E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Vernetzung |

ePA für alle: Was? Wann? Wo? Wie?

Das Bundesgesundheitsministerium hält am sportlichen Zeitplan für die ePA fest. Es soll eine große Awareness-Kampagne geben, und auch das Forschen mit ePA-Daten soll zügig starten.

Bild: © HNFOTO – stock.adobe.com, 405099731, Stand.-Liz.

Das Bundesministerium für Gesundheit hat die heiße Phase der Einführung der neuen elektronischen Patientenakte (ePA) eingeläutet. Dr. Susanne Ozegowski, Leiterin der Abteilung 5 Digitalisierung im BMG, hat den Einführungstermin 15. Januar 2025 bestätigt. Das Konzept der neuen „ePA für alle“ sei für Deutschland grundsätzlich neu, so ­Ozegowski: „Jeder Versicherte kann sich einen Zugang einrichten, aber er muss es nicht tun. Die ePA kann auch genutzt werden, wenn ich als Versicherte sage, ich möchte keinen Aufwand, ich will nur, dass es funktioniert.“


Wer selbst zugreifen will, der muss die ePA-App der jeweiligen Krankenkasse herunterladen und eine Gesundheits-ID einrichten. Dies geschieht auf einem von vier Wegen, entweder per Personalausweis mit PIN oder per eGK mit PIN oder per Apotheken-Ident oder per Ident-Verfahren in der Geschäftsstelle der jeweiligen Krankenkasse. Nach dieser initialen Authentifizierung könne die App dann wie gewohnt mit niedrigschwelligen Ident-Verfahren mit Passwort oder Face-ID genutzt werden.


Große Plakat- und Social-Media-Kampagne geplant

Inhaltlich losgehen soll es wie geplant mit der Medikationsliste (eML), die automatisch, ohne Zutun der medizinischen Einrichtungen, aus dem ­E-Rezept-Server befüllt wird. Dort erscheinen alle rezeptierten Medikamente; es wird nicht möglich sein, einzelne Medikamente zu verbergen, wohl aber, auf die Liste komplett zu verzichten. Dies, so Ozegowski, sei ein Ergebnis der Abwägung zwischen weitestgehender informationeller Selbstbestimmung einerseits und dem Bedürfnis der Ärzteschaft nach vollständigen Informationen andererseits. Andere Arten von Dokumenten, etwa Arztbriefe und Befunde, können von den Patient:innen selektiv verborgen werden.

Abb. 1: Roadmap für die ersten Iterationen der ePA. Quelle: BMG

 

Die weiteren Iterationen der ePA gibt Abbildung 1 wieder. Ein wichtiger erster Meilenstein ist die ePA in der Version 3.1, die bereits im Sommer 2025 kommen soll. Hier sollen zum einen der digitale Medikationsprozess über die eML hinaus in Richtung eMedikationsplan und Arzneimitteltherapiesicherheit (AMTS) weiterentwickelt sowie unter anderem die Anbindung des TI-Messengers und der DiGA ermöglicht werden. Ozegowski bekräftigte auch noch einmal, dass bereits ab Sommer 2025 eine Ausleitung der ePA-Daten in Richtung Forschungsdatenzentrum (FDZ) erfolgen soll.


Sebastian Zilch, Unterabteilungsleiter „gematik, Telematikinfrastruktur, E-Health“ beim BMG, ging ausführlicher auf die anstehende Einführungsphase und die geplante Kommunikationskampagne ein. Letztere wird von fischerAppelt gestaltet und soll deutschlandweit in vielen neuen und traditionellen Medien sowie auf Plakatwänden und auf der Website ePA-Vorteile.de vonstattengehen.


Die noch nicht ganz finalisierten Motive werden die Vorteile der ePA für Versicherte und medizinische Einrichtungen griffig in den Vordergrund rücken: „Wir wollen darstellen, wa­rum es sinnvoll ist, die ePA einzuführen und zu nutzen“, so Zilch. Darüber hinaus müssten wesentliche Kommunikationsimpulse in die jeweiligen Zielgruppen, aber auch von den Krankenkassen und den Kassenärztlichen Vereinigungen ausgehen, so Zilch: „Das können nicht die gematik und das BMG alleine machen.“


Vier Wochen Testen soll reichen
Was die Einführungsphase angeht, ist vorgesehen, dass die Primärsystemhersteller die nötigen Funktionen mit dem Update zum ersten Quartal 2025, spätestens kurz danach, zur Verfügung stellen. Ab dem 15. Januar soll der Rollout dann in den zwei Modellregionen Franken und Hamburg starten. Das wird so vonstattengehen, dass die Krankenkassen jenen jeweils 1,5 Millionen Menschen mit Heimatadresse-Postleitzahl in den Modellregionen die ePA zuerst ausstellen, damit es dort in den jeweils rund 150 kooperierenden Arztpraxen und Apotheken zu möglichst vielen Patientenkontakten mit ePA kommt.


„Wir gehen davon aus, dass diese Modelltestphase vier Wochen dauert“, so Zilch. Währenddessen sollen sukzessive die mehreren zehn Millionen anderen ePAs angelegt werden, sodass dann ab Mitte Februar eine bundesweite ePA-Nutzung möglich werde. Bereits bestehende ePAs sollen auf die neue ePA migriert werden, die Versicherten erhalten dazu Anfang 2025 eine entsprechende Nachricht beim Öffnen ihrer ePA-App. Insgesamt ist Zilch betont optimistisch: „Es gab noch nie ein TI-Projekt, das so intensiv begleitet und vorbereitet wurde.“


BSI warnt vor Fake News zur ePA

Dass es zur Einführung der ePA auch Gegenwind geben wird, das erwartet Claudia Plattner, Mathematikerin auf dem Chefsessel des Bundesamts für Sicherheit in der Informationstechnik (BSI): „Wir gehen davon aus, dass viel an falscher Information rausgehen wird, wenn die Patientenakte live geht.“ Dagegen will auch das BSI anarbeiten – ohne berechtigte Sicherheitsbedenken kleinzureden. Allein im Jahr 2023 habe es 50 Prozent mehr Cyberangriffe auf das Gesundheitswesen gegeben als im Jahr zuvor.


Gesundheitsdaten, so Plattner, seien attraktive Daten, weniger weil Hacker an einzelnen sensiblen Inhalten interessiert seien, sondern eher deswegen, weil sich mit diesen Daten Geld erpressen lasse und weil sie für personifiziertes Phishing genutzt werden könnten. Umso wichtiger ist für Plattner, dass die digitalen Infrastrukturen im Gesundheitswesen nach dem Stand der Technik geschützt werden. Bei der elektronischen Patientenakte  sei das gegeben. Die Anmeldung über das mobile Endgerät, die Identifizierung über den entweder auf dem elektronischen Personalausweis oder der eGK basierenden (Gesundheits-)ID-­Token, die durchgängigen Verschlüsselungen als Teil dessen, was seit einiger Zeit „vertrauenswürdige Ausführungsumgebung“ (VAU) genannt wird, sowie ein breites Spektrum an Sicherheitsmaßnahmen im Backend – zusammengenommen sei das eine Sicherheitsarchitektur nach modernsten Standards, so Plattner.


Adäquat gesichert? „Unsere Antwort ist ja.“
„Kann man mit dieser Architektur ein adäquates Sicherheitsniveau erreichen? Unsere Antwort ist ja, man kann, und das haben wir auch ganz klar gesagt. Es müssen ein paar Voraussetzungen erfüllt sein, aber die stecken alle in der Umsetzung.“ In diesem Bereich, in der Umsetzung, werde das BSI vor der ePA-Einführung und auch danach nach Kräften unterstützen. Dabei geht es um Prüfverfahren und Sicherheitsstandards, um Angriffsanalysen und vieles mehr: „Das ist ein fortlaufender Prozess, und wir werden weiterhin allen Beteiligten auf den Füßen stehen.“


Neben dieser allgemeinen Einschätzung ging Plattner auch auf einige Detailfragen ein, die teils viel diskutiert sind. Ein Thema ist die digitale ID, die der Anmeldung an der mobilen App zugrunde liegt. Das jetzt vorgesehene Nebeneinander von eGK-basierter Gesundheits-ID einerseits und ePersonalausweis-basierter Gesundheits-ID andererseits ist für die BSI-Chefin eine Übergangslösung: „Wir wollen das irgendwann konvergieren.“
Was die Identity Provider angeht, sei es das Ziel, an einen Punkt zu kommen, an dem die Bundesverwaltung eine zentral auf dem ePersonalausweis basierende Identity-Lösung zur Verfügung stellt: „Wir wollen perspektivisch den ePersonalausweis auf dem Handy. Da sind wir noch nicht, aber das ist die gemeinsame Vision.“ Die jetzt vorgesehene Gesundheits-ID sei eine Lösung, die es erlaube, „nicht länger zu warten, sondern loszulaufen.“


Ende-zu-Ende endet. Oder doch nicht?
Auch auf den grundsätzlichen Wechsel bei der Sicherheitsarchitektur zwischen bisheriger Telematikinfrastruktur bzw. bisheriger ePA und der neuen „ePA für alle“ ging Plattner ein. Die viel zitierte Ende-zu-Ende-Verschlüsselung, die angeblich aufgegeben werde, hält die BSI-Chefin für eine Art politisches Schlagwort. Was es gegeben habe, sei eine Änderung bei den Anforderungen an den Datenaustausch bzw. die Datennutzung.


„Ursprünglich war nur die Kommunikation zwischen Arzt und Patient vorgesehen“, so Plattner. Die Anforderung unter anderem einer forschenden Auswertung der Daten erfordere aber eine andere Architektur, denn dazu brauche es einen (serverseitigen) Punkt, an dem auf die Daten zugegriffen werden könne. Das ist Plattner zufolge eine fachliche Entscheidung, bei der das BSI letztlich agnostisch sei: „Wenn das gewünscht ist, ist es unser Job, zu sagen, wie eine Architektur aussehen muss, mit der das sicher umsetzbar ist.“


Genau das werde durch die gewählte ePA-Architektur erreicht: „Wir haben weiterhin eine Ende-zu-Ende-Verschlüsselung, es gibt nur einfach mehr Transportwege.“ Das impliziert, dass mit Schlüsseln gearbeitet wird, die an anderen, gesicherten Stellen lagern und nicht nur beim Patienten. Aber es sind weiterhin individuelle Schlüssel für jede einzelne Person.


Die Schlüssel werden generiert aus einem Master-Key und der individuellen Krankenversichertennummer. Aufbewahrt werden sie in Hardware-Sicherheitsmodulen (HSM), die an allen wichtigen Stellen der Infrastruktur zu finden sind. Der gematik-Chef Florian Hartge machte in diesem Zusammenhang noch darauf aufmerksam, dass sich die Änderung der Sicherheitsarchitektur – unabhängig vom Thema Datenzugriff für die Forschung – auch sehr günstig auf die Performance des ePA-Systems und auf die Zugriffszeiten auswirken werde.

Abb. 2: Die Zwecke, die einen Zugriff auf FDZ-Daten erlauben, im Überblick. Quelle: BMG

 

So soll die ePA beim Forschen helfen
Stichwort Forschung. Das Gesundheitsdatennutzungsgesetz (GDNG) hat die Grundlage für eine forschende Nutzung der ePA und überhaupt für mehr Forschung mit Gesundheitsdaten in Deutschland gelegt. Wie ist da der Stand? Derzeit wird das Forschungsdatenzentrum (FDZ) in seiner neuen Form mit breiterem Datenzugang beim BfArM aufgebaut. Bisher konnten auf die FDZ-Daten bzw. vorher auf die Daten der Datentransparenzstelle nur öffentliche Einrichtungen und Universitäten zugreifen. Das FDZ war also auf die klassische akademische Forschung und auf die öffentliche Gesundheitsberichterstattung fokussiert.


Das ändert sich jetzt, das neue FDZ ist offen für einen Zugriff durch private Unternehmen und Institutionen bzw. genauer durch jede natürliche Person in der EU, sofern, und darauf legte Ozegowski wert, diese Person einen Zweck nachweisen kann, der berechtigt, einen Zugang zu bekommen. Diese berechtigten Zwecke seien – siehe Abbildung 2 – insbesondere Versorgungsforschung, klinische Forschung, Versorgungssteuerung, Ressourcenplanung und Bedarfsplanung. Zugang werde es aber auch geben, wenn Personen oder Unternehmen Innovationen für die Versorgung entwickeln, etwa Arzneimittel oder Medizinprodukte, und wenn KI-Algorithmen trainiert bzw. getestet werden sollen.

Abb. 3: Überblick über (eine Auswahl an) Daten, die künftig über das FDZ zugänglich gemacht werden sollen. Quelle: BMG

 

Der „Unique Selling Point“ des FDZ ist, dass die dort zugänglichen Daten mit Hilfe eines Pseudonyms personenbezogen verknüpfbar sein werden. Einen Überblick gibt Abbildung 3. Pars pro toto umgesetzt werden soll das im ersten Schritt mit der Anbindung klinischer Krebsregister, die dazu ein Pseudonym auf Basis der Krankenversichertennummer nutzen werden. Diese Art der Pseudonymisierung hat Grenzen, sie gilt deswegen als Übergangslösung. Probleme gibt es nicht nur bei Privatpatient:innen, sondern auch bei Datensätzen, bei denen die Krankenversichertennummer gar nicht routinemäßig erfasst wird.


Von der ePA ins FDZ …
Bei der ePA gibt es diese Probleme nicht: Sie ist vorerst an die GKV gekoppelt, und damit steht die Krankenversichertennummer zur Verfügung, sodass die ePA-Daten mit den anderen (vor allem Abrechnungs-)Datensätzen des FDZ gematcht werden können. Die Ausleitung der ePA-Daten ins FDZ wird automatisch vonstattengehen, sofern der oder die jeweilige Versicherte dem nicht explizit widerspricht.
Konkret soll die Datenausleitung so ablaufen, dass die Patientendatensätze noch vor der Ausleitung in der ePA „gespalten“ werden, und zwar in Krankenversichertennummer einerseits und pseudonymisierte medizinische Daten andererseits. Die Krankenversichertennummer wird verschlüsselt an die Vertrauensstelle beim Robert Koch-Institut übermittelt. Die Patientendaten selbst werden mit Hilfe einer alphanumerischen „Arbeitsnummer“, also nicht über die Krankenversichertennummer, pseudonymisiert, und diese Daten gehen ans FDZ. „Das heißt: Immer, wenn neue Daten aus der ePA eingehen, muss die Vertrauensstelle des RKI sicherstellen, dass das FDZ die Daten matchen kann“, so Ozegowski. „Das FDZ weiß zu keinem Zeitpunkt, welcher Datensatz von welchem Versicherten kommt. Es kennt nicht die Krankenversichertennummer, sondern nur die Arbeitsnummer.“

Abb. 4: Von der Forschungsanfrage bis zur Ergebniskommunikation: So soll Forschung mit FDZ-Daten künftig ablaufen. Quelle: BMG

 

… und vom FDZ in die Forschung
Im FDZ selbst werden die per Arbeitsnummer pseudonymisierten Daten in einer Hochsicherheitsarchitektur gespeichert. Herzstück ist eine sogenannte isolierte Zone, in der sich die eigentliche Datenbank befindet. Hier haben nur Mitarbeiter:innen des FDZ Zugriff, es kann nicht von außen zugegriffen werden und es gibt auf dieser Ebene auch keinen Internetzugang: „Das ist komplett gekapselt“, so Ozegowski in Berlin.


Wenn Forscher:innen nach Nachweis eines entsprechenden Zwecks erfolgreich Zugang beantragt haben, findet dieser Zugang immer nur in der sogenannten integrierten Zone statt. Den genauen Ablauf zeigt die Abbildung 4. In der integrierten Zone werden in antragsspezifischen Analyseräumen antragsspezifische Daten zugänglich gemacht. Optional wird es hier Testdaten geben, die es erlauben, das gewünschte Abfrageskript bzw. den Algorithmus zu entwickeln.


Das Abfrageskript bzw. der Algorithmus wird dann an das FDZ gegeben. Dieses lässt Skript oder Algorithmus über die Daten laufen und erhält die Ergebnisse. Es prüft noch einmal, ob die Ergebnisdaten reidentifizierbar sind oder nicht. Erst, wenn geklärt ist, dass die Daten nicht reidentifizierbar sind, werden die Ergebnisse an den jeweiligen Forscher oder die Forscherin weitergegeben: „Was rausgeht, sind anonymisierte und an vielen Stellen aggregierte Daten“, so Ozegowski.


Unkomplex ist das alles nicht. Aber die BMG-Abteilungsleiterin ist dennoch zuversichtlich, dass die Ausleitung der ePA-Daten im Sommer 2025 starten kann. In jedem Fall sollen zügig erste FDZ-Forschungsprojekte möglich werden: „Wir wollen bis Ende 2026 mindestens 300 Forschungsvorhaben initiiert haben“, so Ozegowski.

 

Autor

Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM