Patientendatenschutzgesetz, DSGVO,
BITMARK + RISE, Spezifikationen der gematik und
die TI - Telematik-Infrastruktur

Das Patientendatenschutzgesetz gestattet das Außerkraftsetzen der Artikel 12 - 22 der europäischen DSGVO, wenn(!) es die technische Realisierung erfordert. Zu beachten ist, dass dies bedeutet, dass die ePA der BITMARCK + RISE (Auftragnehmer von mehr als 80 gesetzlichen Krankenkassen) in der geplanten Ausführung sowohl gegen das Patientendatenschutzgesetz, als auch gegen die europäische DSGVO verstößt.

Dem gesetzlichen Rahmen sind zum jetzigen Zeitpunkt Änderungen vorbehalten. Falls der Bundesrat jedoch die abschließende Bestätigung des Patientendatenschutzgesetz im November erteilt, bleibt den Datenschutzbeauftragten die Möglichkeit, eine Änderung des Gesetzes durch Verbieten der Datenverarbeitung zu erzwingen.

Neben gravierenden Datenschutzmängeln weist die ePA der BITMARK + RISE weitere Datensicherheitsprobleme auf. Zentrale Server, auf denen die Daten gespeichert werden, bergen die Gefahr, dass externe Angreifer Datensätze entwenden und entschlüsseln. Dafür wird lediglich der Konnektor und Heilberufsausweis des jeweiligen Leistungserbringers benötigt.

Im November 2019 stellten Sprecher auf dem Chaos Commnunication Congress genanntes Verfahren als kompromittierbar dar.

35C3 - All Your Gesundheitsakten Are Belong To Us
36C3 - "Hacker hin oder her" Die elektronische Patientenakte kommt!

Die 72 Millionen Datensätze der gesetzlich Versicherten, zukünftig in der Cloud der BITMARK + RISE zu speichern halten wir für datenschutzrechtlich nicht haltbar.

In dem von der Gematik, die von der Bundesregierung beauftragte Stelle für die Spezifikationen der Telematik-Infrastruktur, spezifizierten Notfall bzw. den dafür vorgesehenen Notfalldatensatz, halten wir datenschutzrechtlich ebenfalls für problematisch. Durch einfaches Auslesen der elektronischen Gesundheitskarte mithilfe gängiger Kartenleser gelangt man an den Notfalldatensatz, welcher Name, Adresse und für den Notfall relevante medizinische Daten (Blutgruppe, Medikation, Allergien, etc.) im Klartext - ohne Verschlüsselung und Zugangssicherung beinhaltet.

Zwar wurde die Freiwilligkeit der ePA für den Nutzer mehrfach hervorgehoben, jedoch wird es mit hoher Wahrscheinlichkeit durch die ausschließliche Datenverwaltung mittels Telematik-Infrastruktur zu Benachteiligungen bei der medizinischen Versorgung auch von Nicht-Nutzern kommen.

Wenn also die Mehrheit der deutschen Bevölkerung auf diese Applikation zurückgreifen soll, sollte dafür gesorgt sein, dass der rechtliche Rahmen eingehalten wird und die Patientendaten sicher sind.

Anforderungen und Voraussetzungen
an meine ePA - elektronische Patientenakte

Damit Patientenaktensysteme einen Wertebeitrag für die Versorgung leisten können, müssen die Anforderungen an ihre Nutzbarkeit und die damit verbundenen Akten-Strukturen und -Funktionalitäten mit Blick auf die üblichen Versorgungsprozesse und Versorgungssettings herausgearbeitet werden und sich die Umsetzung daran orientieren.

Unverhandelbar ist die Aufrechterhaltung des Vertraulichkeitsverhältnisses zwischen den Patienten und ihren sie behandelnden Ärzten und anderen Heilberuflern. In jeder Nutzungssituation sind daher entsprechende Datenschutzmechanismen vorzusehen.

Bei der Lösungsplanung müssen die Interessen und Bedarfe aller Akteure wie z.B. Ärzte, Pflegekräfte, andere Heilberufler, Patienten und Kostenträger in angemessenem Maße Berücksichtigung finden.

Einrichtungsübergreifende Patientenaktensysteme müssen neue integrative Konzepte der Versorgung unterstützen können und auch die Prozesssteuerung und –abwicklung von Behandlungsprozessen ermöglichen.

Struktur, Kernfunktionalität und Interoperabilitätseigenschaften der für die Versicherten einsetzbaren Patientenaktensysteme müssen als Basis für die im Regelbetrieb einsetzbaren Aktensysteme und vor dem Hintergrund existierender internationaler Standards verbindlich festgelegt werden.

Hinsichtlich der Inhalte ist eine semantische Standardisierung - also die Festlegung von Vokabularen und Wertelisten - von wichtigen zentralen Angaben sowie eine strukturelle und semantische Standardisierung von wichtigen zentralen Versorgungsdokumenten unabdingbar.

Rechte und Pflichten von allen Akteuren müssen definiert werden, damit diese Akten für die Gesundheitsversorgung der Bürger ein verlässliches Instrument sein können.

Es ist vor allem auch zu beachten, dass auch Patienten als aktive Beteiligte am Behandlungsgeschehen und damit auch als Nutzer der Patientenakten berücksichtigt werden, auch mittels ihrer mobilen Endgeräte.

Für einheitlich vertrauenswürdige Lösungen müssen Minimalanforderungen hinsichtlich der praktikablen Möglichkeiten der Berechtigungsverwaltung durch die Patientinnen und Patienten und an Authentifizierungsmechanismen erarbeitet und in den Lösungsangeboten durchgesetzt werden.

Für das Inverkehrbringen und den Betrieb von Aktenlösungen müssen Zertifizierungs- und Zulassungskriterien festgelegt werden.

Die Finanzierungs- und Betreibermodelle des Aktenbetriebes müssen festgelegt und transparent sein.

Es ist zu prüfen, inwieweit rechtliche Anpassungen mit Blick auf den Aktenbetrieb, die Durchsetzung von Schnittstellenstandards, die Regelungen von Inhaltsfestlegungen und die Zugriffsrechte von Patienten notwendig sind.

Bei allen Festlegungen ist darauf zu achten, dass sowohl internationale Standards und Zertifizierungen eingehalten/berücksichtigt werden.

Deutschland muss sich aktiv an der internationalen Standardisierung für elektronische Patientenakten beteiligen, damit eine Harmonisierung von nationalen Lösungen eine gute Gesundheitsversorgung deutscher Bürger auch im Ausland auf Reisen ermöglicht.

Die Weiterentwicklung
meiner ePA - elektronische Patientenakte

Seit Mitte 2018 beschäftigen wir uns mit der Weiterentwicklung der elektronischen Patientenakte. Dabei legen wir großen Wert auf eine datenschutzkonforme Entwicklung.

Mit einem personalisiertem Anmeldeverfahren, weiterentwickelter Verschlüsselungstechnologie und im Gegensatz zu den derzeitigen Entwicklungen, setzen wir auf einen dezentralen Speicheransatz. Patientendaten werden nur auf den Geräten der Nutzer verschlüsselt und gespeichert. Weitere Sicherheitsmaßnahmen verhindern das Entwenden der Daten selbst bei Verlust des Speichermediums.

Der Nutzer selbst entscheidet welche Daten in seiner ePA gespeichert werden und welche er, für ausgewählte medizinische Leistungserbringer, freigibt. Jeder Nutzer verwaltet eigenverantwortlich seine Patientendaten und behält die absolute Datenhoheit.

Leistungserbringer erhalten nur begrenzten Zugriff auf Patientendaten. Alle im Rahmen von Versorgung und Behandlungen benötigten Daten, zB. für Kollegenkonsultationen und Meinungsaustausch werden in Abstimmung mit dem Patienten freigegeben.

Ausschließlich Metadaten für Kassenabrechnungszwecke verbleiben in den Primärsystemen der Leistungserbringer. Alle anderen Patientendaten und Behandlungsinformationen werden nach Abschluss der Behandlung in die ePA zurück gegeben. In dieser Form wird das Sicherheitsrisiko für Leistungserbringer tragbar und diese werden, eben so wie der Patient selbst, vor Missbrauch sensibler Daten geschützt.

Krankenkassen haben keinen Einblick in die ePA oder dort gespeicherte Patientendaten. Wie vom Gesetzgeber Vorgesehen, können aber krankenkassenspezifische Inhalte in die ePA gespeichert werden. Dazu benötigt es natürlich der ausdrücklichen Zustimmung des Patienten.

Einer weiteren ausdrücklichen Zustimmung bedarf es, seitens des Patienten, dass der Bereich der Forschung anonymisierte Daten von Patienten herhält und diese ausschließlich für maßgebliche Zwecke der Forschung genutzt werden können.

Neben Datenschutz und Datensicherheit spielten weitere relevante Faktoren bei der Entwicklung eine wichtige Rolle. Dank minimaler Datenerhebung und -übertragung, elegant schlankem Framework und grüner Servertechnologie, arbeitet unser System äußerst energieeffizient, datensparsam und bei minimalster Internetnutzung (56Kbit/s).

Genauso haben wir bei der Entwicklung auf Nutzbarkeit, mit besonderem Augenmerk auf Barrierefreiheit geachtet, um beispielsweise Menschen mit Seheinschränkung die Nutzung der ePA ebenfalls zu ermöglichen.

HINWEIS: Alle Aussagen über die BITMARCK + RISE reflektieren lediglich die fundierte Meinung unserer Entwickler. Wir geben keine rechtliche Gewähr auf vollständig wahrheitsgetreue Aussagen. Die herausgegebenen Informationen bezüglich der elektronischen Patientenakte und der Telematik-Infrastruktur sind schwer zugänglich und erfordern bei der Interpretation ein hohes Maß an Know-How und Erfahrung um die Bedeutung des Datenschutzes in der elektronischen Patientenakte einschätzen zu können.

Zusätzlich fehlt es an Transparenz bei der Entwicklung. Außenstehenden ist es kaum möglich auf die wirkliche inhaltliche Ausführung der ePA zu schließen.

Kontakt, Hilfen und Unterstützung

Für weitere Fragen, Hilfe und Unterstützung nutzen Sie gern die Möglichkeit, uns eine Nachricht zu hinterlassen.

Dazu können Sie unser Kontaktformular nutzen oder uns direkt eine eMail an: kontakt@epa.guide senden.




*Alle Daten werden verschlüsselt übertragen.
I ♥ meine ePA