Das Patientendatenschutzgesetz (PDSG)

Im Gesundheitswesen bricht sich derzeit ein stetig voranschreitender Digitalisierungstrend Bahn. Schon seit 2011 existiert die elektronische Gesundheitskarte. Mit dem Patientendatenschutzgesetz (PDSG) sollen nun auch die elektronische Patientenakte und das E-Rezept hinzutreten. Das Gesetz wurde am 3. Juli 2020 vom Deutschen Bundestag beschlossen. Die Einführung von elektronischer Patientenakte und E-Rezept soll im Herbst 2021 erfolgen.

Inhalt

• Die elektronische Patientenakte (ePA)
  • Was bedeutet die ePA für den Patienten?
  • Was bedeutet die ePA für das Krankenhaus?
  • Was bedeutet die ePA für die IT-Sicherheit im Krankenhaus?
  • Was sind die technischen Voraussetzungen für die ePA?
• Das E-Rezept
• Fazit

Die elektronische Patientenakte (ePA)

Die elektronische Patientenakte (ePA) sollte bereits mit dem Digitale-Versorgung-Gesetz (DVG) eingeführt werden, das am 7. November 2019 vom Deutschen Bundestag beschlossen wurde. Datenschützer hatten hier jedoch Einwände. Mit dem PDSG ist nun eine endgültige rechtliche Grundlage für die elektronische Patientenakte geschaffen.

Was bedeutet die ePA für den Patienten?

Bei der elektronischen Patientenakte handelt es sich um eine Datenbank, in der patientenbezogene Daten gespeichert werden können. So sollen beispielsweise Befunde, Arztberichte oder Röntgenbilder hinterlegt werden. Darüber hinaus soll die Datenbank auch den Impfausweis, den Mutterpass, die Vorsorgeuntersuchungen für Kinder (U-Heft) und das Zahn-Bonusheft umfassen. Das Spektrum der Dokumente, die in der elektronischen Patientenakte abgelegt werden können, soll darüber hinaus kontinuierlich erweitert werden.

Der Patient kann selbst entscheiden, welche Gesundheitsdaten er dem Arzt zur Verfügung stellen möchte. Nach einer Behandlung kann der Patient z.B. selbst festlegen, welche Behandlungsdaten der Arzt in die elektronische Patientenakte hochladen soll. Ältere Dokumente kann der Patient, soweit er dies möchte, selbst einbringen. Bei Arztwechseln, Facharztbesuchen oder Krankenhausaufenthalten mussten Patientendaten bisher umständlich beim bisherigen Hausarzt angefragt werden. Die elektronische Patientenakte bietet den Vorteil, dass der behandelnde Arzt alle Daten, soweit vom Patienten freigegeben, sofort einsehen kann.

Ferner wird durch die elektronische Patientenakte die Möglichkeit geschaffen, Gesundheitsdaten der Patienten anonymisiert auszuwerten, sofern diese von den Patienten hierfür freigegeben wurden (Datenspende). Über statistische Auswertungsverfahren z.B. mit Hilfe künstlicher Intelligenz können hierdurch wertvolle Erkenntnisse über die Häufigkeit von Krankheitsmustern gewonnen werden.

Allerdings gibt es auch Kritik. Trotz der Verbesserungen gegenüber dem Digitale-Versorgung-Gesetz bestehen gegenüber der elektronischen Patientenakte weiterhin Bedenken in Sachen des Datenschutzes. So hat die jeweilige Krankenkasse Zugriff auf alle Daten, die in die elektronische Patientenakte eines Patienten geladen werden. Hier könnten die Interessen von Patienten tangiert sein.

Was bedeutet die ePA für das Krankenhaus?

Für Krankenhäuser sind mit der Einführung der elektronischen Patientenakte erhebliche Rationalisierungsgewinne verbunden. So sind im Krankenhaus oft mehrere Ärzte sowie Krankenschwestern und Krankenpfleger in die Behandlung eines Patienten involviert. Wenn das ganze Personal die Fakten zu einem Patienten jeweils aus der elektronischen Patientenakte entnehmen kann, erleichtert dies die Arbeit ungemein.

Außerdem sinkt die Wahrscheinlichkeit von Fehlmedikationen. Helios, der größte Klinikbetreiber in Deutschland, gibt an, dass die elektronische Patientenakte aktuell bereits in 40 % der Kliniken des Konzerns genutzt werde. Bis Ende 2022 sollen alle Helios-Kliniken auf das neue System umgestellt sein.

Arztpraxen müssen bereits ab Juli 2021 elektronische Patientenakten lesen und befüllen können. Die in einer Klinik erforderlichen Umstellungen sind jedoch bei weitem komplexer als der Umstellungsprozess in einer Arztpraxis. Daher kann nicht erwartet werden, dass sich der Umstellungsprozess in Kliniken mit derselben Geschwindigkeit vollzieht.

Was bedeutet die ePA für die IT-Sicherheit im Krankenhaus?

Durch die digitale Erfassung von Patientendaten in der elektronischen Patientenakte ergeben sich für Krankenhäuser allerdings auch höhere Anforderungen an die IT-Sicherheit. Sollte das IT-System eines Krankenhauses gehackt werden, könnten Unbefugte über die elektronische Patientenakte an sensible Patientendaten in großem Umfang gelangen.

Deshalb müssen Krankenhäuser, die die elektronische Patientenakte nutzen, ihre IT-Sicherheit auf das Niveau, das für Gesundheitsdaten gefordert wird, aufstocken. Als Sicherheitsstandard für Krankenhäuser hat sich hier der Branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser etabliert. Dieser Sicherheitsstandard wurde von der Deutschen Krankenhausgesellschaft (DKG) entwickelt und ist vom BSI anerkannt. Er dient bei Krankenhäusern der kritischen Infrastruktur als Referenz und ist auch für nicht KRITIS Häuser in einem angepassten Umfang maßgeblich.

Laut DKG wird gegenwärtig eine Anpassung des Standards an eine breitere Anwendung diskutiert. In jedem Fall stellt die Anpassung an B3S für Krankenhäuser eine enorme Herausforderung dar. Ohne externe Beratung dürfte eine Umsetzung für Krankenhäuser kaum möglich sein.

Was sind die technischen Voraussetzungen für die ePA?

Zur Realisierung der elektronischen Patientenakte ist ein Netzwerk erforderlich, das den zugrundeliegenden Transfer von Gesundheitsdaten technisch ermöglicht. In Deutschland wurde dieses Netz unter dem Namen Telematik-Infrastruktur (TI) geschaffen. Bei Telematik handelt es sich um ein Akronym, das die Begriffe “Telekommunikation” und “Informatik” verbindet. Die Telematik-Infrastruktur ist ein geschlossenes Netz, zu dem nur registrierte Nutzer Zugang haben.

Betrieben wird die Telematik-Infrastruktur von der “Gesellschaft für Telematik-Anwendungen der Gesundheitskarte” (gematik), die von den Spitzenorganisationen des deutschen Gesundheitswesens gegründet wurde. Auch an der technischen Realisierung der elektronischen Patientenakte ist die gematik federführend beteiligt. Beispielsweise wurde die Hardware, die für den Zugriff auf die elektronische Patientenakte erforderlich ist, von der gematik entwickelt.

Um Zugriff auf die Telematik-Infrastruktur zu erlangen, müssen Arztpraxen und Krankenhäuser über einen Konnektor sowie einen VPN-Zugangsdienst verfügen. Der Konnektor lässt sich mit einem Internet-Router vergleichen, arbeitet jedoch auf einem deutlich höheren Sicherheitsniveau und lässt zunächst nur Verbindungen zur TI zu. Um die Dienste der TI nutzen zu können und um auf Daten zuzugreifen, muss sich das medizinische Personal gegenüber der TI z.B. mittels einer SmartCard authentisieren.

Die Telematik-Infrastruktur wurde bereits für das Versichertendaten-Management (VSDM) verpflichtend genutzt. Weitere Anwendungen wie der elektronische Medikationsplan, die elektronische Patientenakte oder das E-Rezept stehen bereits zur Verfügung oder sollen bald genutzt werden können.

Das E-Rezept

Das E-Rezept (elektronisches Rezept) ermöglicht die Verordnung verschreibungspflichtiger Arzneimittel und nutzt die Telematik-Infrastruktur. Leichte Erkrankungen, wie beispielsweise grippale Infekte, lassen sich gut im Rahmen von Videosprechstunden diagnostizieren, die im Zusammenhang mit der TI immer mehr an Popularität gewinnen. Im Anschluss an die Video-Sprechstunde kann der behandelnde Arzt ein E-Rezept ausstellen. Dieses kann der Patient auf ein Smartphone laden und in der Apotheke einlösen.

Die Einführung des E-Rezepts startete am 1. Juli 2021 zunächst mit einer Testphase in der Region Berlin-Brandenburg. Mit dem vierten Quartal 2021 beginnt die bundesweite Einführungsphase. Bis zum 1. Januar 2022 sollen bundesweit alle Arztpraxen, Krankenhäuser und Apotheken technisch auf das E-Rezept vorbereitet werden. Das E-Rezept wird zu diesem Datum verpflichtend. Das handschriftlich ausgestellte Rezept wird abgeschafft. Allerdings können Patienten bei Bedarf das E-Rezept in ausgedruckter Form verwenden.

Patienten benötigen zur Nutzung von E-Rezepten die E-Rezept-App. Diese wurde von der gematik entwickelt. Seit dem 1. Juli 2021 steht sie im Google Play Store, im App-Store und in der Huawei App-Gallery zum Download bereit. Der Download der E-Rezept-App ist kostenlos. Voraussetzungen für die Nutzung sind: ein Smartphone ab iOS 14 oder Android 7; ein NFC-fähiges Smartphone; eine NFC-fähige elektronische Gesundheitskarte inklusive PIN.

In datenschutzrechtlicher Sicht stößt das E-Rezept auf Kritik. So schreibt das PDSG die datenschutzrechtliche Verantwortung nicht etwa der gematik, sondern ausschließlich dem jeweiligen Dienstanbieter (d.h. Ärzten, Apotheken und Krankenhäusern) zu.

Fazit

Mit elektronischer Patientenakte und E-Rezept führt das PDSG bahnbrechende Innovationen in das Gesundheitssystem ein. Trotz der Datenschutz-Bedenken, die in beiden Fällen bestehen, sollte man davon ausgehen, dass die Vorteile überwiegen. Patienten wird Aufwand erspart. Krankenhäusern wird eine Rationalisierung des Behandlungsvorgangs ermöglicht. Die Qualität der Behandlung wird steigen und Behandlungsfehler und Fehlmedikationen werden abnehmen.

Mit der fortschreitenden Digitalisierung steigen auch die Anforderungen an die IT-Sicherheit in den Arztpraxen und Krankenhäusern. Ab dem 1. Januar 2022 sind grundsätzlich alle Krankenhäuser verpflichtet, angemessene Maßnahmen für den Schutz der informationstechnischen Systeme zu treffen. Doch bei all der technischen Betrachtung – es geht um die Patientensicherheit und die Gewährleistung der Behandlungseffektivität. Genau dafür müssen die IT-Systeme sicher und zuverlässig funktionieren.

Der branchenspezifische Sicherheitsstandard B3S bietet eine hervorragende Grundlage, effektiv mit den Herausforderungen der IT-Sicherheit umzugehen und Maßnahmen praxisorientiert umzusetzen.