Datenschützer über E-Patientenakte: „Alles andere als vertrauenswürdig“

Digitalisierung ist notwendig, sagt Thilo Weichert. Aber wer seine elektronische Patientenakte jetzt schon nutzt, ist noch Teil eines Experiments.

Eine Frau in weißem Kittel steht vor einem riesigen Regal mit Röntgenaufnahmen

Für diese Art der Patientenakten benötigt man kein Smartphone mit mobilem Internet Foto: Olaf Döring/mauritius images

taz: Herr Weichert, seit Januar müssen gesetzliche Krankenversicherungen Ihren Versicherten eine elektronische Patientenakte anbieten, in der zum Beispiel Befunde und Medikationspläne gespeichert werden sollen. Die Krankenkassen verschicken nun Infobriefe. Wenn ei­n:e Pa­ti­en­t:in einen bekommt und nicht weiß, wie sie oder er damit umgehen soll – was empfehlen Sie?

Thilo Weichert: Ich würde derzeit nicht raten, eine elektronische Patientenakte zu nutzen. Es gibt da einfach noch zu viele Probleme. Eines der größten: Patientinnen und Patienten können noch keinen differenzierten Zugriff auf die Daten erlauben.

Das heißt, da kann beispielsweise der Urologe sehen, was die Psychotherapeutin in die Akte gestellt hat?

Genau. Die Zugriffe differenziert einzuschränken und dem Urologen zum Beispiel nur die Dokumente von der Hausärztin zur Verfügung zu stellen, das soll erst ab dem kommenden Jahr möglich sein. Wenn man Lust hat, sich als Versuchskaninchen für dieses Projekt zur Verfügung zu stellen, dann kann man das aber natürlich gern tun. Denn in der jetzigen ersten Phase soll die elektronische Patientenakte ja erst einmal erprobt werden. Ich kann mir also vorstellen, dass es Leute gibt, die sagen: Ja, ich möchte dabei helfen, dass diese Anwendung besser wird. Immerhin: Wer eine elektronische Patientenakte anlegt, muss die Nutzung für jeden Arzt einzeln freischalten. Es ist also auch möglich, einzelne Mediziner vom Zugriff auszuschließen.

Sehe ich denn als Versicherte, was die sich angeschaut haben?

Das ist ein weiteres Problem. Dafür braucht man die App der jeweiligen Krankenkasse.

65, war elf Jahre Datenschutzbeauftragter von Schleswig Holstein und ist heute Vorstandsmitglied der Deutschen Vereinigung für Datenschutz.

Die stellen die Kassen ja auch schon bereit.

Ja, aber man braucht für die Nutzung natürlich ein ausreichend aktuelles Smartphone und einen mobilen Internetzugang. Das hat längst noch nicht jede und jeder. Für alle Menschen ohne Smartphone bräuchte es daher dringend Terminals, zum Beispiel bei den Krankenkassen oder in Apotheken, über die Menschen in Ruhe in ihre elektronische Patientenakte reinschauen können.

Ist denn das Smartphone grundsätzlich überhaupt ein gutes Zugangsgerät für die elektronische Patientenakte?

Optimal ist es sicher nicht. Ob die Kommunikation zwischen dem Smartphone und den Servern, auf denen die Akten liegen, in jedem Fall sicher ist, das wird sich erst zeigen. Ich kann mir vorstellen, dass da noch die ein oder andere Lücke bekannt werden wird.

Sicherheitslücken gibt es auch in den Betriebssystemen von vielen Android-Smartphones, die von den Herstellern etwa aus Altersgründen keine Sicherheitsupdates mehr bekommen. Was wäre da das Worst-Case-Szenario für Nutzer:innen?

Das Schlimmste, was einer Patientin oder einem Patienten da passieren könnte, wäre, dass die Daten, die er oder sie sich über das Smartphone in der Akte anschaut, an jemanden Unbefugtes gelangen, der das Smartphone gehackt hat. Das wäre nicht nur ziemlich unschön für einen selbst, da es bei Informationen über die eigene Gesundheit um hochsensible Daten geht. Es wäre auch eine Beeinträchtigung der Arzt-Patienten-Beziehung, die eigentlich vertraulich sein soll.

Was schätzen Sie, wann diese Phase beendet sein wird, in der die Versicherten noch das sind, was Sie als Versuchskaninchen bezeichnen?

Ich gehe davon aus, dass bis zum Ende dieses Jahres ausreichend Erfahrungen gesammelt sein werden und wo nötig nachgebessert wird, um dann eine unbeschwerte Nutzung der elektronischen Patientenakte zu ermöglichen.

Bei den Kongressen des Chaos Computer Clubs, des CCC, werden seit vielen Jahren immer wieder neue Lücken in der Telematik-Infrastruktur aufgedeckt, auf der auch die elektronische Patientenakte aufbaut. Auch beim gerade vergangenen Kongress passierte das wieder. Was läuft da in dem System?

Es gibt bei der Telematik-Infrastruktur eine Vielzahl von Problemen. Das fängt schon dabei an, dass die Infrastruktur nach heutigen Maßstäben uralt ist – sie wurde Mitte der 2000er Jahre geplant. Und das Gesundheitsministerium will jetzt immer mehr und mehr Funktionen und Komponenten hinzufügen, ohne dass eine gewisse Grundstabilität des Systems gewährleistet ist. So tauchen Probleme an allen Ecken und Enden auf. Zum Beispiel hatte der CCC gezeigt, dass sich die Geräte, die in den Arztpraxen die Versichertenkarten einlesen, ganz einfach beschaffen lassen. Auch ohne dass man selbst Arzt ist. Das hätte es Unbefugten ermöglicht, auf Gesundheitsdaten zuzugreifen. Zwar wurde hier mittlerweile nachgebessert. Aber solche Fälle stärken nicht gerade die Vertrauenswürdigkeit des Systems. Dann ist die IT in den Praxen häufig nicht so gut abgesichert, wie sie sein müsste. Und es werden immer wieder Sicherheitslücken in der Software bekannt. Und an all diesen Problemen wird dann herumgeflickt und gleichzeitig soll das Gesamtsystem laufen.

Sind das grundsätzliche Argumente gegen die Digitalisierung im Gesundheitssystem?

Nein, das nicht. Die Digitialisierung ist auch im Gesundheitssystem unbedingt notwendig. Nicht nur aus Gründen von Effektivität, etwa des Verhinderns von unnötigen Mehrfachuntersuchungen. Sie ist auch deshalb notwendig, weil sie ein riesiges Potenzial bietet, um die Qualität der Behandlung zu verbessern. Etwa weil die Ärztinnen und Ärzte schneller über die Behandlungsgeschichte eines Patienten im Bild sind. Oder weil Apothekerinnen und Apotheker besser darauf schauen können, ob von unterschiedlichen Ärzten verschriebene Medikamente nicht kombiniert werden sollten. Und grundsätzlich ist auch die Idee richtig, dass damit Daten für die Forschung generiert werden können.

Und das sagen Sie als Datenschützer?

Ich sage, dass die Idee richtig ist. Aber die Umsetzung ist derzeit von Gesundheitsminister Jens Spahn in einer Weise geregelt, die alles anderes als vertrauenswürdig ist.

Inwiefern?

Geplant ist, dass die Daten in einem zentralen Forschungsdatenzentrum gespeichert werden sollen. Von da sollen sie aber nicht nur der Forschung, sondern auch anderen zur Verfügung gestellt werden.

Das könnten etwa Pharmakonzerne sein?

Gemäß dem Gesetz nicht direkt, aber eventuell in Kooperation mit einem Universitätsinstitut. Auch Krankenkassen, Verbände und – was ich hoch problematisch finde – das Gesundheitsministerium selbst können im Forschungsdatenzentrum recherchieren. Und das halte ich für verfassungswidrig. Auch die Analyse dieser Daten, die unter anderem mittels künstlicher Intelligenz passieren soll, ist für die Betroffenen absolut intransparent geregelt. Was mit den Daten geschieht, ist total unklar und offen und damit auch missbrauchsanfällig. Hier muss dringend nachgebessert werden, und ich gehe davon aus, dass das Bundesverfassungsgericht dazu noch etwas sagen wird.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.