ArchivDeutsches Ärzteblatt11/2008Elektronische Patientenakte: Schlüsselrolle für den Datenschutz

THEMEN DER ZEIT

Elektronische Patientenakte: Schlüsselrolle für den Datenschutz

Dtsch Arztebl 2008; 105(11): A-571 / B-507 / C-494

Müller, Jürgen H.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Foto: Caro
Foto: Caro
Ein hohes Maß an Sicherheit ist immer mit Einschränkungen der Praktikabilität verbunden. Es bedarf einer vernünftigen Abwägung zwischen beiden Anforderungen.

Die elektronische Gesundheitskarte (eGK) wird in den nächsten Jahren die Krankenversichertenkarte ablösen. Sie soll die bisherigen Funktionen dieser Karte übernehmen und zusätzlich „telematische Anwendungen“ unterstützen, angefangen vom elektronischen Rezept bis hin zur elektronischen Patientenakte. Ziel des Aufbaus der Tele­ma­tik­infra­struk­tur ist es, Gesundheitsdaten sektorübergreifend zum Zeitpunkt und am Ort der Behandlung verfügbar zu machen. Hierbei dient die eGK als Steuerungsinstrument in der Hand der Patienten. Natürlich stellen sich bei einem derart ambitionierten Vorhaben viele Fragen, vor allem: Wer bestimmt, welche Angaben gespeichert werden, und wer wird auf die Informationen zugreifen können? Sind die sensiblen medizinischen Daten vor Missbrauch geschützt?

Von Anfang an war allen Beteiligten an diesem Projekt klar, dass bei der Einführung der eGK den Belangen des Datenschutzes eine Schlüsselrolle zukommt. Das Recht auf informationelle Selbstbestimmung gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. In Ausübung dieses Rechts müssen die Patienten selbst darüber entscheiden können, wann sie wem welche Gesundheitsdaten zugänglich machen möchten. Dieser Maxime folgen auch die gesetzlichen Regelungen zur eGK, die zwischen Pflicht- und freiwilligen Anwendungen unterscheiden. Die Verarbeitung administrativer Daten zählt zu den Pflichtanwendungen, wohingegen die elektronische Patientenakte zu den freiwilligen Anwendungen gehört.

Nach § 291 a Abs. 3 Nr. 4 SGB V (Sozialgesetzbuch) kann die elektronische Patientenakte Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über den Patienten enthalten. Wie gelangen diese Daten in die elektronische Patientenakte? Da es sich um eine freiwillige Anwendung handelt, muss der Patient zunächst seine Einwilligung gegenüber einem Leistungserbringer erklären, dass er die elektronische Patientenakte überhaupt nutzen will.

Freiwillige Entscheidung der Patienten
Diese Einwilligung des Patienten ist eine für den Umgang mit seinen Gesundheitsdaten sehr weitreichende Entscheidung, sodass ihr ein ausführliches Gespräch mit einem Arzt vorausgehen sollte. In diesem Gespräch sollte der Arzt dem Patienten verdeutlichen, dass es mit der eGK gelingen kann, einerseits die Behandlungs- und Lebensqualität der Betroffenen zu verbessern und andererseits die Patientenrechte zu stärken. Sofern Patienten in die Speicherung ihrer Gesundheitsdaten einwilligen, können wichtige Gesundheitsdaten künftig schneller verfügbar sein, was zum Beispiel im Notfall und beim Arztwechsel eine bessere medizinische Versorgung ermöglicht. Nach der Dokumentation dieser Einwilligung muss sodann die Krankenkasse als kartenausgebende Stelle die Anwendung „elektronische Patientenakte“ freischalten.

Noch lange nicht papierfrei: Arztpraxen und Krankenhäuser arbeiten weitgehend noch papierbasiert. Bis zur elektronischen Patientenakte ist es daher noch ein weiter Weg – nicht zuletzt aufgrund der hohen Sicherheitsanforderungen. Foto: Deutscher Infografikdienst
Noch lange nicht papierfrei: Arztpraxen und Krankenhäuser arbeiten weitgehend noch papierbasiert. Bis zur elektronischen Patientenakte ist es daher noch ein weiter Weg – nicht zuletzt aufgrund der hohen Sicherheitsanforderungen. Foto: Deutscher Infografikdienst
Anzeige
Nachdem diese Anwendung freigeschaltet ist, ist zu fragen, wie die Daten in die elektronische Patientenakte gelangen und wer später auf sie zugreifen darf. Die Antworten hierauf findet man in § 291 a Abs. 4 und 5 SGB V. Diese beiden Absätze stehen in engem Zusammenhang: Während Absatz 4 den Kreis der zugriffsberechtigten Personen bestimmt, also regelt, wer zugreifen darf, stellt Absatz 5 nähere Anforderungen an die technischen Voraussetzungen, also an das „Wie“ des Zugriffs. Der berechtigte Personenkreis der Leistungserbringer (wie zum Beispiel der Arzt oder Apotheker) ist im Gesetz exakt beschrieben; zusätzlich ist der Zugriff auf die Daten an die Bedingung geknüpft, dass er zur Versorgung der Patienten erforderlich ist. Das „Zugreifen“ bezieht sich auf jeden datenschutzrechtlich relevanten Umgang mit den Daten, wobei eine Unterscheidung zwischen den aus dem Datenschutzrecht bekannten Begriffen des Erhebens, Verarbeitens und Nutzens, die konkrete Formen des Zugriffs darstellen, bewusst nicht getroffen wurde.

Die Regelung bietet jedem Patienten die Möglichkeit, differenzierte Zugriffsrechte festzulegen. So können Patienten festlegen, dass jeder Leistungserbringer auf die elektronische Patientenakte zugreifen darf. Sie können dieses Recht aber auch begrenzen auf bestimmte Rollen (zum Beispiel nur Ärzte), auf bestimmte Fachgruppen (zum Beispiel nur Orthopäden) oder auf bestimmte Einzelpersonen (nur ein Arzt). Ausgehend von diesen Zugriffsberechtigungen können nur diejenigen Leistungserbringer, denen der Zugriff und damit Schreibrechte erlaubt sind, Gesundheitsdaten in die elektronische Patientenakte übertragen. Diese differenzierten Zugriffsrechte können die Patienten jederzeit beliebig wieder verändern.

Über die Vergabe der Zugriffsrechte und über die erforderliche generelle Einwilligung der Patienten zur Nutzung bestimmter Anwendungen hinaus müssen die Patienten in jeden Zugriff auf einzelne Einträge einer Anwendung einwilligen. Dies wird in der Praxis dadurch umgesetzt, dass der Zugriff durch ein geeignetes technisches Verfahren von den Patienten autorisiert werden muss, nämlich die Eingabe einer PIN. Das Überreichen der eGK und die Eingabe der PIN ist dann als konkludente Einwilligung des Patienten zu bewerten.

Wie erfolgt der Eintrag der Daten in die Patientenakte?
Damit der Arzt die vom Patienten zum Eintrag in die elektronische Patientenakte freigegebenen Gesundheitsdaten eintragen kann, benötigt er einen elektronischen Heilberufsausweis, der über eine sichere Möglichkeit zur Authentifizierung und eine qualifizierte elektronische Signatur verfügt. Damit sind sowohl der schreibende als auch der lesende Zugriff auf die freiwilligen medizinischen Daten der eGK gesetzlich nur mittels zweier Karten – der eGK aufseiten der Patienten und dem elektronischen Heilberufsausweis aufseiten der Leistungserbringer – möglich. Dieses „2-Schlüssel-Prinzip“ ist zentraler Bestandteil der gesetzlich geregelten Sicherheitsmaßnahmen zum Schutz der Daten vor missbräuchlicher Verwendung. Der Kreis derjenigen, die unberechtigt auf Gesundheitsdaten zugreifen können, wird technisch auf Personen reduziert, die einen Heilberufsausweis besitzen.

Durch die Verbindung der auf dem Heilberufsausweis befindlichen qualifizierten Signatur mit den gesetzlich vorgeschriebenen Protokollierungspflichten kann die Identität des zugreifenden Heilberuflers zweifelsfrei festgestellt werden, sodass Missbrauchsfälle nachvollzogen werden können. Sichere Möglichkeiten zur Authentifizierung, über die der elektronische Heilberufsausweis verfügen muss, gewährleisten den vertrauenswürdigen Zugriff auf Daten der eGK. Mit kryptografischen Verfahren zur Authentifizierung kann sich der elektronische Heilberufsausweis sicher gegenüber der eGK ausweisen.

Wichtig ist die Klarstellung, dass es sich bei den Daten der elektronischen Patientenakte nicht um ein Abbild der ärztlichen Dokumentation handelt, wie sie sich auf dem Praxisrechner des einzelnen Arztes befindet. Da die Speicherung von medizinischen Informationen in der elektronischen Patientenakte eine in der Verfügungsgewalt des Patienten stehende freiwillige Anwendung ist, kann sie auch nicht die Dokumentationspflichten des Arztes ersetzen. Die mittels der elektronischen Patientenakte bereitgestellten Daten sind daher im Regelfall Kopien ausgewählter Daten. Es besteht keine Garantie auf eine Vollständigkeit der mit der elektronischen Patientenakte verfügbaren Informationen. Sie enthält nur die Daten, die getrennt von der ärztlichen Dokumentation gespeichert werden und den Leistungserbringern zur Verfügung stehen, denen der Patient die Berechtigung dazu erteilt.

Im Haftungsfall wird sich ein in Anspruch genommener Arzt nicht mit dem Hinweis auf eine unvollständige elektronische Patientenakte entlasten können. Allerdings kann sich jeder Arzt auf die Integrität der medizinischen Daten verlassen, denn diese müssen von dem zugriffsberechtigten Arzt mit seinem Heilberufsausweis signiert werden. Änderungen an diesem Datensatz können nur von Ärzten vorgenommen werden, niemals aber eigenständig von Patienten.

Einsichtsrecht der Patienten in ihre eigenen Daten
Noch nicht endgültig entschieden ist die Frage, wie Patienten ihr Einsichtsrecht in die elektronische Patientenakte wahrnehmen können. Zunächst gilt wieder das oben genannte „2-Schlüssel-Prinzip“, sodass Patienten nur zusammen mit einem elektronischen Heilberufsausweis auf ihre Daten zugreifen können. Die Gegenwart eines elektronischen Heilberufsausweises bedeutet allerdings nicht, dass der Arzt oder Apotheker physisch am Ort der Einsichtnahme anwesend sein muss. Denkbar ist auch, dass das Einsichtsrecht an Terminals ausgeübt wird, die im Wartezimmer der Arztpraxis oder in der Apotheke stehen und in die ein Heilberufsausweis gesteckt ist. Technische Lösungen, bei denen der Patient an seinem eigenen PC im häuslichen Bereich seine eGK mit einem Lesegerät ausliest und gleichzeitig über einen sicheren Kanal eine Onlineverbindung mit einem Heilberufler besteht, der an einem entfernten Ort seinen Heilberufsausweis als „zweiten Schlüssel“ einsetzt, sind mit dem „2-Schlüssel-Prinzip“ nicht vereinbar.

Die Geltung des „2-Schlüssel-Prinzips“ auch bei der Wahrnehmung des Einsichtsrechts durch die Patienten reduziert die Gefahr, diese in Zwangssituationen zu bringen, in denen sie zur Preisgabe ihrer Daten genötigt werden. Vorstellbar wäre dann ein Szenario im Rahmen eines Bewerbungsgesprächs, dass ein Arbeitgeber den Bewerber auffordert, seine Gesundheitsdaten zu offenbaren. Da in diesem Fall der Arbeitgeber keinen eigenen Zugriff (auch nicht durch seinen Betriebsarzt) vornimmt, würde auch die Zugriffsprotokollierung keinen Nachweis über einen missbräuchlichen Zugriff belegen. Nach außen hin sähe es wie ein freiwilliger, eigenständiger Zugriff durch den Patienten aus. Da der Gesetzgeber gerade diese Missbrauchsmöglichkeiten einschränken wollte, ist ein Einsichtsrecht am eigenen PC auf die elektronische Patientenakte auf der Grundlage der geltenden gesetzlichen Regelungen nicht zulässig.

Auch wenn das „2-Schlüssel-Prinzip“ bei der Einsichtnahme durch die Patienten einige Hürden aufstellt, wird die Einsichtnahme dennoch im Vergleich mit der heutigen Situation, in der Patienten den Arzt direkt um Einsichtnahme oder Kopien ihrer Behandlungsunterlagen ersuchen müssen, erleichtert. Denn nicht selten scheuen Patienten die Frage nach den Behandlungsunterlagen, um das Verhältnis zu ihren Ärzten nicht zu belasten. Einerseits haben Patienten künftig mit der eGK die Möglichkeit, mithilfe anderer Leistungserbringer als derjenigen, die die Eintragungen vorgenommen haben, ihr Einsichtsrecht zu realisieren. Andererseits hat der Gesetzgeber die Möglichkeit vorgesehen, sich ein elektronisches Patientenfach (§ 291 a Absatz 3 Satz 1 Nr. 5 SGB V) einrichten zu lassen. In dieses Patientenfach können alle Daten der eGK, also auch die in der Patientenakte enthaltenen, kopiert werden. Auf dieses Fach kann der Patient ohne Anwesenheit eines elektronischen Heilberufsausweises zugreifen. Damit allerdings auch beim Zugriff auf das Patientenfach eine Zugriffsprotokollierung möglich ist, wird der Einsatz einer Signaturkarte mit qualifizierter Signatur als zweiter Zugriffsschlüssel verlangt. Statt einer eigenen Signaturkarte ist auch denkbar, dass die eGK mit integrierter Signatur genutzt wird. Da es sich bei dem Patientenfach um eine freiwillige Anwendung handelt, besteht hier auch eine geringere Missbrauchsgefahr etwa bei Bewerbungsgesprächen, denn Patienten können behaupten, überhaupt kein Patientenfach zu besitzen, oder vor dem entsprechenden Termin alle dort vorhandenen Dokumente löschen.

Fazit
Letztlich ist ein hohes Maß an Sicherheit immer mit Einschränkungen bei der Praktikabilität verbunden. Es bedarf einer vernünftigen Abwägung zwischen dem Datenschutz und der Datensicherheit auf der einen und der praktischen Handhabbarkeit auf der anderen Seite. Mit den Regelungen zur Wahrnehmung des Einsichtsrechts der Patienten ist die Abwägung sicherlich zugunsten des Datenschutzes und der Datensicherheit ausgefallen. Gerade in der Einführungsphase der elektronischen Gesundheitskarte können diese Aspekte nicht hoch genug bewertet werden, um die Akzeptanz zu einem neuen Kommunikationsmittel herzustellen.

zZitierweise dieses Beitrags:
Dtsch Arztebl 2008; 105(11): A 571-3

Anschrift des Verfassers
Jürgen H. Müller
Leiter Projektgruppe Elektronische
Gesundheitskarte, Referat IV, Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30, 53117 Bonn
E-Mail: pg-egk@bfdi.bund.de


Serie Telematik
Bisher erschienene Beiträge im DÄ:
Heft 45/2007: Interview zum Projekt Gesundheitskarte mit Dr. med. Franz-Joseph Bartmann, Vorsitzender des Ausschusses Telematik der Bundes­ärzte­kammer und Präsident der Ärztekammer Schleswig-Holstein: „Neue Karte, neuer Schlitz – sonst passiert nichts“
Heft 49/2007: Kommentar von Wilfried Deiß, Facharzt für Innere Medizin, Hausarzt: Projekt elektronische Gesundheitskarte – Fuchs statt Monster
Heft 51–52/2007: Heike E. Krüger-Brand: Gesundheitstelematik – Sanfter Ausbau statt „Big Bang“
Heft 3/2008: Ulrike Hein-Rusinek, Christiane Groß: Projekt elektronische Gesundheitskarte – Notfalldaten – Mehr Schein als Sein?
Heft 5/2008: Philipp Stachwitz: Telematik im Gesundheitswesen – Positionsbestimmung der Ärzte
Heft 6/2008: Lukas Gundermann: Tele­ma­tik­infra­struk­tur der elektronischen Gesundheitskarte – Basis für sichere Datenspeicherung
Heft 8/2008: Heike E. Krüger-Brand: Telematik im Gesundheitswesen – „Zu Risiken und Nebenwirkungen fragen Sie . . .“
Heft 9/2008: Uwe K. Preusker: Gesundheitstelematik in Nordeuropa – Unabhängig von Raum und Zeit
Heft 10/2008: Heike E. Krüger-Brand: Elektronische Gesundheitskarte im Krankenhaus – Erst allmählich im Fokus

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema