1.Was sind die größten Schwierigkeiten, die auf dem Weg zu den elektronischen Gesundheitsakten (eGa) bzw. zur elektronischen Patientenakte (ePa) noch überwunden werden müssen?

Martin Tschirsich: Eine der großen Herausforderungen der eAkte stellt der Umgang mit dem Thema Datensicherheit dar. Sechs von zehn Deutschen sehen hier sowohl die Gefahr des gläsernen Bürgers als auch das Potenzial des Missbrauchs durch Kriminelle. Das gilt in noch stärkerem Maße für Mediziner, ohne deren Unterstützung elektronische Gesundheitsakten bislang nur wenig Nutzen bieten.

Angesichts der zuletzt auf dem 35. Chaos Communication Congress offengelegten massiven Sicherheitsmängeln vieler Gesundheits-Apps sind diese Sorgen berechtigt. Dass Datensicherheit Voraussetzung für die Akzeptanz von eGesundheitsakten ist, hat man in der Industrie zwar verstanden. Doch angesichts der vielen bekannt werdenden Datenlecks – allein in den USA kommen im Jahr rund 30 Millionen Patienteninformationen ­­abhanden – scheint man hier keine Lösung bieten zu können oder zu wollen.

Der Bundesverband der Gesundheits-IT hat zuletzt der Gematik – die für die Spezifikation der kommenden elektronischen Patientenakte verantwortlich zeichnet – sogar vorgeworfen, durch überzogene Sicherheitsanforderungen „jeglichen Einsatz von Standardprodukten zu verhindern“. Dabei sollte eigentlich jedem klar sein, dem die schädlichen Folgen von großflächigen Gesundheitsdatenlecks bekannt sind, dass wir mit dem bisherigen Standard in Sicherheitsfragen gerade nicht weiterkommen.

Frank Dastych: Es fehlt zur Zeit einfach jeder gesellschaftliche Grundkonsens, wohin die Reise gehen soll. Trotzdem werden aber gleichzeitig Milliarden der Versorgung entzogen und faktisch nutzlos verbrannt! Die Kassen-Akten sind ein nettes, aber eigentlich nutzloses Gimmick zur Bespaßung der Patienten. Sie sind nicht wirklich mehr als der alte Schuhkarton, den viele Patienten haben, nur in elektronischer Form. Die ePatientenakte wird vielleicht in 10 oder 15 Jahren geeignet sein, Behandlungsprozesse zu optimieren. Mit dem Medikationsplan und den Notfalldaten ist die Akte noch nicht mal ansatzweise in der Lage zu leisten, was z.B. die ELGA in Österreich kann. Und selbst dort geht der Mehrwert für Ärzte und Krankenhäuser aktuell gegen Null.

Es fehlt der Mut, einen richtigen Schritt nach vorne zu gehen. Dazu würde dann aber auch der Mut gehören, dem Patienten zu sagen: Ja, Deine Daten gehören Dir. Aber das Gesundheitswesen hat auch einen Anspruch auf diese Daten, schließlich willst ja auch Du so gut wie möglich behandelt werden. Dafür stellst Du also bitte Deine Daten für medizinische Erfordernisse vollumfänglich zur Verfügung.

Alles andere soll, kann und muss der Patient aber selbst entscheiden. Dafür müsste dann aber auch den Krankenkassen jedwede Bonifikation per Strafe verboten werden, damit die Wahlfreiheit nicht beeinflusst wird.

2.Was bedeutet „Eine absolute Sicherheit lässt sich nicht gewähr­leis­ten“ und welche Konsequenzen müssen daraus gezogen werden?

Dastych: Im Zusammenhang mit elektronischen Gesundheits- und Patientenakten sprechen wir über vernetzte Lösungen, auf die über die Anzahl von Personen wie auch der Standorte multiple Zugriffe möglich sind. Damit ist eine solche Lösung prinzipiell mit mehr oder weniger großem oder auch kleinem Aufwand korrumpierbar.

Absolute Sicherheit gibt es nur offline, und selbst da ist man vor Einbruch und Datendiebstahl nicht geschützt. Es ist also immer ein Kompromiss zwischen Sicherheit, Datenschutz und Nutzbarkeit nötig. Das muss man den Menschen aber auch sagen. Und man muss ihnen gleichzeitig versichern können, immer – und damit auch zukünftig – alles zu tun, was möglich ist, um die für den Nutzzweck größtmögliche Sicherheit zu gewährleisten.

Dazu gehört, dass man mit möglichen Datenlecks offensiv umgeht, sie müssen kommuniziert werden und es muss alles getan werden, um sie zu verhindern. Hier kann man sich am System „X-Road“ aus Estland orientieren.

Tschirsich: Jedes System ist nur so lange sicher, bis es das erste Mal geknackt wird. Auch die vielen zuletzt durch offengelegte Sicherheitsmängel in die Schlagzeilen geratenen Gesundheits-Apps boten durchweg „maximale Datensicherheit“ nach „höchsten Datensicherheitsstandards“ mit „geprüfter Datensicherheit“. Geholfen hat es nicht.

Den Schaden trägt der Verbraucher, der angesichts dieser leeren Versprechen kaum eine Möglichkeit hat, sich für ein Produkt mit tatsächlich hohem Datensicherheitsniveau zu entscheiden. Daran ändert bislang auch eine Zertifizierung als Medizinprodukt nichts.

Offensichtlich müssen wir den Anbietern effektivere Anreize bieten, um in tatsächliche Datensicherheit zu investieren und diese auch transparent und ehrlich zu kommunizieren. Dazu gehört auch, sich schon heute Gedanken darüber zu machen, wie mit einem Gesundheitsdatenleck umzugehen ist und wie die Betroffenen möglichst schadlos gehalten werden können.

Ein solcher Anreiz kann sich aus einer Meldepflicht für Datensicherheitsvorfälle ergeben, ähnlich wie es das Medizinproduktegesetz bereits heute für Vorkommnisse vorsieht, welche die Patientensicherheit gefährden.

3.Was muss Ihrer Meinung nach passieren, um die Ärzte und Patienten zum Thema eGa und ePa ins Boot zu holen?

Dastych: Sind wir mal ehrlich: Ohne einen echten Nutzen für Behandlungs- und Verwaltungsprozesse macht das Ganze für einen Arzt keinen Sinn. Alternativ könnte man höchstens noch finanzielle Anreize setzen.

Und da Ärzte eine vollständige Akte brauchen, auf die sie bei berechtigtem Interesse im Sinne des Patienten zugreifen können müssen, brauchen wir eine Art Verpflichtung zum Upload von zuvor vereinbarten Dokumenten. Dann reden wir aber zwangsläufig von einer arztgeführten Akte. Für die braucht der Patient dann natürlich die vollumfänglichen Leserechte. Die Patienten mit der Verwaltung der eigenen Akte beauftragen – das funktioniert nicht. Und wir brauchen auch ein Entweder-oder: Entweder stellt der Patient die Akte vollständig zur Verfügung oder eben nicht.

Alles andere ist Murks. Die Patienten dagegen kommen von alleine ins Boot, wenn sie erkennen, dass sich ihre Behandlung verbessert. Boni wie z.B. günstigere Versicherungstarife bei Nutzern einer Akte sind abzulehnen, weil so der Eindruck entsteht, Patienten hätten finanzielle Vorteile, wenn sie ihre Daten offenlegen. Ich vertrete die Position, dass wir eine Verpflichtung einführen sollten mit einer Widerspruchslösung. Damit hätten wir die klaren Verhältnisse, die wir benötigen.

Tschirsich: Für mich als potenzieller Nutzer einer elektronischen Gesundheitsakte muss bei nachgewiesenem Nutzen zunächst das tatsächliche Sicherheitsniveau der Akte erkennbar sein.

Wünschenswert wäre außerdem eine gesamtgesellschaftliche Technikfolgenabschätzung über die Risiken, die mit der Digitalisierung des Gesundheitswesens einhergehen, sodass wir diese besser bewerten und kontrollieren können. Ansonsten kann ich nur empfehlen, Patienten und Ärzte zu befragen und deren Sorgen ernst zu nehmen. Denn die sind – wie sich beim Blick auf die Datensicherheit herausgestellt hat – leider häufig berechtigt.