Top oder Flop? Elektronische Patientenakte gestartet

Ein Kraftakt geht zu Ende oder fangen die Probleme mit der heute in Betrieb gehenden elektronischen Patientenakte (ePA) erst jetzt an?

Dirk Arendt leitet beim IT-Sicherheitsanbieter das Behördengeschäft. Von Beginn an hätte bei msn bei der ePA auf höchste Sicherheitsstandards und Security by Design setzen müssen, sagt er.

Lieber spät als nie, nach diesem Motto zog sich die Einführung der elektronischen Patientenakte (ePA) in Deutschland für gesetzlich Krankenversicherte, die heute startet, über viele Jahre hin. Andere Länder waren viel schneller, sind die Deutschen bei der Digitalisierung des Gesundheitswesens dafür gründlicher? Das darf man bezweifeln.

Die größte Hürde bei der Einführung war, neben vielen technischen Schwierigkeiten und der Frage nach dem Kreis der Zugriffsberechtigten, eine rechtliche: Sollen gesetzlich Krankenversicherte der ePA aktiv zustimmen oder ihr widersprechen? Man entschied sich für die Widerspruchslösung. Also eine automatische Einführung, wenn Versicherte auf das Schreiben ihrer Krankenkasse nicht reagieren. 71 Prozent der Menschen in Deutschland wollen die ePA künftig nutzen, wie eine Bitkom-Befragung ergeben hat.

Die Telematikinfrastruktur (TI) für die Ausgestaltung des Systems und deren Betrieb obliegt der eigens dafür gegründeten Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH). Damit Praxen die ePA nutzen können, müssen sie mit einem aktuellen Konnektor (PTV4+ oder höher) an die TI angeschlossen sein. Zudem muss das Modul "ePA 3.0" in den Praxisverwaltungssystemen der Ärzte, Therapeuten und Krankenhäuser installiert werden, um den Zugang zur ePA zu ermöglichen. Die Voraussetzung erfüllen bereits viele Praxen, sagt der Bitkom. Die meisten der rund 100 Softwarehersteller von Praxisverwaltungssystemen haben hoffentlich eine saubere Integration der Module hingekommen. Nun geht es darum, die Akzeptanz in der Bevölkerung für die ePA herzustellen.

Mit der aber könnte es schlagartig zu Ende sein und das ganze Projekt würde ein riesiger Flop werden. Dann nämlich, wenn Medien über entwendete Patientendaten – Diagnosen, Röntgenbilder, Therapien, Medikamentierung oder sonstige Arztberichte – berichten. Niemand möchte so intime und sensible Informationen über den Gesundheitszustand in den Händen von Cyberkriminellen wissen. Nur größtmögliche technische Sicherheit und Schutz vor unberechtigtem Zugriff auf die ePA schafft Vertrauen und rechtfertigt die doch im Vorfeld recht große Akzeptanz, die Bundesbürger laut Bitkom-Umfrage diesem gewaltigen Digitalisierungsprojekt geben. Zurecht? Zweifel daran gibt es.

Keine enge Einbindung von Cybersecurity-Experten

Es gab vor dem Start der ePA Berichte über Sicherheitslücken, sagt Dirk Arendt, Director Government & Public Sector DACH beim IT-Sicherheitsanbieter Trend Micro. Für ihn stellt sich die Frage, warum die Gematik nicht von Anfang an eine enge Zusammenarbeit mit Cybersecurity-Experten gesucht habe.

Krankenhäuser waren und sind ein beliebtes Ziel für Cyberkriminelle. "Die greifen gezielt diese Einrichtungen an, weil sie dort besonders hohe Erfolgsquoten erwarten, sagt Arendt. Immer wieder berichten Medien von hohen Lösegeldzahlungen, weil Hacker in die Systeme eingedrungen sind und Daten verschlüsseln konnten. Operationen oder die Versorgung von Notfällen warn nicht möglich, die Kommunikation mit Krankenhäusern brach zusammen, es dauerte viele Tage oder gar Wochen, bis der Betrieb wieder aufgenommen werden konnte.

"Das zeigt, wie wichtig es ist, von Beginn an auf höchste Sicherheitsstandards und Security by Design zu setzen, anstatt Sicherheitslücken nachträglich schließen zu müssen", gibt Trend Micro-Manager Arendt zu bedenken.

Ebenso wichtig wie die technische Umsetzung sei das Vertrauen der Nutzer in die Lösung. "Dieses Vertrauen steht im engen Zusammenhang mit einem konsequenten Datenschutz. Es darf nicht sein, dass Patienten befürchten müssen, dass ihre Gesundheitsdaten von Unbefugten eingesehen oder gar für kommerzielle Zwecke genutzt werden."

Die ePA hat bereits viele Milliarden Euro verschlungen, einen Flop kann sich das Gesundheitswesen in Deutschland nicht leisten. Bleibt zu hoffen, dass die Gematik der Sicherheit und dem Datenschutz allerhöchste Priorität einräumt und doch noch den engen Schulterschluss mit IT-Sicherheitsexperten sucht. Den Patienten als Beta-Tester herzunehmen, das wäre eine Haltung, die die ePA ganz schnell zu einem Flop werden ließe.