Die elektronische Patientenakte – ein Beispiel für die Digitalisierung im Gesundheitswesen – steht gesetzlich Versicherten in Deutschland seit Januar 2021 zur Verfügung. Trotzdem wird sie bislang kaum genutzt. Forschende der Ruhr-Universität Bochum, der Leibniz Universität Hannover und des Helmholtz-Zentrums für Informationssicherheit Cispa haben nun eine Studie auf der Basis von Interviews vorgelegt. Sie zeigt, dass es viele Missverständnisse rund um die digitale Infrastruktur gibt, auf der die Akte basiert – beispielsweise darüber, wer welche Daten einsehen kann. Vor allem die Rolle der Krankenkassen sorgt für Skepsis.
Die Ergebnisse stellten Prof. Dr. Karola Marky und Doktorandin Rebecca Panskus von der Ruhr-Universität Bochum am 8. August 2023 auf dem Symposium on Usable Privacy and Security in den USA vor. Sie kooperierten für die Arbeiten mit Prof. Dr. Sascha Fahl, Leibniz Universität Hannover und Cispa, und dem Hannoveraner Studenten Max Ninow.
„Die digitale Infrastruktur der elektronischen Patientenakte könnte deutlich verbessert werden“, folgert Karola Marky aus der Studie. Beispielsweise sollten Krankenkassen nicht die Apps bereitstellen, mit denen Versicherte den Zugriff auf ihre Daten festlegen können, so die Wissenschaftlerin. „Und es ist insgesamt deutlich mehr Aufklärung zu dem Thema erforderlich, die man nicht allein den Arztpraxen und Apotheken aufbürden kann.“
Über die digitale Infrastruktur der ePA ist wenig bekannt
Für die Studie baten die Forschenden im ersten Schritt 21 gesetzlich Versicherte aufzumalen, wie sie sich die digitale Infrastruktur hinter der elektronischen Patientenakte vorstellen. Zur Orientierung bekamen sie dabei folgendes Szenario an die Hand: Stellen Sie sich vor, Sie gehen zum Arzt und wollen diesem Zugriff auf Ihre Patientenakte gewähren. Wie stellen Sie sich den Datenfluss vor?
Digitalgesetz: Standards für Interoperabilität mit Medtech-Industrie festlegen
Als Unterstützung erhielten die Befragten ein Set von ausgedruckten Icons. Diese symbolisierten beispielsweise eine Ärztin, ein Smartphone, die Krankenkasse oder ein Krankenhaus. Im Set enthalten waren auch Icons von Einrichtungen, die in die digitale Infrastruktur nicht einbezogen sind.
Die Probandinnen und Probanden wählten die ihrer Meinung nach passenden Icons aus und zeichneten handschriftlich die Verbindungen zwischen den ausgewählten Elementen ein. Parallel wurden sie zu ihren Entscheidungen befragt.
Keiner der Befragten wusste, wie die Daten der ePA wirklich fließen
Keine der 21 Personen vermutete die Struktur so, wie sie tatsächlich ist. Die Darstellungen der Befragten wichen zudem deutlich voneinander ab.
Die Studie zeigte nach Angaben der Autoren einige Missverständnisse auf. So gingen Menschen beispielsweise davon aus, dass alle Arztpraxen automatisch die Daten in ihrer Akte einsehen können. Tatsächlich müssen die Versicherten Ärztinnen und Ärzten den Zugriff aber einzeln freischalten – über eine App oder mithilfe der Krankenkassenkarte und einer PIN.
Rolle der Krankenkassen bei der ePA wird kritisch gesehen
Im nächsten Schritt bekamen die Teilnehmenden die tatsächliche digitale Infrastruktur präsentiert und konnten äußern, was sie daran gut oder schlecht fanden. Hauptkritikpunkt war die Rolle der Krankenkassen. 85 Krankenkassen stellen ihren Versicherten derzeit Apps bereit, mit der sie Arztpraxen Zugriff freischalten oder die Daten in ihrer Akte bearbeiten können, beispielsweise um Einträge zu löschen.
„Es ist gesetzlich geregelt, welche Daten Krankenkassen einsehen dürfen“, erklärt Karola Marky. Die Tatsache, dass die Kassen den Versicherten Apps zur Verfügung stellen, suggeriere vielen, dass Krankenkassen mehr Daten sehen könnten als ohne digitale Akte.
Eine zentrale Open-Source-App wäre vielleicht besser
Ob das tatsächlich stimmt, haben die Forschenden in der aktuellen Studie nicht untersucht. Aber: „Aus Sicherheitsperspektive wäre es besser, eine zentrale Open-Source-App in Deutschland anzubieten, die alle Versicherten nutzen können“, so Marky. „Das würde für mehr Vertrauen sorgen, einen einheitlichen Sicherheitsstandard garantieren und auch den Wartungsaufwand reduzieren.“
Außerdem fordern die Forschenden, dass es unterschiedliche Zugriffsmöglichkeiten auf die Akte geben sollte, beispielsweise auch über Desktop-Anwendungen, sodass Menschen ohne Smartphone die Dienste ebenfalls nutzen können.
Future Health Index 2021: Digitalisierung wichtig für zukunftsfähiges Gesundheitswesen
Aus der ePA lassen sich auch Datensätze löschen – was Risiken mit sich bringt
Die Tatsache, dass Versicherte Einträge aus ihrer Akte löschen können, sorgte für gemischte Gefühle unter den Befragten. Zum einen begrüßten sie die Kontrolle über die eigenen Daten. Zum anderen sahen sie auch Missbrauchspotenzial: Beispielsweise könne sich jemand dasselbe Medikament von zwei Ärzten verschreiben lassen und die Informationen darüber löschen. Die Bundesärztekammer empfiehlt aus diesem Grund bereits, dass Arztpraxen mit Zugriff auf die elektronische Patientenakte automatisch eine lokale Kopie von dieser speichern sollten.
Im Notfall Daten einfacher zugänglich machen
Zuletzt schlägt das Forschungsteam vor, dass die elektronische Patientenakte in einem medizinischen Notfall leichten Zugriff auf die Daten ermöglichen sollte. Patientinnen und Patienten selbst könnten dann nicht mehr in der Lage sein, Zugriff zu gewähren.
Förderung der Studie
Die Deutsche Forschungsgemeinschaft unterstützte die Arbeiten im Rahmen des Exzellenzclusters CASA (EXC 2092 – 390781972). Weitere Unterstützung kam vom Bundesministerium für Bildung und Forschung im Rahmen des Verbundprojekts „Digitale Fitness für Bürgerinnen und Bürger – realistische Risikowahrnehmung, sichere Routinen“ (Fördernummer 16KIS1646K).
Wissenschaftliche Ansprechpartner:
Prof. Dr. Karola Marky
Digital Sovereignty Lab
Fakultät für Informatik
Ruhr-Universität Bochum
E-Mail: karola.marky@ruhr-uni-bochum.de