Bundestags-Petition zu Telematik-Infrastruktur und Patient*innendaten – eine Kontroverse zwischen Digitalcourage und den Verfasser*innen der Petition

WS/ Januar 11, 2020/ alle Beiträge, Telematik-Infrastruktur/ 2 comments

Digitalcourage e. V. hat in einem Newsletter vom 09.01.2020 zur PetitionKeine zentrale Datenspeicherung sämtlicher Patientendaten / Anschluss von Arzt– und Psychotherapiepraxen an die Telematik-Infrastruktur (TI) nur auf freiwilliger Basis“ wie folgt Stellung genommen: Es ist großartig, wenn Menschen sich organisieren und für etwas einsetzen. Eine aktuelle Petition auf der offiziellen Petitionsseite des Bundestags will Patientendaten schützen: … Wir unterstützen diese Petition nicht – und werden häufig nach dem Grund gefragt. Hier ist die Antwort. Unserer Einschätzung nach ist die Kritik in der Petition leicht zu entkräften. In der Begründung der Petition heißt es: „Sämtliche Diagnosen und Patientendaten aller gesetzlich Versicherten sollen in elektronischen Patientenakten (ePA) auf zentralen Servern privater Betreiber außerhalb der Praxen gespeichert werden.“ Deshalb wird in der Petition unter anderem gefordert: „[…] die Nutzung der ePA für Ärzte und Patienten [muss] freiwillig sein“. Derzeit steht in keinem Gesetz, die Nutzung der elektronischen Patientenakte sei verpflichtend. Gesundheitsminister Spahn meint auch, die Nutzung sei freiwillig. Wir sollten darauf beharren, dass es in der Praxis genau so ist. Wir sind der Ansicht, dass es bei der Verdatung von Patient.innen sowieso genug zu kritisieren gibt. Etwas anzugreifen, das gar nicht geplant ist, halten wir für einen strategischen Fehler. Deshalb unterstützen wir diese konkrete Petition nicht.“

Dr. Andreas Meißner, Psychiater und Psychotherapeut aus München und einer der Initiator*innen der Petition, hat dazu am 10.01.2019 in einer Rundmail wie folgt Stellung genommen: „… Was wir dazu zu sagen haben: Gut, dass Sie sich mit den Inhalten der Petition auseinandergesetzt haben. Aber: es geht in beiden zitierten Sätzen insbesondere um die fragwürdige Speicherung von Patientendaten zentral ((!) auf Servern (!) einer letztlich von Konzernen wie IBM entwickelten ePA auf Basis der von Bertelsmann/Arvato betriebenen TI. Und: Durch den Zwang zur TI-Installation ist die ePA für Ärzte im Grunde nicht freiwillig! Die Formulierung, dass ‚sämtliche Diagnosen und Patientendaten in ePA’s gespeichert werden sollen‘, ist wortwörtlich genommen nicht falsch, denn ‚sollen‘ ist nicht ‚müssen‘. Gewollt ist das vom Gesetzgeber schon, dass möglichst alle Patientendaten da landen sollen. Sonst würde es ja gar keinen Sinn machen aus deren Sicht. Und: vergessen Sie nicht, dass durch das am 7.11.19 vom Bundestag verabschiedete DVG nun schon ab 1.1.20 sämtliche (!) Abrechnungsdiagnosen (!) von Patienten ohne Widerspruchsmöglichkeit von den Krankenkassen über deren Spitzenverband an ein Forschungsdatenzentrum am Gesundheitsministerium weitergeleitet werden. Das ist Zwang. Und diese Diagnosen sind vollständig, von allen Abrechnungen, von allen gesetzlich Versicherten! Die ePA wiederum wird unvollständig sein, weil Patienten (noch) entscheiden können, was gespeichert wird. Aber auch das lässt sich nachträglich – wie bei den Abrechnungsdaten – sicher noch durch ein Gesetz verändern. In Österreich hatte man das schon probiert (hinsichtlich der Forschungsverwendung der Daten ohne Widerspruchsmöglichkeit). Der Techniker Martin Tschirsich z. B. meinte bei der CCC-Geschichte vom 27.12.19, dass es wohl in Richtung opt-out gehen würde, wie ebenso in Österreich, d. h. man würde an die ePA als Versicherter angeschlossen, und müsste dem aktiv widersprechen. Ähnlich der Organspendelösung. Vielleicht wird deshalb derzeit schon so oft von „Datenspende“ gesprochen …? …“

Und nun?

Kritik muss man aushalten und auf ihre Stichhaltigkeit bewerten.

Der Text der Petition lautet: Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden dürfen, die ihre Daten nicht in elektronischen Patientenakten (ePA) auf zentralen Servern außerhalb der Praxen speichern lassen wollen. Die Telematik-Infrastruktur (TI) für Ärzte und Psychotherapeuten sowie die Nutzung der ePA für Ärzte und Patienten müssen freiwillig sein. Strafen gegen Ärzte und Psychotherapeuten, die sich nicht an die TI anschließen lassen, dürfen nicht verschärft, sondern müssen abgeschafft werden.“ Dies ist eine richtige und notwendige Forderung. Sie ist allerdings insoweit problematisch, als nicht deutlich genug unterschieden wird zwischen

  • der gesetzlichen normierten (und durch Sanktionsdruck verstärkten) Pflicht für Ärzt*innen und Psychotherapeut*innen, sich an die TI anschließen zu lassen und
  • der nach wie vor in § 291a Abs. 5 SGB V vorhandenen Regelung, dass „die Verarbeitung von 1. medizinischen Daten, soweit sie für die Notfallversorgung erforderlich sind, 2. Befunden, Diagnosen, Therapieempfehlungen sowie Behandlungsberichten in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation (elektronischer Arztbrief), 3. Daten des Medikationsplans nach § 31a einschließlich Daten zur Prüfung der Arzneimitteltherapiesicherheit, 4. Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über die Versicherten sowie durch von Versicherten selbst oder für sie zur Verfügung gestellte Daten (elektronische Patientenakte)“ u. a. m. (§ 291a Abs. 3 SGB V) an die „Einwilligung der Versicherten“ (§ 291a Abs. 5 SGB V) gebunden ist.

Dieser argumentative Mangel setzt sich fort und verstärkt sich in der Begründung der Petition, wenn gleich zu Beginn festgestellt wird: Sämtliche Diagnosen und Patientendaten aller gesetzlich Versicherten sollen in elektronischen Patientenakten auf zentralen Servern privater Betreiber außerhalb der Praxen gespeichert werden. Die Daten sind bereits als Rohmaterial für Forschungszwecke vorgesehen.Damit wird zwar richtig darauf hingewiesen, dass dies Ziel von Bundesminister Spahn und den Nutznießer*innen eines solchen Datenpools ist. Zugleich aber wird durch diese Formulierung suggeriert, dass dies bereits geltende Rechtslage sein. Genau dies ist aber nicht der Fall – siehe oben: § 291a SGB V.

  • Insoweit ist der Kritik von Digitalcourage am Text der Petition inhaltlich nachvollziehbar und auch notwendig. Denn bedauerlicher Weise haben sich in den letzten Monaten bei Kritiker*innen der Telematik-Infrastruktur sprachliche und inhaltliche Unsauberkeiten dieser Art an mehreren Stellen eingeschlichen. Deutlichstes Beispiel: Die Pressemitteilung des Deutschen Psychotherapeuten Netzwerks über ein Treffen von TI-Kritiker*innen am 30.11.2019 in Frankfurt. Diese Pressemitteilung wurde von Mark Langguth, nach Eigendarstellung auf seinem Twitter-Account @Mlangguth „gematik-, TI- und ePA-Experte; Produktmanager; Freelancer; mit Fokus auf den Nutzen für Anwender! (12 Jahre leitend in gematik, fachverantwortlich für die PA)“  einem ziemlichen Verriss unterzogen. Und leider können nicht alle Bewertungen von Herrn Langguth als falsch oder interessengeleitet zurückgewiesen werden.
  • Gleichwohl ist Art und Inhalt der Kritik von Digitalcourage an der Petition fragwürdig. Sie missachtet, dass sich in dieser Petition derzeit ein wesentlicher Teil der Telematik-kritischen Ärzt*innen, Psychotherapeut*innen und Versicherten wiederfindet und sie sowohl durch Unterschriften wie durch öffentliche Werbung unterstützt. Die breite Unterstützung der Petition (in der Summe derzeit mehr als 50.000 Unterzeichner*innen) macht sie zu einem aktuellen Kulminationspunkt der Telematik-kritischen Bewegung. Die öffentliche Kritik eines wichtigen Akteurs in der Datenschutz-Bewegung, wie es Digitalcourage unbestritten ist, wirkt in dieser Situation kontraproduktiv.

Trotz ihrer Mängel: Die Bundestagspetition ist es wert, dass sie in den Tagen bis zum 16.01.2020 noch weitere UnterstützerInnen findet! Aber darüber hinaus muss in der TI-kritischen Öffentlichkeit Klarheit über die gegenwärtige Rechts- und Interessenlagen geschaffen werden.

Opt-in, opt-out – oder alles egal?

Die – häufig als „opt-in“ bezeichnete – Regelung in § 291a SGB V ist eine wichtige und zu verteidigende Rechtsnorm. Das wird deutlich beim Blick nach Österreich, wo mit ELGA – der dortigen Elektronischen Gesundheitsakte – der Weg des „opt-out“ gewählt wurde. Der Gesetzgeber in Österreich hat beschlossen, dass die Gesundheits- und Behandlungsdaten aller gesetzlich krankenversicherten Menschen in ELGA elektronisch zentral erfasst werden. Versicherte, die dies nicht möchten, müssen dies ausdrücklich beantragen („opt-out“). ARGE DATEN, die österreichische Gesellschaft für Datenschutz, hat in einer Veröffentlichung darüber informiert, wie Versicherte in Österreich sich der Speicherung ihrer Gesundheits- und Behandlungsdaten entziehen können. Ein aufwendiges Verfahren, das den Grundsätzen der informationellen Selbstbestimmung Hohn spricht!

ELGA erhielt 2014 den österreichischen BigBrotherAward in der Kategorie „Lebenslanges Ärgernis“. Aus der Begründung für die Preisverleihung: „Mediziner und der Gesundheitssektor werden in Umfragen regelmäßig zu 70, 80, 90 Prozent als besonderen Garanten für den Schutz der Privatsphäre gesehen und es ist daher besonders ärgerlich dass in diesem sensiblen Bereich die (österreichische) Bundesregierung mit einem zwangsweisen, lebenslangen, elektronischen Akten- und Überwachungssystem das Vertrauen der Bevölkerung nachhaltig missbrauchen will…“

Und Achtung! Auch in Deutschland werden von Lobbyisten der IT-Gesundheitsindustrie immer wieder Forderungen erhoben, abweichend von der gegenwärtigen Regelung in § 291a Abs. 3 und 5 SGB V („opt-in“) ein Verfahren wie in Österreich einzuführen. Beispiele dafür sind hier (Bertelsmann / Arvato Systems) und hier (PricewaterhouseCoopers – pwc) zu finden. Am deutlichsten wird diese Forderung in einer Bertelsmann-Studie aus dem Jahr 2017. Was an der Studie nicht sofort ins Auge fällt: Es wird der Versuch gestartet, die Regelung in § 291a Abs. 5 SGB V durch das z. B. in Österreich („ELGA“) geltende opt-out-Verfahren zu ersetzen. Die Studie beschreibt dies so: „Prinzipiell bedarf es also für eE-Patientenakten der Leistungserbringer oder für Mischformen (siehe Kapitel 2) zumindest in Deutschland der Einwilligung des Patienten (‚Opt-in‘-Verfahren). Regelungen, bei denen der Patient statt einzuwilligen dem Einsatz einer eEPA für ihn widersprechen muss (‚Opt-out‘-Verfahren), werden diskutiert bzw. ist bspw. in Österreich realisiert. Für die freiwilligen Anwendungen der Gesundheitskarte gilt in Deutschland gemäß § 291a SGB die ‚Opt-in‘-Regelung. Letztendlich ist natürlich auch denkbar, dass aufgrund der Bedeutung einer eEPA für die Gesamtversorgung diese mit neuer Rechtsgrundlage für ein Land als verpflichtendes Versorgungsinstrument eingesetzt wird…“ (Studie S. 179). Da Studien der Bertelsmann-Stiftung häufig nachhaltig verändernden Einfluss auf das Handeln politischer Akteure haben, ist dies auch im vorliegenden Fall nicht ausgeschlossen. Kritische Beobachter*innen der Digitalisierung und Ökonomisierung des Gesundheitswesens sind daher gut beraten, wenn sie dieser Studie ihre Aufmerksamkeit zuwenden.

Und wie die in ELGA gesammelten Daten auch für andere Interessen und Sachverhalte genutzt werden können, macht Österreich auch bereits in einem anderen Punkt deutlich: Die damalige ÖVP/FPÖ-Regierung wollte ELGA und die darin gesammelten Gesundheitsdaten zum Aufspüren von Versicherungsmissbrauch durch Arbeitnehmer*innen nutzen.

Opt-in oder opt-out – es ist nicht alles egal!

Um so wichtiger bleibt es, sauber und trennscharf zu argumentieren, wenn es um den Schutz von Gesundheits- und Behandlungsdaten vor Begehrlichkeiten und Übergriffen durch Politik, Wirtschaft und Forschung geht.

2 Comments

  1. Vielen Dank für die ausführliche Abwägung der Kritik an der Petition.
    Vielleicht würden wir heute auch manches noch besser und treffsicherer formulieren.

    Natürlich ist die ePA momentan noch als freiwillig für Patienten geplant. Aber heute schon wird kaum ein Patient in Praxen, die an die TI angeschlossen sind, erfahren, dass beim Einlesen der Karte gerade über eine (hoffentlich gesicherte) Internetverbindung die Daten mit denen bei seiner Krankenkasse abgeglichen sind.

    Außerdem entstehen immer auch Metadaten (wer wann wo bei welchem Arzt ist etc.), die kaum überschaubar sind und wohl auch nicht verschlüsselt werden.
    Der Systemadministrator Rolf Lenkewitz, seit Jahren die elektronische Gesundheitskarte, TI und ePA kritisch prüfend, schreibt mir heute gerade u. a. dazu:

    „Es geht, denke ich, um die Punkte und Fragen, ob die ePA für Patienten freiwilig ist und ob die Dokumente auf zentralen Servern gespeichert werden.
    Ein Focus in meinem Engagement liegt auf der Metadatenverarbeitung und der Auffindung von Nachweisen in den technischen Dokumentationen der gematik und ihrer Partner.
    Die technischen Dokumentationen strotzen nur so von Fachbegriffen, und eine Grundlage sticht
    immer wieder ins Auge, und das ist die Service-Orientierte-Architektur (SOA), die beteiligten
    Webservices, auf Server generierte Softwarebausteine/Anwendungen, die an die Clients
    geschickt werden. Weiterhin ist es -normal- in diesen Dokumentationen von verteilten
    Anwendungen und dem Einsatz der Objektidentifikatoren (OIDs) zu berichten, die vereinfacht
    Nummern sind, mit denen man identifizieren und sich orientieren kann.
    Dass Kopien der Arztdokumente als verschlüsselte Dokumente in der ePA-Anwendung bei ePA-Providern als Kopien oder Objekte in einer DMS-Datenbank, einem sogenannten Repository abgespeichert werden sollen, kann aus den verschiedensten Dokumenten entnommen werden. …

    Das Problem bei dieser ganzen Technik ist, dass sie überhaupt nicht mehr überschaubar und zu komplex ist. Es geht um Technik, in der Folge um Haftung und juristische Fragen – betroffen sind aber Arzt und Patient, und die verstehen einfach nur noch Bahnhof!

    FAZIT: Also ja, die ePA wird freiwillig sein.
    – Aber wie lange noch?
    – Welcher Patient überblickt, was da passiert?
    – Man denke auch an ältere Menschen und schwer psychisch Kranke!
    – Wie ist es mit den Metadaten?
    – Wie ist es mit der zunehmenden Müdigkeit, sich um all seine Daten, Updates und Geräte zu kümmern?
    – Wie ist es mit dem sanften Druck durch relativ sicher kommende Rabatte und suggeriert schlechtere Behandlung (etwa im Sinne: „wenn Sie Ihre Befunde, Medikamente und Notfalldaten da nicht speichern, können andere Ärzte nicht so gut behandeln …“)?
    Soweit ich es bisher überblicke, werden Medikamentenplan und Notfalldaten zwar auf dem Kartenchip gespeichert, dafür aber und zum Lesen der Daten braucht man aber wohl leider die TI!
    – und: die für die ePA in den Praxen nötige TI ist für Behandler eben nicht freiwillig!

    Von daher geht es in der Petition um die fragwürdige zentrale Speicherung der Daten, um die Unfreiwilligkeit für Behandler und die zumindest bedrohte Freiwilligkeit für Patienten, die heute schon durch das Implantateregister-Errichtungsgesetz und Digitale Versorgung Gesetz um ihre Widerspruchsmöglichkeit bei der Verwendung ihrer Daten (im DVG betr. die Abrechnungsdaten) gebracht wurden.

    Andreas Meißner

  2. Wir sollten eher auf die Unfreiwilligkeit und den Umfang der beteiligten Datenverarbeitung hinweisen!

    und die Gefahren einer automatisierten Verarbeitung, die eine ePA Initialisierung jederzeit fehlerhaft
    auslösen könnte. Das Kopien der Arztdokumente als verschlüsselte Dokumente in der ePA-Anwendung bei ePA-Providern als Kopien oder Objekte in einer DMS-Datenbank, einem sogenannten Repository abgespeichert werden sollen kann aus den verschiedensten Dokumente entnommen werden. Das ePA-System wird in den Fachbeschreibungen auch häufig ePA-Aktensystem genannt, siehe:

    https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Zulassungen/Produktivbetrieb/gemZul_Prod_SGD_ePA_V1.0.0.pdf

    Weiterhin wird beschrieben, dass es ist möglich, dass ein Anbieter, der schon als TSP in der TI arbeitet, die Funktionalität eines Schlüsselgenerierungsdienst ePA umsetzt und so Synergien nutzt , wie z.B. vorhandene Anbindungen an die TI, sichere Rechenzentrumsumgebung, fachlich geschultes Personal. Damit ist gemeint, dass externe Anbieter, die bereits eine entsprechende Infrastruktur vorweisen, weitere Funktionen übernehmen können, wenn sie die Anforderungen der gematik erfüllen.

    TSP steht für Telematik-Service-Provider, ungefährt analog zu Internet-Service-Provider!

    Unter dem Link:

    https://www.gematik.de/fileadmin/user_upload/fachportal/files/Service/Anschluss_medizinischer_Einrichtungen_an_die_Tele-matikinfrastruktur__DVO_/gemKPT_Betr_V3.4.0.pdf

    findet man im Kapitel:
    3.2.18 Anbieter ePA-Aktensystem

    weitere Spezifikation für ePA-Service-Provider.

    Wenn wir berücksichtigen, dass wir es mit einem Konzept und der Technologie eines verteilten IT-Systems zutun haben, dann ist es normal, dass es nicht nur ein einziges zentrales Rechenzentrum gibt, sondern sehr viele im größten IT-Projekt der Welt.

    Das neue Prinzip nenne ich Masterzentralität, die nichts mehr mit den alten Vorstellungen von zentralen Servern gemeinsam hat. Masterzentralität wird gebildet über die machtvolle erweitere Datenverarbeitung, die verteilte Software und Hardware die überall eingebaut wird und die Richtung vorgibt.

    In den Zeiten der Virtualisierung von Hardware und Server wird der gerade der Entwicklungsschritt
    vollzogen das ganze Rechenzentren selbst nun virtualisiert werden! Das ist für Laien noch schwerer vorstellbar!

    Die Frage nach den zentralen Servern ist meiner Meinung schon lange beantwortet und wurde
    ja dank dem CCC aufgedeckt, die die Studie von Booz, Allan, Hamilton von 2006 veröffentlicht haben,
    wo erstmals nachvollzogen werden konnte das 8 große Rechenzentren in Planung sind.

    Auch heute lassen sich die Rechenzentren in vielen Tech-Dokus nachvollziehen!
    Die Frage nach den zentralen Servern und der modernen Lösungen hergestellter Zentralität
    durch Mastersysteme ist damit aufgeklärt und somit auch ein ständiger Arbeitspunkt.

    Auf Grund der gegebenen Informationen und sehr vieler Punkte in den technischen Dokumentationen,
    die spezielle Aspekte der Metadatenverarbeitung und der erfolgten Software-Updates (AVS/PVS) angeht vertrete ich die Meinung, dass die ePA nicht als freiwillig betrachtet werden kann.

    Die Dimension der ePA wird hier deutlich, siehe Link zum PDF (Bertelsmann Expertise /Avarto), geben Sie dann im PDF die Suchworte ein:

    repository und oid

    siehe auch die Grafik auf Seite 150 >>>

    https://www.bertelsmann-stiftung.de/fileadmin/files/BSt/Publikationen/GrauePublikationen/VV_eEPA_Expertise_final.pdf

    siehe auch

    Fehlende Analyse des ePA-Systems
    http://www.rdlenkewitz.eu/html/pdf/fehlendeAnalyse.pdf

    In Wirklichkeit ist die ePA nicht freiwillig! Es kommt auf die Betrachtungsweise an
    http://www.rdlenkewitz.eu/html/pdf/epanichtfreiwillig.pdf

    Wir stehen ganz am Anfang was die Aufklärung des ePA-Systems angeht! Wir spielen den Befürwortern in die Hände wenn wir glauben die Funktionen und Arbeitsweisen ausreichend zu kennen.
    Ich wünschte mir wir würden alle mehr zusammenrücken können um diese gefährlichen Entwicklungen zu stoppen!

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*