Digitalisierung im Gesundheitswesen: Was die elektronische Patientenakte jetzt alles kann

Eine digitale Anwendung, in der Krankenversicherte und Ärzte Dokumente und Gesundheitsinformationen ablegen können. Der Sinn: Statt Arztbriefe spazieren zu tragen oder einfach nicht mehr zu wissen, was beim Belastungs-EKG vergangenes Jahr herausgekommen ist, können Ärztinnen und Krankenhäuser digital auf entsprechende Informationen zugreifen. Voraussetzung dafür ist allerdings, dass der Patient oder die Patientin die entsprechenden Daten in die elektronische Patientenakte hochgeladen oder dem Upload in der Arztpraxis zugestimmt hat – und außerdem den Zugriff darauf gestattet. So soll die elektronische Patientenakte Abläufe straffen und den Patientinnen unnötige Laufwege ersparen.

Vom Befund über Diagnosen bis hin zu Laborberichten und Therapieplänen kann man in der elektronischen Patientenakte alles hinterlegen. Die Vorteile: Schnellen Zugriff auf einen Notfalldatensatz, eine Patientenverfügung oder elektronische Medikamentenpläne zu haben, kann für Patient wie behandelnde Ärztin äußerst praktisch, in manchen Fällen womöglich entscheidend sein. Gleichzeitig stellen sich bei derart sensiblen Angaben in großem Umfang Datenschutz- und IT-Sicherheitsfragen (siehe unten). Viele Ärzte, aber auch andere Beobachterinnen nervt zudem, wie die elektronische Patientenakte umgesetzt wird: schlecht kommuniziert, hastig eingeführt, von Versicherten nur zögerlich genutzt.

Die elektronische Patientenakte ist nicht zu verwechseln mit dem elektronischen Rezept. Auch das elektronische Rezept sollte Anfang Januar in kassenärztlichen Praxen verfügbar sein, kurz vor Weihnachten wurde das Vorhaben noch mal verschoben. Oder, wie es wohl versöhnlicher klingen soll: Die Testphase wird noch einmal verlängert. Der Grund: Erforderliche technische Systeme stünden noch nicht flächendeckend zur Verfügung.

Gestartet ist die elektronische Patientenakte eigentlich bereits 2021. Aus Sicht von Patientinnen und Patienten allerdings eher theoretisch: Zwar war es schon ab Januar möglich, eine Patientenakte zu erhalten, und ab Juli sollten auch alle Praxen die Technik angeschafft oder zumindest bestellt haben, um die elektronischen Akten pflegen zu können. Vielerorts fehlten zum Stichtag aber technische und andere Voraussetzungen. Sprich: Die Praxen hatten womöglich die Hard- und Software angeschafft, sie aber noch nicht unbedingt in Betrieb genommen.

Laut Bundesgesundheitsministerium sollte das bis Ende 2021 der Fall sein. Im Herbst deutete sich aber bereits an, dass viele Praxen noch nicht so weit waren, elektronische Patientenakten einzusehen oder zu befüllen. Spätestens ab Januar 2022 soll die digitale Akte auch in Krankenhäusern nutzbar sein. 

Während an der Umsetzung noch gearbeitet wird, startet zum Jahreswechsel das, was man im Bundesgesundheitsministerium und in der Nationalen Agentur für Digitale Medizin, besser bekannt als gematik, die "zweite Ausbaustufe" für die elektronische Patientenakte nennt. Oder auf Neudeutsch: ePA 2.0.

Konkret bedeutet das: Ab dem 1. Januar 2022 dürfen Patientinnen bestimmen, welcher Arzt auf welches Dokument in ihrer elektronischen Patientenakte zugreifen darf. Dass zum Beispiel dieses Röntgenbild der Schulter nur für den Orthopäden sichtbar ist, das CT aber für die Kardiologin und den Hausarzt. Auch zeitliche Begrenzungen für diese Zugriffsrechte lassen sich definieren. Bislang konnten Patientinnen und Patienten nur pauschal die Erlaubnis erteilen, dass alle Medizinerinnen und Mediziner auf in der elektronischen Patientenakte gespeicherte Dokumente zugreifen dürfen – was angesichts der Sensibilität mancher Diagnosen und Befunde vielleicht nicht jede Patientin möchte.

Die feingranularen Einstellungen, wer auf was zugreifen kann, können Versicherte über die Patientenakten-Apps ihrer Krankenkassen einstellen. Das soll mit dem Update der Apps ab Januar funktionieren. Oder Versicherte können in der Arztpraxis, wenn ihre Befunde, Arztbriefe und so weiter in die elektronische Patientenakte eingepflegt werden, bestimmen, wer worauf Zugriff bekommen soll. Nötig ist dafür die Vorlage der elektronischen Gesundheitskarte und eine Pin. Diese Option dürfte vor allem für Menschen, die nicht über die nötigen Geräte oder die notwendige Technikkompetenz verfügen, attraktiv sein.

Direkt nach dem Jahreswechsel werden aller Wahrscheinlichkeit nach höchstens einige wenige Arztpraxen in der Lage sein, das granulare Zugriffsmanagement anzubieten. Denn es gibt ein dickes technisches Problem: Voraussetzung für die neue Funktion ist ein wichtiges Softwareupdate für sogenannte Konnektoren.

Konnektoren sind spezielle Router, die in Praxen und anderen medizinischen Betrieben stehen und diese auf einem separaten und besonders abgesicherten Weg mit der Telematikinfrastruktur (TI) verbinden. So heißt das System, das verschiedene Abläufe und Dienstleistungen im Gesundheitssystem digitalisieren soll – von der elektronischen Arbeitsunfähigkeitsbescheinigung über das elektronische Rezept bis eben zur elektronischen Patientenakte. Man könnte also sagen: Anschluss an die Telematikinfrastruktur ist für Praxen und Krankenhäuser die Grundvoraussetzung dafür, mit elektronischen Patientenakten etwas anfangen zu können.

Für diverse Neuerungen bei der elektronischen Patientenakte brauchen die Gesundheitseinrichtungen nun eigentlich das Versionsupdate PTV5. Erst damit wird es zum Beispiel möglich sein, von einer Arztpraxis aus genau einzustellen, wer Zugriff auf eine bestimmte Diagnose, einen Befund oder Behandlungsplan erhalten soll. Diese Updates werden von Privatfirmen entwickelt und von der gematik auf die Einhaltung vorgeschriebener Sicherheitsstandards überprüft. Erst danach können sie in den Praxen, Krankenhäusern und so weiter installiert werden. 

Vor Weihnachten war noch kein einziges Update der drei Anbieter zugelassen. Das bestätigten das Bundesgesundheitsministerium und die gematik auf Anfrage. Erste PVT5-Updates wurden zwar zwischen den Jahren zugelassen. Doch das bedeutet auch: Ärzte und Krankenhäuser müssten das Update zwischen den Feiertagen eingespielt haben, um die Funktion anbieten zu können. Was wohl nicht besonders häufig der Fall sein dürfte.

Warten müssen Nutzerinnen und Nutzer der elektronischen Patientenakte auch auf weitere Funktionen: Ab Januar sollte es möglich sein, Gesundheitsdaten wie den Mutterpass, das gelbe Untersuchungsheft für Kinder, das Zahnbonusheft oder den Impfpass in der elektronischen Patientenakte abzulegen. Auch diese Funktionalität hängt am genannten Konnektorenupdate und wird eben dann verfügbar sein, wenn die Updates zugelassen und in den jeweiligen Einrichtungen installiert sind. Nötig sind auch entsprechende Updates in der jeweiligen Praxisverwaltungssoftware.

Man kann darüber streiten, wie gewichtig diese Funktionen für die elektronische Patientenakte sind. Doch ein fulminanter Start für die zweite Stufe des Projekts sieht anders aus. Die gematik spricht von einem "fließenden Roll-out", wie es ihn auch bereits bei der ersten Stufe der elektronischen Patientenakte gegeben habe. Auch damals hakte es laut des Ärzteblatts bei den Konnektorenupdates.

Gesetzliche Krankenkassen müssen Versicherten seit Anfang 2021 die elektronische Patientenakte kostenlos als App zur Verfügung stellen. Das bedeutet: Wer sie nutzen möchte, kann bei seiner Krankenkasse einen Nutzungszugang beantragen, dann die entsprechende App herunterladen, sich registrieren und authentifizieren. Programmiert wurden diese Apps von Dienstleistern wie zum Beispiel IBM. Die Daten, so heißt es auf der Website der gematik, lägen "sicher und verschlüsselt" in den Aktensystemen der jeweiligen Betreiber, die in der Telematikinfrastruktur betrieben werden. Deren Server würden "im Zuge des Zulassungsverfahrens der gematik auf ihre sicherheitstechnische Eignung durch unabhängige Gutachter geprüft".

Diese Betreiber und die Krankenkassen als Anbieter dieser Apps haben jedoch keinen Zugriff auf die in der elektronischen Patientenakte abgelegten Daten. Sie liegen vielmehr verschlüsselt auf Servern in Deutschland, die europäischen Datenschutzbestimmungen unterliegen. Auch das erklärt die gematik auf ihrer Website. Und verweist als Ansprechpartner für Datenschutzfragen auf die entsprechenden Beauftragten der jeweiligen Krankenkassen.

Auch wer kein Tablet oder Smartphone besitzt, kann die elektronische Patientenakte nutzen: Er muss sich von der Krankenkasse eine Pin ausstellen lassen und kann sie beim nächsten Arztbesuch in Kombination mit seiner elektronischen Gesundheitskarte befüllen lassen (siehe oben). Über einen Browser lässt sich nicht auf die elektronische Patientenakte zugreifen. Es soll aber Programme für Desktop-PCs geben, über die ein Zugriff auf die elektronische Patientenakte möglich wird – analog dazu, wie die Nutzung auf dem Smartphone funktioniert. Das erklärt die gematik auf Anfrage. Ein Großteil der Krankenkassen werde das bereits ab Anfang 2022 anbieten, andere im Laufe des Jahres.

Die Daten der elektronischen Patientenakte liegen verschlüsselt auf Servern, die im Dienst von Krankenkassen betrieben werden und von der gematik zertifiziert wurden. Damit Praxen elektronische Patientenakten befüllen und Daten dort abrufen können, müssen sie an die Telematikinfrastruktur angeschlossen sein. Das bedeutet, dass Praxen bestimmte Hardware- und Softwarekomponenten anschaffen und in Betrieb nehmen müssen – etwa bestimmte Updates für ihre Praxisverwaltungssoftware und die Konnektoren (siehe oben). 

Und damit nicht jede Person Befunde aus den digitalen Akten einsehen oder gar verändern kann, müssen Ärzte, Psychotherapeutinnen und andere in medizinischen Berufen tätige Personen mit einem Praxisausweis beziehungsweise einem elektronischen Heilberufsausweis belegen, dass sie tatsächlich Lese- und Schreibberechtigungen besitzen. Versicherte wiederum bekommen Zugriff auf die Daten ihrer elektronischen Patientenakte, indem sie sich mithilfe ihrer elektronischen Gesundheitskarte authentifizieren. 

Gelingt es, sich über einen dieser Wege als zugriffsberechtigt zu authentifizieren, kann sowohl auf Schlüssel als auch auf Inhalte der elektronischen Patientenakte zugegriffen werden. Dies kritisierte zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Schreiben ans Gesundheitsministerium bereits 2019 und sprach von einem "neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette". Denn: Natürlich ist die Idee von Authentifizierungsverfahren gut, nur berechtigten Nutzerinnen Zugriff auf bestimmte Daten zu gewähren. Aber: Gelingt es jemandem, das System an dieser Stelle zu überlisten, zum Beispiel, indem er sich fälschlicherweise als ein bestimmter Patient ausgibt und erfolgreich als solcher authentifiziert wird, taugen auch alle nachgeschalteten Schutzmaßnahmen nicht mehr viel.

Ende 2019 gelang Hackern aus dem Umfeld des Chaos Computer Clubs, was ihnen nicht hätte gelingen dürfen: Ein Team um den IT-Sicherheitsforscher Martin Tschirsich demonstrierte, wie man sich unberechtigterweise Praxis-, Heilberufsausweise oder elektronische Gesundheitskarten ausstellen sowie Konnektoren liefern lassen kann. Und mogelte sich so die Hauptbestandteile zusammen, die es für den Authentifizierungsprozess der elektronischen Patientenakte braucht und deren Vorlage die hochsensiblen Daten in der elektronischen Patientenakte eigentlich vor unbefugten Zugriffen schützen soll.

Auch im Jahr danach fanden Tschirsich und seine Mitstreiter weitere Probleme: Sie stießen im Sommer 2020 online auf 29 Konnektoren, die ganz ohne Authentifizierung erreichbar waren. Was bedeutet: Wäre die elektronische Patientenakte bereits eingeführt gewesen, hätten sie sich darüber Zugriff verschaffen können. 

Auf all diese Probleme habe man längst reagiert, heißt es von der gematik: Es gebe "starke Nachregelungen" bei den Prüfprozessen für Ärzte, sagt Produktchef Florian Hartge. Auch die Sicherheitsanforderungen und Prüfmechanismen in Bezug auf die Konnektoren seien erhöht worden. "Wir beheben die Probleme in der Regel, bevor sie publik werden", sagt Hartge.

Als die Sicherheitslücke Log4Shell bekannt wurde, wurden Teile der Telematikinfrastruktur vom Netz genommen. Die gematik sagt, das sei eine gebotene Vorsichtsmaßnahme gewesen, bis eine Verwundbarkeit der Systeme sicher ausgeschlossen werden konnte. Die Agentur hatte am Montag nach dem Bekanntwerden der Lücke erklärt, die Aktensysteme der Apps einiger Krankenkassen seien "in den Wartungsmodus" versetzt worden. Es seien Sicherheitspatches für die angreifbare Bibliothek Log4j eingespielt worden. Derzeit gebe es keine Hinweise, dass eine Kompromittierung der Systeme stattgefunden habe, sagt Hartge.

Nein. Die Nutzung der elektronischen Patientenakte ist freiwillig. Man bekommt sie nicht automatisch: Wer mitmachen will, muss bei seiner Krankenkasse aktiv einen Zugang beantragen.  

Genau an diesem Punkt will die neue Regierung in Berlin künftig schrauben: Im Koalitionsvertrag kündigen SPD, Grüne und FDP an, auf ein Opt-out-Verfahren umstellen zu wollen. Anders gesagt: Wer keine elektronische Patientenakte haben möchte, müsste dann aktiv widersprechen, ansonsten wird sie ihm automatisch zur Verfügung gestellt.

Manche Mediziner, zum Beispiel Ferdinand Gerlach vom Sachverständigenrat zur Begutachtung der Entwicklung im Gesundheitswesen, kritisieren, dass man die elektronische Patientenakte derzeit nicht nur umständlich beantragen müsse, sondern dass man bei jedem Arztbesuch, im Krankenhaus, in der Apotheke oder beim Physiotherapeuten immer wieder aufs Neue zustimmen müsse, dass die Akte eingesehen werden kann und Daten gespeichert werden dürfen. "Dieses mehrfache, immer zu wiederholende aktive Opt-in wird dazu führen, dass die Akte im Alltag nicht fliegt", sagte er der Ärzte Zeitung im Frühjahr: Versicherte würden den Schritt vergessen, Ärzte wenig auf die elektronische Patientenakte geben, wenn diese nur löchrige und nicht aktuelle Angaben umfasse.  

Man könnte die Nutzung schon noch ein wenig ausbaufähig nennen: Nach Angaben des Bundesministeriums für Gesundheit wurden bislang etwa 312.000 elektronische Patientenakten angelegt.

Laut des IT-Branchenverbands Bitkom ist das Interesse bei Bürgerinnen und Bürgern sehr wohl vorhanden: In einer Befragung von etwas mehr als 1.000 Menschen äußerten mehr als drei Viertel Interesse an der Nutzung der elektronischen Patientenakte – nur 0,5 Prozent der Befragten hatten sie jedoch bereits in Gebrauch. Mehr als die Hälfte gab an, bisher weder von Krankenkassen noch von Ärztinnen Informationen dazu erhalten zu haben.

Es klingt zunächst so, als sei die Verbreitung bei medizinischen Einrichtungen bereits geglückt: Im dritten Quartal 2021 seien 93 Prozent aller Arztpraxen und 88 Prozent aller Krankenhäuser an die Telematikinfrastruktur angeschlossen, meldete kürzlich die gematik.

Der hohe Wert bei den Arztpraxen lässt sich damit erklären, dass Praxen seit Juli 2021 verpflichtet sind, erforderliche Komponenten angeschafft oder zumindest bestellt zu haben (siehe oben). Wer das versäumt hat, dem drohen Honorarkürzungen für vertragsärztliche Tätigkeiten. 

Im Detail zeigen die Zahlen aus der gematik-Befragung aber auch: Erst 30 Prozent aller Praxen und elf Prozent aller Krankenhäuser haben das Modul installiert, das notwendig ist, um die elektronische Patientenakte tatsächlich zu nutzen. Praktisch könnte das zum Beispiel bedeuten: Die notwendige Technik ist zwar angeschafft, aber die Installation noch nicht erfolgt. Und während zwölf Prozent der befragten Ärzte die Bereitschaft erklärten, die elektronische Patientenakte zu nutzen, taten es bislang nur drei Prozent.

Wer Gründe dafür sucht, stößt schnell auf Kritikpunkte der Ärzteschaft. Ebenfalls in der gematik-Befragung sagen gerade einmal 43 Prozent der befragten Ärztinnen und Ärzte, dass sie Vertrauen in die Sicherheit von Daten in der Telematikinfrastruktur hätten. Bei der elektronischen Patientenakte galt dies sogar nur für 30 Prozent.

Und während die erste Stufe noch gar nicht überall reibungslos läuft und die Nachfrage der Patienten überschaubar ist, soll den Ärztinnen bald auch schon die nächste Stufe der Telematikinfrastruktur aufgedrückt werden: Auch das ärgert viele Mediziner. Nun heißt es, ab Ende 2025 sollen gar keine Konnektoren mehr nötig und die Telematikinfrastrukturdienste über das Internet verfügbar sein – was einem Vertreter der Kassenärztlichen Vereinigung zufolge aber auch wieder neue Anforderungen für Praxen beinhaltet.  

Kritik gibt es – nicht nur bei Medizinerinnen und Medizinern – auch häufig an dem schnellen Tempo, das der Gesetzgeber vorgibt: Die Fristen für die Umsetzung von Vorgaben setze zum Beispiel die Hersteller von Praxisverwaltungssoftware so unter Druck, dass eine sorgfältige Testung auf der Strecke bleiben könnte, kritisiert etwa die Computerzeitschrift c’t. Die Folge von Fehlern bei Softwarelieferanten könnten Hunderte oder gar Tausende Praxen und Krankenhäuser betreffen. Auch der Ärztetag warnte in diesem Jahr davor, dass aufgrund der gesetzgeberischen Geschwindigkeit notwendige Testungen zur Praktikabilität und Patientensicherheit unterbleiben könnten.

Die müssen sich weiter gedulden. Alles oben Beschriebene steht bislang nur gesetzlich Krankenversicherten offen. Auf der Website der gematik ist die elektronische Patientenakten für Privatversicherte "ab 2022" angekündigt. Daran werde noch gearbeitet, sagte deren Chief Production Officer, Florian Hartge, ZEIT ONLINE auf Anfrage.