Das kranke Dossier

Das elektronische Patientendossier hätte das Gesundheits­wesen ins 21. Jahr­hundert führen sollen. Doch es wurde zum Selbst­zweck – und droht in der Praxis zu scheitern.

von Florian Wüstholz (erschienen in Republik, 27.07.2020)

Die Digitalisierung im Gesundheits­wesen hat grossen Nachhol­bedarf. Das hat sich in der Corona-Pandemie einmal mehr gezeigt: Lange Zeit herrschte Unklarheit darüber, wie viele Menschen sich in der Schweiz genau mit dem Coronavirus angesteckt haben. Denn die Daten dazu mussten Spitäler und Ärztinnen mühsam per Fax ans Bundesamt für Gesundheit (BAG) senden. Das Resultat waren widersprüchliche Angaben zum Pandemie-Verlauf.

Dabei steht die Digitalisierung seit fast fünfzehn Jahren im Fokus des BAG. Deren Herzstück ist das elektronische Patienten­dossier (EPD): ein Ort, an dem behandlungs­relevante Dokumente von Patientinnen zentral hinterlegt werden – die letzten Blut­werte, das Rezept für Beta­blocker, der Verweis auf Allergien. Solche Informationen können eine Behandlung erleichtern, womöglich Kosten sparen und manchmal sogar über Leben und Tod entscheiden.

Nach jahre­langer Entwicklung hätte das EPD diesen April starten sollen. Doch im Zuge der Pandemie wurde der Termin erst auf den Sommer und schliesslich aufs Jahr 2021 verschoben. Die Zertifizierung der Anbieter und deren IT-Systeme dauert länger, als die Bundesbehörden gedacht haben.

Der Terminplan ist jedoch nicht das einzige Problem. Das Patienten­dossier hat grund­legende Mängel: Es ist technisch, juristisch und gesellschaftlich so komplex, dass niemand richtig den Überblick hat. Zudem wurden Abstriche beim Daten­schutz gemacht, es gibt keine umfassende Verschlüsselung der gespeicherten Informationen, und ein zentrales Ziel – dass Bürger besser über ihre eigenen Daten bestimmen können – ist nicht zufrieden­stellend erfüllt.

Das EPD hätte das Gesundheits­wesen ins 21. Jahr­hundert führen sollen. Doch es wurde zum Selbst­zweck – und droht in der Praxis zu scheitern.

Die sieben wichtigsten Kritikpunkte und eine Bilanz.

1. Zu viele Player sind involviert

Das BAG startete das Projekt 2007 mit einem neunseitigen Papier. Spitäler, Reha­kliniken und Psychiatrien sollten künftig den Zugang zum EPD anbieten. Ein Blick ins Dossier würde genügen, und die Spezialistin sähe sofort, welche Untersuchungen bereits gemacht und welche Diagnosen gestellt wurden. Im Notfall könnte sie wichtige Daten sofort abrufen.

Heute müssen diese Informationen oft telefonisch angefordert, aus Aktenschränken und Datenbanken zusammengesucht und via Fax übermittelt werden. Oder man macht eine Unter­suchung aus Zeit­mangel einfach nochmals.

Grundsätzlich würde ein EPD also grosse Vorteile bringen. «Unnötige oder doppelte Behandlungen können dadurch vermieden werden», heisst es dazu auf der offiziellen Website. «Die Sicherheit einer korrekten Diagnose und Therapie wird erhöht und das Risiko von Fehl­entscheiden gesenkt.» Das ist nicht nur behördlicher PR-Sprech. Immerhin lässt sich fast jeder zehnte Spitaleintritt in der Schweiz mit Komplikationen bei Medikamenten in Verbindung setzen.

Ob sich die Versprechungen halten lassen, ist aber fraglich. Denn das EPD ist nicht einfach ein vom Bund betriebener Cloud­speicher für Gesundheits­daten. Vielmehr handelt es sich um ein komplexes Netz mehrerer sogenannter Stamm­gemeinschaften – meist Zusammen­schlüsse von Spitälern oder Kantonen –, welche die technische Infrastruktur zum Austausch der Daten betreiben. Die Zusammen­arbeit dieser Akteure gestaltet sich schon jetzt schwierig: Eine Zürcher Anbieterin hat bereits Rechnungen verschickt für IT-Leistungen, die sie noch gar nicht erbracht hat.

Ab diesem April standen Spitäler, Reha­kliniken und Psychiatrien in der gesetzlichen Pflicht, den Zugang zum EPD anzubieten. Andern­falls wären sie laut Gesetz aus der Spitalliste gestrichen worden. In diesem Fall hätten sie ihre Leistungen nicht mehr über die obligatorische Grund­versicherung abrechnen dürfen.

Ende letzten Jahres erkannte der Bund aber die dramatische Lage: Mit einem schweizweiten Start mit allen Akutspitälern, Reha-Kliniken und stationären Psychiatrien im April sei «nicht zu rechnen». Diesen März – noch vor den Wirren der Coronakrise – verschob das BAG dann die geplante Einführung. Es haperte bei der Zertifizierung der Stamm­gemeinschaften und E-IDs, die fürs Login benötigt werden. Viele Komponenten des EPD – primär die verschiedenen technischen Lösungen – sind noch nicht offiziell für den Einsatz zugelassen. Sie warten unter anderem auf das grüne Licht der Zertifizierungs­stellen SQS und KPMG. Das Problem ist offenbar, dass diese Firmen selbst noch nicht einmal als Zertifizierungsstellen zugelassen sind.

Im Juni wurde schliesslich ein Bericht der Eidgenössischen Finanzkontrolle (EFK) publik. Die Behörde fällt darin ein vernichtendes Urteil: Die Ziele des EPD bei der Patienten­sicherheit, der Behandlungs­qualität und der Erhöhung der Effizienz im Gesundheits­system seien «infrage gestellt». Föderalismus, Ressourcen­mangel, fehlende Durchsetzungs­kraft des BAG und mangelnde Anreize für ambulante Gesundheits­einrichtungen seien die Ursachen dafür.

Mit anderen Worten: Das Patienten­dossier ist ein gigantischer Murks.

2. Ärztinnen drohen rechtliche Unsicherheiten

Fragezeichen existieren auch seitens der Ärzte. Diese sind gesetzlich dazu verpflichtet, alle «behandlungs­relevanten» Dokumente ins EPD einzuspeisen. Trotz eines Merkblatts des BAG besteht jedoch beträchtlicher Interpretations­spielraum, welche Dokumente damit überhaupt gemeint sind.

Der «Schweizerischen Ärztezeitung» zufolge führt diese Unsicherheit dazu, «dass besonders bei Patienten mit komplexen Krankheits­bildern das EPD in der Anfangs­phase mit PDF-Dokumenten überfüllt und das Auffinden von relevanten Informationen dadurch erheblich erschwert wird».

Gleichzeitig stehen Ärztinnen gesetzlich in der Pflicht, Informationen aus dem EPD «zweckmässig» einzusetzen. Doch ein zweck­mässiger Einsatz bei der befürchteten PDF-Flut scheint unmöglich. «Wie sollen Hunderte von Dokumenten innerhalb kurzer Zeit gesichtet und die nützlichen Informationen bewertet und extrahiert werden?», fragt das Ärzteblatt.

Niemand weiss genau, wann diese beiden vage formulierten Sorgfalts­pflichten verletzt wären. Es ist also unklar, wie Ärztinnen im Umgang mit dem EPD haftbar gemacht werden können und sollen. Das bringt Verunsicherung mit sich: Wie zeitnah müssen Dokumente hochgeladen werden? Wie viel Aufwand ist bei der Durchforstung des EPD angemessen?

3. Das System überfordert Patienten

Umfangreiche Privatsphäre-Einstellungen im EPD sollen Vertrauen schaffen. Das Dossier erlaubt eine detaillierte Verwaltung der Zugriffsrechte: Patienten können online jedes Behandlungs­dokument als «normal zugänglich», «eingeschränkt zugänglich» oder «geheim» einstufen. Sie können einzelnen Fach­personen oder Gruppen den Zugriff auf Dokumente verschiedener Vertraulichkeits­stufen auch verweigern oder zeitlich einschränken.

Die Idee klappt wohl in der Theorie. Und sie entspricht der Vision des BAG: Die Menschen in der Schweiz sollen Entscheidungen aktiv fällen und so ihre Gesundheits­kompetenz stärken, hält es in seiner E-Health-Strategie fest.

Nur: Damit dürften viele Menschen überfordert sein. Nach einigen Jahren wird ihr Dossier voll sein mit Dokumenten aus unterschiedlichen Quellen. Alles vernünftig zu kategorisieren und den richtigen Gesundheits­fachleuten den richtigen Zugriff zu erlauben, ist ein immenser Aufwand. Zumal standard­mässig alle hoch­geladenen Informationen nicht als «geheim», sondern als «eingeschränkt zugänglich» eingestuft sind. Sie sind damit für alle Personen einsehbar, die in die Behandlung involviert sind. Wer den Zugriff auf Dokumente nicht regelmässig einschränkt, hat somit wenig vom Daten­schutz. Und erfahrungsgemäss machen sich die wenigsten Nutzer den Aufwand dafür.

Diese Voreinstellung kritisiert auch die Bürger- und Konsumenten­schützer der Digitalen Gesellschaft. Denn in Datenschutzkreisen gilt nebst der Datensparsamkeit das Prinzip «Privacy by Default», also «standardmässig der höchste Schutz». Ausgerechnet bei den sensiblen Gesundheits­daten wird es nicht konsequent umgesetzt.

4. Der Datenschutz ist ungenügend

Besonders schwer wiegt aus Sicht der Digitalen Gesellschaft, dass der Daten­austausch nicht mit einer Ende-zu-Ende-Verschlüsselung abläuft. Dabei müssten Patienten die Schlüssel zu ihren Daten explizit an bestimmte Ärztinnen geben – etwa indem sie auf einem Online-Portal aktiv einem Schlüsselaustausch zwischen Patient und Ärztin zustimmen. So wären die Daten unterwegs und auf den Servern wirklich geschützt.

Doch eine solche Verschlüsselung sieht das Gesetz explizit nicht vor. Sie würde – genau wie eine standard­mässige Daten­kategorisierung als «geheim» – den freien Daten­austausch zwischen Ärzten erschweren. Und damit den möglichen Nutzen des Patienten­dossiers verringern.

Wegen dieser Mängel erhielt das BAG 2019 den Negativpreis «Big Brother Award». In der Jury sassen Datenschutz­aktivistinnen der Digitalen Gesellschaft, des Chaos Computer Clubs Schweiz, der p≡p Foundation und der Wau-Holland-Stiftung. Sie verwiesen auf einen Skandal um Gesundheitsdaten in Norwegen, wo im Januar 2018 im grossen Stil IT-Systeme im Gesundheits­wesen gehackt wurden. Fast drei Millionen Menschen und ihre elektronischen Patienten­dossiers waren betroffen.

Beim BAG war man sich solcher «Rest­risiken» bewusst, wie eine Risikoanalyse zum EPD zeigt, entschied sich aber gegen die Ende-zu-Ende-Verschlüsselung. Man wolle dieser Möglichkeit nachgehen, erklärt das BAG den Entscheid gegenüber der Republik. «Es stellt sich dabei aber auch die Frage, ob die Dokumente der Patienten so stark abgeschottet werden sollen, dass der Aufwand der Gesundheits­fachpersonen für den Zugriff zu aufwendig ist – und damit gar nicht mehr gemacht wird.»

Den Datenaustausch einfach zu gestalten, ist ein valides Anliegen. Der lasche Schutz ist aber gefährlich, weil die Daten de facto zentral gesammelt sind.

5. Die versprochene Dezentralisierung ist unecht

Ursprünglich war das EPD als dezentrales System konzipiert. Es sollten sich 20 bis 40 Stamm­gemeinschaften zusammen­schliessen. Mittlerweile ist deren Zahl aber auf 8 geschrumpft. Und es ist fraglich, ob es dabei bleibt.

Das BAG erklärt dies mit der hohen Komplexität. Diese rühre daher, dass Zugriffs­rechte gesteuert und Zugriffe protokolliert werden müssten – «beides wichtige Instrumente im Bereich Daten­schutz und informationelle Selbst­bestimmung». Statt der ursprünglich angestrebten Dezentralisierung steuert das Patienten­dossier also auf ein Klumpen­risiko zu.

Denn mit der Abilis AG arbeitet nur eine Stamm­gemeinschaft mit einer IT-Firma zusammen, die nicht teils oder vollständig in Staats­besitz ist. Sie heisst Bint. Alle restlichen Anbieter greifen auf Software­lösungen von der Swisscom und der Post zurück. Erstere beliefert die in 18 Kantonen tätige Gemeinschaft XAD, Letztere den grössten Teil der Stamm­gemeinschaften: Cara (Freiburg, Genf, Jura, Waadt, Wallis), E-Health Aargau, E-Health Südost, E-Health Ticino und den Kanton Neuenburg.

Die beiden (teil-)staatlichen Betriebe suchen nach neuen Geschäfts­modellen, während ihr Hauptgeschäft unter der Digitalisierung leidet. Das 70 Milliarden Franken schwere Gesundheits­wesen ist eine naheliegende Option, das Patienten­dossier verspricht Eintritt in einen lukrativen Markt. Sowohl Swisscom als auch die Post haben eigene E-Health-Abteilungen.

Für die Digitale Gesellschaft ist diese Konzentration hoch problematisch. Man sei sich zwar bewusst, dass die Daten im Akten­schrank auch nicht sicher seien, erklärt sie gegenüber der Republik. «Dort sind sie aber wenigstens dezentral gespeichert und das Missbrauchs­potenzial ist kleiner. Mit dem EPD gibt es nun zwei grosse Player mit je einer grossen Datenbank.»

6. Das Patientendossier ist nicht wirklich freiwillig

Das EPD steht im Zentrum entgegen­gesetzter Interessen: dem Schutz der Gesundheits­daten einerseits und dem einfachen Daten­fluss andererseits.

Das Resultat ist ungenügend.

Die Verantwortlichen wussten, dass nur eine pragmatische Lösung die kritische Masse mobilisiert, die für das Funktionieren unbedingt erforderlich ist. Doch bis jetzt ist offen, ob der Grossteil der Bevölkerung auf den EPD-Zug aufspringen wird. Zwei Drittel der Bevölkerung finden das Patienten­dossier gemäss einer Studie des GFS Bern zwar eine gute Sache – vor einem Jahr waren es allerdings noch deutlich mehr. 36 Prozent der Befragten wollen ein eigenes EPD eröffnen. Das wären immerhin fast 3 Millionen Dossiers.

Doch die wenigsten wollen ihr Dossier im Spital oder in der Apotheke eröffnen – dort, wo dies anfangs möglich sein wird. Die meisten möchten sich lieber im Internet oder beim Haus­arzt mit einem EPD ausrüsten lassen. Ausgerechnet die Haus­ärztinnen haben sich jedoch erfolgreich gegen eine Mitmach­pflicht gewehrt. Sie dürfen abwarten. Auch Pflege­heime haben noch weitere zwei Jahre Zeit, bis sie das EPD anbieten müssen.

Damit steht die Freiwilligkeit bereits unter Druck. Auch der Bundesrat weiss, dass sich diese «sowohl kurz- wie auch langfristig negativ auf die Verbreitung des EPD» auswirken könne. Klar ist: Ohne Hausärzte wird das EPD einen schweren Stand haben. Darum entschied das Parlament bereits 2018, dass Neuzulassungen von Ärztinnen zur Grund­versicherung nur unter der Bedingung erfolgen, dass sie sich einer Stamm­gemeinschaft anschliessen.

Offen bleibt, ob die Lösungen, die Ärzten und Patientinnen mehr oder weniger unsanft aufgezwungen werden, den Ansprüchen auch genügen.

7. Auf den Markt kommen Minimallösungen

Vor allem die Technologie­lieferanten und Betreiber­firmen sind an einer breiten Nutzung des EPD interessiert. Denn die gewaltigen Investitionen lohnen sich nur, wenn ein Grossteil der Bevölkerung mitmacht.

Zwar hat der Bund den Stamm­gemeinschaften eine Anschub­finanzierung von 30 Millionen Franken zur Verfügung gestellt. Das dürfte jedoch bei weitem nicht ausreichen, wie Axsana-Geschäftsführer Samuel Eglin bereits einräumte: «Die Swisscom wird ihre Entwicklungs­kosten für das Patienten­dossier wohl nicht vollständig refinanzieren können.»

Die Folge: Es dürften unattraktive Minimal­lösungen dominieren.

Ob sich bald ein nachhaltiges Geschäfts­modell entwickelt, ist fraglich. Müssen doch die Kosten für die Eröffnung von Patienten­dossiers, die Einspeisung alter und neuer Daten sowie Betrieb und Wartung der Infra­struktur gedeckt werden. Zwar finanzieren sich die Gemeinschaften über kantonale Beiträge oder Beteiligungen involvierter Spitäler und Heime. Die Gefahr bleibt aber, dass trotzdem Fusionen von Stamm­gemeinschaften nötig sein werden – was eine noch grössere Zentralisierung zur Folge hätte.

Das EPD sei als Ablage von Dokumenten konzipiert, gibt die Dienstleisterin HIN (Health Info Net AG) zu bedenken. «Damit Gesundheits­fachpersonen digital effizient zusammen­arbeiten können, brauchen sie aber vor allem Lösungen für die sogenannte gerichtete Kommunikation», sagt HIN-Mediensprecher Philipp Senn. Gerichtete Kommunikation bedeutet zum Beispiel, dass eine Ärztin von einem anderen Arzt spezifische Informationen über eine Patientin anfordert. Vielerorts denkt man deshalb bereits über das EPD hinaus, weil es im digitalen Gesundheits­wesen nur ein Anwendungs­fall von vielen sei.

Senn warnt: «Mit dem EPD wurden teils Erwartungen geschürt, welche dieses am Anfang wohl noch nicht wird erfüllen können. Damit besteht die Gefahr, dass das EPD zu Beginn wenig Begeisterung hervorrufen wird.»

Wenig Begeisterung bedeutet wenig Menschen, die mitmachen. Und ohne kritische Masse droht dem Patienten­dossier der Absturz.

Bilanz

Wie wichtig ein funktionierendes, digitales System ist, haben die letzten Monate gezeigt. Zwar hätte das EPD in der Corona-Krise wohl nur wenig helfen können – vor allem den bemängelten Daten­austausch hätte es kaum liefern können. Aber: «Die behandelnden Ärzte hätten sich rasch ins Bild setzen können über Vorerkrankungen, Allergien und welche Medikamente eingenommen wurden.» Das sagt Adrian Schmid, Leiter von E-Health Suisse, der Kompetenz- und Koordinationsstelle von Bund und Kantonen.

Die Diskussion um den Einsatz von Contact-Tracing-Apps hat zudem unser Bewusstsein geschärft – dafür, wie wichtig eine solide und zweck­dienliche Digitalisierung ist. Wir verstehen nun, wie sensibel unsere Gesundheits­daten sind und dass es Wege gibt, diese zu schützen und dennoch zu nutzen.

Wäre da ein Marschhalt nicht angebracht, um das System von Grund auf neu zu gestalten? Ein Reset, um ein besseres Patienten­dossier zu erschaffen?

Julian Mausbach, Experte für Pflege­recht von der Universität Zürich, hält das für den richtigen Weg. «Es wäre gut, wenn wir uns jetzt nochmals vertieft mit der Materie, dem Nutzen und den Problemen auseinander­setzen und die Verzögerung nutzen», sagt er. Und fügt an: «Es ist unwahrscheinlich, dass das Patienten­dossier jetzt nochmal komplett neu gedacht wird.»


Ich will es genauer wissen: Wie funktioniert das Patientendossier?

Macht ein Assistenz­arzt am Kantons­spital St. Gallen eine Röntgen­aufnahme, lädt er diese zusammen mit dem Befund ins interne Informatik­system. Jedes Spital, jede Gemeinschafts­praxis, jedes Alters­heim hat ihr eigenes System, das in den vergangenen Monaten mit dem elektronischen Patienten­dossier EPD kompatibel gemacht werden musste.

Hat die Patientin bereits ein eigenes Patienten­dossier eröffnet – was vorerst noch freiwillig ist –, werden Befund und Aufnahme vom Spital automatisch als PDF inklusive allfälliger Bilder in ihr Dossier hochgeladen. Dafür sorgt zum Beispiel beim Kantons­spital St. Gallen das System XAD, das von der Axsana AG betrieben wird. Sie ist eine Gemeinschaft, die über 200 Gesundheitseinrichtungen aus 18 Kantonen vereint und auf eine technische Lösung der Swisscom zurückgreift. In deren Rechen­zentren wird zudem eine Kopie der Aufnahme abgespeichert und mit Metadaten angereichert.

Geht die Patientin anschliessend zu einem Spezialisten im Kanton Zürich, kann dieser das Material direkt übers EPD einsehen – sofern er ebenfalls daran angeschlossen ist. Möchte die Patientin nicht, dass der Spezialist den Befund lesen darf, kann sie vorher die Zugriffs­rechte anpassen. Diese Privatsphäre-Einstellungen dürfen Gesundheits­fachpersonen nur im Notfall ignorieren. So soll sicher­gestellt werden, dass Bürgerinnen die Kontrolle über ihre Daten behalten.


Ich will es genauer wissen: Das Problem mit der elektronischen Identität

Damit Patientin und Spezialist auf die Aufnahme zugreifen können, müssen beide ihre Identität mit einer E-ID gegenüber dem System nachweisen. Dafür wurde im Bundesgesetz über das elektronische Patientendossier (EPDG) sowie in der dazugehörigen Verordnung eigens eine gesetzliche Grund­lage geschaffen, die auf das EPD zugeschnitten ist.

Im Moment stellen verschiedene Anbieter eine für das EPD zertifizierte E-ID zur Verfügung. Ärztinnen können sich ihre E-ID zum Beispiel bei der Health Info Net AG (HIN) ausstellen lassen. Das System der HIN ist bereits heute in Spitälern und Praxen weitverbreitet und wird zur sicheren Übermittlung von Patienten­daten verwendet. Die HIN vergibt allerdings nur an Gesundheits­fachpersonen eine E-ID. Für Patienten bleibt die Wahl zwischen der bereits zugelassenen TrustID von Elca und der SwissID der SwissSign Group, die sich derzeit für den Einsatz im Patienten­dossier zertifizieren lässt.

Die Verstrickung des EPD mit der E-ID ist unschön. Denn die E-IDs der privaten Anbieter, deren Anwendung für öffentliche Zwecke umstritten ist, erhalten durch die Verknüpfung mit dem EPD eine gewaltige Legitimation.