Digitalisierung des Gesundheitswesens ePA: „Kaum Grund zum Feiern“

Von Timothy Becker

In seinem Gastbeitrag anlässlich des einjährigen Jubiläums der elektronischen Patientenakte legt Timothy Becker den Finger in die Wunde. Nach seiner Meinung wird der Plan, immer mehr Anwendungen auf einer einzelnen Infrastruktur zu implementieren und deren Konzeption sowie praktische Ausgestaltung gleichzeitig auf möglichst viele Schultern zu verteilen, nicht aufgehen. Was ­Führungskräfte und Entwickler gleichermaßen bräuchten, sei ein besseres Verständnis für Dezentralisierung.

Anbieter zum Thema

Für Timothy Becker steht das Vorgehen der gematik sinnbildlich für ein behördlich getriebenes Entwicklungsprojekt
Für Timothy Becker steht das Vorgehen der gematik sinnbildlich für ein behördlich getriebenes Entwicklungsprojekt
(© VectorMine - stock.adobe.com)

Seit rund einem Jahr gibt es sie nun: die elektronische Patientenakte (ePA). Was hier genau genommen 15 Jahre lang konzipiert und aufgebaut wurde, ging am 1. Januar 2021 in die offizielle Freigabe. Doch damit war nicht etwa die breite Nutzung durch die Bundesbürger gemeint, sondern vielmehr der Startschuss für eine ausgiebige Test- und Einführungsphase.

Die Idee: Rund 200 ausgewählte Arztpraxen und Krankenhäuser sollten die Lösung in beschränktem Umfang im ersten Quartal ­testen, bevor es im zweiten Quartal zum Rollout und im dritten und vierten Quartal zur „flächendeckenden Vernetzung“ kommen sollte. Man war sich schlichtweg nicht sicher, ob diese gewaltige ­Anwendung, die auf Basis der ­Telematikinfrastruktur (TI) medizinische Daten von Patienten digitalisieren und den Leistungserbringern sicher, schnell und bequem zur Verfügung stellen sollte, reibungslos funktioniert.

Nur ein „erweiterter USB-Stick“?

Doch das war nicht die einzige Sorge. Schnell entbrannte eine Debatte darüber, ob die ePA von den Nutzern überhaupt angenommen wird. Noch vor der Bundestagswahl im Herbst wurden angesichts einer desaströsen Adaptionsrate von gerade einmal 0,5 Prozent aller Versicherten Rufe nach einer Opt-Out-Regelung laut: Statt eines mehrstufigen Zustimmungsverfahrens, das die Nutzer eher abschreckt, sollen sie „zwangsweise“ mit einer ePA versorgt werden und die Möglichkeit erhalten, im Zweifelsfall aktiv zu widersprechen und sich so von der Digitalisierung des Gesundheitssystems zu entkoppeln.

Und auch die Kritik von außen ließ damals nicht lange auf sich warten: Datenschützer und Aktivisten, die sich für eine patientenorientiertere Ausgestaltung der Akte einsetzen, sprechen von einem „erweiterten USB-Stick“, den man tendenziell auch selbst zur Sprechstunde mitbringen könne.

Dieser Vergleich ist nicht unberechtigt, wenn man bedenkt, dass es für die initiale Registrierung notwendig ist, bei seiner Krankenkasse vorstellig zu werden, um sich den Zugriff auf eine Smartphone-App freischalten zu lassen – nur um dann eine Lösung in Händen zu halten, die weder den alltäglichen Aufwand reduziert noch dem Anspruch eines digitalisierten Gesundheitswesens auch nur ansatzweise gerecht zu werden.

Nach einer langgezogenen Architekturphase wurde unter den Annahmen, die man zehn Jahre zuvor über die technologische Infrastruktur getroffen hatte, mit einer Implementierung begonnen, die dann zwei Jahre vor dem Launch durch die Übernahme der Mehrheitsanteile durch den Bund unter Hochdruck vorangetrieben wurde

Sicherheitsprobleme statt Killerfeatures

Zwar ist es seit dem 1. Juli möglich, Arztbrief und Befunde oder Medikationspläne zu hinterlegen und seit diesem Jahr auch Mutterpässe, Zahnbonus- und Kinderuntersuchungshefte zu speichern. Ein genereller Impfpass kann ebenfalls hinterlegt werden, allerdings ist dieser nicht mit dem digitalen Nachweis für eine Covid-19-Impfung kompatibel. Doch das eigentliche „Killerfeature“ bleiben Dokumente, die Patienten selbst eintragen. Die Möglichkeiten der Akte sind somit noch sehr begrenzt.

Dennoch gab es auch positive ­Entwicklungen: So wurde etwa (in letzter Sekunde und auf Druck von Datenschützern) das Freigabe­konzept überarbeitet und eine Ende-zu-Ende-Verschlüsselung für Dokumente in der ePA eingeführt. Damit können Patienten nun Daten­ jeweils für bestimmte Leistungserbringer freigeben und diese auch vollständig aus der Akte entfernen. Gleichzeitig bleiben Sicherheitsprobleme der zugrundeliegenden Telematikinfrastruktur (TI) weiter­hin kaum absehbar.

Dass das hochproblematisch ist, hat der Log4Shell-Vorfall deutlich gemacht, wenngleich man diesen Vorwurf nicht nur der TI machen kann – schließlich ist der größte Teil der weltweiten serverbasierten Anwendungen von diesem Problem betroffen. Die Konsequenzen solcher Sicherheitslücken für von zentraler Stelle betriebenen Aktennetzwerken sind jedoch weitreichend.

Vor diesem Hintergrund ist auch die vor kurzem erfolgte Einführung eines öffentlich einsehbaren Monitorings zur Überwachung der aktuellen Verfügbarkeit von Diensten in der TI mindestens kritisch zu bewerten (siehe Seite 16). Das Tool zeigt zwar an, dass alle Dienste grundsätzlich verfügbar sind, ­deutet aber in keiner Weise darauf hin, dass die gematik vorsorglich Dienste präventiv vom Internet getrennt hat und die elektronische Patientenakte damit potenziell so lange offline bleibt, bis alle möglichen Dienstleister den Rollout ­ihrer Updates abgeschlossen haben, was im Falle von Log4Shell Monate dauern kann.

IT-Architekturen neu ­denken

Das Vorgehen der gematik steht als Sinnbild für ein behördlich getriebenes Entwicklungsprojekt. Nach einer langgezogenen Architekturphase wurde unter den Annahmen, die man zehn Jahre zuvor über die technologische Infrastruktur getroffen hatte, mit einer Implementierung begonnen, die dann zwei Jahre vor dem Launch durch die Übernahme der Mehrheitsanteile durch den Bund unter Hochdruck vorangetrieben wurde. Das TI-2.0-Whitepaper weist zum Glück in eine andere Richtung: Statt einer monolithischen und von einem geschlossenen Konsortium betriebenen „Hochsicherheits-Cloud“ möchte man die Community, die sich mit digitalen medizinischen Dienstleistungen beschäftigt und sogenannte DiGAs (Apps auf Rezept) entwickelt, mit an den Tisch holen. Gemeinsam möchte man an einer für das gesamte Ökosystem wertvollen Lösung arbeiten. Immerhin taucht in dem Papier auch zweimal der Begriff „Open Source“ auf.

Was jedoch immer noch zu kurz kommt, ist eine ernsthafte Dis­kussion über die dezentrale Speicherung von Patientendaten und deren Verankerung auf einer Blockchain als revisionssicheres Datenregister. Damit ließe sich nicht nur die Datensicherheit drastisch erhöhen, es würde auch ein Plus an Datenhoheit für die Patienten bedeuten. Änderungen von Daten auf der Blockchain lassen sich nämlich nur vornehmen, wenn die Inhaber der Daten dem zustimmen. So kann gewährleistet werden, dass die relevanten Akteure im Gesundheitswesen (Teil-)Zugriff auf die Daten (etwa in der ePA) erhalten und die Patienten selbstbestimmt agieren.

Der Autor: Timothy Becker
Director of Technology Innovation des IT-Dienstleisters Turbine Kreuzberg

Bildquelle: Turbine Kreuzberg

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47989066)