Die öffentlichen Krankenkassen verschicken seit einer Weile enthusiastische Briefe mit der Nachricht, dass alle Versicherten ab Januar eine elektronische Patientenakte bekommen. Eine super Sache sei das. Und das Beste: Niemand muss irgendwas machen, es passiert ganz von alleine. An dieser Stelle legen die meisten das Schreiben vermutlich weg, erleichtert, dass nichts erledigt werden muss, und wenden sich anderen Dingen zu.

Wer noch ein bisschen weiterliest, erfährt, dass die elektronische Patientenakte (ePa) so praktisch sei, weil alle Ärzt*innen dann direkt sehen können, welche Behandlungen und Krankheiten die Person zur Akte vorher hatte und welche Medikamente verordnet wurden. Dazu sollen die Daten noch helfen, die Erforschung von Krankheiten und Medikamenten zu verbessern. Eine klassische Win-win-Situation: Alle haben was davon.

Das jedenfalls meinen die Krankenkassen, und ich gebe zu: Es klingt überzeugend. Auch die Kassen profitieren, denn die versprechen sich deutlich geringere Ausgaben, weil doppelte Behandlungen wegfielen und weniger Personal für die Verwaltung gebraucht werde. Da guckt das ultimative Digitalisierungsversprechen um die Ecke – oder auch die ultimative Digitalisierungsbedrohung, je nachdem, aus welcher Perspektive das Ganze betrachtet wird. Das Personal der Kassen ist möglicherweise nicht ganz so enthusiastisch, wenn ihre Stellen wegfallen.

Anne Roth Privat Anne Roth gehört zu den Pionierinnen linker Netzpolitik. Für »nd« schreibt sie jeden ersten Montag im Monat über digitale Grundrechte und feministische Perspektiven auf Technik.

Das ist aber nicht der einzige Haken an der Sache. Vielleicht erinnern sich einige an die Meldungen über den Hacker-Angriff auf das englische Gesundheitssystem NHS im vergangenen Juni, der nicht nur den Ausfall von Operationen zur Folge hatte, sondern bei dem auch massenhaft Patient*innendaten gestohlen wurden. Oder an den in Schottland. In Bayern. Bielefeld. Bremen. Berlin. Nicht immer geht es um Patient*innendaten, manchmal wird mit sogenannten Ransomware-Attacken auch »nur« ein Krankenhaus lahmgelegt, um Zahlungen zu erpressen. Aber es bleibt doch deutlich der Eindruck, dass IT-Sicherheit und das Gesundheitswesen bislang zwei Felder sind, die zu oft eher getrennt voneinander funktionieren.

Und so haben im vergangenen Dezember zahlreiche Organisationen in einem offenen Brief vor der Digitalisierung des Gesundheitswesens gewarnt: »Vertrauen lässt sich nicht verordnen«, heißt es darin. Die Verabschiedung verschiedener Gesetze zum Thema stand im Bundestag kurz bevor, dazu gehörten auch die Pläne für die ePa. Im offenen Brief wurden gleich zehn Kriterien benannt, die aus Sicht von Organisationen wie der Verbraucherzentrale Bundesverband, dem Chaos Computer Club oder der Deutschen Aidshilfe nicht angemessen berücksichtigt werden. »Die derzeit angestrebten Prozesse, die die Digitalisierung des Gesundheitswesens vorantreiben sollen, weisen grundlegende Fehler auf.«

Das hat den Bundestag nicht weiter gejuckt, die Gesetze wurden ohne große Änderungen verabschiedet, und damit gibt es die ePa für alle ab Januar 2025. Was ist konkret das Problem? Zunächst die IT-Sicherheit, also die Gefahr, dass unsere Gesundheitsdaten hübsch sortiert und komplett auf den zur ePa gehörenden Servern zu finden sind. Bislang waren sie ziemlich verteilt in allen möglichen Arztpraxen und manchmal wahrscheinlich noch mit Bleistift auf diese großen Klappkarteikarten geschrieben. In Zukunft also digital, im Prinzip gar nicht schlecht, aber eben nicht bei uns oder bei der Ärztin, denn die Daten werden nicht auf unseren Krankenkassenkarten gespeichert, sondern auf Servern, bei denen wir dann nur hoffen können, dass das gut geht.

Nächstes Problem: Klar wollen viele Ärzt*innen wissen, welche Behandlungen ein*e Patient*in in der Vergangenheit hatte, und das ist häufig auch sehr sinnvoll. Aber vielleicht möchte ich nicht, dass der Dorfarzt mitkriegt, dass ich vor Jahren einen Aufenthalt in der Psychiatrie oder einen Schwangerschaftsabbruch hatte. Da gilt aber leider das Ganz-oder-gar-nicht-Prinzip. Alle Daten oder gar keine. Diese Entscheidung erfordert dann allerdings, die nötigen Details zur Bedienung der App zur ePa zu verstehen und im entscheidenden Moment die Zugangsdaten parat zu haben. Wahrscheinlicher ist vermutlich, dass viele Patient*innen in der konkreten Situation anderes im Kopf haben und froh sind, wenn ihnen irgendwer zeigt, wo sie klicken sollen. Ich fände nicht verwunderlich, wenn in ein paar Jahren hier und da in Praxen kleine unscheinbare Zettelkästen mit den PIN-Nummern der älteren und auch jüngeren Patient*innen zu finden wären.

Schließlich sollen die Daten auch zu Forschungszwecken genutzt werden. Anonymisiert, selbstverständlich, wir wollen ja nicht mit Namen und Adresse mit all unseren Krankheitsgeschichten irgendwo auftauchen. Auch das klingt auf den ersten Blick schlüssig. Aber so einfach ist das nicht mit der Anonymisierung, wenn es im Landkreis XY nicht sehr viele Menschen gibt, die auf dem linken Ohr gehörlos sind, ein Kind haben, das im Mai 2015 geboren wurde, denen kürzlich die Weisheitszähne gezogen wurden und die neuerdings HIV-Medikamente verschrieben bekamen. Mit diesen Daten forschen dürfen dann nicht nur Universitäten, sondern auch Pharma-Unternehmen.

»Wenn das mal gutgeht«, stand kürzlich in der Verdi-Mitgliederzeitung über einem Artikel, der das Ganze auch aus Perspektive der Arztpraxen betrachtete. Die seien so schon nicht glücklich, weil ihnen die Geräte und Programme, die vor Ort zur Umsetzung der Gesundheitsdigitalisierung nötig seien, Zeit und Nerven rauben. Unwahrscheinlich, dass das besser wird, wenn die Patientenakte dazukommt.

Immerhin: Theoretisch ist die ePa freiwillig, und für alle gibt es die Option, sie abzulehnen. Und die Skepsis ist groß. In einer Umfrage gab ein Drittel der Befragten an, dass sie der Nutzung widersprechen werden. Diese Zahl ist seit dem vergangenen Jahr sogar noch gestiegen. Wie viele das auch wirklich tun, wird sich zeigen. Es ist zu erwarten, dass die meisten sich letztlich nicht mit der Fragen beschäftigen und den Brief nicht zu Ende lesen. Damit stimmen sie der Nutzung dann zu, vermutlich ohne sich bewusst zu machen, dass sie sie auch ablehnen könnten.

Bei diesem sogenannten Opt-out-Verfahren bekommen alle die ePa, die nicht aktiv widersprechen. Opt-in hätte bedeutet, dass sie nur bekommt, wer aktiv zustimmt. Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider kommentierte das so: »Aus datenschutzrechtlicher Perspektive kann ich eigentlich nur eins sagen: dass die Opt-out-Entscheidung in der ePa eine politische Entscheidung war, die getroffen wurde. Ich denke, aus datenschutzrechtlicher Perspektive wären wir alle glücklicher gewesen, wenn es eine Einwilligungslösung geworden wäre.«

Vorsichtshalber hat das Gesundheitsministerium noch vier Millionen Euro für eine Informationskampagne eingeplant, die für Ende des Jahres und damit kurz vor Start der Patientenakte geplant ist. Besser wäre vermutlich, wenn das Geld in die IT-Sicherheit des Systems fließen würde. Ein Gutachten des Fraunhofer-Instituts für Sichere Informationstechnologie kam gerade zu dem Ergebnis, dass das Konzept der ePa eine ganze Reihe von Schwachstellen aufweist, davon einige ausgesprochen ernsthafte.

Also: Mut zum Widerspruch. Hier gibt es ein paar Tipps, wie der Widerspruch eingereicht werden kann, wenn der Brief von der Kasse schon im Altpapier gelandet war. Niemand muss eine elektronische Patientenakte haben.