In einem Offenen Brief an den Patientenbeauftragten der Bundesregierung, Stefan Schwartze (Bundestagsabgeortneter, SPD) hat das Bündnis ”Widerspruch gegen die elektronische Patientenakte (ePA)“ für eine patientenfreundliche, datenschutzgerechte ePA (elektronische Patientenakte) plädiert.

Darin wird Herr Schwartze auf Datensicherheits- und Datenschutzprobleme der ePA hingewiesen:

• „…ist dieser zentral gespeicherte Datenschatz ein lukratives Ziel für Datendiebe. Denn eine einfache Kosten- / Nutzen-Abwägung zeigt, dass sich auch bei höherem Einsatz ein Diebstahl lohnen kann. Der Chaos Computer Club (CCC) hat bereits mehrfach Sicherheitslücken in der Telematikinfrastruktur aufgezeigt, die unbefugte Zugriffe auf die Versichertendaten ermöglichten. Der CCC zieht daraus den Schluss, dass die zentrale Speicherung der Krankheitsdaten inhärent unsicher ist und es nur eine Frage der Zeit ist, bis Krankheitsdaten in fragwürdige fremde Hände geraten…“
• „Bereits im regulären Betrieb der ePA sind so viele Leistungserbringer zugriffsberechtigt, dass dadurch das Arztgeheimnis untergraben wird. Den wenigsten Patienten ist bewusst, dass auch die Physiotherapeutin oder der Apotheker an der Ecke Einblick in ihre ePA nehmen können. Zudem werden Zugriffe auf die ePA bisher unzureichend protokolliert, d.h. sie werden nicht einer bestimmten Person zugeordnet, sondern einer gesamten Arztpraxis, Krankenhausabteilung o.ä. So lässt sich nicht nachvollziehen, wer auf eine ePA zugegriffen hat.“
• „Als ‚patientengeführte Akte‘ (§ 341 SGB V) unterliegt die ePA nicht dem ärztlichen Berufsgeheimnis…“

Auch die Sekundärnutzung der gespeicherten Krankheitsdaten für Forschungszwecke ist Thema des Offenen Briefs:

• „Staatliche Forschungseinrichtungen, aber auch Entwicklungsabteilungen der Privatwirtschaft können auf Antrag über das ‚Forschungsdatenzentrum Gesundheit‘ (FDZ) Krankheitsdaten zu Forschungszwecken erhalten. Diese Datenpakete sind aber nicht anonymisiert, sondern lediglich pseudonymisiert, d.h. aus diesen ausgeleiteten Krankheitsdaten kann mithilfe weniger Zusatzinformationen auf einzelne Patienten rückgeschlossen werden. Der Schutz dieser intimsten persönlichen Informationen ist folglich nicht mehr gewährleistet.“
• „Gleiches gilt auch für die personenbezogenen Abrechnungsdaten der Krankenkassen, die unabhängig von der ePA – und ohne Widerspruchsrecht der Betroffenen – ins FDZ fließen. Außerdem können die Zugriffsrechte auf die ePA – ohne irgendein technisches Hindernis – jederzeit gesetzlich geändert werden…“

Daraus folgern die Verfasser*innen des Offenen Briefs:
„Die genannten grundsätzlichen Problemen bei Datensicherheit und Datenschutz sind geeignet, das Vertrauensverhältnis zwischen Arzt und Patient grundlegend zu erschüttern. Wenn Patienten befürchten müssen, dass vertrauliche Angaben aus Arztgesprächen über die ePA in falsche Hände geraten könnten, werden sie sich genau überlegen, was sie dem Arzt noch sagen wollen oder versuchen, Arztbesuche zu vermeiden – immer verbunden mit Risiken für ihre Gesundheit.“

Zudem wird die mangelnde Nutzerfreundlichkeit der ePA gegenüber dem Patientenbeauftragten thematisiert:

• „Es wird vorausgesetzt, dass der Patient ein aktuelles Smartpone mit allen Sicherheitsupdates besitzt, um die ePA-App der Krankenkasse nutzen zu können.
• Während in der Vorgängerversion der ePA die Zugriffsrechte auf die ePA-Inhalte feingranular gesteuert werden konnten, gibt es in der aktuellen ‚ePA für alle‘ nur noch die Möglichkeit, entweder einzelne Dokumente für alle Behandelnden zu verbergen oder einzelne Behandelnde komplett vom Zugriff auf die ePA auszuschließen.
• Wenn Patienten selbst einzelne Inhalte mithilfe der ePA-App unsichtbar machen wollen, müssen sie die betreffenden Inhalte nicht nur in den Dokumenten löschen oder verbergen, sondern auch der Übertragung der Medikationsliste und der Abrechnungsdaten der Krankenkassen in die ePA widersprechen. Denn die Abrechnungsdaten bilden in der ePA eine zweite Krankenhistorie ab, in der auch Informationen enthalten sein können, die die Ärzte auf Wunsch des Patienten explizit nicht in die ePA aufgenommen haben. Ebenso lassen sich aus der Medikationsliste Rückschlüsse auf Erkrankungen ziehen…“
  

Die unzureichende Information der Versicherten durch die Krankenkassen im Vorfeld der Einführung der „ePA für alle“ ist ein weiteres Thema des OffenenBriefs.

Als Fazit stellen die Verfasserinnen des offenben Brief fest: „In ihrer derzeitigen Form ist die ePA unausgereift. Sie bietet nicht die versprochenen Vorteile und kann unter Umständen mehr schaden als nützen… Daher wenden wir uns an Sie als Patientenbeauftragter der Bundesregierung mit der Bitte, sich für Verbesserungen bei der ePA einzusetzen… Bitte setzen Sie sich dafür ein, dass der Beschlagnahmeschutz der ePA im deutschen Recht verankert wird. Darüber hinaus dürfen keine ePA bei Nicht-EU-Unternehmen gehostet werden, die z.B. US-amerikanischem Recht unterliegen.“ Sie bitten den Patientenbeauftragten darum, sich „für ein Moratorium der ePA einzusetzen und auf eine datenschutzgerechte Reorganisation der ePA hinzuwirken. Um die Datensicherheit zu gewährleisten, ist insbesondere eine dezentrale Datenspeicherung unabdingbar.“