E-Rezept, elektronische Patientenakte und mehr: eHealth-Gesetze beschlossen

Inhaltsverzeichnis

Der Bundesrat hat das Gesundheitsdatennutzungsgesetz und das Gesetz zur beschleunigten Digitalisierung im Gesundheitswesen (DigiG) beschlossen. Damit sollen alle Patienten – zunächst die gesetzlich Versicherten – automatisch ab 2025 eine elektronische Patientenakte angelegt bekommen. Wer sie nicht möchte, kann widersprechen. Mit dem Gesetz sollen aber auch andere Bereiche, etwa die Telemedizin und Anwendungen wie das E-Rezept oder der elektronische Arztbrief, verstärkt genutzt werden.

Um Zugriff auf die Patientenakte zu erhalten, ist weiterhin eine Authentifizierung bei der Krankenkasse erforderlich, was bei immer mehr Krankenkassen nicht nur persönlich, sondern online auch mithilfe des elektronischen Personalausweises möglich ist. In der elektronischen Patientenakte sollen von Geburt an alle Daten gebündelt werden und perspektivisch in einen europäischen Gesundheitsdatenraum fließen können. Kinder und Jugendliche sollen ebenfalls eine elektronische Patientenakte (ePA) erhalten. Widerspruch können die Eltern einlegen, ab 15 Jahren dürfen Jugendliche die ePA selbst nutzen.

Die gesetzlichen Krankenkassen sind seit 2021 verpflichtet, ihren Versicherten eine elektronische Patientenakte bereitzustellen. Bisher verfügen eine Million Versicherte über selbige, das ist den Verantwortlichen jedoch zu wenig. Das Ziel des Bundesgesundheitsministeriums ist, dass bis Ende 2025 ein Großteil der Versicherten – 80 Prozent – über eine ePA verfügen. Versicherte sollen weiterhin selbst festlegen können, welche Ärzte sie befüllen und Daten einsehen dürfen. Wer die App nicht selbst verwalten kann, soll Hilfe von der Krankenkasse erhalten. Ebenso sei eine Einsicht der Daten in Apotheken möglich.

Erst kürzlich hat die für die Digitalisierung des Gesundheitswesens zuständige Gematik die für die neue elektronische Patientenakte notwendigen Spezifikationen veröffentlicht. Die Spezifikationen für die Datenweitergabe an ein beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedeltes Forschungsdatenzentrum sind noch nicht final. Dort sollen künftig alle Daten, unter anderem aus den Krebsregistern und den Krankenkassen über die Telematikinfrastruktur – die für den sicheren Austausch von Gesundheitsdaten gedacht ist – zusammenfließen.

Unklar ist, wie das Sicherheitskonzept für die Speicherung der Gesundheitsdaten beim Forschungsdatenzentrum Gesundheit ausgestaltet sein wird. Datenschützer hatten die zentrale Datenspeicherung beim FDZ bereits im Vorfeld kritisiert. Aktuell liegen dort bereits die pseudonymisierten Daten von mehr als 70 Millionen gesetzlich Versicherten. Aktuell werden die Daten dem BfArM zufolge "mit dem Sicherheitskonzept der DaTraV Datenaufbereitungsstelle beim ehemaligen Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) nach BSI Grundschutz gelagert".

Noch gibt es kein finales Sicherheitskonzept, das soll in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für Datenschutz und Informationsfreiheit entwickelt werden. "Somit verhindern wir Sicherheitslücken, welche aus einer Abweichung von Sicherheitskonzept und der im Aufbau befindlichen IT-Struktur des FDZ resultieren könnten. Daher wird das abschließende Sicherheitskonzept erst feststehen, wenn der Aufbau des FDZ Gesundheit abgeschlossen ist", heißt es vom BfArM.

Gesundheitsdatennutzungsgesetz

Mit dem Gesundheitsdatennutzungsgesetz will Gesundheitsminister Karl Lauterbach die Forschung vorantreiben. Um Investitionen aus der Pharmaindustrie zurückzuholen, hat Lauterbach Ende 2023 auch ein Medizinforschungsgesetz angekündigt. Für die Daten in der elektronischen Patientenakte ist ebenfalls ein Opt-out geplant. Zunächst ist voreingestellt, dass Daten aus der elektronischen Patientenakte standardmäßig gespendet werden. Von Vertretern der Zivilgesellschaft wurde das Vorgehen unter anderem als entmündigend bezeichnet. Außerdem biete es Diskriminierungspotenzial.

Einer von vielen weiteren Kritikpunkten ist, dass künftig jeder einen Forschungsantrag für den Zugang zu Gesundheitsdaten stellen darf, entscheidend ist dabei lediglich, ob der Forschungszweck gemeinwohlorientiert ist. "Wenn Unternehmen Gesundheitsdaten mit kommerziellem Interesse für ihre Forschung verwenden, müssen Patient:innen, die ihre Daten dafür spenden, im Sinne des Gemeinwohls davon profitieren, etwa durch Einsicht in Vorhaben und Ergebnisse, Patentfreiheit und Open Access", hieß es in einem offenen Brief, den auch der CCC unterschrieben hat.

Dass die elektronische Patientenakte tatsächlich Anfang 2025 in der geplanten Opt-out-Variante zur Verfügung stehen wird, ist unwahrscheinlich. Erst kürzlich hatte der Bundesverband Gesundheits-IT (Bvitg) bemängelt, dass ihre Forderungen nach einer Volltextsuche und einem Virenscanner für die elektronische Patientenakte in den kürzlich verabschiedeten Spezifikationen nicht berücksichtigt wurden, wie das Handelsblatt berichtet.

Noch viel zu tun

Daraufhin versprach die Gematik, die Wünsche nach einer Volltextsuche zu berücksichtigen – angefangen mit der Suche über die Metadaten. Ein Virenscanner hingegen sei aus Sicht der Gematik nicht sinnvoll, es sollen lediglich strukturierte Daten und Dokumente im PDF/A-Format übermittelt werden können. Der fehlende Virenschutz in der ePA könne jedoch zum Problem werden, wenn Ärzte in der elektronischen Patientenakte ein fehlerhaftes Dokument entdecken, zitiert das Handelsblatt den Bvitg.

Dass die IT-Sicherheit im Gesundheitswesen dabei ernst genommen werden muss, wird nicht zuletzt aus den jüngsten Angriffen auf Krankenhäuser deutlich. Gleichzeitig weist das Bundesgesundheitsministerium mit 76 Prozent derzeit den größten Mangel an fehlenden Mitarbeitern in diesem Bereich auf. Gerade einmal drei Beschäftigte befassen sich mit IT-Sicherheit, vorgesehen sind eigentlich 11.

Ransomware-Angriffe auf Krankenhäuser

Ransomware-Angriffe können beispielsweise dafür sorgen, dass Notaufnahmen schließen müssen. Immer wieder erreichen uns Hinweise auf ungepatchte Systeme in der Krankenhaus-IT. Beispielsweise gelang es Cyberkriminellen, sich über eine Citrix-Schwachstelle Zugang zu IT eines Krankenhauses zu verschaffen. Künftig müssen zudem immer mehr Krankenhäuser über eine Anbindung an die Telematikinfrastruktur verfügen, etwa für das Online-Register zur Organspende, oder auch das Implantateregister.

(mack)