Spezifische Risiken der ePA
Neben ihren Chancen bringen neue digitale Technologien immer auch spezifische Risiken mit sich. Dennoch gibt es aus Lobby-Kreisen oft die Forderung einer besonders schnellen Umsetzung. Dies sollte sachlich und aus verschiedenen Perspektiven hinterfragt werden.
Im Digi-Gesetz ist festgelegt, dass die gesetzlichen Krankenkassen ihre Versicherten über die ePA informieren müssen (§ 343 Abs. 1a SGB V). Dabei sind 24 Punkte vorgegeben, unter anderem zu ePA-„Mehrwert und Nutzen“ und zu Patient:innenrechten. Die Risiken einer ePA werden dabei nicht benannt. Deshalb haben wir nachfolgend einige dieser Risiken zusammengestellt. Zu jedem Risiko geben wir unsere subjektive Einschätzung ab, wie wahrscheinlich uns ein Eintritt des jeweiligen Risikos erscheint:
Risiko: Unerwünschtes / unbeabsichtigtes Anlegen einer ePA
Die gesetzlich verankerte Opt-Out-Option zur ePA stellt eine Abkehr vom bewährten und gewohnten Prinzip des Einholens einer vorherigen Einwilligung dar. Ohne aktiven Widerspruch kann eine ePA auch gegen den tatsächlichen Willen der Patientin oder des Patienten angelegt werden. Wir befürchten, dass viele Patient:innen aus Unkenntnis oder Komfortgründen dem Anliegen einer ePA nicht aktiv bei ihrer Krankenkasse widersprechen, obwohl sie die ePA eigentlich gar nicht für sich oder ihre Kinder haben möchten.
Risikoeinschätzung
- Sehr hoch
Risiko: Unsichere Anonymisierung und Pseudonymisierung
Die mittels ePA zentral gespeicherten Gesundheitsdaten sollen vor einer Weiterverwendung anonymisiert oder pseudonymisiert werden. Dies erscheint uns nicht zuverlässig vollständig umsetzbar. Viele Neu- und Altbefunde sind analog und enthalten oft an mehreren, auch unerwarteten Stellen, Identifikationsmerkmale. Patient:innennamen kommen in Arztberichten häufig mehrfach im Fließtext vor. Eine sichere und vollständige Digitalisierung und Anonymisierung wäre mit viel händischer Kontrolle verbunden. Dieser Aufwand erscheint uns im Konzept der ePA weder ausreichend bedacht noch angemessen einkalkuliert.
Selbst wenn eine Anonymisierung und Pseudonymisierung mit sehr großem Aufwand fachgerecht durchgeführt würde, besteht nach Meinung von Expert:innen die Gefahr einer anschließenden Re-Anonymisierung bzw. Re-Pseudonymisierung: Durch eine KI-gestützte Auswertung von ePA-Inhalten, (z. B. Alter – Geschlecht – Postleitzahl – Beruf) könnten verhältnismäßig einfach Rückschlüsse auf einzelne Personen errechnet werden. Auch wenn dies bei der Sekundärnutzung der Daten grundsätzlich untersagt bleibt, wäre kaum zu bemerken oder kontrollierbar, ob kommerzielle Nutzer:innen nicht doch im Hintergrund solche Auswertungen mitlaufen lassen, um sie später mit anderen Daten zusammenzuführen und für eigene Zwecke zu nutzen. Pseudonymisierte Daten, die heute für vielleicht gutgemeinte „Forschungszwecke“ an Dritte abfließen, können so zu digitalen Zeitbomben mit unvorhersehbarem Schädigungspotential in der Zukunft werden.
Risikoeinschätzung
- Sehr hoch (für die nicht vollständig mögliche Anonymisierung und Pseudonymisierung)
- Kaum abschätzbar (für eine Rückrechnung/Daten-Rekombination)
Risiko: Hacker-Angriffe / Krimineller Datenmissbrauch
Die Sammlung zentral gespeicherter persönlicher Daten ist dafür prädestiniert, die Aufmerksamkeit von kriminellen Hacker:innen aus dem In- und Ausland auf sich zu ziehen. Es besteht jederzeit die Möglichkeit, dass Kriminelle versuchen, sich Zugang zu den gespeicherten Daten zu verschaffen, um damit Lösegelder oder andere Forderungen zu erpressen. Viele bereits stattgefundene Hackerangriffe und Datenpannen im In- und Ausland zeigen, dass dies nicht nur ein theoretisches Risiko ist, sondern immer wieder in gut geschützt geglaubten Umgebungen, auch im Gesundheitswesen, vorkommt. Hacker-Szenarien mit den gesammelten Gesundheitsdaten von Patient:innen bergen das Potential für existenzgefährdende Auswirkungen auf einzelne Personen. Im schlimmsten Fall könnten sie sich sogar destabilisierend auf Staat und Gesellschaft auswirken. Weitere Gefahrenebenen für den Einzelnen ergeben sich an allen Schnittstellen bei Dateneingabe und -nutzung, z. B. auf den Smartphones der Patient:innen.
Risikoeinschätzung
- Für die zentrale Datenspeicherung abhängig von den getroffenen Sicherungsmaßnahmen. 100% Sicherheit gibt es dabei nicht.
- Sehr hoch für die Endnutzer:innen-/Smartphone-Ebene
Risiko: Forschungsziele werden statt am Gemeinwohl kommerziell orientiert
Nach zentraler Speicherung sollen Befunde und Daten in Zukunft nicht mehr nur für medizinische Behandlungszwecke, sondern in großem Umfang auch für verschiedene „Forschungszwecke“ im In- und Ausland genutzt werden. Auch Pharmafirmen, große Konzerne und Digitalfirmen können diese Daten dann nutzen, um damit zu forschen oder z. B. auch ihre „Künstliche Intelligenz“-Modelle anzulernen. Ob die Ergebnisse später jemals die ersehnten positiven, medizinisch-wissenschaftlichen Auswirkungen auf die Patient:innenversorgung und das Gesundheitswesen haben, ist offen. Wir befürchten, dass damit vor allem neue Kontroll- und Kostensparmodelle etabliert werden, denn „Evidenz“ lässt sich auch selektiv herausforschen, um beispielsweise die Eigeninteressen von Pharmafirmen, Kostenträgern und Versicherungen zu stützen. Rein kommerzielle Forschungsinteressen sollen zwar grundsätzlich nicht zulässig sein, doch ist dies angesichts der massenhaft vorgesehenen Datennutzungen kaum kontrollierbar. Die dafür eingeplanten Mittel und rechtlichen Rahmenbedingungen erscheinen uns unzureichend und die vorgesehenen Möglichkeiten der Sanktionierungen bei Regelverstößen nicht tiefgreifend genug. Wir bezweifeln daher, dass die datengetriebene Forschung letztlich überwiegend dem Allgemeinwohl dienen wird.
Risikoeinschätzung
- hoch
Risiko: Politischer Wandel und Vorratsdaten
Zentral gespeicherte Gesundheitsdaten können auch als „Vorratsdaten“ genutzt werden. Ohne schützende politische und rechtliche Rahmenbedingungen könnte versucht werden, diese sehr tiefen und umfassenden Daten für verschiedene Kontroll-, Überwachungs- oder Fahndungszwecke heranzuziehen. Die technischen Grundlagen dafür sind in der ePA angelegt, denn ihre kryptographischen Schlüssel werden innerhalb der Telematikinfrastruktur erzeugt und gespeichert. Der Zugriff auf die ePA-Daten und die Erweiterung der Zugriffsrechte ohne Mitwirkung der Versicherten sind jederzeit möglich. Zuvor müssten zwar Gesetze geändert oder neu verfasst werden, in Zeiten von Pandemien oder politischen Umbrüchen und Gefahrenlagen erscheinen solche Szenarien aber durchaus vorstellbar. Mit dem Argument der „Gefahrenabwehr“ könnten dann Zugriffe auf die zentral gesammelten Gesundheitsdaten legalisiert werden, die beispielsweise breit angelegte Rasterfahndungen ermöglichen. Dies wäre ein Horrorszenario für die Freiheitsrechte der Menschen und unsere Demokratie.
Risikoeinschätzung
-
Stark abhängig von der politischen und gesellschaftlichen Lage und Entwicklung
Risiko: Patientenversorgung wird beeinträchtigt
Die Gesundheitsversorgung in Deutschland ist in vielen Bereichen bereits am Limit. Die Hoffnung, eine zentrale ePA-Datensammlung könnte hier schnell und billig Abhilfe schaffen, erscheint uns unrealistisch.
Beim massenhaften Anlegen, Befüllen und Pflegen der ePAs entsteht zwangsläufig ein sehr hoher zusätzlicher Verwaltungs- und Arbeitsaufwand. Hierbei ist große Sorgfalt gefordert, denn ein Dokumentenupload ohne vorherige Kontrolle durch fachkundiges Personal würde zu erheblichen Sicherheits- und Haftungsrisiken führen. Es ist bereits absehbar, dass diese Arbeiten zu großen Teilen dem medizinischen Fachpersonal, den Ärztinnen und Ärzten in Praxen und Kliniken aufgebürdet werden.
Stattdessen fehlen die dafür benötigten Arbeitszeiten für die eigentliche Patient:innenversorgung. Wir befürchten daher, dass sich durch den zusätzlichen ePA-Arbeitsaufwand die Gesundheitsversorgung der Bevölkerung verschlechtert und sich die Wartezeiten auf Arzttermine verlängern werden. Im Digi-Gesetz ist auch vorgesehen, ein Einscannen von Patient:innendokumenten den Krankenkassen zu übertragen. Hierfür müssten Patient:innen ihre vertraulichen Krankheitsunterlagen den Versicherungsunternehmen / Krankenkassen aushändigen. Dies würde aus unserer Sicht der ärztlichen Schweigepflicht und dem Patientendatenschutz widersprechen.
Risikoeinschätzung
-
Sehr hoch (für die ersten Jahre nach ePA-Einführung)
Risiko: Beeinträchtigung der informationellen Selbstbestimmung für unsere Kinder und für betreute Personen
Zu vielen Lebensbereichen gibt es heute einen gesellschaftlichen Diskurs zu Nachhaltigkeit und zur Verantwortung für zukünftige Generationen. Dazu gehört auch unser Umgang mit digitalen Daten, denn wir setzen heute das ethische, gesellschaftliche und rechtliche Fundament für die digitale Welt, in der unsere Kinder in Zukunft leben müssen. „Datensparsamkeit“ ist ein anerkanntes Grundprinzip zum Schutz privater Daten, das wir schon heute für die nachfolgenden Generationen berücksichtigen können.
Kinder dürfen erst ab einem Alter von 15 Jahren (bzw. bei Volljährigkeit) ihre Selbstbestimmungsrechte in Bezug auf ihre Gesundheitsdaten selbst wahrnehmen. Wenn Eltern dem Anlegen einer ePA für ihre Kinder nicht widersprechen, werden im Rahmen der „Opt-Out“-Regelungen ePAs auch für gesetzlich krankenversicherte Minderjährige angelegt.
Bis zur Möglichkeit einer Selbstbestimmung würden mit einer ePA viele Daten zentral gespeichert und von Dritten genutzt werden können – und damit den beschriebenen Risiken ausgesetzt.
Im Falle eines Datenmissbrauchs können im Erwachsenenalter gravierende Nachteile entstehen, z. B. bei dem Versuch, eine Lebens- oder Berufsunfähigkeitsversicherung abzuschließen. Wir sehen keinen Nutzen einer Kinder-ePA, der solche Risiken überwiegt.
Ähnliches gilt für Menschen, für die eine gesetzliche Betreuung eingerichtet ist. Die Gesundheits- und Krankheitsdaten dieser Personengruppe sind oft ganz besonders schutzbedürftig. Deshalb empfehlen wir, dass die zuständigen gesetzlichen Betreuer:innen für ihre Betreuten Widerspruch gegen das Anlegen einer ePA einlegen.
Risikoeinschätzung
-
Sehr hoch (für nachfolgenden Generationen)
Verwandte Inhalte
-
Digitalisierung im Gesundheitswesen – elektronische Patientenakte „ePA“
-
Spezifische Risiken der ePA
-
ePA-OPT-OUT