Deutschland ist bei der digitalen Speicherung von Patientendaten keine Vorreiterin: Seit 16 Jahren werkelt der Staat daran herum. Nun drückt Gesundheitsminister Jens Spahn, CDU, auf die Tube und hat die Einführung der elektronischen Patientenakte (ePA) zur Chefsache erklärt. "Warten wir so lange, bis wir es perfekt haben, dann warten wir vielleicht noch zehn Jahre", sagte er Ende vergangenen Jahres. Das Projekt dürfe nicht zum "Berliner Flughafen des Gesund-heitswesens" werden.

Ab Anfang 2021 soll nun jede und jeder eine ePA bei der eigenen Krankenkasse beantragen können, um darin Labordaten, Röntgenbilder, Impfungen, Zahnbonusheft, Mutterpass und Ähnliches abzulegen. Auch eigene Aufzeichnungen lassen sich dort speichern. Ziel ist es, Doppeluntersuchungen zu vermeiden. Auch im Notfall ist es hilfreich, wenn Informationen über Allergien oder Vorerkrankungen sofort verfügbar sind. Dass das im Prinzip sinnvoll ist, bestreitet niemand. Doch klar ist auch, dass es sich um äußerst sensible Daten handelt.

Nur die Betroffenen selbst sollen in die elektronische Patientenakte reinschauen oder anderen den Zugang dazu ermöglichen können. Im Prinzip entscheiden die Patient*innen, welche Dokumente sie einem Therapeuten oder einer Ärztin zeigen. Schließlich muss ein Urologe ja nicht wissen, dass der Mann mit den Plattfüßen eine Psychoanalyse macht. Allerdings ist diese Auswahlfunktion noch nicht fertig programmiert und soll erst 2022 zur Verfügung stehen. So gilt bis dahin, dass das medizinische Personal entweder alles oder nichts zu sehen bekommt.

Menschen mit Smartphone oder Tablet können ihre Patientenakte jederzeit studieren und die Dokumente darüber verwalten. Wer kein mobiles Endgerät besitzt oder diesem Zugangsweg misstraut, hat im kommenden Jahr allerdings noch keine Chance, ohne Hilfe eines Arztes die eigene ePA anzusehen. Erst ab 2022 soll es in den Geschäftsstellen der Krankenkassen entsprechende Geräte geben. "Ab 2023 haben Versicherte die Möglichkeit, die in der ePA abgelegten Daten im Rahmen einer Datenspende freiwillig der Forschung zur Verfügung zu stellen", verkündete Spahn außerdem. Im ursprünglichen Gesetzentwurf war noch von "wissenschaftlicher Forschung" die Rede gewesen; offenbar haben Pharmalobbyisten hier erfolgreich interveniert.

Vor allem Datenschützer sehen viele Gefahren, wenn die elektronische Patientenakte in der geplanten Form kommt. Nicht nur der Zugang über eine Smartphone-App ist ein großes Einfallstor für Hacker. Der Chaos Computer Club (CCC) hat Ende Dezember demonstriert, wie einfach es ist, sich elektronische Gesundheits- und Arztkarten zu verschaffen. Wer behauptet, umgezogen zu sein oder seine alte Gesundheitskarte verloren zu haben, kann sich eine neue zuschicken lassen. Die Krankenkasse überprüft dafür nicht die Identität des Antragstellers, so wie es beispielsweise die Einwohnermeldeämter tun, wenn jemand einen neuen Personalausweis haben will. Dem Norddeutschen Rundfunk, NDR, und Spiegel ist es außerdem gelungen, einen elektronischen Arztausweis zu bestellen und an einen Käseladen ausliefern zu lassen. Die dafür notwendigen Daten stehen so gut wie alle auf den Rezepten, die die Ärzt*innen ausstellen, inklusive ihrer meist völlig unleserlichen Unterschriften. Auch ein Lese- und Übertragungsgerät für Praxen, den sogenannten Konnektor, konnte sich der Chaos Computer Club ohne allzu großen Aufwand besorgen.

Im Mai nun fand im Gesundheitsausschuss des Bundestags eine Anhörung zum Patientendaten-Schutzgesetz (PDSG) statt. "Wir stellen fest, dass der vorliegende Gesetzentwurf nicht geeignet ist, die diagnostizierten Mängel ... abzustellen", schrieb der CCC. Stattdessen "werden sie nunmehr sogar gesetzlich festgeschrieben", so die Kritik des Vereins, der sich dem Thema Computer- und Datensicherheit verschrieben hat.

Gespeichert werden die Daten auf zentralen Servern der Gematik, der Gesellschaft für Telematik-Anwendungen der Gesundheitskarte. Dahinter stehen das Bundesgesundheitsministerium, Krankenkassen, Ärzte- und Apothekenkammern sowie die Deutsche Krankenhausgesellschaft. Weil die Gematik weder offene Hard- noch Software nutzt, müssen die Patienten darauf vertrauen, dass hier niemand unrechtmäßigen Zugang zu den Daten bekommt; kontrollieren lässt sich das nicht.

Das 2015 erlassene E-Health-Gesetz verpflichtete alle niedergelassenen Ärzt*innen und Zahnärzt*innen, sich mit Hilfe eines Konnektors bis Mitte 2019 an die Gematik-Infrastruktur anzuschließen. Praxen, die sich aus datenschutzrechtlichen Bedenken weigern, werden mit Honorarkürzungen belegt. Wer dagegen mitmacht, kämpft fast immer mit massiven technischen Problemen. Nicht nur muss das bisher häufig völlig abgeschottete Intranet in der Arztpraxis nun mit der Gematik-IT kommunizieren können. Vielfach wurden die Konnektoren auch unsachgemäß installiert, Firewalls und Virenschutz versehentlich abgeschaltet.

Die Süddeutsche Zeitung berichtete im vergangenen November über ein vertrauliches Papier der Gematik. Demzufolge wiesen mehr als 90 Prozent der angeschlossenen Arztpraxen IT-Sicherheitsrisiken auf. Hacker könnten sich leicht Zugang zu den Daten von Millionen Patient*innen verschaffen, so die Warnung. Zwar hatte die Gematik klare Vorgaben zur Installation der Gerätschaften gemacht. Doch ob sie von den IT-Dienstleistern in den Arztpraxen auch umgesetzt wurden, überprüfte die Gematik nicht.

Offensichtlich gab es schon Versuche, die Computer von Arztpraxen auszuspähen. Doch Gesundheitsminister Spahn sieht das nicht als sein Problem. "Jeder – ob Ärzte, Krankenhäuser oder Apotheken – ist für den Schutz der von ihm in der Telematikinfrastruktur verarbeiteten Patientendaten verantwortlich", ließ er seine Ministerialen mitteilen.

Der Bundesdatenschutzbeauftragte Ulrich Kelber übt heftige Kritik an den Plänen des Gesundheitsministers. Das Handelsblatt zitierte aus einer Stellungnahme, in der Kelber androht, die elektronische Patientenakte notfalls zu stoppen: "Als Aufsichtsbehörde obliegt es mir, (...) aufsichtsrechtliche Maßnahmen zu ergreifen, das heißt, zum Beispiel den Krankenkassen gegebenenfalls zu untersagen, ihren Versicherten eine datenschutz- gesetzlichen Vorgaben widersprechende elektronische Patientenakte anzubieten."

Doch den digitalisierungswütigen Gesundheitsminister scheint das ebenso wenig anzufechten wie die Proteste von Ärzten und Psychotherapeuten. Die IT sei sicher, behauptet er – "Hacker hin oder her." Doch funktionieren kann das Ganze nur, wenn die Patient*innen Vertrauen in das System haben. Das aber könnte rasant schwinden, sollten elektronische Patientenakten tatsächlich geknackt werden. Wer will schon riskieren, dass alle möglichen Leute über die eigene Inkontinenz oder einen Schwangerschaftsabbruch Bescheid wissen? Nicht umsonst haben Ärzt*innen Schweigepflicht – auch gegenüber Angehörigen. Deshalb muss der Zugang zu Gesundheitsdaten noch sicherer sein als zu Bankkonten. Geld lässt sich ersetzen. Wenn aber das Wissen über die Krankheit eines Menschen bekannt geworden ist, ist der Schaden nicht mehr rückgängig zu machen. Deshalb könnte Jens Spahns Ungeduld zum Bumerang für ihn werden – und die ePA sich tatsächlich zum Berliner Flughafen des Gesundheitswesens entwickeln.