Die Bundesregierung will die elektronische Patientenakte (ePA) künftig für alle Versicherten automatisch einrichten und befüllen lassen. Wer das nicht möchte, kann widersprechen (Opt-out). Damit würde Deutschland einem Modell folgen, das auch in anderen europäischen Ländern schon umgesetzt wird. Während der Sachverständigenrat für das Gesundheitswesen und der Deutsche Ärztetag diesen Schritt begrüßen, werden von Seiten des Datenschutzes Bedenken geäußert. Hier gilt weiterhin die individuelle Einwilligung als besser geeignet, die informationelle Selbstbestimmung zu garantieren. Ein Rechtsgutachten im Auftrag der Bertelsmann Stiftung und der Stiftung Münch ist nun dieser Frage nachgegangen und plädiert für eine differenzierte Abwägung, aber mit dem Ziel einer weitgehenden Opt-out-Lösung.
Recht auf informationelle Selbstbestimmung genießt in Deutschland einen hohen Stellenwert; es wurde durch die Rechtsprechung des Bundesverfassungsgerichts direkt aus den Grundgesetzartikeln zur Würde des Menschen und zum Recht auf freie Entfaltung der Persönlichkeit abgeleitet. Informationen über die eigene Gesundheit gehören zweifelsohne zu den sensibelsten personenbezogenen Daten und unterliegen daher besonders hohen Schutzanforderungen. Beim Thema „Gesundheit“ ist aber auch ein anderes relevantes Schutzgut der Verfassung zu berücksichtigen: die körperliche Unversehrtheit. Um sie, d. h. die Gesundheit der Einzelnen, zu schützen, gilt gewissermaßen ein Gebot der umfassenden, verantwortungsbewussten Datennutzung und ein Recht darauf, dass möglichst keine relevanten Informationen verloren gehen. Egal ob in der analogen oder digitalen Versorgungswelt – bei der gesetzlichen Regelung der ePA muss immer zwischen diesen beiden Ansprüchen abgewogen werden.
ePA als Einwilligungskaskade – der Status quo
Hierzulande wird diese Abwägungslast meist an die Bürgerinnen und Bürger selbst delegiert. Der Souveränität der Versicherten und ihrer informationellen Selbstbestimmung, heißt es von Seiten des Datenschutzes, sei am ehesten zu genügen, indem das Recht auf Datennutzung möglichst bei jedem einzelnen Zugriff an die ausdrückliche Zustimmung der jeweils Betroffenen gebunden bleibe. So kam es zur Konzeption der ePA, wie sie derzeit gilt, als Einwilligungskaskade: Von der Einrichtung über die Befüllung bis hin zur Nutzung muss jeder Zugriff einzeln vom Versicherten gestattet werden. Den Aufwand tragen im Wesentlichen die an der Versorgung beteiligten Akteure. Im Ergebnis nutzen die ePA derzeit in Deutschland 0,75 Prozent der Versicherten – in Österreich sind es fast 97 Prozent.
Andere Mitgliedstaaten der EU, in denen dieselbe Datenschutzgrundverordnung (DSGVO) gilt wie in Deutschland, haben bei der Konzeption ihrer ePA einen anderen Weg beschritten. Sie haben sich gemäß Artikel 9 der DSGVO dazu entschlossen, die Einrichtung, Befüllung und Nutzung der ePA im Sinne des Schutzes der individuellen und/oder öffentlichen Gesundheit per Gesetz zu ermöglichen – auch ohne die Einwilligung der einzelnen Versicherten. Diese können einer solchen Nutzung ihrer Daten selbstverständlich widersprechen und das System der ePA verlassen (Opt-out). In Österreich machen das gerade einmal 3,2 Prozent der Versicherten. Egal, für welchen Weg man sich entscheidet: Einen grundsätzlichen Vorrang des individuellen Einwilligungsvorbehalts gegenüber einer gesetzlichen Erlaubnis zur Datennutzung gibt es weder im europäischen noch im deutschen Recht. Der Gesetzgeber ist auch hierzulande befugt, die ePA auf Opt-out umzustellen. Solange sich die Nutzerzahlen im Promillebereich bewegen, wäre dafür auch noch Zeit.
Aneignung und Steuerung der ePA durch Versicherte muss einfach sein
Selbstverständlich müssen, wenn Anlage, Befüllung und Nutzung der ePA automatisch, quasi „hinter dem Rücken“ der Versicherten geschehen kann, diese darüber aufgeklärt und in die Lage versetzt werden, der ePA und ihrer Nutzung auch zu widersprechen – und zwar ohne Hürden oder Komplikationen. Verzichtet der Gesetzgeber auf das individuelle Einwilligungserfordernis, muss er im Gegenzug das Opt-out umso einfacher gestalten. Das gilt auch für die Steuerungsmöglichkeiten der Versicherten: die Regelung von Zugriffsrechten für Angehörige der Gesundheitsberufe oder die Ausblendung bzw. Verschattung von Inhalten auf der ePA durch die Versicherten. All das muss sowohl in der ePA-App selbst, am heimischen PC, aber auch in der Arztpraxis, bei der Krankenkasse oder in der Apotheke erledigt werden können. Die ePA ist versichertengeführt, sofern die Versicherten sich dafür entscheiden, die Regie zu übernehmen. Tun sie das nicht, bleibt die ePA ein Instrument, um die Kommunikation zwischen den an der Behandlung beteiligten Gesundheitsprofis zu verbessern und zu dokumentieren. Auch das ist im Interesse der Patientinnen und Patienten.
Opt-out macht ePA zur digitalen Grundausstattung im Gesundheitswesen
Gegen eine Umstellung der ePA auf Opt-out wird schließlich noch ein weiteres Argument ins Feld geführt. Zuerst müsse die ePA attraktiver werden, konkreten Nutzen stiften, bevor man alle Versicherten einbeziehe. Es müssten vorher Anwendungen in die ePA integriert werden, die den Behandlungsverlauf flüssiger und transparenter gestalten. Eigentlich müsste aus der Patientenakte erst eine digitale Behandlungsplattform werden, man brauche eine ePA2.0, bevor man an Opt-out denken könne. Man kann es aber auch genau andersherum sehen: Das Opt-out ist der Einstieg in die ePA2.0! Nur wenn die ePA zur Grundausstattung des Versorgungsgeschehens geworden ist, wenn sie automatisch mit den relevanten Daten befüllt wird und diese auch von den dafür zuständigen Gesundheits- und Pflegeprofis genutzt werden können – erst dann entsteht überhaupt die Möglichkeit einer das Behandlungsgeschehen begleitenden digitalen Plattform. Das Opt-out ist die Voraussetzung für eine solche Weiterentwicklung der ePA und daher ein notwendiger Schritt zur digitalen Transformation des Gesundheitswesens.
Auch Ausgabe Nr. 3 unseres Impulspapiers Spotlight Gesundheit beschäftigt sich mit dem Thema „Opt-out bei der Patientenakte“.