenbildern, dem Impfausweis, dem Zahn-Bonusheft u. s. w. in den kommenden Jahren.
Richtig genutzt und geführt, bringt die ePA für Versicherte wie auch für mit- und weiterbehandelnde Ärzte und Krankenhäuser sicher Vorteile.
Stufen der ePA-Einführung 2021
Bis es soweit ist, und alles reibungslos funktioniert, vergeht allerdings einige Zeit. Denn die lückenlose Vernetzung aller Leistungserbringer wird sicher Zeit in Anspruch nehmen. Im ersten Quartal 2021 ist es Ziel, mittels ausgewählter Arztpraxen zu testen, wie es momentan um die Leistungsfähigkeit der ePA bestellt ist. Im Focus steht dabei die Tauglichkeit zur bundesweiten Nutzung. Erst nach dieser Testphase sollen ab dem dritten Quartal schrittweise alle übrigen Leistungserbringer, also weitere Praxen, Apotheken sowie Krankenhäuser, ins System integriert werden.
So viele sensible Daten – was ist da mit dem Datenschutz?
Wer sich seit ihrer Einführung im Jahr 2018 mit der DSGVO beschäftigt, der weiß um die Bedeutung des Schutzes besonderer Kategorien von Daten nach Art. 9 DSGVO. Dazu zählen unter anderem Gesundheitsdaten – und davon werden im Gesundheitswesen und somit auch in der ePA zwangsläufig mehr als genug Daten verarbeitet. Deshalb verspricht unser derzeitiger Gesundheitsminister Jens Spahn auch, dass das Großprojekt „ePA“ nach höchsten Standards abgewickelt werden soll.
Doch der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Prof. Ulrich Kelber, gab schon vor Einführung der ePA gezielte Hinweise an die gesetzlichen Krankenkassen. In einem Informationsschreiben im November 2020 wies er klar darauf hin, dass es nicht ausreichen würde, lediglich die Vorgaben des PDSG (Patienten-Datenschutz-Gesetz) im Bereich der technischen Gestaltung der ePA zu berücksichtigen.
Zwar spielen Datenschutz und Datensicherheit bei der Etablierung der Telematikinfrastruktur eine essenzielle Rolle – doch jeder einzelne Versicherte muss mehr oder weniger einfach darauf vertrauen, dass ausschließlich Befugte Zugriff auf die ePA haben und Einsicht in hinterlegte Gesundheitsdaten nehmen können.
Deshalb fordert der Bundesbeauftragte für Datenschutz (BfDI) ein entsprechendes Berechtigungsmanagement. Patienten können wohl festlegen, welche medizinischen Befunde und Unterlagen in die ePA aufgenommen werden und welcher Arzt Einsicht bekommt. Doch mit dem erlaubten Zugriff, hat der behandelnde Arzt Zugriff auf sämtliche hinterlegte Dokumente.
Diese Tatsache widerspricht nun allerdings den Vorgaben der DSGVO nach Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sowie der Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO).
Außerdem ist nach Art. 25 DSGVO der Verantwortliche der Datenverarbeitung – im Fall der ePA – also die Krankenkassen, in der Pflicht geeignete technische-organisatorischen Maßnahmen zu treffen, um die Grundsätze des Datenschutzes, wie eben eine Datenminimierung, wirksam umzusetzen. Eben diese bisher getroffenen Maßnahmen sind dem Bundesdatenschutzbeauftragten derzeit nicht DSGVO-konform.
Seiner Einschätzung nach braucht es ein feingranulares Zugriffs-/Berechtigungsmanagement, so dass es nicht vorkommt, dass der Urologe oder Zahnarzt Einsicht in Befunde des Psychologen bekommt. Genau deshalb gab er den gesetzlichen Krankenkassen im November 2020 eine entsprechende Warnung nach Art. 58 Abs. 2 Buchst. a DSGVO an die Hand.
Wie die Kostenträger genau im Bereich der technischen Maßnahmen nachbessern und wie die Einschätzung des BfDI dementsprechend sein wird, bleibt abzuwarten. Fakt ist jedenfalls, dass derzeit eine wirklich datenschutzkonforme Umsetzung der ePA noch nicht erreicht ist und es durchaus noch Handlungsbedarf gibt.
Kaum eingeführt – schon vor Gericht?!
Noch kein ganzer Monat ist seit der offiziellen Einführung der ePA vergangen, schon beschäftigt sich das Bundesverfassungsgericht damit. Grundlage für den Beschluss war eine Verfassungsbeschwerde, die sich gegen Vorschriften des Sozialgesetzbuches SGB V richtete.
Konkret ging es um Regelungen, die den Kostenträgern, also den gesetzlichen Krankenkassen, einerseits erlauben, durch die Nutzung der elektronischen Patientenakte Versicherten gezielt Angebote zu Versorgungs- und Vorsorgemöglichkeiten zu unterbreiten. Darüber hinaus ist es unter bestimmten Voraussetzungen möglich, ohne entsprechende Pseudonymisierung Daten im Rahmen einer Qualitätssicherung zu verwerten. Gesetzlich sind diese Punkte in §68 Abs 2 und 3 SGB V, sowie in §299 Abs. 1 Satz 5 Nr. 2 SGB V verankert.
Mit Beschluss vom 04. Januar 2021 erklärte das Bundesverfassungsgericht die Verfassungsbeschwerde im Verfahren 1 BvR 619/20 für unzulässig.
Die 2. Kammer des Ersten Senats des Bundesverfassungsgerichts begründete den Beschluss, die Verfassungsbeschwerde nicht zur Entscheidung anzunehmen damit, dass der Beschwerdeführer nicht unmittelbar und gegenwärtig in seinen eigenen Rechten betroffen sei.
Nach §341 Abs. 1 Satz 2 SGB V ist und bleibt die Nutzung der elektronischen Patientenakte für Versicherte freiwillig. Infolgedessen ist es einzig und allein Entscheidung des Beschwerdeführers, seine Einwilligung zur Nutzung der ePA zu geben, oder diese eben nicht zu erteilen, sollte er darin eine Verletzung seines Rechts auf informationelle Selbstbestimmung sehen.
Fazit: ePA – ein „heißes Eisen“
Die elektronische Patientenakte – mit Sicherheit ein Meilenstein in der Digitalisierung des Gesundheitswesens. Aber nicht ohne Zündstoff. Allein durch die Besonderheit der Daten, die darin verarbeitet werden, gilt diesem Großprojekt besondere Aufmerksamkeit.
Alle beteiligten Leistungsträger und Leistungserbringer sind massiv gefordert, sich den Vorgaben verschiedenster gesetzlicher Regelungen zu stellen und den Schutz der verarbeiteten Daten sicherzustellen. So gilt das Patienten-Datenschutz-Gesetz, gleichwohl die einschlägigen Regelungen aus dem Sozialgesetzbuch (insbesondere dem SGB V), sowie natürlich die EU-DSGVO.
Es bleibt spannend und stellt bestimmt vielfach eine Herausforderung dar, allem gerecht zu werden.
Gerade die Leistungserbringer wie z. B. Arztpraxen sind gefordert nicht nur im Bereich Datenschutz, sondern auch im Bereich Technik sauber aufgestellt zu sein, um den Datenfluss in der Telematikinfrastruktur reibungslos und datenschutzkonform zu gestalten.
Weitere Informationen zur elektronischen Patientenakte (ePA) finden sie hier >>>
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!