Der Bundestag hat heute das „Gesetz zur Befugniserweiterung und Entbürokratisierung in der Pflege“ verabschiedet. Dabei hat das Plenum mehrheitlich auch einen Änderungsantrag der Fraktionen CDU/CSU und SPD angenommen, den der Gesundheitsausschuss gestern beschlossen hatte. Er enthält unter anderem zwei relevante Neuerungen bei der elektronischen Patientenakte.
Zum einen können künftig nur noch die Versicherten selbst ihre Abrechnungsdaten in der elektronischen Patientenakte (ePA) einsehen. Bisher war das standardmäßig auch für Behandelnde möglich. Zum anderen dürfen Krankenkassen wieder mit dem Video-Ident-Verfahren die Identität von Versicherten bestätigen. Damit will Schwarz-Rot die Hürden bei den Versicherten senken, ihre ePA zu aktivieren.
Beide Änderungen stellen teilweise einen früheren Status wieder her. Das Echo darüber fällt geteilt aus. Während Verbraucherschützer:innen die eine Rolle rückwärts in Teilen begrüßen, kritisieren Sicherheitsfachleute die andere als risikoreich.
Zurück zu etwas mehr Selbstbestimmung
Dass Behandelnde in der ePA bislang standardmäßig auf die Abrechnungsdaten der Versicherten zugreifen konnten, hatten Verbraucherschützer:innen mit Nachdruck kritisiert.
Die Daten stammen von den Krankenkassen und fließen automatisch in die ePA ein. Aus ihnen gehen – ebenso wie aus der Medikationsliste mit den verordneten Medikamenten – sensible Diagnosen hervor. Das erschwert es Versicherten, Befunde vor den Blicken einzelner Behandelnder zu verbergen.
„Wir wollen, dass die Abrechnungsdaten künftig auch ausschließlich für die Versicherten selbst in der ePA sichtbar sind, nicht für die Leistungserbringenden“, sagt Simone Borchardt, gesundheitspolitische Sprecherin der CDU/CSU-Bundestagsfraktion, auf Anfrage von netzpolitik.org. „Damit stellen wir sicher, dass keine Informationen über Abrechnungsdetails, etwa zu Diagnosen oder Leistungsumfängen, ohne ausdrückliche Zustimmung des Patienten für Dritte zugänglich sind.“ So wolle man das Vertrauen der Versicherten in die digitale Infrastruktur des Gesundheitswesens stärken, sagt Borchardt.
Zuspruch und Forderungen nach mehr
Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, hatte die Optionen hier deutlich eingeschränkt. Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen erfahren. Die nun beschlossene Gesetzesänderung verfeinert das sogenannte Beschwerdemanagement für Versicherte wieder ein wenig.
Lucas Auer, Gesundheitsexperte im Verbraucherzentrale Bundesverband, begrüßt das. „Die Abrechnungsdaten drohen ungewollt Aufschluss über sensible Diagnosen zu geben. Zugleich ist ihre Aussagekraft für zukünftige Behandlungsbedarfe stark limitiert“, so Auer gegenüber netzpolitik.org. „Die enthaltenen Informationen sind häufig fehlerbehaftet, veraltet oder beruhen auf versehentlicher oder beabsichtigter falscher Kodierung.“
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Auch Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, wertet die Gesetzesänderung als Fortschritt. Nachholbedarf sieht er aber weiterhin etwa bei der Medikationsliste: „Aus verordneten Medikamenten lässt sich ebenfalls auf sensible Diagnosen schließen, etwa eine HIV-Infektion oder psychische Erkrankungen“, sagt Hofmann. „Die Medikationsliste generiert sich automatisch aus E-Rezepten und ist im Standard für alle sichtbar in der ePA eingestellt.“ Auch dafür könne man gemeinsam bessere Lösungen finden, ohne dass die Liste an Nutzen einbüße.
Als rein kosmetisch wertet Anne-Mieke Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, die Änderungen. Aus ihrer Sicht wird das ausgegebene Ziel der Datenhoheit für Versicherte weiterhin verfehlt. „Patient:innensouveränität erfordert, dass Versicherte über sämtliche Daten frei entscheiden, deren Freigabe aktiv steuern und deren Speicherung gegebenenfalls ablehnen oder löschen können“, sagt Bremer. Der Fokus auf die Sichtbarkeit verschleiere, dass eine feingranulare Steuerungsmöglichkeit der Versicherten über alle in der ePA gespeicherten Daten weiterhin fehle.
Video-Ident kehrt zurück
Die Wiederzulassung des Video-Ident-Verfahrens ist ebenfalls eine Rolle rückwärts, wird von Sicherheitsfachleuten allerdings skeptisch gesehen. Video-Ident ist ein Online-Verfahren zur Identitätsprüfung, bei dem eine Person ihre Identität per Video-Chat mithilfe eines Ausweises von einer geschulten Person prüfen lässt.
Bereits im August hatte die Gematik das Video-Ident-Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect zugelassen. Aus sicherheitstechnischer Sicht darf es somit für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die elektronische Gesundheitskarte (eGK) genutzt werden. Mit der Karte lassen sich dann eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.
Bislang mussten sich Versicherte, wenn sie die eigene ePA aktivieren wollten, digital mit der eGK oder die Online-Ausweisfunktion des Personalausweises ausweisen – inklusive PIN-Abfrage. Nun können sie das wieder ohne PIN tun.
Vor drei Jahren hatte die Gematik Video-Ident-Verfahren für unzulässig erklärt, nachdem Sicherheitsforschende des Chaos Computer Clubs mehrere gängige Video-Ident-Verfahren überlistet hatten – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“. Offenkundig geht die Gematik davon aus, dass bestimmte Video-Ident-Verfahren für die damals aufgezeigten Schwachstellen nicht mehr anfällig sind.
ePA soll endlich bei den Versicherten ankommen
Das wieder zugelassene Verfahren soll helfen, die Zahl der Versicherten zu erhöhen, die die elektronische Patientenakte aktiv nutzen. Zwar haben rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch gerade einmal drei Prozent der Versicherten nutzen sie aktiv.
Unter anderem der Vorstandschef der Techniker Krankenkasse, Jens Baas, hatte dafür den aus seiner Sicht zu komplizierten Registrierungsprozess verantwortlich gemacht. Anfang August forderte er, die rechtlichen Rahmenbedingungen so anzupassen, dass dafür Video-Ident-Verfahren wieder möglich sind.
„Eine Art 1,5-Faktor-Authentifizierung“
Die Sicherheitsforscherin Bianca Kastl, die auch eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. Aus ihrer Sicht handele es sich dabei um eine Art 1,5-Faktor-Authentifizierung. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, bei der zwei unterschiedliche und voneinander unabhängige Komponenten geprüft werden.
Bei Video-Ident-Verfahren seien weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt Kastl. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“
Die Linken-Abgeordnete Anne-Mieke Bremer sieht die Entscheidung ebenfalls kritisch und befürchtet, dass sie Schule macht: „Es ist zu erwarten, dass diese risikoreichere Option zum Standard erhoben und als ‚Willen der Versicherten‘ deklariert wird“, sagt Bremer. „Statt erneut risikoreiche Verfahren zuzulassen und die Verantwortung auf unzureichend informierte Versicherte abzuwälzen, braucht es eine Strategie, die Datensicherheit, Transparenz und Mitbestimmung konsequent in den Mittelpunkt stellt.“
Es gibt eine sichere Alternative: der PIN-Rücksetzbrief
Eine sichere Alternative zum Video-Ident-Verfahren gibt es bereits. Um diese zu nutzen, bräuchte es nur eine weiteren Rolle rückwärts – indem die Bundesregierung den „PIN-Rücksetz- und Aktivierungsdienst per Pin-Brief“ reaktiviert.
Bis Anfang 2024 konnten Bürger:innen mit diesem Dienst einen Code auf dem Postweg bestellen. Mit dessen Hilfe konnten sie dann die Onlinefunktion ihres Personalausweises nachträglich aktivieren oder eine vergessene PIN erneuern.
Im Dezember 2023 verkündete die Ampel-Regierung jedoch überraschend das Aus für den Dienst. Als Grund gab sie „unkalkulierbare Kosten“ in zweistelliger Millionenhöhe an. Außerdem sei ein wesentlicher Teil der versandten PINs nicht eingesetzt worden.
Diese Gründe sollten zurückstehen, wenn es um die Sicherheit der sensiblen Gesundheitsdaten von Millionen Versicherten geht. Und obendrein ist der PIN-Rücksetzbrief inzwischen noch attraktiver als vor zwei Jahren. Denn er könnte nun nicht nur beim ePerso und der ePA zum Einsatz kommen, sondern bald auch für die EUDI-Wallet.
Problem Personalausweis:
Das Vorhandensein eines Personalausweises wird rückläufig sein, da er immer teurer (Stichwort Fotoautomaten) und in weniger Ländern Europas (bspw. England) anerkannt wird – und wer einen Reisepass besitzt, benötigt keinen Perso. Die Online-Funktion fehlt im Reisepass und somit würde eine Authentifizierung für die Krankenkasse scheitern.
Lösungsvorschlag: Die Kassen verschicken einen „Aktivierungscode“ per Briefpost – analog zu den Banken.
ich finde es sehr dienlich in die Abrechnung des Arztes mit der Krankenkasse schauen zu können… Privatversicherte haben schon immer durch die Rechnungslegung des Arztes Einblick. Da ist Tür und Tor für Abrechnungsbetrug offen gewesen. Patienten berichteten, dass Krankheiten, die nicht vorhanden waren, abgerechnet wurden.
Es können keine Krankheiten abgerechnet werden. Das ist totaler Unsinn. Die Vergütung der Ärzte erfolgt pauschaliert. Es ist unerheblich, ob jemand eine oder 10 Diagnosen hat. Die Vergütung ist identisch. Bei chronischen Erkrankungen wie Diabetes kann der Arzt noch eine Chroniker-Pauschale geltend machen, da diese Patienten häufigere Visiten oder Leistungen benötigen. Die Verschlüsselung von Diagnosen erfolgt ausschließlich zur Begründung für Medikamenten-Verordnungen, da ohne Diagnose keine Medikamente verordnet werden dürfen und der Arzt/die Ärztin Gefahr laufen regressiert zu werden, also eine Medikamenten- oder Heilmittelverordung (z.B. Physiotherapie) rückwirkend aus eigener Tasche zu bezahlen. Das interessiert die Patienten natürlich nicht, den Arzt/die Ärztin schon.
Ich halte die derzeitige Art der Rechnungsmitteilung für die Patienten ohne Erklärungshinweise für äußerst fragwürdig, da hinter vielen Ziffern nur Patientenmarkierungen für die Krankenkassen stecken und keine Geldleistungen. Bei Privat Versicherten ist die Rechnungslegung eindeutig nachvollziehbar in der Rechnung beschrieben.
Ausserdem erfährt der GKV Patient nichts über Kosten, die bei Krankenkassen für die Verwaltung im Abrechnungszeitraum entstehen, geschweige denn über Einsparungen, die die Krankenkassen über Rabattverträge erzielen. Es muss auch erwähnt sein, dass die Krankenkassen massiv Geldströme über den sog. Risikostrukturausgleich zwischen den GKV Kassen rekrutieren über Krankheitsverschlüsselungen der Ärzte. Wenn denn die Transparenz gefördert werden soll, dann bitte auf allen Seiten, dass der Patient sich selbst ein realistisches Bild in der Gemengelage machen kann.
Dem Patienten müssen, wie überall, die Rechnungen zur Einsicht zur Verfügung stehen. Weshalb wird eine Berufsgruppe bevorzugt. Unkenntnis des Patienten ist absolut kein Argument! Wer glaubt grundsätzlich Unkenntnis anzunehmen.
Ich gehöre zu den 3%. Ich nutze die ePA regelmäßig. Was heißt hier Datenschutz. Wenn es um Datenschutz geht sollte man eher FB,Insta und andere für Bedenklich halten. In der ePA entscheide ich wer wie viel sehen darf.
Die ePA speichert die vollständige Krankheitsgeschichte eines Menschen. Diese Daten, wie Diagnosen, Behandlungen und Medikationen, sind von existenzieller Bedeutung für die Beurteilung der körperlichen und geistigen Integrität. Sie sind weit sensibler als Posts oder „Likes“ in sozialen Netzwerken, die oft eher der „sozialen Masturbation“ dienen und deren Missbrauch typischerweise eher wirtschaftliche oder reputationsschädigende Folgen hat.
Im Gegensatz zu verstreuten Social-Media-Profilen schafft die ePA eine zentralisierte, mächtige Datenbank von Gesundheitsdaten der gesamten Bevölkerung (oder 85% davon).
Der Kern der Bedenken ist, dass eine zentrale, umfassende Datenbank über die Gesundheit einer Bevölkerung in den Händen eines repressiven oder diskriminierenden Staates ein mächtiges Instrument der Kontrolle wird. Sie ermöglicht es, Menschen aufgrund ihrer Krankheitsbilder (chronisch, psychisch, genetisch) zu identifizieren, zu stigmatisieren und ihnen Rechte oder Chancen zu verweigern. Das heutige Schutzkonzept (Sie entscheiden, wer sieht) kann durch einen Gesetzesbeschluss von morgen ausgehebelt werden.
Auch in kleineren Schritten kann die zentrale Datenerfassung schädlich sein. Krankenkassen könnten – legal oder illegal – Muster im Medikamentenverbrauch der Bevölkerung erkennen. Dies kann zur Rechtfertigung dafür dienen, bestimmte Medikamente teurer zu machen oder die Gesundheitsversorgung für bestimmte Gruppen negativ zu beeinflussen. Auch deren Zugriff ist nur durch Gesetze gebunden, die wie es scheint immer noch und wieder verhandelt werden.
Somit geht es bei dem Dialog der Sicherheit der Daten und wie die Hoheit technisch umgesetzt wird nur oberflächlich um das gleiche Thema wie bei Social-Media.
Falsch, Astroturf.
Wenn es um Datenschutz geht, wäre es irrational, die ePA auszuklammern.
Guter Artikel. Die Erstanmeldung ist aber nur ein Teil des Problems.
Über die Erstbestätigung der Identität hinaus sollte jeder einzelne Zugriff (Transaktion) auf die ePA mit 2FA geschützt sein. Das unterstützt doch heutzutage jede Bank für Absicherung von Girokonten. Warum nicht die ePA?
Transaktionsbasierte Freigabe würde das Transparenzproblem lösen.
Die Idee der elek. Patientenakte ist gut aber ich lese nur Meinungen von Parteimitgliedern oder wurden auch mal Äzte befragt, was sie mit einer Akte anfangen können, in der sowohl Gesundheitsdaten als auch Medikationsangaben fehlen. Ärzte sind an Schweigepflicht gebundene Vertrauenspersonen. Wenn jeder seinen Senf dazu geben will, wird das nie was…..
In Ungarn gibt es die schon lange, sämtliche Untersuchungsunterlagen und Medikationen sind einsehbar für den Patienten und Ärzteschaft. Der Patient selbst kann darin nicht rum pfuschen oder was ändern. Man kann damit Termine buchen und ebenso auch absagen. Die Akte ist für Mediziner gedacht damit überregional bei Bedarf behandelt werden kann und nicht als Bastelbogen. Angaben über Abrechnungen fehlen gänzlich, es gibt nur eine Krankenkasse und das ist gut so…..
Ich habe die App seit Anfang 2024.
Warum kann ich noch immer keine Daten, Blutdruck und Blutzucker, in der App Hochladen?
In der “ HerzFit “ App geht es ohne Schwierigkeiten
Ich hoffe, dass es nicht noch mehr so blauäugige Menschen gibt.
Wenn für mich als Behandler Daten fehlen, erhebe ich die für mein Gebiet relevanten Daten selbst. Das sollte übrigens immer so sein, dass man gründlich arbeitet.
interessant wird es, wenn ein Behandler auf Panikstörung oder Chronische Schmerzerkrankung stößt. Da könnte die Gefahr bestehen, dass ein vorhandener Myocardinfarkt mit Benzodiazepinen behandelt wird, weil angenommen wird, es handle sich nur um eine Panikattacke.
Oder eine Schmerzmedikation gegeben wird obwohl die Ursache für die Schmerzen nicht die bekannten Ursachen sind, sondern es sich um ein akutes Geschehen handelt.
Nein, so etwas ist sicher nicht die Regel. Aber Menschen machen Fehler – auch wir.
Wieso nicht gleich ein Fax versenden? Pin-Brief ist das dämlichste, was einem einfallen kann. Als ob jemand, der Video Ident überlistet bekommt, keinen Brief abfangen kann.
Ich war dieses Jahr zwei Monate mit meinem Sohn verreist und musste in der Zeit auf die ePA zugreifen, weil der Sohn sich den Fuß gebrochen hatte. Dummerweise hatte ich ein neues Handy dabei und die ePA musste neu aktiviert werden, wozu mir ein Pin-Brief gesandt wurde. Im Briefkasten 1000km entfernt hat der mir sehr viel gebracht.
Das ist der Tod der elektronischen Patientenakte.
Wir haben in unserer Hausarztpraxis im letzten Quartal angefangen, das Ding zu bespielen. Manche Krankenkassen hatten die ePA-Zugangsberechtigungen beschränkt, bei vielen Menschen konnten wir nicht darauf zugreifen. Diejenigen, die wir darauf angesprochen haben, waren völlig planlos und waren völlig überfordert damit, wußten nicht, was sie jetzt tun sollen.
Es wird dazu führen, dass 95% der Bevölkerung die ePA nicht nutzen, denn der Zugriff mit all den PINs ist viel zu kompliziert und die meisten interessiert es auch nicht.
Ein Rohrkrepierer.