Bundesdatenschützer Kelber lässt nicht locker: ePA droht Flop zu werden

Sie soll kommen, die elektronische Patientenakte (ePA), aber wie genau? Automatisch ohne Zustimmung der 74 Mio. Kassenpatienten? So floppt die Digitalisierung eines der größten Projekte in Behörden-Deutschland.

Ulrich Kelber ist nicht irgendwer und wäre er nicht Bundesdatenschutzbeauftragter, er hätte sehr gute Aufnahme-Chancen, würde er sich bei Oliver Welkes Heute-Show als Comedian bewerben. Deutschlands oberster Datenschützer kämpft seit Jahren gegen die elektronische Patientenakte, genauer: gegen die Ausgestaltung des sehr komplexen Systems. Er sieht so viele gravierende Verstöße gegen den Datenschutz, dass er zu Mitteln greift, die man einem Behördenleiter sonst nicht zutrauen würde. Beim ersten Versuch der Einführung der ePA 2021 drohte der Mann den gesetzlichen Krankenkassen vorzuschreiben, dass sie ihre Info-Schreiben an die Versicherten zur ePA mit begleitenden Warntexten versehen müssen, frei nach dem Motto:

'Vorsicht! Unsere ePA verstößt eklatant gegen den Datenschutz, weil wir auch nicht so genau wissen, wer auf welche Ihrer Gesundheitsdaten zugreifen kann. Ob Sie das verhindern können oder nicht? Ob Sie entscheiden können, welche Daten in Ihrer ePA gespeichert werden und welche nicht? Sorry, das ist noch nicht abschließend geklärt.'

Ein System erfolgreich einführen zu wollen und gleichzeitig vor den Schwächen und Gefahren warnen? Was sollte Kelber auch machen? Er ist nicht der Gesetzgeber. Aber er hat die Datenschutzaufsicht über die knapp 100 gesetzlichen Krankenkassen. Daher die Aktion mit den warnenden Beipackzetteln.

Drei Jahre später hat sich in Sachen ePA immer noch nicht viel getan. Das bundesdeutsche Gesundheitswesen ist mit so vielen Beteiligten sehr komplex, es digital zu innovieren bedeutet, dass man nicht einer Hydra den Kopf abschlagen muss, sondern mehreren gleichzeitig - und auch noch das Kunststück fertigbringen müsste, dass aus den abgeschlagenen Häuptern nicht mehrere neue nachwachsen.

Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit:"Wir schützen damit Ihr Grundrecht auf Ihre Privatsphäre und Ihr Recht an den eigenen Daten vor dem Zugriff internationaler Konzerne genauso wie vor staatlichen Stellen. Das ist die Voraussetzung für eine freie demokratische Gesellschaft und verhindert Übervorteilung durch Konzerne. Außerdem sorgen wir dafür, dass Sie Ihr Recht auf Einsicht in Akten und Verwaltungsvorgänge von staatlichen Stellen bekommen. All das tue ich nicht allein, sondern gemeinsam mit über 270 hochmotivierten und gut ausgebildeten Mitarbeiterinnen und Mitarbeitern."

Nun ist die ePA für 2025 geplant, alle Kassen sollen ihre Versicherten dann in ein digitales System überführen, ohne dass diese etwas unternehmen müssten. Die Zustimmungslösung ist vom Tisch. Kelber meldet sich wieder Wort und: mahnt. Er sei skeptisch, viele Fragen noch offen, durch die geplante Widerspruchslösung (wer keine ePA will, muss ihr aktiv widersprechen) werde Misstrauen gegen Patientinnen und Patienten ausgestrahlt. "Nach dem Motto, Du hast sie bisher nicht gut genug genutzt, jetzt muss ich Dich zu Deinem Glück zwingen", so Kelber. Seine Prognose: Die elektronische Patientenakte habe in der aktuellen Form kaum Nutzen.

Auf bislang freiwilliger Basis hätte sich, Kelber zufolge, von 74 Millionen gesetzlich Versicherten nicht einmal ein Prozent bei einer ePA registriert. 80 Prozent sollen es nach Vorgaben der Regierung werden. Viele offene Fragen, wie bereits 2020, seien weiter unklar. Zum Beispiel, ob Daten aus psychotherapeutischer Behandlung in die ePA einfließen sollen.

Man muss kein Prophet sein, um angesichts des Gezerres um das Riesenprojekt ePA einen Flop vorherzusagen. Dem Bundesdatenschützer alleine die Schuld zu geben, wäre indes nicht gerecht. Kelber macht seinen Job und wo er den Datenschutz nicht beachtet sieht, darf, ja muss der Behördenleiter warnen und einschreiten.

Es geht bei der ePA schließlich um hochsensible Daten von Millionen Patienten. Man hätte längst über die IT-Sicherheit einer ePA informieren sollen, wie zuverlässig ein Zugriff nicht Berechtigter auf die Daten eines Patienten verhindert wird. Kaum jemand wird eine ePA widerspruchslos akzeptieren, wenn das Vertrauen in einen sicheren Datenspeicher nicht gewonnen wird. Die Vorteile und den Nutzen für einen Versicherten darzulegen, vielleicht auch Anreize schaffen, wäre zwingend nötig. Wird nicht positiv für eine ePA geworben, denn zwingen wird man Versicherte dazu wohl kaum können - droht eines der ehrgeizigsten Digitalprojekte in Deutschland kläglich zu scheitern.