SID21 - Zusammenfassung von Diskussionsveranstaltungen zur ePA
Dies ist die Zusammenfassung von Diskussionsveranstaltungen zum Thema "elektronische Patientenakte" (ePA) von Aktiven von Aktion Freiheit statt Angst im letzten halben Jahr.
Das waren
- Elektronische Patientenakte - Top oder Flop? - eine Diskussionsveranstaltung im Rahmen der Engagementwoche im September 2020
- Interview zur elektronischen Patientenakte bei AlexTV im Offenen Kanal Berlin im Dezember 2020 und
- Informationsabend zur elektronischen Gesundheitsakte (ePA) zum Safer Internet Day, SID21
Diese Veranstaltungen sind auch als Videoaufzeichnungen bei uns und in unserem Youtube Kanal zu sehen oder als Podcast anzuhören: Aktion Freiheit statt Angst zu Gast bei AlexTV im Dezember 2020 https://www.aktion-freiheitstattangst.org/images/audio/202012Interview-ePA-AlexTV.mp3
Außerdem gibt es diesen Artikel auch als PDF: 202101ePA-Pub.pdf .
Inhaltsverzeichnis
- Überblick über die ePA
- Wofür brauche ich eine ePA?
- Kann der Versicherte sehen, was in der ePA steht?
- Ohne Handy kann man die ePA auch künftig nicht ansehen
- Wer betreibt die ePA?
- Wer hat Zugriff auf die Daten in der ePA?
- Das Thema Forschungsdaten
- Das Problem mit der Einwilligungserklärung
- Wozu dient jetzt die elektronische Gesundheitskarte?
- Das Missbrauchspotential einer ePA
- Zugriff durch Sicherheitsbehörden
- Sollte man sich eine ePA anlegen?
- Das Löschen einer ePA
- Kritik an der ePA
- Elektronische Patientenakte - Wunschvorstellung und Realität
- Die großen rechtlichen Schranken
- Nächste Schritte
Überblick über die ePA
Die ePA ist die elektronische Patientenakte. Das Projekt ist zum 1. Januar ist dieses Jahres gestartet . Im PDSG, dem Patienten Datenschutzgesetz, welches im Sommer 2020 verabschiedet wurde, wurde die ePA und ihr Projektstart definiert.
Der offizielle Start des Projektes war der 1. Januar 2021. Davor sollten die Krankenkassen oder der Betreiber der Infrastruktur, die Gematik, darüber informieren. Wir haben uns vorgestellt, dass eine Information an alle gesetzlich Versicherten erfolgt. Die Krankenkassen haben es sich einfacher gemacht und einfach eine Information "auf Ihre Webseite" gestellt.
Diese "Information" steht bei den meisten Krankenkassen lediglich als Mitteilung im Netz, nach dem Motto, dass es nunmehr eine elektronische Patientenakte geben wird. Über die Einzelheiten, die Möglichkeiten, die Gefahren wird jedoch nicht gesprochen.
Was die Krankenkassen in den Mittelpunkt ihrer Information stellen, ist lediglich die Aussage, dass die Anlage einer elektronischen Patientenakte freiwillig ist. Das ist richtig, eine elektronische Patientenakte wird nur auf Antrag des Versicherten erstellt.
Nach dem Patienten Datenschutzgesetz gibt es weitere Anforderungen an eine ePA:
- Besitzer einer ePA dürfen keine Vorteile haben.
- Die ePA muss barrierefrei sein.
- Die Information über die elektronische Patientenakte muss vollständig, umfassend und präzise sein.
Eine Krankenkasse die so informiert, suchen wir noch.
Wofür brauche ich eine ePA?
Was die Vorteile für eine ePA für den Versicherten sind, ist unklar - bis auf die Tatsache, dass es vielleicht gesünder ist, auf zu viele MRT oder Röntgenuntersuchungen zu verzichten.
Für die Krankenkassen kann es durchaus eine Kostenersparnis sein, wenn Doppeluntersuchungen gespart werden. Die Ärzte haben dann von jedem Ort Zugriff auf die Untersuchungen/Befunde und das Verschicken von Diagnosen und Befunden wird gespart. Auch die Verordnungen, künftig E-Rezepte, werden dort gespeichert. (Auch auf das E-Rezept werden wir in einem gesonderten Artikel eingehen.)
Allerdings gibt es auch jetzt schon die Möglichkeit dass die Ärzte untereinander elektronisch kommunizieren. Das Verfahren dazu heißt KIM. Dann muss man den Ärzten natürlich in jedem Einzelfall dafür die Einwilligung geben. (Wir werden auf KIM in einem gesonderten Artikel eingehen.)
Wenn man einmal zugestimmt hat, dass man eine ePA haben möchte, dann wird diese mit den eigenen Gesundheitsdaten gefüllt. Das wird in der Regel beim Hausarzt passieren, den man um die Anlage einer ePA gebeten hat. Für diesen Aufwand erhält der Arzt auch eine Aufwandsentschädigung von ca. 16€ - und hat deshalb auch ein finanzielles Interesse daran, dass wir uns eine ePA anlegen lassen. Die Ärzte werden angefüttert uns zu einer ePA zu drängen.
Kann der Versicherte sehen, was in der ePA steht?
An diesem Punkt wird es leider kompliziert.
- Im ersten Jahr der ePA im Jahre 2020 ist der Zugriff auf die in der ePA gespeicherten Daten nur über den Arzt möglich.
- Erst 2021 soll es eine App für Smartphones und Handys geben, mit denen der gesetzlich Versicherte selbst auf die Daten in der ePA zugreifen kann.
Das heißt praktisch, dass in diesem Jahr der Versicherte mit der ePA sich im Blindflug befindet. Es ist anzunehmen dass der Hausarzt nicht bei jedem Besuch durch den Versicherten bereit sein wird, mit ihm gemeinsam das Inhaltsverzeichnis der ePA zu studieren.
Ohne Handy kann man die ePA auch künftig nicht ansehen
Das ist jedenfalls nicht vorgesehen. Es war in der Planungsphase kurzfristig davon die Rede, PC-Terminals bei den Krankenkassen aufzustellen. Dagegen haben sich diese jedoch gewehrt, weil sie dafür Personal zur Betreuung und Räume hätten bereitstellen müssen.
Das ist auch verständlich, da normale Versicherte kaum das Wissen mitbringen in der ePA vernünftig nach ihren Kategorien oder Wünschen zu suchen.
Wer betreibt die ePA?
Das ist die Gematik, die Gesellschaft für Telematik, die die Telematik-Infrastruktur, das verschlüsselte private Netzwerk (VPN) bereitstellt. In diesem Netz werden die Gesundheitsdaten der gesetzlich Versicherten kursieren. Zusätzlich müssen sich die einzelnen Krankenversicherungen einen Betreiber für die Server besorgen. Bei der Techniker Krankenkasse z.b. ist dies IBM. Diese Server stehen in Deutschland und wir hoffen, dass dies auch so bleibt.
Ärzte, KK, Krankenhäuser, Apotheken, Nachbehandler (Pflegeeinrichtungen, Phsysio) müssen sich an TI anschließen.
Wer hat Zugriff auf die Daten in der ePA?
Nun, wir können uns vorstellen, dass es unschön wäre, wenn die psychologischen Daten eines gesetzlich Versicherten durch den Zahnarzt oder den Physiotherapeuten zugreifbar wären. Für psychologischen Daten gibt es eine Zugriffsbeschränkung und das gilt auch für andere "diskriminierende Befunde " durch andere Ärzte.
Jedoch in allen anderen Fällen ist der Zugriff für die einzelnen Ärzte nicht untereinander beschränkt. Jeder behandelnder Arzt darf auf die ePA des Patienten zugreifen. Dazu muss man sich vorstellen, dass man nicht die Berechtigung für den einzelnen Arzt sondern jeweils nur für eine Leistungserbringungsstelle (LE) festlegen kann. Damit können z.b. in einem Krankenhaus alle Ärzte einer Abteilung den Zugriff erhalten.
Hinzu kommen Pflegekräfte und andere Beschäftigte in medizinischen Berufen in diesem Krankenhaus. Wenn man alle in Frage kommenden zusammenzählt, so sind dies deutschlandweit an die zwei Millionen Menschen, die theoretisch Zugriff auf eine ePA bekommen können. Den wirklichen Zugriff haben natürlich nur die mit dem einzelnen Versicherten befassten Stellen.
Offiziell ist nach PDSG natürlich der Zugriff durch sogenannte Hilfskräfte nur unter Aufsicht durch einen approbierten Arzt zulässig. Wir wissen jedoch, dass es in den Krankenhäusern durch den Stress oft genug dazu kommt, dass der Arzt einfach sagen wird "mach mal schnell du" usw.
Das Thema Forschungsdaten
Das ist ein sehr unschönes Thema, denn das BDSG stellt einfach nur fest, dass der gesetzlich Versicherte seine Daten für die Nutzung in der Forschung freigeben kann. Dies bedeutet, dass sie beliebigen Forschungseinrichtungen pseudonymisiert, das heißt also ohne personenbezogene Daten zur Verfügung gestellt werden können. Wir wissen jedoch, dass eine Pseudonymisierung rückgängig gemacht werden kann, wenn man entweder den Schlüssel dafür hat oder genügend Daten aus verschiedenen Bereichen über eine Person vorliegen, sodass auf diese Person zurück geschlossen werden kann.
Sind diese Daten als Forschungsdaten erst einmal "verschwunden so sind sie für den Versicherten auch nicht mehr rückholbar. Leider kann der Versicherte auch nicht entscheiden, dieser oder jener bestimmten Firma Forschungsdaten zur Verfügung zu stellen und anderen nicht, sondern das Einverständnis ist nur einmal generell zu geben.
Das Problem mit der Einwilligungserklärung
Ein großes rechtliches Problem stellt für uns die "technische Zugriffsfreigabe" dar. Das bedeutet, dass man mit einem Häkchen oder auch vielleicht zwei oder drei einer ePA zustimmt und über die Folgen dieser Häkchen wird der gesetzlich Versicherte nicht ausreichend aufgeklärt. Der Datenschutzbeauftragte, Herr Kelber, hat auch bereits im letzten Sommer festgestellt, dass eine technische Zugriffsfreigabe nicht mit einer Einwilligungserklärung nach der Datenschutzgrundverordnung (DSGVO) übereinstimmt.
Dies ist auch mit ein Grund, warum der augenblickliche ePA Betrieb nur in Berlin und Baden-Württemberg als sogenannter Testbetrieb läuft und die anderen Bundesländer noch bis zum 1. Juli diesen Jahres abwarten wollen oder sollen.
Wozu dient jetzt die elektronische Gesundheitskarte?
Eigentlich sollte die elektronische Gesundheitskarte dazu dienen die eigenen Notfalldaten oder andere medizinische Informationen zu speichern. Nachdem über die Jahre ungefähr sechs Milliarden Euro für die Entwicklung der Programme zur elektronischen Gesundheitskarte verbraucht wurden, hat sie jetzt lediglich noch die Funktion den Schlüssel für die elektronische Patientenakte zu tragen und eventuell die eigenen Notfalldaten, wenn dies der gesetzlich Versicherte verlangt.
Nun werden weitere Milliarden für die Infrastruktur der elektronischen Patientenakte aufgewendet und verschleudert.
Das Missbrauchspotential einer ePA
Auch wenn die technischen Vorkehrungen zur Verschlüsselung beliebig hoch angesetzt worden sind, zu befürchten, dass einfach durch die Menge der Menschen die Zugriff haben trotzdem Missbrauch geschehen wird (wie es auch in Polizei.Datenbanken und ähnlichen mehrfach geschehen ist).
Auch wenn diese Schlüsselverwaltung anspruchsvoll realisiert wurde, so ist doch zu kritisieren, dass der Schlüssel dem Versicherten nie vorliegt. Das Schlüsselpaar wird von der Gematik und der Krankenkasse verwaltet.
Zugriff durch Sicherheitsbehörden
Damit muss man auch einen weiteren Missbrauch zumindest im Auge behalten: das wäre der Zugriff durch einen autoritären Staatsapparat.
Vergessen wir nicht, dass der Zugriff auf die ePA für gewisse Sicherheitsbehörden natürlich auch eine gewissen Reiz hat. Während normalerweise für Polizei und Geheimdienste ein Beschlagnahmeverbot für Gesundheitsdaten existiert, so ist es für diese Dienste sicher einfacher eine V Person anzuwerben, die als Pfleger in einem Heim oder Krankenhaus arbeitet, um Zugriff zu diesen Daten zu bekommen.
Während ein Arzt normalerweise ein Zeugnisverweigerungsrecht hätte, so haben nicht approbiertes Personal dieses nicht. Solche Personen wären verpflichtet Daten herauszugeben.
Hinzu kommt, dass auch wenn diese Schlüsselverwaltung anspruchsvoll realisiert wurde, so ist doch zu kritisieren, dass der Schlüssel dem Versicherten nie vorliegt. Das Schlüsselpaar wird von der Gematik und der Krankenkasse verwaltet. Damit muss man auch einen weiteren Missbrauch zumindest im Auge behalten: das wäre der Zugriff durch einen autoritären Staatsapparat.
Werbeveranstaltungen der Krankenkassen oder der Gematik, die aus Ihrem Interesse eine positive Grundstimmung zur zu dem Projekt erzeugen wollen.
Kommen wir zum Schluss:
Sollte man sich eine ePA anlegen?
Nein, das kann man erst einmal nicht empfehlen. Das Patienten Datenschutzgesetz, welches die ePA definiert, enthält in seinem Namen das Wort Datenschutz. Doch wenn man in die ePA hineinschaut, dann ist von Datenschutz nicht mehr viel zu sehen. Hat man einmal einer ePA zugestimmt, so hat man seine Datenhoheit verloren. Es gibt in der ersten Phase auf jeden Fall nur ein alles oder nichts. Erst in der zweiten zweiten Phase im Jahre 2022 können Menschen mit einem Smartphone, einem Handy oder Tablet auf ihre Daten zugreifen.
Das Löschen einer ePA
Das Löschen einer ePA ist nach dem PDSG theoretisch möglich. Ob man mit der Löschung der ePA gegen irgendwelche Aufbewahrungsfristen verstößt, die der Arzt, oder die Krankenkasse einhalten müssen, das kann in jedem Fall verschieden sein. Finanzdaten z.b. müssen mindestens zehn Jahre aufgehoben werden und dürfen vorher nicht gelöscht werden.
Bei einer Bankkarte kann ich den Schlüssel auf der Bankkarte einfach vernichten, indem ich die Karte durchschneide und von der Bank eine Neue verlange. Dies ist bei der elektronischen Gesundheitskarte nicht möglich, denn dort befindet sich lediglich der Mechanismus mit dem ich mit meiner Pin auf den Schlüssel zugreifen kann.
Habe ich auch noch der Nutzung für Forschungszwecke zugestimmt, so bekomme ich diese Daten nie wieder eingefangen.
Kritik an der ePA
Phase eins brauchen wir nicht zu diskutieren. Es ist absolut indiskutabel weil wir unsere Datenhoheit vollständig an Fremde abgeben.
In Phase 2 stört uns natürlich der Nutzungszwang durch Handy, Smartphone oder Tablet. Menschen die dieses nicht benutzen möchten oder aus physischen Gründen nicht können, sind von der Nutzung völlig ausgeschlossen. (Mit dem Thema der Zwangsdigitalisierung - dem Zwang zur Nutzung von elektronischen Geräten haben wir uns bereits auseinandergesetzt.)
Hinzu kommt unsere Erfahrung mit der elektronischen Gesundheitskarte, die uns gelehrt hat, dass Softwaresysteme stets mit Anfangsschwierigkeiten zu kämpfen haben (die bei der Gesundheitskarte über 15 Jahre angehalten haben), sodass in den nächsten Monaten oder Jahren mit ernsthaften Problemen zu rechnen ist.
Hinzu kommt die für uns absolut unzulässige technische Freigabe die in keinem Fall einer Einwilligungserklärung nach der Datenschutzgrundverordnung entspricht.
- Was passiert bei einem Stromausfall?
- Sind meine ePA Daten dann noch zugreifbar?
- Gibt es Zugriff auf entsprechende Papierakten in einem Notfall?
Die Gematik wird in keinem Fall Papierakten anlegen, das heißt, es muss beim Arzt bzw im Krankenhaus noch eine Papierfassung geben, um eine Behandlung in vernünftiger Weise durchführen zu können.
Falls die Realisierung des Smartphone-Zugriffs 2022 noch nicht funktioniert, kann ich auch dann noch nicht auf meine Daten in der elektronischen Patientenakte zugreifen.
- Die Freiwilligkeit ist sehr fragwürdig, da der Versicherte durch den Arzt und durch die nur positive Werbung der Krankenkassen in die Richtung zur Zustimmung zu einer ePA gedrängt wird.
- Die Freiwilligkeit endet nach der Zustimmung zum Anlegen einer ePA.
- Zugriff auf Metadaten ist ungeregelt, viele Protokolldaten, nur wenig geregelt
Mit der ePA wird der gesetzlich Versicherte gezwungen auf seinem Handy rumzufingern um Dokumente zusammen zu suchen die er z.b. für die Beantragung einer Rente oder ähnliches benötigt. Damit wird die Verwaltungsarbeit auf die Kunden in dem Fall die gesetzlich Versicherten abgewälzt, so wie es bereits bei unseren Bankgeschäften durchgesetzt wurde. Für den Gesundheitsminister ist die ePA damit natürlich eine positive Entwicklung - und so ist es auch für die Krankenkassen.
Elektronische Patientenakte - Wunschvorstellung und Realität
Wie auch bei der elektronischen Gesundheitskarte, deren Funktion über die Jahrzehnte immer weiter abgespeckt wurden, so werden auch bei der elektronischen Patientenakte die gewünschten Funktionen erst nach und nach und sicher in abgespeckter Version realisiert werden.
Realisiert wurde trotz des Einsatzes von Hunderten von Millionen inzwischen schon Milliarden Euro bei der eGK eigentlich ein kleines Nichts. Finanziert wurden Software Konzerne und Beraterfirmen. Die ePA kann nicht billiger sein als die Gesundheitskarte die ja nur aus diesem Stück Plastik inklusive Foto besteht.
Die großen rechtlichen Schranken
Noch einmal kurz zusammengefasst die vier wirklich an die rechtlichen Schranken stoßenden Tatsachen bei der ePA:
-
Freiwillige Einwilligung
Eine freiwillige Einwilligung nach der Datenschutzgrundverordnung (DSGVO) kann nicht in einem Häkchen auf einem Einwilligungsformular erfolgen, wenn die Implikationen dieser Einwilligung so weitreichend sind ,wie dies bei der elektronischen Patientenakte der Fall ist. -
Die Schlüsselverwaltung
Obwohl das Konzept mit dem doppelten Schlüssel Sicherheit suggeriert, ist die Verwaltung des Schlüssels durch den Betreiber des Systems (Gematik) eine nicht vertretbare Methode. Der Schlüssel, seine Aufbewahrung und gegebenenfalls auch seine Vernichtung muss dem Besitzer der Daten obliegen und nicht einer fremden Stelle. -
Kopplungsangebote
Wenn ich in ein Angebot einwillige, so muss dieses Angebot eindeutig beschrieben und umfassend erklärt werden. Es darf nicht der Eindruck erweckt werden, dass nur ein Produkt oder eine Leistung darin enthalten ist und das/die andere als Zugabe gratis abgegeben wird oder zu den gleichen Bedingungen erfolgt. Der EuGH hat gegen Kopplungsangebote keine Bedenken, wenn der Verbraucher ordnungsgemäß über die gekoppelten Produkte informiert wird.
Wenn ich praktisch jedoch, z.b. das Angebot der Techniker Krankenkasse zur ePA annehme, so willige ich ein in die Nutzung von tk-safe. Das Angebot der Techniker Krankenkasse geht jedoch über die elektronische Patientenakte hinaus. Ich kann mit tk-safe die Daten meiner Fitness App verwalten oder ich kann Werbung der Techniker Krankenkasse oder anderer Firmen erhalten. Durch ein sehr unklares Kopplungsangebot verstößt die geforderte Einwilligung eigentlich gegen die Datenschutzgrundverordnung, denn dem Versicherten ist in den seltensten Fällen klar wozu er eingewilligt hat. -
Datenhoheit
Bei der Anmeldung für TK safe muss ich meine Tel.nr, die Seriennr des Handys, den Gerätenamen, also z.B. S10Samsung angeben und eine Video-Legitimation mit dem Vorzeigen des Personalausweises über mich ergehen lassen. Verliert man dann die eigene ePA, wenn das Handy runterfällt oder muss man alle diese Schritte erneut durchführen?
Meine Gesundheitsdaten gehören mir. Ich möchte als mündiger Bürger behandelt werden und selbst die Entscheidung treffen können, meine Daten in einer ePA zu verwalten und sie auch jederzeit dort zu löschen.
Nächste Schritte
Es ist wichtig in den nächsten Monaten darauf zu achten, ob Nachrichten zu Problemen mit der ePA auftauchen. Durch die Änderung der Einführung zu einer Test Einführung in Berlin und Baden-Württemberg werden problematische Fälle zuerst dort auftreten.
Wir bitten euch eure Erfahrungen oder Anmerkungen zu diesem Artikel uns mitzuteilen!
Alle unsere Artikel zur ePA unter https://www.aktion-freiheitstattangst.org/cgi-bin/searchartl.pl?suche=ePA+eGK&sel=meta
Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/3eb
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7543-20210209-probleme-mit-der-elektronischen-patientenakte.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7543-20210209-probleme-mit-der-elektronischen-patientenakte.htm
Tags: #eGK #ePA #DSGVO #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Freiwilligkeit #Zustimmung #Einwilligungserfordernis #elektronischenPatientenakte #Kelber #Bundesdatenschutzbeauftragte #Gesetzesänderung #Anonymisierung #Skandale #RFID #elektronischeGesundheitskarte #eHealth
Erstellt: 2021-02-10 10:42:58 Aufrufe: 2603
Kommentar abgeben