Am 29. Mai 2013 wurde der Entwurf des Bundesgesetzes über das elektronische Patientendossier (EPDG) und die entsprechende Botschaft durch den Bundesrat an das Parlament überwiesen. Das elektronische Patientendossier ist das papierlose Pendant zur bisher genutzten Patientenakte; darauf sind ärztliche Befunde und Diagnosen hinterlegt und können nach Bedarf abgerufen werden. Diese Meldung rief bei Vielen Unbehagen hervor, es stellen sich zentrale rechtliche Fragen: Können Rechtsunterworfene gezwungen werden, ein solches Patientendossier anzulegen? Hat dann zum Beispiel ein Arbeitgeber Zugriff auf sensible Daten über den Gesundheitszustand seiner Arbeitnehmer?

Die elektronische Variante ist nicht obligatorisch
Laut Bundesrat Berset steht dem Patienten die Entscheidung, ein solches Dossier anzulegen, frei. Dies gilt auch für im ambulanten Bereich tätiges Fachpersonal. Lediglich Spitäler, Geburtshäuser und Pflegeheime, welche ihre Leistungen über die obligatorische Krankenversicherung abrechnen, sind zur elektronischen Erfassung der Daten verpflichtet. Bereits diese Formulierung lässt jedoch vermuten, dass für Patienten, welche dieser Versichertenkategorie angehören (und das sind die allermeisten), mit grosser Wahrscheinlichkeit ein faktischer Zwang zum elektronischen Dossier kommen wird. Auch wenn das Gesetz selbst diesen Zwang nicht enthält, wird er durch die Macht des Faktischen entstehen. Es ist auch niemand gezwungen, ein Bankkonto zu haben, nur können viele Transaktionen des täglichen Lebens ohne Bankkonto nicht oder nur sehr schwer bewältigt werden.

Zugriff hat nur, wer dazu befugt ist
Jeder Patient hat die Möglichkeit, sowohl die zugriffsberechtigten Personen beziehungsweise Stellen auszuwählen, als auch den Umfang der Informationen, welche diese einsehen dürfen. Auch hat er jederzeit selbst die Möglichkeit, seine gespeicherten Daten einzusehen. Er ist weder dem Arbeitgeber noch der Krankenkasse gegenüber zu Auskunft verpflichtet. Dies wiederum wirft Fragen bezüglich dem sogenannten „therapeutischen Privileg“ auf. Man versteht darunter den ärztlichen Entscheid, den Patienten nicht oder nur unvollständig über seine Erkrankung zu informieren, weil der Arzt der Meinung ist, dass sich dieses Wissen für den Patienten respektive seinen Heilungsprozess schädlich auswirken könnte. Im Zeitalter des „informed consent“ hat dieses doch etwas paternalistisch anmutende Konzept zwar in den meisten Disziplinen der Medizin weitgehend, aber eben nicht vollständig, seine Bedeutung verloren; nichtsdestotrotz gibt es tatsächlich Situationen, in denen es angezeigt sein kann – wenn auch unter grösster Zurückhaltung.

Die Idee hinter der Neuerung
Das elektronische Patientendossier fasst die gesamte Krankengeschichte eines einzelnen Patienten zusammen. So werden unter anderem Laborergebnisse und Röntgenbilder direkt im jeweiligen Dossier abgespeichert und alle Informationen sind zeit- und ortsungebunden verfügbar. Der behandelnde Arzt hat – sofern der Patient ihm seine Einwilligung gegeben hat, innert kürzester Zeit Zugriff auf alle relevanten Unterlagen.

So sollen Kommunikationsprobleme zwischen behandelnden, respektive früheren Ärzten, und zwischen Arzt und Patient praktisch ausgeschlossen werden können. Aber nicht nur Ärzten, auch Apothekern und anderen Gesundheitsfachpersonen kann man die entsprechenden Zugriffsrechte gewähren. Somit können, zum Beispiel, allfällige allergische Reaktionen auf Medikamente aus vorherigen Behandlungen eingesehen und eine erneute Herausgabe des entsprechenden Präparates verhindert werden.

Identifikationsnummer zur Einhaltung der Datensicherheit
Bei Daten, die den Gesundheitszustand von Personen betreffen, handelt es sich um ein hoch schützenswertes Gut. Das elektronische Patientendossier muss daher hohe technische Sicherheitsanforderungen sicherstellen. Geplant ist die Gewährleistung der Datensicherheit durch eine persönliche Identifikationsnummer des Patienten.

Des Weiteren legt das Gesetz technische und organisatorische Mindestanforderungen fest, welche von allen Beteiligten eingehalten werden müssen. Dass dies auch tatsächlich geschieht, soll durch ein Zertifizierungsverfahren sichergestellt werden.

Sicherheit durch IT
Auf der technischen Ebene nimmt die Idee dann schliesslich ihre konkrete Form an. Die Daten der E-Dossiers sollen nicht auf einem zentralen Speicher gesichert werden: Es werden lediglich Verweise auf die jeweiligen Speicherorte abgelegt. Das Dossier selbst wird in mehrere Unterdossiers gegliedert, da diese oftmals von verschiedenen Personen erstellt werden, beziehungsweise für verschiedene Personen relevant sind. So wird zum Beispiel die Zuweisung an eine Klinik oder einen Facharzt in Dossier 1 abgelegt, der eigentliche Eintritt und die Diagnose aber in Dossier 2. Dies soll sicherstellen, dass die Übersicht über die einzelnen Berichte vorhanden bleibt. Zudem kann der Patient so seine Zugriffsrechte einfacher verwalten.

Schlussendlich bleibt aber trotzdem offen, wie die Datensicherheit in der Praxis gewährleistet werden soll. Es läge Nahe, zum Beispiel die Übertragung der Daten via SSL auf Zertifikatsbasis zu verschlüsseln. Dies hat den Vorteil, dass man Daten nur bei einer eindeutigen Identifikation lesen kann. Das Identifikationsverfahren selbst könnte ähnlich ausgestaltet werden, wie es zum Beispiel beim Online-Banking heute schon üblich ist. Zur sicheren Anmeldung werden Benutzername, Passwort und mobile TAN oder mTAN (ein einmalig und nur für wenige Minuten gültiger Code, der bei jeder Anmeldung auf das Mobiltelefon des Benützers gesandt wird) benötigt. Ebenfalls möglich ist der Einsatz von kryptographischen Algorithmen und – gegebenenfalls – digitalen Signaturen. Betrachtet man jedoch die diese Tage bekannt gewordenen Skandale um den Datensammlungseifer gewisser ausländischer Staaten, so sollten doch sehr ernsthafte Fragen nach der Datensicherheit und –integrität aufgeworfen werden. Und man sollte sich, was die Beantwortung dieser Fragen anbelangt, nicht mit schönklingenden Antworten zufrieden geben, sondern wirklich sehr genau nachhaken, wie diese Sicherheit bewerkstelligt werden soll – sofern das überhaupt vom Konzept her möglich ist.

Wie immer beim Einsatz von Informationstechnologie stellt sich dann auch die Frage, ob es über kurz oder lang Probleme mit der Kompatibilität und der Migrationsfähigkeit der erfassten Daten geben könnte. Das beim Stellen dieser Frage vielfach geäusserte Argument, wenn Millionen von Nutzern ein gewisses Format benutzen, könne dieses nicht einfach vom Markt verschwinden, mag zwar im ersten Moment logisch klingen. Es ist aber alles andere als eine Garantie, dass höchstsensible Daten auch garantiert fehlerfrei in Formate, welche vielleicht in 20 oder 30 Jahren Standard sein werden, konvertiert werden können. Werden diese Fehler nicht bei der Konvertierung bereits entdeckt (was insbesondere bei Daten aus bildgebenden diagnostischen Verfahren nicht ohne Weiteres gewährleistet werden kann), so kann das für die betroffenen Patienten im besten Fall heissen, dass wichtiges Material nicht mehr verfügbar ist. Im schlechtesten Fall aber, dass er gestützt auf durch Konvertierungsfehler verfälschte Gesundheitsdaten behandelt wird. Ein Szenario, welches sich auch die Haftpflichtversicherer von Ärzten und Spitälern durch den Kopf gehen lassen sollten.

Von all diesen Detailfragen aber einmal abgesehen stellt sich die ganz grundsätzliche Frage, ob das elektronische Patientendossier nicht das erste „Scheibchen“ einer durch „Salamitaktik“ erfolgenden Aushebelung des Rechts auf informationelle Selbstbestimmung des Patienten ist. Auf die Vernehmlassung des eidgenössischen Datenschutzbeauftragten darf man daher gespannt sein.