ePA: „Kaum Grund zum Feiern“

Digitalisierung des Gesundheitswesens ePA: „Kaum Grund zum Feiern“

10.02.2022 Von Timothy Becker

Anbieter zum Thema

In seinem Gastbeitrag anlässlich des einjährigen Jubiläums der elektronischen Patientenakte legt Timothy Becker den Finger in die Wunde. Nach seiner Meinung wird der Plan, immer mehr Anwendungen auf einer einzelnen Infrastruktur zu implementieren und deren Konzeption sowie praktische Ausgestaltung gleichzeitig auf möglichst viele Schultern zu verteilen, nicht aufgehen. Was Führungskräfte und Entwickler gleichermaßen bräuchten, sei ein besseres Verständnis für Dezentralisierung.

Für Timothy Becker steht das Vorgehen der gematik sinnbildlich für ein behördlich getriebenes Entwicklungsprojekt
(© VectorMine - stock.adobe.com)

Seit rund einem Jahr gibt es sie nun: die elektronische Patientenakte (ePA). Was hier genau genommen 15 Jahre lang konzipiert und aufgebaut wurde, ging am 1. Januar 2021 in die offizielle Freigabe. Doch damit war nicht etwa die breite Nutzung durch die Bundesbürger gemeint, sondern vielmehr der Startschuss für eine ausgiebige Test- und Einführungsphase.

Die Idee: Rund 200 ausgewählte Arztpraxen und Krankenhäuser sollten die Lösung in beschränktem Umfang im ersten Quartal testen, bevor es im zweiten Quartal zum Rollout und im dritten und vierten Quartal zur „flächendeckenden Vernetzung“ kommen sollte. Man war sich schlichtweg nicht sicher, ob diese gewaltige Anwendung, die auf Basis der Telematikinfrastruktur (TI) medizinische Daten von Patienten digitalisieren und den Leistungserbringern sicher, schnell und bequem zur Verfügung stellen sollte, reibungslos funktioniert.

Nur ein „erweiterter USB-Stick“?

Doch das war nicht die einzige Sorge. Schnell entbrannte eine Debatte darüber, ob die ePA von den Nutzern überhaupt angenommen wird. Noch vor der Bundestagswahl im Herbst wurden angesichts einer desaströsen Adaptionsrate von gerade einmal 0,5 Prozent aller Versicherten Rufe nach einer Opt-Out-Regelung laut: Statt eines mehrstufigen Zustimmungsverfahrens, das die Nutzer eher abschreckt, sollen sie „zwangsweise“ mit einer ePA versorgt werden und die Möglichkeit erhalten, im Zweifelsfall aktiv zu widersprechen und sich so von der Digitalisierung des Gesundheitssystems zu entkoppeln.

Und auch die Kritik von außen ließ damals nicht lange auf sich warten: Datenschützer und Aktivisten, die sich für eine patientenorientiertere Ausgestaltung der Akte einsetzen, sprechen von einem „erweiterten USB-Stick“, den man tendenziell auch selbst zur Sprechstunde mitbringen könne.

Dieser Vergleich ist nicht unberechtigt, wenn man bedenkt, dass es für die initiale Registrierung notwendig ist, bei seiner Krankenkasse vorstellig zu werden, um sich den Zugriff auf eine Smartphone-App freischalten zu lassen – nur um dann eine Lösung in Händen zu halten, die weder den alltäglichen Aufwand reduziert noch dem Anspruch eines digitalisierten Gesundheitswesens auch nur ansatzweise gerecht zu werden.

Nach einer langgezogenen Architekturphase wurde unter den Annahmen, die man zehn Jahre zuvor über die technologische Infrastruktur getroffen hatte, mit einer Implementierung begonnen, die dann zwei Jahre vor dem Launch durch die Übernahme der Mehrheitsanteile durch den Bund unter Hochdruck vorangetrieben wurde

Sicherheitsprobleme statt Killerfeatures

Zwar ist es seit dem 1. Juli möglich, Arztbrief und Befunde oder Medikationspläne zu hinterlegen und seit diesem Jahr auch Mutterpässe, Zahnbonus- und Kinderuntersuchungshefte zu speichern. Ein genereller Impfpass kann ebenfalls hinterlegt werden, allerdings ist dieser nicht mit dem digitalen Nachweis für eine Covid-19-Impfung kompatibel. Doch das eigentliche „Killerfeature“ bleiben Dokumente, die Patienten selbst eintragen. Die Möglichkeiten der Akte sind somit noch sehr begrenzt.

Dennoch gab es auch positive Entwicklungen: So wurde etwa (in letzter Sekunde und auf Druck von Datenschützern) das Freigabekonzept überarbeitet und eine Ende-zu-Ende-Verschlüsselung für Dokumente in der ePA eingeführt. Damit können Patienten nun Daten jeweils für bestimmte Leistungserbringer freigeben und diese auch vollständig aus der Akte entfernen. Gleichzeitig bleiben Sicherheitsprobleme der zugrundeliegenden Telematikinfrastruktur (TI) weiterhin kaum absehbar.

Dass das hochproblematisch ist, hat der Log4Shell-Vorfall deutlich gemacht, wenngleich man diesen Vorwurf nicht nur der TI machen kann – schließlich ist der größte Teil der weltweiten serverbasierten Anwendungen von diesem Problem betroffen. Die Konsequenzen solcher Sicherheitslücken für von zentraler Stelle betriebenen Aktennetzwerken sind jedoch weitreichend.

Vor diesem Hintergrund ist auch die vor kurzem erfolgte Einführung eines öffentlich einsehbaren Monitorings zur Überwachung der aktuellen Verfügbarkeit von Diensten in der TI mindestens kritisch zu bewerten (siehe Seite 16). Das Tool zeigt zwar an, dass alle Dienste grundsätzlich verfügbar sind, deutet aber in keiner Weise darauf hin, dass die gematik vorsorglich Dienste präventiv vom Internet getrennt hat und die elektronische Patientenakte damit potenziell so lange offline bleibt, bis alle möglichen Dienstleister den Rollout ihrer Updates abgeschlossen haben, was im Falle von Log4Shell Monate dauern kann.

IT-Architekturen neu denken

Das Vorgehen der gematik steht als Sinnbild für ein behördlich getriebenes Entwicklungsprojekt. Nach einer langgezogenen Architekturphase wurde unter den Annahmen, die man zehn Jahre zuvor über die technologische Infrastruktur getroffen hatte, mit einer Implementierung begonnen, die dann zwei Jahre vor dem Launch durch die Übernahme der Mehrheitsanteile durch den Bund unter Hochdruck vorangetrieben wurde. Das TI-2.0-Whitepaper weist zum Glück in eine andere Richtung: Statt einer monolithischen und von einem geschlossenen Konsortium betriebenen „Hochsicherheits-Cloud“ möchte man die Community, die sich mit digitalen medizinischen Dienstleistungen beschäftigt und sogenannte DiGAs (Apps auf Rezept) entwickelt, mit an den Tisch holen. Gemeinsam möchte man an einer für das gesamte Ökosystem wertvollen Lösung arbeiten. Immerhin taucht in dem Papier auch zweimal der Begriff „Open Source“ auf.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Was jedoch immer noch zu kurz kommt, ist eine ernsthafte Diskussion über die dezentrale Speicherung von Patientendaten und deren Verankerung auf einer Blockchain als revisionssicheres Datenregister. Damit ließe sich nicht nur die Datensicherheit drastisch erhöhen, es würde auch ein Plus an Datenhoheit für die Patienten bedeuten. Änderungen von Daten auf der Blockchain lassen sich nämlich nur vornehmen, wenn die Inhaber der Daten dem zustimmen. So kann gewährleistet werden, dass die relevanten Akteure im Gesundheitswesen (Teil-)Zugriff auf die Daten (etwa in der ePA) erhalten und die Patienten selbstbestimmt agieren.

Der Autor: Timothy Becker
Director of Technology Innovation des IT-Dienstleisters Turbine Kreuzberg