Noch ist Zeit den verschiedenen Verwendungen Ihrer Gesundheitsdaten zu widersprechen.
Beinahe unbemerkt ist die vermehrte sogenannte „sekundäre Nutzung“ von Gesundheitsdaten aller gesetzlich Versicherten unter anderem im „Gesundheitsdatennutzungsgesetz (GDNG)“ und im Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen (DigiG) geregelt worden. Dies betrifft nicht nur die elektronische Patientenakte (ePA).
Da das in der allgemeinen Berichterstattung unserer Wahrnehmung nach ein wenig zu kurz kommt, möchten wir anregen einen um so genaueren Blick darauf zu werfen.
Der Blickwinkel des Datenschutzes ist die Datenhoheit der einzelnen Person über alle personenbezogenen Daten als Ausgestaltung des Grundrechtes auf den Schutz personenbezogener Daten nach Art. 8 der GruCharta der Grundrechte der Europäischen Union (GRCh). Ausdruck dessen sind beispielsweise die Betroffenenrechte, wie das Auskunftsrecht oder das sogenannte Recht auf „Vergessen-Werden“.
Gesundheitsminister Lauterbach bezeichnete die ePA und das Forschungsdatenzentrum Gesundheit (FDZ), das alle Gesundheits- und Abrechnungsdaten der gesetzlich Versicherten zusammenführt, auf der Digital Health Conference 2024 der bitkom als zwei Sonnen, „um die die anderen Planeten kreisen“. Die zugehörige Infrastruktur (Gematik) gehört mehrheitlich dem Bundesministerium und das FDZ ist beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt, das ebenfalls unmittelbar dem Bundesministerium untersteht.
Dass es sich um einen „Datenschatz“ (Karl Lauterbach) handelt, auf den auch bereits OpenAI, Google und Meta begehrliche Blicke geworfen haben, da die Datensätze im FDZ „KI-ready“vorliegen und der einzelne Datensatz so aufgebaut sei, „dass in dem Forschungsumfeld des Forschungsdatenszentrums ‚confidential Computing‘ möglich ist, weil die Daten in diesem Umfeld […] nicht mehr verschlüsselt sind“, wurde ebenfalls vom Gesundheitsminister hervorgehoben.
Konsequent ist daher: „Wir sind im Gespräch mit Meta, mit OpenAI, mit Google, alle sind daran interessiert, ihre Sprachmodelle für diesen Datensatz zu nutzen, beziehungsweise an diesem Datensatz zu arbeiten“, wie Karl Lauterbach auf der bitkom-Veranstaltung vom 28.11.2024 mitteilte.
Vor allem drei Dinge sind im Zusammenhang mit der ePA wissenswert:
Es handelt sich zum einen um eine cloudbasierte Lösung – mit allen Vor- und Nachteilen – in einer vielfach kritisierten (man ist versucht zu sagen unausgereiften) technischen Infrastruktur. Die Clouddaten dürfen dabei auch z.B. in den USA liegen, da es ja einen Angemessenheitsbeschluss der EU-Kommission und das EU-US-Data-Privacy-Framework gibt.
Zum anderen sind die hinterlegbaren Daten von Anfang an unvollständig, da beispielsweise Bilddaten überhaupt nicht hinterlegt werden können. Der Nutzen für die Patienten wird dadurch deutlich eingeschränkt. Derzeit sind pdf-Dateien, sowie TXT, RTF, XML oder Daten im speziellen Format FIHR bis zu einer maximalen Größe von 25 MB pro Datei möglich.
Drittens und das ist aus Datenschutz-Sicht der wichtigste Punkt, verlieren die Patienten die Datenhoheit. Es kann nicht mehr im Einzelfall entschieden werden, wer welche Daten einsehen kann. Es gilt das Prinzip „jeder oder keiner“.
In der noch genutzten Version der ePA, die aber zum 15.01.2025 abgelöst wird, kann der Zugriff auf die Daten in drei Stufen (frei, vertraulich und streng vertraulich) festgelegt werden und auch festgelegt werden, welche Personen welche Daten einsehen dürfen. Bei Einführung der neuen ePA „für alle“ gibt es nur noch die Möglichkeit Daten als frei oder gesperrt fest zu legen. Eine Einschränkung auf einzelne Einsehende ist nicht mehr vorgesehen. Hinzu kommt: „Dokumente, die aktuell die Stufe ‚vertraulich‘ haben, werden mit der neuen ePA für alle medizinischen Einrichtungen sichtbar, sofern die bzw. der Versicherte das Dokument nicht verbirgt oder löscht“, wie die Gematik erklärte.
Selbst Einblick und Zugriff auf die eigene ePA zu nehmen setzt eine „GesundheitsApp“ voraus, die es noch nicht gibt.
Zwar ist der Zugriff auf die eigene ePA auch bei Leistungserbringern (z.B. in der Arztpraxis) durch die Versicherten möglich. Ob sich das aber tatsächlich vor Ort umsetzen lässt, darf zutreffend bezweifelt werden. Zusätzlich sollen bei den Krankenkassen Ombudstellen zur Einsichtnahme geschaffen werden, die es derzeit (Dezember 2024) aber noch bei keiner Krankenkasse gibt.
Selbst Einblick und Zugriff auf die eigene ePA zu nehmen und vor allem Zugriffsbeschränkungen und andere Einstellungen vorzunehmen setzt daher eine App voraus. Wie immer bei einer App wissen wir nicht exakt, welchen Daten wie und mit welchen Akteuren „geteilt“ werden. Auf die demografisch bedingte Problematik einer App-Nutzung als notwendige Voraussetzung für die wirksame Kontrolle über die eigenen Gesundheitsdaten sei nur am Rande hingewiesen.
Es steht zu befürchten, dass die App, mit der Einschränkungen der Einsichtnahme vorgenommen werden könnten erst deutlich nach der automatischen Einführung der ePA zum 15.01.2025 zur Verfügung stehen werden. So teilten beispielsweise TK und AOK-Bundesverband mit, dass deren Apps erst Mitte Februar bereit stehen könnten.
Da alle Versicherten das Recht auf eine kostenfreie Kopie ihrer vollständigen Krankenakten aller Leistungserbringer haben, können sie so, wenn sie dies möchten, eine eigene „Gesundheits-Akte“ anlegen über die sie allein die Kontrolle haben.
Beinahe noch wichtiger ist, dass Patientendatensätze (sogar auch) personalisiert ausgewertet werden können, wie § 25b SGB V festgelegt, der die datenbankgestützte Gesundheitsdatenauswertung regelt. Dort ist z.B. ausdrücklich als zulässige Auswertung die einer „der Erkennung des Vorliegens von Impfindikationen für Schutzimpfungen, die von der Ständigen Impfkommission nach § 20 Absatz 2 des Infektionsschutzgesetzes empfohlen sind“ dienen, genannt (§ 25 b Abs. 1 Nr. 6 SGB ).
Auch der Berechtigung zur personalisierten Auswertung nach § 25b SGB V kann unabhängig vom Anlegen einer ePA gesondert widersprochen werden.
Wenn Sie sich selbst ein Bild machen wollen, finden Sie Informationen auf der Seite der Kassenärztlichen Bundesvereinigung, auch die Stellungnahme des GKV-Spitzenverbandes zum GDNG könnte interessant sein und eher allgemein die Seite des Bundesgesundheitsministeriums.
Einen Widerspruchsgenerator mit ebenfalls weiterführenden Informationen finden Sie hier: https://widerspruch-epa.de
Aus Sicht des Datenschutzes ist es empfehlenswert zumindest der datenbankgestützten Gesundheitsdatenauswertung zu widersprechen.
Da unsere Bedenken hinsichtlich des Datenschutzes, der Datensicherheit und der mangelnden Kontrolle und die möglichen Mißbrauchsrisiken den potentiellen Nutzen derzeit deutlich überwiegen, erscheint auch der Widerspruch gegen die ePA sinnvoll.