Kommentar: ePA und eGA – Über die intimsten Angelegenheiten der Bürger

Die Vorbereitungen für eine elektronische Patientenakte (ePA) und für eine vernetzte deutsche Gesundheitsdatei, die alle Bürger erfasst, laufen. Die Ausstattung der Vertragsarztpraxen mit einem Konnektor war und ist ein entscheidender Schritt zur Vernetzung der deutschen Gesundheitseinrichtungen; die damit vernetzten Einrichtungen können den Zugang von außen zu den eigenen Daten nicht mehr kontrollieren. Zunächst werden damit die Vertragsarztpraxen mit den Krankenkassen verbunden, Apotheken, Zahnarzt- und Psychotherapiepraxen sollen folgen, ebenso alle Krankenhäuser, alle Physiotherapie- und Gesundheitseinrichtungen, selbst Heilmittelerbringer sollen sich dem Netz anschließen. Erste Anwendung ist das sog. Versichertenstammdatenmanagement (VSDM). Dabei wird nach Erscheinen des Versicherten in der Arztpraxis seine Versichertenkarte (sog. eGesundheitskarte) zeitgleich mit der Krankenkasse abgeglichen. Anfang 2021 soll die ePA folgen, dann das eRezept, ein eMedikationsplan, der eArztbrief und eNotfalldaten.

 

Bedenken des Datenschutzes

Politiker, Krankenkassen und Entwickler versprechen ein hohes Sicherheitsniveau. Damit ist vor allem der Schutz von Gesundheitsdaten nach außen, vor sog. Hackern, gemeint. Er ist außerordentlich wichtig und mag durchaus auf hohem Niveau sein. Dass man aber diese geplante deutsche eGesundheitsdatenbank dann auch noch grenzüberschreitend, für das EU-Ausland, öffnen will, sollte allerdings größte Sorge bereiten. Der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber äußerte, bezogen auf die Einführung der ePA, erhebliche Bedenken. Er führt dabei als Beispiel den Zahnarzt an, der dann die Befunde des Psychiaters sehen könnte. „Ich kann und muss aber einschreiten, wenn bei Stellen, die meiner Aufsicht unterliegen, Datenverarbeitungsvorgänge gegen geltende Datenschutzvorschriften verstoßen.“ Er bezog sich auf die DSGVO und darauf, dass bei der geplanten Einführung der ePA im Januar 2021 die Bürger noch nicht festlegen können, welche Daten überhaupt in die E-Akte dürfen und welcher Arzt sie sehen darf. Das soll erst 2022 möglich sein. „Das zwinge Nutzer zu einem Alles oder Nichts.“ Kelber forderte als Voraussetzung für die ePA ein feingranuliertes Datenkontroll-System.

Das Bundesgesundheitsministerium wies seine Bedenken zurück. Datenschutz und Datensicherheit hätten bei der Ausgestaltung der ePA im Patientendatenschutzgesetz (PDSG) „von Beginn an eine herausragende Rolle gespielt“.

Bedenken der Ärzte

Die Bedenken des Bundesdatenschutzbeauftragten werden auch von vielen Ärzten geteilt. Ein diesbezügliches Urteil des BVerfG scheint weitgehend vergessen zu sein:   


Aus einem Urteil des Bundesverfassungsgerichts (Az. 2 BvR 1349/05 v. 06.06.2006):

„... Vielmehr verdient ganz allgemein der Wille des Einzelnen Achtung, so höchstpersönliche Dinge wie die Beurteilung seines Gesundheitszustandes durch einen Arzt vor fremden Einblick zu bewahren. Wer sich in ärztliche Behandlung begibt, muss und darf erwarten, dass alles, was der Arzt im Rahmen seiner Berufsausübung über seine gesundheitliche Verfassung erfährt, geheim bleibt und nicht zur Kenntnis Unberufener gelangt. Nur so kann zwischen Arzt und Patient jenes Vertrauen entstehen, das zu den Grundvoraussetzungen ärztlichen Wirkens zählt. Das allgemeine Persönlichkeitsrecht schützt daher grundsätzlich vor der Erhebung und Weitergabe von Befunden über den Gesundheitszustand, die seelische Verfassung und den Charakter. ...“


Unberufen, d.h. unberechtigt, sind auch alle Ärzte, die an der Behandlung nicht beteiligt sind. Juristen sprechen bei den unberechtigt Zugreifenden (auch in Betrieben, Verwaltungen, Behörden) von „Innentätern“. Ärzte sprechen von ihrer Schweigepflicht. Um diesen Schutz vor Innentätern geht es dem Datenschutzbeauftragten wie auch den Ärzten. Unberufen, d.h. unberechtigt, sind auch die Mitarbeiter unbeteiligter Ärzte. Die Realität des Datenschutzes im Gesundheitswesen ist kompliziert: Wir Ärzte verbringen unseren Arbeitstag, auch viele Nächte, in unseren Sprechzimmern, in den Rettungsstellen, im Operations- oder Kreißsaal, am Röntgengerät, im Labor und an vielen anderen ärztlichen Arbeitsplätzen. Immer sind wir bei unserer Tätigkeit unverzichtbar auf die Hilfe vieler Mitarbeiter angewiesen, die dazu auch Zugang zu den Akten und Dateien haben müssen. Das wäre auch bei einer ePA unumgänglich.

Im Gesundheitswesen arbeiten ca. 5,2 Millionen Menschen. Man schätzt, dass bei einer zentralen deutschen eGesundheitsakte mindestens 2 Millionen der im Gesundheitswesen Tätigen eine Zugangsberechtigung bräuchten. Eine Datenbank, (auch ein Datenverbund), bei der (bei dem) 2 Millionen Menschen eine Zugangsberechtigung haben, ist vor Innentätern nicht mehr zu schützen.

Innentäter

Als Beispiel solcher Innentäter soll hier das Finanzamt Potsdam angeführt werden, bei dem 2013 jeder dritte der 361 Finanzbeamten unbefugt Steuerdaten, für deren Bearbeitung er nicht zuständig war, abgerufen hat. Eine nachfolgende Überprüfung aller Brandenburger Finanzämter zeigte damals, dass 20 bis 50(!)% der Bediensteten unbefugt auf Steuerdaten der Bürger (ihrer Kollegen? Vorgesetzten? Nachbarn? Politiker? Personen aus der Öffentlichkeit?) zugegriffen haben.

Mit der Zahl vernetzter Einrichtungen, mit der Größe einer solchen Datenbank, steigt auch die Zahl der Zugriffsberechtigten. Und mit zunehmender Anzahl der Zugriffberechtigten steigt auch die Gefahr unberechtigter Einsichtnahme (und auch, noch brisanter (!), die Gefahr von Manipulation der Eintragungen) durch Innentäter. Bei diesem deutschen Telematikinfrastruktur(TI)-Projekt ist die Gefahr des Einblicks, des Zugriffs und der Manipulation, des Missbrauchs durch Innentäter, durch eigentlich Zugangsberechtigte, auf Daten, ohne dass für sie dazu eine berufliche Notwendigkeit besteht, bisher weitgehend unberücksichtigt geblieben.

Medizinische Daten

Ärztliche Schweigepflicht ist die Voraussetzung dafür, dass Menschen ärztliche Hilfe in Anspruch nehmen. Außenstehenden, an der Behandlung nicht Beteiligten, über eine Vernetzung Einblick in die Angelegenheiten seiner Patienten zu ermöglichen, ist mit ärztlicher Schweigepflicht unvereinbar. Das gilt schon für die Anwesenheit von Patienten in der Arztpraxis. Und das gilt auch für den Einblick Unberechtigter in Patienten-Daten ohne Wissen und Einverständnis der Betroffenen. Das gilt auch für die Herausgabe von Patienten-Daten; gemeint ist damit das geplante Hochladen von Diagnose- und Behandlungsdaten in eine ePA.  

Alle Lebensumstände, die der behandelnde Arzt erfährt, müssen vertraulich bleiben. Dabei gibt es aber auch solche mit Inanspruchnahme des Gesundheitswesens, für die es in unserem Leben eine historisch begründete und unveränderte Tabuisierung gibt, bei denen die unbefugte Offenbarung zu besonders schweren, oft lebenslangen Nachteilen für den Betroffenen führen könnte, bei denen das Wissen Fremder, auch das Wissen unbeteiligter und auch nachbehandelnder Ärzte und ihrer Mitarbeiter, deshalb in die Einzelfallentscheidung eines jeden betroffenen Bürgers gehört. Beispiele aus der ärztlichen Praxis (s. Tab. 1, 2 und 3) sollen die Brisanz der Angelegenheit verdeutlichen; es geht um die intimsten Angelegenheiten der Menschen. 

Tab. 1: Lebensumstände und Erkrankungen von Frauen mit besonderem Geheimhaltungsinteresse

Adoption

Beschneidung

Brust-Amputation, -Rekonstruktion und -Implantation

Hymenal-Rekonstruktion

Jungfräulichkeit

Kinderwunschbehandlung

Kolpitis (Scheidenentzündung) u.a. gynäkologische Krankheiten

Kontrazeption

Promiskuität und Prostitution

Schwangerschaft, einschließlich Abort, -Abbruch und Geburt

Vergewaltigung

Die Tabellen erheben keinen Anspruch auf Vollständigkeit.

 

Tab. 2: Lebensumstände und Erkrankungen von Männern mit besonderem Geheimhaltungsinteresse

Erektile Dysfunktion (Impotenz)

Hodenhochstand

Phimose (Vorhautverengung)

Sterilität (Unfruchtbarkeit)

Die Tabellen erheben keinen Anspruch auf Vollständigkeit.
 

Tab. 3: Lebensumstände und Erkrankungen von Menschen beiderlei Geschlechts mit besonderem Geheimhaltungsinteresse

Alkohol-, Drogen- und andere Sucht-Erkrankungen

Begutachtungen: Berufstauglichkeit, Erwerbsunfähigkeit, Haftfähigkeit, psychiatrische, Zeugungs-, Zurechnungs- und Testierfähigkeit, Vaterschaft u.a. rechtsmedizinische, Bildungs-Schwäche

Ehe- und Sexualberatung

Entziehungskur

Erbkrankheit, genetische Muster

Erkrankung bei bzw. mit Gefährdung des Arbeitsplatzes, mit nur noch begrenzter Lebenserwartung

Geschlechtsumwandlung

Inkontinenz von Harn und Stuhl

Kosmetische Operation

Krebs-Erkrankung

Medikamenten-Abhängigkeit

Neurologische Erkrankung

Psychische Erkrankung, einschließlich Suizidversuch

Sexuelle Erkrankung, einschließlich sexuell übertragbarer Erkrankung

Sexuelle Orientierung

Sexueller Missbrauch

Sterilisation

Straftat: Behandlung und Begutachtung von Täter und Opfer

Die Tabellen erheben keinen Anspruch auf Vollständigkeit.

Darüber hinaus gibt es Befürchtungen, dass ePA und Gesundheitsdatei Begehrlichkeiten, auch  des Staates, wecken könnten. Befürchtungen, dass er sich über seine Gesetzgebungskompetenz Einblick in die medizinischen Daten der Bürger verschaffen könnte, bspw. zu Zwecken effektiver Planung, der Krankenversicherung, der Steuer, der Strafverfolgung oder gar der Disziplinierung seiner Bürger. 
 

Kontaktdaten

Beim Datenschutz in Zusammenhang mit der geplanten ePA geht es aber nicht nur um die medizinischen Daten der Bürger. Jeder Patient hinterlässt beim Arzt auch seine Kontaktdaten (techn.: administrative Daten oder Stammdaten) mit seiner Adresse und den Telefonnummern, inzwischen auch seine E-Mail-Adresse, auch sehr Persönliches, was für die Behandlung wichtig ist (z.B. zur Berufstätigkeit und zur Partnerschaft), oft auch die Kontaktdaten des nächsten Angehörigen. Auch diese Angaben unterliegen der ärztlichen Schweigepflicht, bei jedem Patienten.

Nun gibt es aber viele Menschen mit berechtigtem erhöhtem Interesse, ihre Kontaktdaten vor Unbefugten zu verbergen. Darunter sind solche, die für unseren Staat und für unsere Sicherheit verantwortlich sind, darunter auch viele, die in der Öffentlichkeit stehen und manche, die anderweitig gefährdet sind (s. Tab. 4).

Von der einzelnen Persönlichkeit ist gewöhnlich nicht bekannt, mit welcher Krankheit und bei welchem Arzt sie in Behandlung war bzw. ist. Auch haben innerhalb einer Arztpraxis nur wenige Personen Zugang zu den Daten und sind sich bewusst, dass eine Verletzung ihrer Schweigepflicht mit einer großen Entdeckungsgefahr verbunden ist. Im Krankenhaus ist die Zahl der Zugangsberechtigten schon größer, die Entdeckungsgefahr kleiner. Schon das VSDM birgt die Gefahr unberechtigten Einblicks durch Mitarbeiter der Krankenkassen in die Kontaktdaten; eine ePA und insbesondere eine eGesundheitsakte lassen befürchten, dass Unberechtigte nicht nur die medizinischen Daten sondern auch die administrativen Daten sehen. Jede einrichtungsübergreifende Vernetzung würde diese schon jetzt gefährdeten Menschen in noch größere, in unabsehbare Gefahren bringen.

Tab. 4: Besonders gefährdete Personen

Finanzbeamte

Führungskräfte
  - der Parteien und der großen Organisationen,
  - der Polizei und Bundeswehr,
  - der Wirtschaft.

Gesuchte Personen, bspw.
  - Kronzeugen
  - Bewohner von Frauenhäusern

Journalisten, insbesondere des Fernsehens

Justizvollzugsbeamte

Mitarbeiter
   - des Bundeskanzleramtes,
   - des Bundesnachrichtendienstes,
   - des Krisenstabs,
   - des Staatsschutzes,
   - anderer Sicherheitsdienste,
   - des Bundesgrenzschutzes.

Personen der Öffentlichkeit

Polizisten, insbesondere Kriminalbeamte

Regierungsmitglieder von Bund und Ländern,
    -Abgeordnete und deren engste Mitarbeiter.

Richter, auch ehrenamtliche Staatsanwälte, insbesondere der Generalstaatsanwaltschaft

Stalking-Opfer

Die Tabellen erheben keinen Anspruch auf Vollständigkeit.

Zugriffsbegrenzung

Verfechter von ePA und eGesundheitsdatei werden erwidern, dass später jeder Patient ganz individuell festlegen könne, wer, welcher Arzt, Zahnarzt, Psychotherapeut, Apotheker, welches Krankenhaus, welche Krankenkasse Zugriff auf welche seiner Daten bekommen soll (feingranuliertes Datenzugangs-System). Bei leichten Erkrankungen eines erfahrenen Informatikers mag das zutreffen. Nun stelle man sich aber einen schwer erkrankten oder auch älteren Menschen vor: Ihm gehen bei einer Erkrankung viele Dinge durch den Kopf, zu den Umständen und der Dauer seiner Behandlung, zur Familie, zu seinen Haustieren und Pflanzen, zur Arbeit, zu seinen Verpflichtungen, zu den Folgen seiner Krankheit und zu manchen Plänen. Da sind für ihn Überlegungen zum Datenschutz völlig abwegig – seine Gedanken kreisen vor allem darum, wie er möglichst schnell wieder gesund wird. Wer ernsthaft krank ist, kann auch nicht einschätzen, welche Ärzte, Kliniken, Gesundheitseinrichtungen und Heilhilfsberufler er später noch brauchen wird – selbst erfahrene Ärzte können manchen eigenen Krankheitsverlauf nicht vorhersehen – er kann nicht differenzieren, er kann keine Zugriffsbegrenzung auf seine ePA festlegen, er hat keine Wahl, er kann eine ihm abverlangte pauschale Ermächtigung nicht ablehnen. Darum lässt die Vorstellung, ein Kranker könne individuelle Ermächtigungen oder Ausschlüsse zum Zugriff auf seine Daten erteilen, die Umstände bei Krankheit und auch bei Notfällen völlig außeracht, ist einfach lebensfremd.

Datenmenge

Bei einer Datei über Arztkontakte, Krankheiten und Behandlungen von ca. 83 Millionen Bürgern, zu der etwa 2 Millionen eine Zugriffsberechtigung hätten, lässt sich ein unberechtigter Zugriff durch Innentäter nicht ausschließen. Will man von solchen Zugriffen abschrecken, Innentäter identifizieren und ihre Straftaten ahnden, braucht es ein, wie vom Bundesdatenschutzbeauftragten gefordertes, feingranuliertes Datenkontroll-System.

Nun wissen wir aber von jährlich etwa 2 Milliarden ambulanter Arztkontakte und von jährlich ca. 19,5 Millionen stationärer Behandlungsfälle (Stand 2017 bzw. 2018) in Deutschland. Hinzu kommen noch Millionen zahnärztlicher Behandlungsfälle sowie Behandlungen in sonstigen medizinischen Einrichtungen. Ein feingranuliertes, selbst ein grobgranuliertes Kontrollsystem über jeden Einblick und jeden Zugriff auf eine solche Anzahl von Behandlungen und Eintragungen dürfte schlichtweg unmöglich sein, ebenso die nachfolgende juristische Ahndung solcher Straftaten. Und auch die ethische Bewertung dürfte ein solches Überwachungssystem ausschließen.

Ohne angemessenen Datenschutz sind nach der DSGVO und vor allem nach dem Urteil des BVerfG vom 06.06.2006 (s.o.) eine vernetzte Patientenakte und eine deutsche Gesundheitsdatenbank grob rechtswidrig. Da sind die Bedenken des Bundesdatenschutzbeauftragten auch aus ärztlicher Sicht nachvollziehbar.

Aus ärztlicher Sicht erscheint dieser Datenschutz gegen Innentäter wegen der Zahl Zugriffsberechtigter und wegen des Umfangs der Daten auch langfristig schlicht unmöglich. Damit sind ePA und Gesundheitsdatei wohl auch dauerhaft rechtswidrig.

Datensparsamkeit und -Löschung

Bei der Einrichtung einer jeden Datenbank muss auch die Frage nach ihrer Größe gestellt werden, die natürlich mit der Zeit wächst. Und es muss bei Anwendungen, die über Jahrzehnte genutzt werden sollen, auch die Frage nach späterer Löschung von Daten beantwortet werden. Man stelle sich bitte eine ePA vor, die alle Arztkontakte, Beratungen, Befunde und Behandlungen eines Menschen über Jahrzehnte aufbewahrt, von seinem Geburtsbericht bis zur Leichenschau des verstorbenen Greises – eine solche Akte wäre weder sinnvoll noch rechentechnisch umsetzbar. Sie stieße vermutlich auch bei der Mehrheit der Bürger auf Ablehnung.

Zum Datenschutz gehört auch die Datensparsamkeit, dazu wiederum auch das Löschen von veralteten und/oder inzwischen irrelevanten Daten. Am zuverlässigsten – wir reden über Datenschutz – sind Daten geschützt, die (nach Ablauf der Aufbewahrungsfrist) unwiederbringlich gelöscht sind. Zur Aufbewahrung medizinischer Unterlagen gibt es eine Reihe von Rechtsvorschriften und Gepflogenheiten (s. Tab. 5). Üblicherweise sind („sonstige“) medizinische Unterlagen mindestens zehn Jahre aufzubewahren, nach Fristablauf dürften sie dann vernichtet, dürften auch entsprechende Daten gelöscht werden. Oft (z.B. nach Krebs-Erkrankung, nach Impfungen, bei fortdauernder Betreuung oder aus juristischen Gründen) ist aber eine längere Aufbewahrung medizinisch sinnvoll oder juristisch geboten; ein Algorithmus, der jedem Eintrag in einer medizinischen Datei gleich einen Termin zur Löschung anheftet, ist bei dem Umfang der Daten schlicht nicht machbar, eine pauschale Löschung nach Fristablauf würde wichtige Informationen vernichten.

Tab. 5: Aufbewahrungsvorschriften und -Gepflogenheiten (Auszug)

Art der Unterlagen

Aufbewahrungsfrist

Überweisungsformulare des Arztes für ambulante Behandlung   

1 Jahr

Durchschriften von Arbeitsunfähigkeitsbescheinigungen             

2 Jahre

Datenträger-Duplikate der ärztlichen Abrechnung                        

4 Jahre

Protokolle Strahlenüberwachung                                                  

5 Jahre

Sonstige medizinische Unterlagen                                               

10 Jahre

D-Arzt-Unterlagen                                                                       

15 Jahre

Unterlagen zur Strahlendiagnostik bei Kindern/Jugendlichen

bis zur Vollendung d. 28. Lebensjahres

Unterlagen nach Röntgen-/Strahlentherapie

30 Jahre

Krankenhausakten

30 Jahre

Unterlagen zur Anwendung von Blutprodukten                         

30 Jahre

Geburten-Verzeichnis der Kreißsäle                                           

30 Jahre?, 110 Jahre?, unbegrenzt?

Geburtenregister der Standesämter                                            

110 Jahre

Kirchliche Geburtenverzeichnisse                                             

seit mindestens 1792 vorhanden

Die Tabellen erheben keinen Anspruch auf Vollständigkeit.

Ethische Überlegungen

Wenn und insofern ePA und Gesundheitsdatei gegen Vorschriften zum Datenschutz und gegen andere Rechtsvorschriften verstoßen, wenn sie gar das Urteil des BVerfG ignorieren - wäre ein größerer wirtschaftlicher Nutzen, den man bei ihrer Anwendung verspricht, eventuell dennoch ausreichend, den Datenschutz zu ignorieren und die ärztliche Schweigepflicht zu gefährden oder zu lockern oder zu beenden? Aus ärztlicher, aus juristischer und auch aus ethischer Sicht ist die ärztliche Schweigepflicht ebenso wertvoll wie etwa die Verschwiegenheit des Notars oder wie das Beichtgeheimnis des Priesters. Kein wirtschaftlicher Nutzen würde es rechtfertigen, das Wissen des Notars oder des Priesters um die intimsten Angelegenheiten der Menschen zu digitalisieren und zu vernetzen, Außenstehenden Einblick zu verschaffen. Da wiegen mutmaßliche oder tatsächliche wirtschaftliche Ersparnisse von ePA oder Gesundheitsdatei ihre Rechtswidrigkeit, den Aufwand und die Gefahren für die Bürger nicht auf. Mitunter ist es sinnvoll, nicht alles zu machen, was technisch möglich erscheint. Und immer zeichnet sich eine gute Medizin weniger durch einen immer schnelleren Austausch von Befunden, vor allem jedoch durch Zuwendung und Vertrauen auf Vertraulichkeit aus.   

Zusammengefasst  

Zusammengefasst bringt die Vernetzung der deutschen medizinischen Einrichtungen miteinander und mit den Trägern der Krankenversicherung, bringen ePA und eine Gesundheitsdatei den Bürgern absehbar ungeahnte Probleme. Wir Ärzte sprechen von ärztlicher Schweigepflicht, Informatiker vom Datenschutz, Juristen vom Schutz fremder Geheimnisse; immer ist letztlich dasselbe gemeint: Diese Anwendungen wären die Organisation unberechtigter Einblicke in die intimsten Angelegenheiten
der Bürger, mit Datenschutz völlig unvereinbar. Eine solche Offenbarung intimster Angelegenheiten würde gegen das Persönlichkeitsrecht der Bürger verstoßen - ein höchstrichterliches Urteil dazu ist schon gesprochen - wäre ein krasser Verstoß gegen grundsätzliche Vorschriften zum Datenschutz, sie wäre nicht nur ethisch unverantwortlich, sie würde die Betroffenen in ihrer Würde verletzen und wäre damit auch grundgesetzwidrig

1 (2020, 16. September). Die E-Patientenakte kommt – mit Datenschutz-Warnung. ZEIT ONLINE. www.zeit.de/news/2020-09/16/der-e-patientenakte-drohen-datenschutz-warnungen 

Dr. med. Klaus Günterberg
Niedergelassener Facharzt für Frauenheilkunde. Er befasst sich seit 1980 mit der Anwendung der Informatik in Gynäkologie und Geburts­hilfe und dem Datenschutz im Gesundheitswesen.
klaus-guenterberg(at)gmx(dot)de

► Mit Verfassernamen gekennzeichnete Beiträge geben nicht unbedingt die Meinung der Redaktion wieder. Bitte diskutieren Sie diesen Beitrag gerne, indem Sie uns Ihre Meinung zur ePA, zum persönlichen Datenschutz oder zu alternativen Lösungen dahin­gehend mitteilen unter info@wpv-verlag.de.

Interessiert an neuen Fortbildungen oder Abrechnungstipps?

Abonnieren Sie unseren Infoletter.
 

Zur Infoletter-Anmeldung

x
Newsletter-Anmeldung