Zum heutigen Start der elektronischen Patientenakte (ePA) in der Modellregion Hamburg stellen sich Patient:innen grundsätzliche Fragen zum Schutz ihrer Gesundheitsdaten. Außerdem gibt es aktuelle Berichte zu Sicherheitslücken. Aus diesen Gründen möchte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) auf einige Fragen rund um Datensicherheit, Widerspruchsrechte und Gestaltungsmöglichkeiten der ePA erste Antworten geben.
Zunächst ist wichtig: Die ePA ersetzt nicht die gesetzlich vorgeschriebene Behandlungsdokumentation. Bei der ePA handelt es sich um eine von der versicherten Person selbst geführte Akte, die verschiedene Rechte und Gestaltungsmöglichkeiten einräumt. Grundsätzlich kann der Anlage einer ePA widersprochen werden; und auch nachdem die Akte angelegt wurde, können Patient:innen sie jederzeit löschen lassen.
Entscheidet man sich für die ePA, gibt es eine Reihe von Gestaltungsrechten. So können Patient:innen beispielsweise Dokumente sperren lassen, um gezielt anderen den Einblick zu verwehren. Es ist auch möglich, Zugriffsrechte einzuschränken, sodass nur bestimmte, dafür berechtigte Ärzt:innen Einsicht nehmen können. Hinzu kommt die Möglichkeit zu entscheiden, ob bestimmte Dokumente, beispielsweise aus einem psychotherapeutischen Kontext, überhaupt in die ePA aufgenommen werden sollen. Das heißt, auch nach Anlage der ePA üben Patient:innen die Hoheit über ihre Gesundheitsdaten aus. Dies setzt aber voraus, dass man sich seiner Gestaltungsmöglichkeiten bewusst ist und zur Art und Weise der Ausübung der eigenen Datenhoheit ausreichende Informationen zur Verfügung stehen.
Der Chaos Computer Club (CCC) hat in seiner Pressemitteilung vom 27.12.2024 von der Möglichkeit berichtet, durch Sicherheitslücken unbefugt auf die ePA zugreifen zu können. Muss ich mir deswegen Sorgen um die Sicherheit meiner Patientendaten machen?
Der CCC hat im Rahmen seines 38th Chaos Communication Congress Sicherheitslücken aufgezeigt, die ernst zu nehmen sind. Dies hat auch die gematik GmbH erkannt, die für den Ausbau der ePA verantwortlich zeichnet. Sie hat technische und organisatorische Maßnahmen ergriffen beziehungsweise wird diese ergreifen. Welche das sind, hat sie dem HmbBfDI erläutert. Insbesondere werden die an der Pilotierung teilnehmenden Leistungserbringer (in den Modellregionen etwa 300) in eine sogenannte Allow-Liste aufgenommen und von der gematik GmbH verifiziert. Nur diese können dann auf ePAs ihrer Patient:innen zugreifen. Damit wurde für den Start in der Modellregion Hamburg die vom CCC dokumentierte Sicherheitslücke geschlossen. Für den bundesweiten Roll-out müssen allerdings weitere Schritte unternommen werden, um einen sicheren Betrieb zu gewährleisten. Die Umsetzung dieser weiteren Maßnahmen wird derzeit in die Wege geleitet und muss dann auf Tauglichkeit geprüft werden.
Die Krankenkassen dürfen die kompletten Abrechnungsdaten in der ePA speichern. Wo bleibt da der Datenschutz?
Richtig ist, dass die Krankenkassen grundsätzlich auch Abrechnungsdaten in die für ihre Versicherten eingerichteten elektronischen Patientenakten übermitteln. Das ist im Sozialgesetzbuch, Fünftes Buch (SGB V), in der Fassung, die das Gesetz durch das Digital-Gesetz zum 15. Januar 2025 erhält, so geregelt. Da es sich um eine versichertengeführte Akte handelt, haben Versicherte aber die Möglichkeit, einer Übermittlung und Speicherung der Daten über die bei ihren Krankenkassen in Anspruch genommenen Leitungen jederzeit zu widersprechen.
Bekommen auch Kinder eine ePA, obwohl sie minderjährig sind?
Die Einrichtung der ePA ist grundsätzlich auch für Kinder und Jugendliche vorgesehen, soweit sie gesetzlich versichert sind. Jugendliche ab Vollendung des 15. Lebensjahrs können ihre Versicherten- und Widerspruchsrechte selbstbestimmt ausüben. Bis dahin entscheiden die Eltern beziehungsweise Sorgeberechtigten darüber, ob oder wie die ePA für ein Kind oder eine:n Jugendliche:n genutzt werden soll.
Kann ich die ePA auch ohne App nutzen?
Alle gesetzlichen Versicherungen (sowie einzelne private) bieten ihren Versicherten eine eigene App für die elektronische Patientenakte an. Die ePA ist also grundsätzlich auf die Nutzung mit digitalen Endgeräten ausgelegt. Da ein Zugang zur ePA aber auch solchen Versicherten möglich sein muss, die kein app-taugliches Smartphone haben oder die eine solche App nicht nutzen wollen, ist vorgesehen, dass die Krankenkassen sogenannte Ombudsstellen einrichten. Diese sollen die Versicherten bei der Nutzung der elektronischen Patientenakte unterstützen und Widersprüche, zum Beispiel zu Zugriffsberechtigungen oder der Verarbeitung von Daten aus der ePA zu Forschungszwecken entgegennehmen sowie technisch umsetzen. Über die Ombudsstellen können Versicherte auch ihre Protokolldaten zu Zugriffen auf die ePA bekommen. Eine vollständige und absolut selbständige Nutzung ist tatsächlich aber nur mittels ePA-App möglich.
Was ist mit Patientendaten aus psychotherapeutischer oder psychiatrischer Behandlung – sind diese auch komplett einsehbar für anderen Ärzt:innen?
Grundsätzlich sind neben Ärzt:innen auch Psychotherapeut:innen verpflichtet, die ePA entlang der gesetzlichen Vorgaben zu befüllen. Allerdings müssen sie Ihre Patient:innen darüber sowie über ihr Widerspruchsrecht im Behandlungskontext informieren. Das heißt, dass Patient:innen in diesem Moment immer noch der Übermittlung und der Speicherung der entsprechenden Behandlungsdokumentation in der ePA widersprechen können. Darüber hinaus ist es den Versicherten auch möglich, den Zugriff auf bestimmte Informationen, zum Beispiel aus psychotherapeutischer oder psychiatrischer Behandlung, in der ePA zu beschränken, sodass diese nicht für andere Leistungserbringer einsehbar sind.
Sind die Daten noch geschützt, wenn ich meine elektronische Gesundheitskarte verliere?
Wenn Ihre elektronische Gesundheitskarte verloren geht, sollten Sie das unmittelbar der Krankenkasse melden, damit die Karte nicht mehr – möglicherweise von Dritten – für den Zugriff auf die ePA per App genutzt werden kann. Grundsätzlich ist aber auch der Zugriff auf die ePA über die App gesichert, sei es durch Verwendung einer zusätzlichen PIN oder mit einer Zwei-Faktor-Authentisierung unter Verwendung des mobilen Geräts der nutzenden Person mit PIN oder selbst eingerichtetem biometrischem Schlüssel.
Kann ich dem Anlegen einer ePA noch widersprechen, auch wenn ich nicht auf den Informationsbrief meiner Krankenkasse reagiert habe?
Ja, ein Widerspruch ist jederzeit möglich, auch wenn die ePA bereits angelegt ist. Dann wird die ePA einschließlich aller Inhalte wieder gelöscht.
Was soll ich jetzt tun: Rät der HmbBfDI zum Widerspruch oder unterstützt er die ePA?
Ob man die ePA für sich nutzt oder ihr widerspricht, ist eine persönliche Entscheidung, die jede Person sorgfältig für sich abwägen sollte. Die ePA ermöglicht vielen Beteiligten den Einblick in die eigenen medizinischen Daten. Das hat viele Vorteile und macht viele Dinge im Alltag einfacher. Mit der umfangreichen Datenverarbeitung sind aber immer auch Risiken verbunden. Am Ende sollte die Entscheidung auf einer gründlichen Abwägung der persönlichen Bedürfnisse, des potenziellen Nutzens und der möglichen Risiken basieren. Wer sich für die ePA entscheidet, sollte dies informiert tun und die Inhalte seiner Akte kennen und aktiv verwalten. Unter Umständen kann es hilfreich sein, sich bei einer Ärztin oder einem Arzt des Vertrauens zu informieren, um eine fundierte Entscheidung treffen zu können. Auf jeden Fall sollten Betroffene, die die ePA nutzen wollen, wissen, was sich daraus für die Verarbeitung ihrer Gesundheitsdaten und den möglichen Zugriff auf diese ergibt. Sie sollten ihre Rechte und Gestaltungsmöglichkeiten kennen. Hilfreich ist unter anderem die detaillierte Darstellung der Deutschen Aidshilfe zur ePA.