Update ePA 2.0: Berechtigungskonzept sorgt für Unmut

Seit Anfang des Jahres haben alle Versicherten der gesetzlichen Krankenversicherungen einen Anspruch auf eine elektronische Patientenakte (ePA). Die Roadmap der Gesellschaft für Telematik (gematik) sieht vor, den Funktionsumfang der ePA in den kommenden Jahren sukzessive zu erweitern. Das Ziel der gematik ist, jedes Jahr eine neue Spezifikation der ePA zu veröffentlichen. Die Version 2.0 der ePA-Spezifikation wurde bereits im vergangenen Jahr veröffentlicht und wird nun bei den Herstellern umgesetzt.

Die Veröffentlichung der neuen Spezifikation erfolgt immer zum 30. Juni eines Jahres. Die Umsetzung der Hersteller muss dann innerhalb von 18 Monaten erfolgt sein und kommt somit jeweils zum 1. Januar zum Tragen.

Weitere Dokumententypen und Krankenkassenwechsel

Die aktuelle Spezifikation der ePA 2.0 sieht vor, die ePA um zusätzliche Dokumententypen zu erweitern. Hierzu zählen Passdokumente wie der Mutterpass oder der Impfpass sowie das Kinderuntersuchungs- und Zahnbonusheft. Die inhaltliche Spezifikation der vorgenannten Dokumententypen wurde bereits von der KBV definiert (KBV MIO) und findet mit der kommenden Version nun auch offiziell Einzug in die ePA. Ebenfalls spezifiziert wurde der Umzug einer ePA im Fall eines Krankenkassenwechsels. Auch wenn die Krankenversicherungen selbst keine Einsicht in die ePA haben, sollen sie künftig Kassendaten in die Akte einstellen dürfen.

Darüber hinaus sollen weitere Berufsgruppen Zugriff auf die ePA erhalten, beispielsweise Physiotherapeuten, Hebammen und die ambulante Pflege. Auch für Privatversicherte soll es demnächst die Möglichkeit geben, eine ePA zu erhalten.

Berechtigungskonzept als Schwachstelle

Eine wesentliche Änderung in der ePA- 2.0-Spezifikation stellt die Überarbeitung des Berechtigungskonzept dar, das an die Gesetzgebung angepasst werden musste. Zum 1. Januar 2022 stehen also etliche wichtige Erweiterungen an. In der Vergangenheit sorgte das Berechtigungskonzept in Fachkreisen bereits für Kritik. Der Grund: In der ePA 1.0 sah das Berechtigungsmanagement vor, dass ein Versicherter einzelnen Leistungserbringerinstitutionen (LEI) Zugriff auf die eigene ePA gewähren konnte, nicht aber einzelnen Fachabteilungen. Auch beim Bundesdatenschutzbeauftragten Ulrich Kelber sorgte diese grobgranulare Berechtigung für Kritik.

Mitte November 2020 veröffentlichte der oberste Datenschutzbeauftragte sogar einen Mahnbrief an die bundeseinheitlichen Krankenkassen. Hier heißt es: „Ich rege dringend an, dass Ihre Krankenkasse ab dem 1. Januar 2021 den Versicherten nur eine solche elektronische Patientenakte anbietet, die den Vorgaben der DSGVO entspricht.“ Denn da das Berechtigungskonzept hinsichtlich der wichtigen medizinischen Informationen nach dem Alles-oder-nichts-Prinzip funktioniere, eine Berechtigung also nur ganz oder gar nicht erteilt werden könne, bliebe das Berechtigungskonzept der ePA „deutlich hinter den datenschutzrechtlichen Anforderungen zurück“. Mit der ePA 2.0 soll sich das nun ändern und das Berechtigungskonzept soll den notwendigen Feinschliff erhalten, um den Anforderungen des Patientendatenschutzgesetzes (PDSG) zu entsprechen. Gemäß § 354 Absatz 2 Satz 1 Nr. 3 hat die „Gesellschaft für Telematik die Festlegungen dafür zu treffen, dass eine technische Zugriffsfreigabe […] mindestens auf Kategorien von Dokumenten und Datensätzen, insbesondere medizinische Fachgebietskategorien, ermöglicht wird“.

Aber genau diese feinteilige Untergliederung wurde in der Spezifikation für die ePA 2.0 nicht konsequent umgesetzt. Die Spezifikation der ePA 2.0 sieht zwar vor, dass Versicherte die Dokumente in ihrer ePA über entsprechend festgelegte Kategorien wie Medikationsplan, E-Arztbrief, Pflegedokumente oder Rezepte freigeben können. Darin spiegeln sich aber nicht die medizinischen Fachgebiete wie Allgemeinmedizin, Radiologie, Kardiologie, Psychiatrie etc. wider.

Ein einschränkender Zugriff auf ausschließlich gynäkologische Befunde (unter Ausschluss aller anderen Befunde) ist also nicht möglich. Hierzu bedarf es einer deutlich feineren Berechtigungssteuerung, wie man sie etwa mit dem IHE-APPC-Profil hätte umsetzen können.

Die öffentlich geführte Diskussion zeigt aber auch, dass der gematik sehr genau auf die Finger geschaut wird, wie sie die sensiblen Anforderungen an die ePA umsetzt – nicht nur in der Version 2.0, sondern auch in allen folgenden. Die gematik sollte den Diskurs also als Chance sehen, beim Berechtigungskonzept zeitnah nachzubessern.