Die Digitale Gesellschaft befürwortet die Digitalisierung im Gesundheitswesen – aber nicht um jeden Preis. Mit dem neuen Gesundheitsdossier kehrt der Bund das Prinzip der Freiwilligkeit um: Statt Opt-In soll neu Opt-Out gelten. Die vorgesehene zentrale Bearbeitung der Daten schafft zudem ein hohes Missbrauchspotenzial. Gesundheitsdaten müssen daher unter der Kontrolle der Patient:innen bleiben. Ein Dossier muss sicher und freiwillig sein. Nur so kann das nötige Vertrauen entstehen.
Einleitung
Die Digitale Gesellschaft teilt das Ziel des vom Bundesrat vorgeschlagenen neuen Bundesgesetzes über das elektronische Gesundheitsdossier. Das Gesundheitsdossier soll gemäss Botschaft die Behandlungsqualität verbessern, die Patient:innensicherheit im Rahmen der informationellen Selbstbestimmung erhöhen und gleichzeitig durch die Reduktion von Doppelspurigkeiten effizienzsteigernd und kostendämpfend auf das Gesundheitswesen wirken. Allerdings befürworten wir die Digitalisierung im Gesundheitswesen nicht um jeden Preis.
Das äusserst knappe «Ja» zur E-ID an der Urne hat zeigt, dass es die Menschen in der Schweiz nicht goutieren, wie viel Missbrauch und Überwachung heute mit Daten betrieben wird. Digitale Technologien müssen höchsten Standards an Datenschutz und Sicherheit genügen, damit die Bevölkerung ihnen vertraut und sie akzeptiert. Digitale Anwendungen müssen das Leben der Menschen verbessern, ihre Rechte schützen und ihre Selbstbestimmung stärken. Die Bevölkerung hat beim E-ID-Gesetz deutlich gemacht, dass sie digitale Lösungen nur akzeptiert, wenn sie datensparsam, sicher und freiwillig sind.
Kritik
Die Hauptkritik am Vorschlag für ein elektronisches Gesundheitsdossier betrifft den geplanten Wechsel von einem freiwilligen Opt-In-System zu einem Opt-Out-Modell. Anstatt die Menschen in der Schweiz selbst entscheiden zu lassen, ob sie ein Dossier möchten, will der Bund automatisch ein Dossier für alle Menschen anlegen. Wer das nicht will, muss selbst aktiv werden und widersprechen. Der Widerspruch wird im Register vermerkt. Damit geht die Freiwilligkeit verloren. (Art. 20 und Art. 21 E-EGDG)
Leistungserbringer:innen sollen ausserdem verpflichtet werden, das Dossier automatisch mit sämtlichen behandlungsrelevanten Gesundheitsdaten zu befüllen – sogar, wenn die behandelten Personen ein solches Dossier nie «in Betrieb» genommen haben. Das stellt einen schwerwiegenden Eingriff in das Grundrecht auf informationelle Selbstbestimmung dar. (Art. 14 Abs. 1 i.V.m. Art. 14 Abs. 3 lit. a i.V.m. Art. 20 E-EGDG)
Problematisch ist zudem die vorgesehene zentrale Bearbeitung dieser Daten mit einem besonders hohen Schutzbedarf beim Bund. Eine solche Architektur schafft nicht nur ein hohes Risiko für Datenmissbrauch und staatliche Überwachung, sondern sie ist auch technisch und organisatorisch unnötig. (Art. 5 E-EGDG)
Forderung
Wir fordern ein System, bei dem jede Person im gewünschten Mass die volle Kontrolle über ihre Gesundheitsdaten behält. Dazu zählt insbesondere, dass das elektronische Gesundheitsdossier freiwillig ist.
In jedem Fall sollen die Daten kryptografisch gesichert und Ende-zu-Ende-verschlüsselt gespeichert werden. Dabei sind die Schlüssel dezentral bei den einzelnen betroffenen Personen gespeichert. Das ermöglicht auch eine Sicherung der kryptografischen Schlüssel, bei Bedarf sogar ausgedruckt auf einem Stück Papier.
Zugriff erhalten sollen nur Leistungserbringer:innen mit der ausdrücklichen Zustimmung der betroffenen Personen. Eine solche Zustimmung kann allgemein oder restriktiv gehalten sein, je nach Willen der einzelnen betroffenen Personen.
Bei einem solchen Gesundheitsdossier bleibt die Teilnahme tatsächlich freiwillig, die Datensicherheit gewährleistet und die Privatsphäre geschützt.
Technischer Hintergrund
Die Frage nach dem physischen Speicherort des elektronischen Gesundheitsdossiers ist eigentlich sekundär. Wichtig ist jedoch, dass (1) die Daten für die Leistungserbringer:innen zugänglich sind und (2) die Daten unter der Kontrolle der betroffenen Personen bleiben. (1) schliesst eine Speicherung auf den Geräten der betroffenen Personen aus. (2) bedeutet, dass die Daten durch die Leistungserbringer:innen mit dem öffentlichen Schlüssel der betroffenen Person verschlüsselt werden, was dieser den Zugriff (unter Zuhilfenahme ihres geheimen Schlüssels) auf das Gesundheitsdossier erlaubt. Und ihr die weitere Steuerung darüber erlaubt, wer zusätzlich Zugang erhalten soll. Sind Daten auf diese Weise geschützt, könnten sie letztlich sogar zentral gespeichert werden.
Für alle, die nicht teilnehmen wollen oder können, braucht es weiterhin klassische Wege der Behandlung und Dokumentation – ohne jede Benachteiligung.
Auf diese Art gelöst, könnte allenfalls sogar am vorgeschlagenen Opt-Out-Prinzip festgehalten werden. Allerdings müssten dabei für alle Menschen entsprechende Keys erstellt werden, was eine entsprechende Involvierung der betroffenen Personen voraussetzt. Zudem muss bei einem wahrgenommenen Opt-Out ein späteres Opt-In möglich bleiben. Ein entsprechender Prozess für die initiale Befüllung des E-GD mit den behandlungsrelevanten Daten müsste entsprechend vorgesehen bleiben. Ein Festhalten am Opt-Out-Prinzip schafft daher keinerlei Vorteile.
In dieser Architektur ist es Aufgabe des Bundes, für den entsprechenden gesetzlichen Rahmen, frei verwendbare Software und die nötige Infrastruktur zu sorgen.
Gesetzesanpassungen
Gemäss Botschaft zum Bundesgesetz über das elektronische Gesundheitsdossier ist das Ziel des Gesetzes, «die Behandlungsqualität zu verbessern, die Patientensicherheit im Rahmen der informationellen Selbstbestimmung zu erhöhen und gleichzeitig durch die Reduktion von Doppelspurigkeiten effizienzsteigernd und kostendämpfend auf das Gesundheitswesen zu wirken.»
Ein elektronisches Gesundheitsdossier kann dies leisten, indem alle behandlungsrelevanten Gesundheitsdaten den beteiligten Gesundheitsfachpersonen während einer Behandlung in aktueller Form zur Verfügung stehen. (Ziel-)Bildlich gesprochen wird dabei die (digitale) Aktenmappe von den Leistungserbringer:innen mit den nötigen behandlungsrelevanten Informationen (wie einer Diagnose) befüllt, von den behandelten Personen selbstverwaltet und von allen behandelnden Stellen während einer Behandlung verwendet. Das Gesundheitsdossier beinhaltet darüber hinaus die Informationen über alle Behandlungen einer Person («von der Wiege bis zur Bahre»). Es beinhaltet strukturierte Daten (History, Befunde, Notfalldaten) wie auch unstrukturierte Daten (Berichte, Röntgenbilder).
Das elektronische Gesundheitsdossier ersetzt dabei aber nicht die Praxis- oder Klinikinformationssysteme. Es wird hingegen aus diesen (automatisch) mit den handlungsrelevanten Daten befüllt wird. Das E-GD regelt daher auch nicht den Informationsaustausch zwischen einer Arztpraxis und einem Labor (B2B). Beim E-GD geht es auch nicht (primär) um Daten, die für Forschung oder Statistik verwendet werden können, da diese anonymisierten Daten, falls gewünscht, besser aus den Quellsystemen – mit den entsprechenden gesetzlichen Grundlagen und der nötigen Einwilligung der betroffenen Personen – gewonnen werden können.
Der Entwurf zum EGDG sieht eine Abkehr der Freiwilligkeit bei den betroffenen Personen und eine (automatische) Speicherung der Daten unter Kontrolle des Bundes vor. Mit entsprechenden Gesetzesanpassungen liesse sich dies korrigieren.