 |
# taz.de -- Datenschützer über neue Patientenakte: „Es ist ein Leichtes, un… |
|
|
|
> Schweigen oder widersprechen? Ex-Bundesdatenschutzbeauftragter Ulrich |
|
> Kelber erklärt die elektronische Patientenakte – und wie er sich |
|
> entschieden hat. |
|
|
 |
Bild: Wer soll was über mich wissen? Lesegerät für die elektronische Patient… |
|
|
|
taz: Herr Kelber, bekommen Google, Meta, OpenAI und Co in Zukunft auch noch |
|
unsere Gesundheitsdaten? |
|
|
|
Ulrich Kelber: Das ist möglich. Sie müssen natürlich einen entsprechenden |
|
Antrag stellen. Aber die Gesundheitsdaten aus den elektronischen |
|
Patientenakten, die pseudonymisiert an das Forschungsdatenzentrum fließen, |
|
können dort auch von Privatunternehmen für medizinische Forschung genutzt |
|
werden. |
|
|
|
taz: Alle gesetzlich Versicherten, die nicht widersprochen haben, bekommen |
|
eine elektronische Patientenakte – die ePA – von ihrer Krankenkasse |
|
eingerichtet. Die Ärzt:innen müssen diese Akten dann mit den |
|
Gesundheitsdaten der Versicherten befüllen. Was kommt hier auf die |
|
Versicherten zu? |
|
|
|
Kelber: Auf alle Fälle eine große Verantwortung. Denn jede und jeder muss |
|
entscheiden: Glaubt man, dass für einen selbst die Vorteile überwiegen, |
|
wenn alle Ärzte auf die eigenen Gesundheitsdaten zugreifen können? Gibt es |
|
vielleicht einzelne Befunde oder Diagnosen, die man verbergen möchte? Oder |
|
schätzt man das Risiko insgesamt so hoch ein, dass man lieber ganz |
|
widerspricht? |
|
|
|
taz: Wie hoch schätzen Sie das Risiko ein? |
|
|
|
Kelber: Die ePA 3.0, die jetzt kommt, hat definitiv in einigen Bereichen |
|
[1][niedrigere Standards in Sachen Sicherheit als ihr Vorgänger]. Und ihr |
|
fehlen wichtige Funktionen, zum Beispiel um zu steuern, wer auf welche |
|
Inhalte zugreifen darf. |
|
|
|
taz: Der Vorgänger, das ist die ePA, die sich die Versicherten schon in der |
|
Vergangenheit freiwillig einrichten lassen konnten, wenn sie das bei ihrer |
|
Krankenkasse beantragt haben. Die hat nur kaum jemand genutzt. |
|
|
|
Kelber: Beim Vorgänger wurde zum Beispiel jede einzelne ePA noch mal |
|
separat verschlüsselt. Das fällt jetzt weg und das ist sicher eine |
|
Verschlechterung. |
|
|
|
taz: Wird jetzt vielleicht mehr Wert auf [2][Komfort und einfache |
|
Bedienbarkeit] gelegt und das geht zu Lasten der Sicherheit? |
|
|
|
Kelber: Komfort ist kein Argument für weniger Sicherheit. Heutzutage ist es |
|
möglich, hochsichere Systeme zu bauen, die trotzdem gut bedienbar sind. |
|
Nein, hier wurde die Sicherheit und der Schutz der Patientendaten einfach |
|
an vielen Stellen überflüssigerweise vernachlässigt. |
|
|
|
taz: Bei der Verschlüsselung also, an welchen Stellen noch? |
|
|
|
Kelber: Nehmen wir zum Beispiel die Zeitspanne, in der etwa Ärzte auf die |
|
Daten zugreifen können. Hat die Patientin einmal ihre Krankenkassenkarte |
|
bei einer Arztpraxis eingesteckt, dürfen alle Mitarbeitenden dieser Praxis |
|
90 Tage in deren ePA lesen und schreiben. In einer Apotheke sind es immer |
|
noch drei Tage. Das ist beides zu lang. Warum soll die Apotheke, nachdem |
|
eine Kundin dort war, noch drei Tage auf die Daten zugreifen können? Und |
|
zwar nicht nur auf den Medikationsplan, sondern auch auf andere |
|
Gesundheitsdaten. |
|
|
|
In einer Apotheke können Dutzende Menschen arbeiten, in einer |
|
Versandapotheke auch mal Hunderte. Da wäre es ein Leichtes, unbefugt auf |
|
Daten zuzugreifen. Oft ohne, dass sich hinterher nachvollziehen lässt, wer |
|
das war. Denn dokumentiert wird in der ePA nur, welche Einrichtung auf die |
|
Daten zugegriffen hat und nicht, welche Person. |
|
|
|
Dazu kommt: Patienten können nicht mehr einstellen, dass ein Dokument, zum |
|
Beispiel das Ergebnis einer Blutuntersuchung, vom Hausarzt eingesehen |
|
werden kann, aber von der Zahnärztin nicht. Gerade Patienten mit sensiblen |
|
Diagnosen, zum Beispiel HIV, oder bei einem Schwangerschaftsabbruch, |
|
befürchten zu Recht Stigmatisierung. In der freiwilligen ePA ließen sich |
|
Dokumente noch arztbezogen verbergen. Nun werden solch sensiblen Daten ohne |
|
Not schlechter geschützt. |
|
|
|
taz: Welche Folgen kann das konkret haben? |
|
|
|
Kelber: Es gibt schon Fälle, in denen Menschen erpresst werden, weil |
|
medizinische Daten in falsche Hände geraten sind. Ein Fall aus Finnland: |
|
Hier sind die Daten des Anbieters, der die meisten psychotherapeutischen |
|
Behandlungen durchführt, an Unbefugte gelangt. [3][Die Betroffenen wurden |
|
erpresst]. |
|
|
|
taz: Wer würde denn hierzulande in solchen Fällen haften? |
|
|
|
Kelber: Das wird wohl erst vor Gericht entschieden werden – genauso wie |
|
mögliche Schadensersatzansprüche. Aber der Fall aus Finnland zeigt: Längst |
|
nicht alles landet vor Gericht. Denn wenn die Betroffenen nicht wollen, |
|
dass ihre Depression öffentlich wird, dann werden sie wohl kaum eine |
|
Anzeige erstatten, die dann in ein öffentliches Gerichtsverfahren mündet. |
|
|
|
taz: War es ein Fehler, auf Opt-out umzustellen, also darauf, dass alle die |
|
ePA bekommen, die keinen Widerspruch einlegen? |
|
|
|
Kelber: Es wäre jedenfalls das Mindeste gewesen, das Opt-out anders |
|
umzusetzen. So, dass weniger Daten automatisch in die Akte fließen. Zum |
|
Beispiel nur die verordneten Medikamente oder Daten für Notfallzwecke. Bei |
|
allen anderen Informationen hätten die Versicherten dann aktiv entscheiden |
|
müssen, ob diese in die ePA sollen. In Idealfall wäre das gemeinsam mit dem |
|
Arzt passiert – sodass Behandelnde und Patienten Vor- und Nachteile |
|
gemeinsam abwägen. |
|
|
|
So wie es jetzt ist, wird die Verantwortung auf die Versicherten abgewälzt. |
|
Die müssen laufend reinschauen in ihre ePA-App und sich überlegen: Wer soll |
|
welche Daten sehen dürfen? Welches Risiko gehe ich hier ein? Und gerade für |
|
die älteren Patienten, für die diese zentrale Akte ja die größten Vorteile |
|
bringen soll, und die zu Teilen gar kein Smartphone nutzen, ist das |
|
überhaupt nicht praktikabel. Ich halte das alles für nicht gut durchdacht. |
|
|
|
taz: Auf dem Kongress des [4][Chaos Computer Clubs wurden neue Lücken |
|
vorgestellt, mit denen Unbefugte auf die Akten von Patient:innen |
|
zugreifen können]. Wie groß ist das Problem? |
|
|
|
Kelber: Das ist groß. Hier geht es teils auch um Lücken, auf die bereits |
|
die Datenschutzbehörden vor Jahren hingewiesen haben. Nämlich, dass es |
|
vergleichsweise leicht ist, sich einen Heilberufsausweis samt |
|
entsprechendem Schlüssel zu verschaffen – die braucht man, um auf die Akten |
|
von Patienten zuzugreifen. Und, noch gravierender: Die CCC-Experten haben |
|
gezeigt, dass es möglich ist, Zugriffs-Tokens für die Patientenakten |
|
beliebiger Versicherter zu erstellen. Damit lässt sich potenziell Zugriff |
|
auf die Daten aller Versicherten erlangen – ohne, dass deren Karten |
|
eingelesen werden müssen. |
|
|
|
taz: [5][Am 15. Januar ist die ePA in Modellregionen in Franken, Hamburg |
|
und NRW] [6][gestartet, ab 15. Februar soll sie laut Plan für alle kommen]. |
|
Sollten die Patient:innen in den Modellregionen jetzt schnell |
|
widersprechen? |
|
|
|
Kelber: In den Modellregionen ist das Risiko nicht so hoch. Denn hier |
|
dürfen nur die teilnehmenden Praxen und Apotheken auf die Daten zugreifen, |
|
da kann sich niemand von außen so einfach reinmogeln. Aber vor dem |
|
bundesweiten Start müssen solche Lücken geschlossen werden. Denn 70 |
|
Millionen gesetzlich Versicherte – das ist der Daten-Honeypot in Europa. |
|
|
|
taz: Was raten Sie Versicherten? |
|
|
|
Kelber: Pauschal zu- oder abraten kann ich nicht. Das Wichtigste ist, sich |
|
gut zu informieren und auf dieser Basis eine Entscheidung zu treffen. Für |
|
manche Menschen kann es richtig sein, die ePA zu nehmen – für andere, ihr |
|
zu widersprechen. |
|
|
|
taz: Und wie haben Sie sich selbst entschieden? |
|
|
|
Kelber: Ich habe keine Krankheiten, deretwegen ich Stigmatisierung |
|
befürchten müsste. Ich erwarte auch keine Nachteile im Job oder wenn es |
|
darum geht, eine Versicherung zu bekommen. Daher werde ich der ePA Stand |
|
jetzt nicht widersprechen. |
|
|
|
18 Jan 2025 |
|
|
|
## LINKS |
|
|
 |
[1] /Ethischer-Hacker-ueber-Gesundheitskonten/!6060883 |
|
[2] /Elektronische-Patientenakte-kommt-2025/!6054036 |
|
[3] https://www.zeit.de/digital/datenschutz/2024-04/psychiatrie-finnland-vastaa… |
|
[4] /Ethischer-Hacker-ueber-Gesundheitskonten/!6060883 |
|
[5] /Digitale-Patientenakte/!6034671 |
|
[6] /Digitale-Patientenakte/!6034671 |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Digitale Patientenakte |
|
Gesundheit |
|
Datenschutz |
|
Datenleak |
|
Datendiebstahl |
|
personenbezogene Daten |
|
Datenspeicherung |
|
Datenschutzbeauftragte |
|
Datensicherheit |
|
Digitalisierung |
|
GNS |
|
Kolumne Digitalozän |
|
Digitalisierung |
|
Schwerpunkt Bundestagswahl 2025 |
|
Kolumne Digitalozän |
|
Digitale Patientenakte |
|
Klinik |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Schwachstellen im Alltag: Der Trick mit den Legosteinen |
|
|
|
Legosteine waren nicht immer das, was sie heute sind. Bei Herstellern von |
|
Elektronikgeräten und Autos scheinen sie für Inspiration gesorgt zu haben. |
|
|
|
Umstrittener Start: Probleme bei Tests für E-Patientenakte |
|
|
|
Die elektronische Patientenakte wird derzeit in drei Testregionen erprobt. |
|
Von dort werden diverse Schwierigkeiten gemeldet. |
|
|
|
Kritik an Merz-Vorschlag: Krankenkassen-Rabatt für Gesundheitsdaten |
|
|
|
Persönliche Gesundheitsdaten weitergeben und dafür weniger |
|
Krankenkassenbeitrag bezahlen? Kritiker:innen sehen den Datenschutz |
|
gefährdet. |
|
|
|
Passwörter und andere Widrigkeiten: Kreativ nur bei Schokoriegeln |
|
|
|
Passwörter gehören zu den alltäglichen Ärgernissen. Warum nur tun wir uns |
|
so schwer damit? Unsere Kolumnistin hat da eine Idee. |
|
|
|
Ethischer Hacker über Gesundheitskonten: „Wir hatten theoretisch Zugriff auf… |
|
|
|
Martin Tschirsich von Chaos Computer Club hält die neue elektronische |
|
Patientenakte nicht für sicher. Angreifer könnten gebrauchte Lesegeräte |
|
kaufen. |
|
|
|
Datensicherheit in deutschen Kliniken: Patientenakte unzureichend geschützt |
|
|
|
Beim Datenschutz in Kliniken besteht Nachholbedarf. Patientendaten könnten |
|
für immer verloren gehen und auch die Vertraulichkeit ist oftmals nicht |
|
gewährleistet. |
|
|
|
Daten-Schlamperei: Patientenakten im Sperrmüll |
|
|
|
Der Klinikkonzern Asklepios verklappt sensible Daten von Tausenden |
|
Patienten im Abfallcontainer. Der Datenschutzbeauftragte ist entsetzt - und |
|
machtlos. |
