Die digitale Patientenakte: Rezept nur per App

Der Bundesrat hat ein Gesetz für die Digitalisierung im Gesundheitswesen beschlossen. Doch Verbraucher- und Patientenschützer sehen diverse Probleme.

Röntgenaufnahme eines Gebisses

Weshalb muss der Hautarzt wissen, was der Zahnarzt festgestellt hat Foto: Imago

Was Susanne Mauersberg am meisten ärgert, ist die Sache mit den Terminals. Solche Geräte, ähnlich wie Geld- oder Fahrkartenautomaten, waren eigentlich mal geplant. Überall in Deutschland hätten sie stehen sollen, in Apotheken oder Krankenhäusern, und jede und jeder ohne Smartphone hätte dort einsehen können, was an Gesundheitsdaten in der eigenen digitalen Patientenakte gespeichert ist. Auch Menschen ohne Smartphone hätten so Teil haben können am neuesten Schritt der Digitialisierung des Gesundheitssystems. Denn, so Mauersberg, Referentin für Gesundheit und Pflege beim Verbraucherzentrale Bundesverband (vzbv): „Dass Patienten die eigenen Daten anschauen können, ist ein wichtiger Schritt.“

Aber nichts da. Noch in den letzten parlamentarischen Lesungen des Patientendatenschutzgesetzes flogen die Terminals raus. Mauersberg findet das „sehr, sehr unglücklich“.

Das Patientendatenschutzgesetz ist eines der maßgeblichen Gesetzesvorhaben, mit denen Gesundheitsminister Jens Spahn (CDU) die Digitalisierung im Gesundheitswesen vorantreibt.

Am Freitag hat nun der Bundesrat das Gesetz beschlossen, obwohl Patienten- und Verbraucherschützer:innen etliche Probleme sehen. Denn das Gesetz wird den Umgang mit Gesundheitsdaten, das Arzt-Patienten-Verhältnis, ja selbst das Rezepteinlösen in der Apotheke grundlegend verändern.

Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im praktischen Wochenendabo. Und rund um die Uhr bei Facebook und Twitter.

Im Kern sind zwei große Änderungen geplant. Erstens: die elektronische Patientenakte (ePA). Man kann sich das vorstellen als digitalen Ordner, in dem von Befunden wie Röntgenbildern und Arztberichten über verordnete Medikamente bis zu Impfausweis und Mutterpass alles liegt, was behandelnde Ärzt:innen interessieren könnte. Auf freiwilliger Basis zwar, noch wird niemand gezwungen, die eigenen Gesundheitsdaten dort digital zu hinterlegen. Doch eine andere Freiwilligkeit gilt, zumindest für die Anfangszeit, nicht: Wer mitmacht, kann in der ersten Phase der ePA nicht entscheiden, welche:r Ärzt:in auf welches Dokument zugreifen darf – oder eben nicht.

Diese Differenzierung soll erst später möglich sein. Der Bundesdatenschutzbeauftragte Ulrich Kelber geht deshalb davon aus, dass das Gesetz in diesem Punkt nicht konform ist mit der Datenschutz-Grundverordnung. Schließlich muss die Physiotherapeutin nicht wissen, was der Urologe gefunden hat, und der wiederum braucht die Röntgenbilder der Zahnärztin nicht.

Die zweite große Änderung: das Rezept per App. Im kommenden Jahr soll die App für das elektronische Rezept fertig sein, ab 2022 müssen verschreibungspflichtige Medikamente elektronisch verordnet werden. Wenn es nach Spahn und seinem Gesetz geht, ist der Standardweg dann: App auf dem Smartphone installieren, beim Arzt das Rezept in die App gesendet bekommen und damit das Medikament in der Apotheke abholen. Eine App also, in der eine Menge Gesundheitsdaten verarbeitet werden und die viele Menschen benutzen sollen – ein potenziell interessantes Ziel für An­greifer:innen.

Die App für das elektronische Rezept ist Open Source

Immerhin: Die App für das elektronische Rezept wird Open Source sein. Der Quellcode ist also offen einseh- und auf Sicherheitslücken überprüfbar. Bereits in der vergangenen Woche hat die Gematik – das ist die Gesellschaft, die unter anderem hinter der elektronischen Gesundheitskarte steht und die nun auch die Rezept-App erstellt, eine erste Version auf der Entwicklerplattform Github veröffentlicht.

Es stellen sich also drei zentrale Fragen. Erstens: Wie ist es mit der Teilhabe für alle Menschen ohne oder ohne aktuelles Smartphone? Oder für solche, die einfach nicht mit dem Telefon auf Gesundheitsdaten zugreifen wollen? Zweitens: Wie sicher ist das Ganze? Und drittens: Was passiert, wenn die Telematik-Infrastruktur, über die sowohl die ePA als auch das elektronische Rezept laufen, ausfällt?

„Man hat zum Beispiel bei der Corona-Warn-App gesehen, dass viele Leute keine aktuellen Smartphones haben“, sagt vzbv-Referentin Susanne Mauersberg. Das könnte überproportional die Menschen betreffen, die häufiger multiple gesundheitliche Probleme haben und daher eher von der elektronischen Patientenakte profitieren würden, etwa Ältere.

Beim digitalen Rezept ist die Lösung noch einfach: Für Menschen ohne Smartphone soll es laut Gesundheitsministerium einen Barcode auf Papier geben, mit dem man in die Apotheke gehen kann. Das verordnete Medikament stehe dabei und in der Apotheke wird, wie bei der App, der Barcode eingelesen und das Medikament ausgegeben.

Komplizierter wird es bei der elektronischen Patientenakte. Die Terminals, die vorgesehen waren, hätten auch Menschen ohne Smartphone die Teilhabe ermöglicht. Jetzt läuft es laut Mauersberg darauf hinaus: Wer die ePA nutzt, kann mal beim Arzt oder der Ärztin fragen, ob man in die digitalen Dokumente reinschauen kann. Ein unbefangenes Kontrollieren der eigenen Daten sieht anders aus. Als Alternative hat der Gesetzgeber eine Vertreterregelung vorgesehen, mit der beispielsweise Enkel die Akten der Großeltern verwalten könnten. „Problematisch“, sagt Mauersberg dazu. Schließlich könnten Gesundheitsdaten auch bei Familienstreitigkeiten brisant sein – etwa, wenn es um ein Erbe gehe.

Datensicherheit ist nicht gewährleistet

Dann der Punkt Datensicherheit. „Ich würde von einer Nutzung der elektronischen Patientenakte insgesamt abraten, insbesondere aber per Smartphone“, sagt Bernhard Scheffold, Vorsitzender des Vereins Patientenrechte und Datenschutz. Sind Sicherheitslücken im Smart­phone-Betriebssystem, was sogar bei gerade gekauften Geräten vorkommt, könnten sich Dritte unbefugt Zugriff verschaffen. Für Nut­zer:in­nen wäre das kaum zu erkennen und noch schwieriger nachzuweisen.

Und auch bei anders verursachten Datenpannen, etwa wenn sich ein Fehler in der Telematik-Infrastruktur befindet, sieht es schlecht aus für Nut­zer:in­nen. Denn das Gesetz nimmt das Unternehmen hinter der Infrastruktur, die Gematik, aus der Verantwortung. Stattdessen sollen die Ärzt:innen haften – gegebenenfalls für Fehler in einer IT, auf die sie keinen Einfluss haben.

Was das für Folgen haben könnte, lässt sich an einem aktuellen Beispiel sehen, und da kommen wir zum Punkt: Was passiert bei einem vollständigen oder teilweisen Ausfall der Infrastruktur? So einen gab es im Frühsommer etwa anderthalb Monate lang. Patient:innen dürfte das noch nicht großartig aufgefallen sein, weil momentan nur die Stammdaten, etwa Adressen, über das System abgeglichen werden. Anders sähe es aus, wenn etwa eine Ärztin dringende Befunde nicht einsehen könnte oder ein Patient ein Rezept nicht einlösen kann. „Je mehr über das System abgewickelt wird, desto schlimmer wird ein Ausfall“, sagt Scheffold. Und desto wahrscheinlicher. Denn mit der Komplexität steige immer auch die Anfälligkeit für Fehler.

Das Bundesgesundheitsministerium weist auf Anfrage die Kritikpunkte zurück. Bei einem Ausfall des Systems könne man immer noch auf die alten Strukturen zurückgreifen – ein Rezept gebe es dann halt wieder auf rosafarbenem Papier. Auch die Ansicht des Bundesdatenschutzbeauftragten, dass ein Teil des Gesetzes der Datenschutz-Grundverordnung widerspreche, teile man nicht. Schließlich sei die elektronische Patientenakte freiwillig. Und was das Problem sensibler Gesundheitsdaten auf sicherheitslöchrigen Smartphones angeht, teilt das Ministerium mit: Die Sicherheit der Geräte liege „in der Verantwortung der jeweiligen Versicherten“.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.