Im nächsten Jahr wird die elektronische Patientenakte (EPA) verpflichtend eingeführt, und ich verstehe die Welt nicht mehr.

Kommentar von Dr. Timo Simniok

Liebe Kolleginnen, liebe Kollegen, bitte nehmen Sie sich einen Augenblick Zeit und lesen Sie diesen Artikel. Denn ich brauche Ihre Hilfe. Im nächsten Jahr wird die elektronische Patientenakte (EPA) verpflichtend eingeführt, und ich verstehe die Welt nicht mehr.

Wir erinnern uns: Am 27.04.2016 wurde die „Datenschutzgrundverordnung (DSGVO)„ veröffentlicht, und aus Angst vor Repressalien habe ich mich –  wie viele von Ihnen sicherlich auch – in meiner Praxis intensiv mit dem Schutz der patientenbezogenen Daten beschäftigt: Ich habe meine Internetauftritte richtlinienkonform gestaltet, ich habe mein Team intensiv zum Thema Verschwiegenheit geschult, ich habe mir einen neuen Aktenvernichter gekauft, der Patientendokumente in die vorgeschriebene Partikelgröße exakt zerkleinert und ich habe alles mögliche veranstaltet, um den unbefugten Zugriff auf Patientendaten zu unterbinden.

Auch wenn vieles im Nachhinein recht aufwändig war, und das Maß an Bürokratie wieder etwas gestiegen ist, so konnte ich dem Grundsatz des Datenschutzes schon folgen. Schließlich möchte ich selber auch nicht, dass meine eigenen Gesundheitsdaten in die Hände unbefugter fallen, und außerdem ist das Gebot der Verschwiegenheit schon immer ein zentraler Pfeiler (zahn-)ärztlicher Tätigkeit gewesen:

Schauen wir in den Text, den Hippokrates vor ca. 400 Jahre v. Chr. für uns verfasst hat, schauen wir in den Text des „Genfer Gelöbnis“, schauen wir in §203 Strafgesetzbuch oder schauen wir in die DSGVO! All diese Texte kodifizieren (zahn-)ärztlich Berufsethik und die Verschwiegenheit ist seit fast 2500 Jahren immer wieder ein zentrales Thema.

Daher fühle ich mich dazu verpflichtet, über die Behandlungen meiner Patienten und Patientinnen Stillschweigen zu bewahren: Meine Patienten und Patientinnen erwarten dies im Rahmen des gegenseitigen Vertrauens von mir.

So weit so gut. Aber jetzt kommt der Punkt, an dem ich nicht mehr folgen kann. Eine Maßnahme, die mich in den Grundfesten meiner zahnärztlichen Überzeugung erschüttert. Eine Maßnahme, die im Widerspruch zu all dem steht, was ich zum Thema „Schweigepflicht“ bis jetzt gelernt habe:

Die verpflichtende Einführung der EPA im nächsten Jahr.

Ab nächstem Jahr fordert die Obrigkeit von uns, dass wir die gesamte Dokumentation aller Patientenbehandlungen unserer GKV-Patienten in eine Cloud hochladen. Die Patienten und Patientinnen können dann über ein App auf ihre persönlichen Daten zugreifen.

Haben wir nicht gerade erst im Zusammenhang mit der DSGVO gelernt, dass das Speichern von Daten außerhalb unserer eigenen Praxis enorme Risiken für Missbrauch eröffnet. Wurden wir nicht erst eindrücklich davor gewarnt, dass wir Daten unmöglich Apple, Microsoft, Meta oder sonst welchen Datenkraken anvertrauen dürfen? Schließlich würden wir damit ja unweigerlich die Kontrolle über sensibles Material verlieren und ein Löschen von Daten aus dem „Internet“ sei sowieso unmöglich. Und jetzt kommt die Obrigkeit und fordert genau dieses von uns?

Natürlich seien die Daten in der EPA absolut sicher, sagt die Obrigkeit. Der Standard der Telematikinfrastruktur sei so hoch, dass Hacker aus Nordkorea, Russland oder aus sonstigen Schurkenstaaten keine Chance hätten, hier einzudringen. Auch Datensammler wie Palantier,  Meta, Alphabet etc. würden niemals Zugriff auf dieses sensible Material bekommen –  dank der hohen kryptographischen Standards.

Vor vielen Jahren ist mir das Buch vom Simon Singh mit dem Titel „Geheime Botschaften“ in die Hände gefallen. Das spannende Sachbuch handelt von der Geschichte der Kryptographie von der Antike bis zum Internet. Auch wenn mir viele Details zu den verschieden Verschlüsselungsmethoden entfallen sind, so ist mir die zentrale Botschaft noch im Gedächtnis: Bei der Kryptographie geht es nicht darum, ob ein Code geknackt werden kann oder nicht, sondern nur darum, wie lange der Eindringling braucht, um es zu schaffen.

Die Geschichte ist voll von verhängnisvollen Beispielen, in denen der naive Glaube an die Unüberwindbarkeit der eigenen Codiertechnik verhängnisvolle Folgen hatte:

Beispielhaft seien hier nur Maria Stuart, das berühmte Zimmermann-Telegramm oder der unüberwindliche Enigma-U-Boot-Code der Deutschen Kriegsmarine im zweiten Weltkrieg erwähnt.

Verschlüsselungstechniken und Entschlüsselungstechniken liefern sich schon seit den Zeiten von Julius Cäsar einen erbitterten Wettstreit. Wenn ich mir jetzt klarmache, dass führende US-IT-Firmen an Quantencomputern basteln, die die Rechenleistung aktueller Computersysteme schlichtweg pulverisieren, dann frage ich mich: Wieviel haben unsere KoCoBoxen, Antivirensoftware, Firewalls dem entgegenzusetzen?

Aber muss ein Angriff überhaupt von außen erfolgen? Was passiert, wenn sich in Deutschland die politischen Verhältnisse derartig ändern sollten, dass eine Bewegung an die Macht kommt, für die „die Reinheit des Blutes“ und die „Hygiene der Rasse“ im Vordergrund stehen. Wir erinnern uns: So etwas hat es auf deutschem Boden bereits gegeben.

Was für ein Fest würden Despoten feiern, bekämen sie die Behandlungsdokumentationen aller ihrer „Volksgenossen“ in die Hände.

Ist es für uns als Behandelnde, die wir der Verschwiegenheit unterliegen, ethisch vertretbar, die Daten unserer Patienten in einer Cloud zu speichern, in der sie einerseits unserer direkten Kontrolle völlig entzogen sind und in der sie zum anderen bis ans Ende aller Tage konserviert sind?

Selbst wenn die Obrigkeit betont, dass die Daten in der EPa völlig sicher seien, habe ich – wie oben dargelegt – meine Zweifel. Es gibt nur einen einzigen Weg für uns, Patientendaten sicher zu bewahren und zwar indem wir sie nicht herausgeben!

Kritiker meiner Argumentation werden jetzt sicher einwenden, dass wir Patientendaten fast täglich herausgeben, wenn wir z.B. Abrechnungsdaten zur KZVN übermitteln oder Behandlungspläne elektronisch beantragen. In der Tat! Hier werden auch Patientendaten aus der Praxis ins Internet geschickt. Aber hier gibt es immer noch einen funktionellen Nutzen, der den bestehenden Risiken des Datenmissbrauchs entgegensteht. Bei der EPa aber kann ich diesen Nutzen einfach nicht erkennen.

In meiner Praxis hat mich bis zum heutigen Tag noch kein Patient oder Patientin aufgefordert, Behandlungsdaten in die EPa zu übertragen, obwohl dies technisch möglich wäre. Das Interesse der Patienten liegt in meiner Studiengruppe bei 0%.

Wem nutzt also die EPa?

Nur weil es die Obrigkeit von mir verlangt, werde ich nicht meine moralischen Überzeugungen über Bord werfen und mit einer 2500 Jahre alten medizinischen Tradition brechen.

Ich werde nicht das eherne Gebot der Verschwiegenheit opfern, nur um ein nutzloses Spielzeug künstlich am Leben zu erhalten, das sich weltfremde Bürokraten in den Elfenbeintürmen der Ministerien ausgedacht haben, nur um noch mehr Kontrolle über uns freiberuflich Tätige zu bekommen.

Dr. Timo Simniok                                                                                                                                                                                Wedemark