ePA und eGA: Digitale Archive im deutschen Gesundheitswesen (2023)

ePA, die elektronische Patientenakte, ist in aller Munde. Nach dem am 14. März 2019 verabschiedeten Nominierungsdienstleistungs- und Versorgungsgesetz (TSVG) sind die gesetzlichen Krankenkassen verpflichtet, ihren Versicherungsnehmern diesen ePA ab dem 1. Januar 2021 zur Verfügung zu stellen. ePA und was ihn von der elektronischen Krankenakte mehrerer Anbieter unterscheidet bereits kommerzialisiert?

Die Nutzung des ePA ist freiwillig. Einerseits kann der Arzt auf Wunsch des Patienten Daten aus seinem eigenen Praxisverwaltungssystem in die Akte kopieren, andererseits kann der Patient auch eigene Daten in die EHR eintragen, wie zum Beispiel selbst gemessene Blutdruckwerte. . Die vom Patienten erteilten Zugriffsrechte können jederzeit widerrufen werden. Das bisher geplante „Patientenfach“ wird laut TSVG mit dem ePA zusammengelegt und somit nicht mehr benötigt.^1,3,4

Auch die Ende 2018 von der gematik veröffentlichten Spezifikationen für ePA sollen die Interoperabilität von ePA sicherstellen. Berichte aus Israel, das seit langem elektronische Patientenakten für die gesamte Bevölkerung führt, zeigen, dass dies keine Routinesache ist. Die Systeme der vier Health Maintenance Organizations sind hier teilweise inkompatibel.⁵Gematik-Geschäftsführer Alexander Beyer betonte im Dezember noch einmal, dass gesetzlich Versicherte die Anbieter frei wählen können und alle Dateiinhalte inklusive Metadaten, Aufzeichnungen und Zugriffsberechtigungen bei einem Anbieterwechsel komplett auf den neuen Anbieter übertragen werden können. Damit wäre nicht nur die Patientendatenhoheit gegeben, sondern auch die freie Wahl des Anbieters. In der Praxis können Patientinnen und Patienten gemeinsam mit ihren Ärzten mit der elektronischen Gesundheitskarte und einer PIN auf die Akte zugreifen.¹

Der Nutzen einer elektronischen Patientenakte ist groß, sowohl für den Patienten als auch für den Leistungserbringer. Dies zeigen die Ergebnisse von Ländern wie Israel und Dänemark.^5,6die seit langem elektronische Patientenakten in ihr Gesundheitssystem integriert haben. So können beispielsweise Doppeluntersuchungen vermieden werden, da die medizinischen Informationen des Patienten dank besserer Dokumentation geordnet zur Verfügung stehen. Dies verbessert nicht nur die Qualität und Wirtschaftlichkeit der Gesundheitsversorgung, sondern erhöht auch die Patientensicherheit. Aber es gibt nicht nur Vorteile. Häufig wurden auch Sicherheitsbedenken geäußert, die, wie die festgestellten Sicherheitslücken in bereits auf dem Markt befindlichen elektronischen Patientenakten (eGA) zeigen, nicht von ungefähr zu kommen scheinen.

Aktuell haben Patienten die Möglichkeit, verschiedene eGA (Sozialgesetzbuch §68 SGB V) wie „TK-Safe“, „Vivy“ oder das „AOK Gesundheitsnetz“ zu nutzen. Bei allen eGAs hat der Patient die Datenhoheit, er entscheidet, wer welche Informationen sehen darf. Dienstleister stellen Patientendaten über bestehende Praxisverwaltungssoftware zur Verfügung, verschiedene Daten können vom Patienten beispielsweise aus Fitnesstrackern ergänzt werden und Abrechnungsdaten können auf Wunsch des Patienten von der Krankenkasse hochgeladen werden.⁷Es gibt geringfügige Unterschiede zwischen den verschiedenen eGAs. Allen gemeinsam ist aber, dass sie nicht dem §291a SGB V entsprechen und nicht gematik-geprüft sind.

Laut Anbieter-Websites sind alle eGAs Ende-zu-Ende-verschlüsselt. Das AOK-Gesundheitsnetz spricht sogar von einer Zwei-Faktor-Authentifizierung, ähnlich wie beim Online-Banking. Obwohl Vivy im September 2018 gestartet ist, befinden sich TK-Safe und das AOK Gesundheitsnetz noch in der Test- und Entwicklungsphase. Nur 24 Stunden nach der Veröffentlichung von Vivy gab es heftige Kritik an der App. Martin Kutzek, ein unabhängiger IT-Sicherheitsexperte aus Karlsruhe, schrieb in seinem Blog, dass er nur von der Nutzung der App abraten könne. Kutzek stellte fest, dass noch bevor der Nutzer die Datenschutzerklärung akzeptiert, die Daten an externe Anbieter, in diesem Fall Tracking-Unternehmen im Ausland, übermittelt werden.

Der Sicherheitsexperte machte deutlich, dass Werbe- und Analysemodule in Anwendungen, die hochsensible Daten wie Gesundheitsdaten verarbeiten, generell nichts zu suchen haben.^8,9Weitere Sicherheitsexperten wie Martin Tschirsich und Torsten Schröder von der Schweizer Firma modzero AG schlossen sich der Kritik mit einem ausführlichen Sicherheitsbericht und einer Präsentation auf dem 35. Kongress des Chaos Computer Club an.^10,11In einer Pressemitteilung vom 27.12.2018 stellt Vivy fest, dass die in der Präsentation vorgestellten Angriffsszenarien zum Zeitpunkt der Präsentation lange Zeit nicht realisierbar waren und keine Vivy-Nutzer zu Schaden gekommen sind.¹³

Für Alexander Beyer bestätigen die beschriebenen Datenschutzthemen bei eGAs den Weg, den die gematik bisher mit der Telematik-Infrastruktur eingeschlagen hat, da das ePA im Gegensatz zu aktuellen eGAs ein deutlich höheres Sicherheitsniveau nach § 291a SGB V an sieht Vorteile bei der Nutzung von Konnektoren und der elektronischen Gesundheitskarte (eGK) sowie bei der Zertifizierung und Zulassung durch die gematik.⁴

Bis Ende 2020 müssen laut Beyer Gesundheitsakten auf eine zugelassene und zertifizierte ePA migriert werden. Die Spezifikationen für die in der TSVG-Rechnung aufgeführten Erweiterungen werden ebenfalls im April vorliegen. Dazu gehört eine mögliche ePA-Mobile-App und damit auch ein unterschiedlicher Authentifizierungsprozess für Connector und eGK. Near Field Communication (NFC) wird hier ebenso diskutiert wie bei Debit- und Kreditkarten. Darüber hinaus sollen auch die Krankenkassen die Möglichkeit haben, Daten aus ihren Systemen in ePA zu übernehmen.^1,4

Am 6. Februar 2019 hat auch die Europäische Kommission Empfehlungen herausgegeben, um den grenzüberschreitenden Zugang zu Gesundheitsdaten sicherzustellen. Die Kommission empfiehlt Standards für Patientenakten, elektronische Rezepte, Laborergebnisse, Bilder und Krankenhausentlassungsberichte für den Austausch elektronischer Patientenakten in der EU. Dazu gehören die 2015 definierten „Integrating the Healthcare Enterprise“-Profile (IHE-Profile), deren Spezifikationen auch für die eHealth Digital Services Infrastructure (eHDSI) verwendet werden. Da auch die gematik, so Beyer, auf diesen Standards basiere, scheine Deutschland gut auf die ePA-Empfehlung vorbereitet zu sein.^{13, 14, 15}Dass der Verein IHE Deutschland e.V.^sechzehnder abgelehnt wurde, zeigt, dass noch viel zu tun bleibt, bis auch in der EU Gesundheitsdaten mit Deutschland ausgetauscht werden können.

Fuentes:

¹Gematik-Pressemitteilung vom 19.12.2018 „Einheitliche elektronische Patientenakte für das deutsche Gesundheitswesen“
https://www.gematik.de/news/news/einheitliche-elektronische-patientenakte-fuer-das-deutsche-gesundheitssystem/

²ePA Fact Sheet – Elektronische Patientenakte, Stand Oktober 2018
https://www.gematik.de/fileadmin/user_upload/gematik/files/Faktenblaetter/Faktenblatt_ePA_web.pdf

³Erste Lesung des Dienst- und Berufungsgesetzes im Bundestag (13.12.2018)
https://www.bundesgesundheitsministerium.de/terminservice-und-versorgungsgesetz.html

⁴„Sie können die Telematik-Infrastruktur nutzen“, EHealthcom 30.1.2019
https://e-health-com.de/thema-der-woche/telematikinfrastruktur-kann-genutzt-werden/ee309aef462ec6046a77e7c849855e25/

⁵„#SmartHealthSystems digitalization policies in an international Comparison snippet from Israel“, Bertelsmann Stiftung, November 2018
https://www.bertelsmann-stiftung.de/de/publikationen/publikation/did/smarthealthsystems-auszug-israel/

⁶„#SmartHealthSystems Digitalisierungsstrategien im internationalen Vergleich, Auszug aus Dänemark“, Bertelsmann Stiftung, November 2018
https://www.bertelsmann-stiftung.de/fileadmin/files/Projekte/Der_digitale_Patient/VV_SHS-Studie_Da__nemark.pdf

⁷„Elektronische Patientenakte: Erste Erfahrungen in Tests und im Betrieb“, Deutsches Ärzteblatt, 24.10.2018
https://www.aerzteblatt.de/nachrichten/98723/Elektronische-Gesundheitsakte-Erste-Erfahrungen-im-Test-und-im-Betrieb

⁸„Vivy Health App: Data Protection Hard Landing“, Kutzek IT Security Blog, 18.09.2018
https://www.kuketz-blog.de/gesundheits-app-vivy-datenschutz-bruchlandung/

⁹"Vivy Health App: Kritiker erklärt", Kutzek IT-Security Blog, 19.09.2018
https://www.kuketz-blog.de/gesundheits-app-vivy-erlaeuterung-der-kritik/

¹⁰Vortrag von Martin Tschirsich beim 35. Kongress des Chaos Computer Clubs - Alle Ihre Gesundheitsakten gehören uns (27.12.2018)
https://www.youtube.com/watch?v=82Hfh1AItiQ

¹¹Bericht der Modzero AG „Schwachstellen in Health AppVivy“
https://www.modzero.ch/static/vivy-app-security-final.pdf

¹²Pressemitteilung der Vivy GmbH „Statement von Vivy: Die in „35C3“ vorgestellten Angriffsszenarien sind seit langem geschlossen“
https://www.vivy.com/presse/stellungnahme-35c3/

¹³„Empfehlungen der Kommission vom 6. Februar 2019 zu einem europäischen Austauschformat für elektronische Patientenakten“
https://ec.europa.eu/digital-single-market/en/news/recommendation-european-electronic-health-record-exchange-format

¹⁴Pressemitteilung der Europäischen Kommission vom 06.02.2019 „Die Kommission ermöglicht Bürgerinnen und Bürgern einen sicheren grenzüberschreitenden Zugang zu Gesundheitsdaten“
http://europa.eu/rapid/press-release_IP-19-842_de.htm

¹⁵„Europäische Empfehlung für Aufzeichnungsstandards“ EHealthcom 13.2.2019
https://e-health-com.de/details-news/europaeische-empfehlung-fuer-aktenstandards/cee83fd88f5969b2f1cea0da2899d916/

^sechzehn„Interoperabilität im wahrsten Sinne sicherstellen: IHE Deutschland e.V. kritisiert proprietäre Verwendung internationaler Standards in der aktuellen ePA-Spezifikation“, 07.03.2019 (http://www.ihe-d.de/wp-content/uploads /2019/ 03/ IHE-D-O%CC%88Öffentliche-Stellungnahme-zur-IHE-Verwendung-in-Spezifikationen-Gematik-07-03-2019.pdf)