Das elektronische Patientendossier hätte das Gesundheitswesen ins 21. Jahrhundert führen sollen. Doch es wurde zum Selbstzweck – und droht in der Praxis zu scheitern.
von Florian Wüstholz (erschienen in Republik, 27.07.2020)
Die Digitalisierung im Gesundheitswesen hat grossen Nachholbedarf. Das hat sich in der Corona-Pandemie einmal mehr gezeigt: Lange Zeit herrschte Unklarheit darüber, wie viele Menschen sich in der Schweiz genau mit dem Coronavirus angesteckt haben. Denn die Daten dazu mussten Spitäler und Ärztinnen mühsam per Fax ans Bundesamt für Gesundheit (BAG) senden. Das Resultat waren widersprüchliche Angaben zum Pandemie-Verlauf.
Dabei steht die Digitalisierung seit fast fünfzehn Jahren im Fokus des BAG. Deren Herzstück ist das elektronische Patientendossier (EPD): ein Ort, an dem behandlungsrelevante Dokumente von Patientinnen zentral hinterlegt werden – die letzten Blutwerte, das Rezept für Betablocker, der Verweis auf Allergien. Solche Informationen können eine Behandlung erleichtern, womöglich Kosten sparen und manchmal sogar über Leben und Tod entscheiden.
Nach jahrelanger Entwicklung hätte das EPD diesen April starten sollen. Doch im Zuge der Pandemie wurde der Termin erst auf den Sommer und schliesslich aufs Jahr 2021 verschoben. Die Zertifizierung der Anbieter und deren IT-Systeme dauert länger, als die Bundesbehörden gedacht haben.
Der Terminplan ist jedoch nicht das einzige Problem. Das Patientendossier hat grundlegende Mängel: Es ist technisch, juristisch und gesellschaftlich so komplex, dass niemand richtig den Überblick hat. Zudem wurden Abstriche beim Datenschutz gemacht, es gibt keine umfassende Verschlüsselung der gespeicherten Informationen, und ein zentrales Ziel – dass Bürger besser über ihre eigenen Daten bestimmen können – ist nicht zufriedenstellend erfüllt.
Das EPD hätte das Gesundheitswesen ins 21. Jahrhundert führen sollen. Doch es wurde zum Selbstzweck – und droht in der Praxis zu scheitern.
Die sieben wichtigsten Kritikpunkte und eine Bilanz.
Das BAG startete das Projekt 2007 mit einem neunseitigen Papier. Spitäler, Rehakliniken und Psychiatrien sollten künftig den Zugang zum EPD anbieten. Ein Blick ins Dossier würde genügen, und die Spezialistin sähe sofort, welche Untersuchungen bereits gemacht und welche Diagnosen gestellt wurden. Im Notfall könnte sie wichtige Daten sofort abrufen.
Heute müssen diese Informationen oft telefonisch angefordert, aus Aktenschränken und Datenbanken zusammengesucht und via Fax übermittelt werden. Oder man macht eine Untersuchung aus Zeitmangel einfach nochmals.
Grundsätzlich würde ein EPD also grosse Vorteile bringen. «Unnötige oder doppelte Behandlungen können dadurch vermieden werden», heisst es dazu auf der offiziellen Website. «Die Sicherheit einer korrekten Diagnose und Therapie wird erhöht und das Risiko von Fehlentscheiden gesenkt.» Das ist nicht nur behördlicher PR-Sprech. Immerhin lässt sich fast jeder zehnte Spitaleintritt in der Schweiz mit Komplikationen bei Medikamenten in Verbindung setzen.
Ob sich die Versprechungen halten lassen, ist aber fraglich. Denn das EPD ist nicht einfach ein vom Bund betriebener Cloudspeicher für Gesundheitsdaten. Vielmehr handelt es sich um ein komplexes Netz mehrerer sogenannter Stammgemeinschaften – meist Zusammenschlüsse von Spitälern oder Kantonen –, welche die technische Infrastruktur zum Austausch der Daten betreiben. Die Zusammenarbeit dieser Akteure gestaltet sich schon jetzt schwierig: Eine Zürcher Anbieterin hat bereits Rechnungen verschickt für IT-Leistungen, die sie noch gar nicht erbracht hat.
Ab diesem April standen Spitäler, Rehakliniken und Psychiatrien in der gesetzlichen Pflicht, den Zugang zum EPD anzubieten. Andernfalls wären sie laut Gesetz aus der Spitalliste gestrichen worden. In diesem Fall hätten sie ihre Leistungen nicht mehr über die obligatorische Grundversicherung abrechnen dürfen.
Ende letzten Jahres erkannte der Bund aber die dramatische Lage: Mit einem schweizweiten Start mit allen Akutspitälern, Reha-Kliniken und stationären Psychiatrien im April sei «nicht zu rechnen». Diesen März – noch vor den Wirren der Coronakrise – verschob das BAG dann die geplante Einführung. Es haperte bei der Zertifizierung der Stammgemeinschaften und E-IDs, die fürs Login benötigt werden. Viele Komponenten des EPD – primär die verschiedenen technischen Lösungen – sind noch nicht offiziell für den Einsatz zugelassen. Sie warten unter anderem auf das grüne Licht der Zertifizierungsstellen SQS und KPMG. Das Problem ist offenbar, dass diese Firmen selbst noch nicht einmal als Zertifizierungsstellen zugelassen sind.
Im Juni wurde schliesslich ein Bericht der Eidgenössischen Finanzkontrolle (EFK) publik. Die Behörde fällt darin ein vernichtendes Urteil: Die Ziele des EPD bei der Patientensicherheit, der Behandlungsqualität und der Erhöhung der Effizienz im Gesundheitssystem seien «infrage gestellt». Föderalismus, Ressourcenmangel, fehlende Durchsetzungskraft des BAG und mangelnde Anreize für ambulante Gesundheitseinrichtungen seien die Ursachen dafür.
Mit anderen Worten: Das Patientendossier ist ein gigantischer Murks.
Fragezeichen existieren auch seitens der Ärzte. Diese sind gesetzlich dazu verpflichtet, alle «behandlungsrelevanten» Dokumente ins EPD einzuspeisen. Trotz eines Merkblatts des BAG besteht jedoch beträchtlicher Interpretationsspielraum, welche Dokumente damit überhaupt gemeint sind.
Der «Schweizerischen Ärztezeitung» zufolge führt diese Unsicherheit dazu, «dass besonders bei Patienten mit komplexen Krankheitsbildern das EPD in der Anfangsphase mit PDF-Dokumenten überfüllt und das Auffinden von relevanten Informationen dadurch erheblich erschwert wird».
Gleichzeitig stehen Ärztinnen gesetzlich in der Pflicht, Informationen aus dem EPD «zweckmässig» einzusetzen. Doch ein zweckmässiger Einsatz bei der befürchteten PDF-Flut scheint unmöglich. «Wie sollen Hunderte von Dokumenten innerhalb kurzer Zeit gesichtet und die nützlichen Informationen bewertet und extrahiert werden?», fragt das Ärzteblatt.
Niemand weiss genau, wann diese beiden vage formulierten Sorgfaltspflichten verletzt wären. Es ist also unklar, wie Ärztinnen im Umgang mit dem EPD haftbar gemacht werden können und sollen. Das bringt Verunsicherung mit sich: Wie zeitnah müssen Dokumente hochgeladen werden? Wie viel Aufwand ist bei der Durchforstung des EPD angemessen?
Umfangreiche Privatsphäre-Einstellungen im EPD sollen Vertrauen schaffen. Das Dossier erlaubt eine detaillierte Verwaltung der Zugriffsrechte: Patienten können online jedes Behandlungsdokument als «normal zugänglich», «eingeschränkt zugänglich» oder «geheim» einstufen. Sie können einzelnen Fachpersonen oder Gruppen den Zugriff auf Dokumente verschiedener Vertraulichkeitsstufen auch verweigern oder zeitlich einschränken.
Die Idee klappt wohl in der Theorie. Und sie entspricht der Vision des BAG: Die Menschen in der Schweiz sollen Entscheidungen aktiv fällen und so ihre Gesundheitskompetenz stärken, hält es in seiner E-Health-Strategie fest.
Nur: Damit dürften viele Menschen überfordert sein. Nach einigen Jahren wird ihr Dossier voll sein mit Dokumenten aus unterschiedlichen Quellen. Alles vernünftig zu kategorisieren und den richtigen Gesundheitsfachleuten den richtigen Zugriff zu erlauben, ist ein immenser Aufwand. Zumal standardmässig alle hochgeladenen Informationen nicht als «geheim», sondern als «eingeschränkt zugänglich» eingestuft sind. Sie sind damit für alle Personen einsehbar, die in die Behandlung involviert sind. Wer den Zugriff auf Dokumente nicht regelmässig einschränkt, hat somit wenig vom Datenschutz. Und erfahrungsgemäss machen sich die wenigsten Nutzer den Aufwand dafür.
Diese Voreinstellung kritisiert auch die Bürger- und Konsumentenschützer der Digitalen Gesellschaft. Denn in Datenschutzkreisen gilt nebst der Datensparsamkeit das Prinzip «Privacy by Default», also «standardmässig der höchste Schutz». Ausgerechnet bei den sensiblen Gesundheitsdaten wird es nicht konsequent umgesetzt.
Besonders schwer wiegt aus Sicht der Digitalen Gesellschaft, dass der Datenaustausch nicht mit einer Ende-zu-Ende-Verschlüsselung abläuft. Dabei müssten Patienten die Schlüssel zu ihren Daten explizit an bestimmte Ärztinnen geben – etwa indem sie auf einem Online-Portal aktiv einem Schlüsselaustausch zwischen Patient und Ärztin zustimmen. So wären die Daten unterwegs und auf den Servern wirklich geschützt.
Doch eine solche Verschlüsselung sieht das Gesetz explizit nicht vor. Sie würde – genau wie eine standardmässige Datenkategorisierung als «geheim» – den freien Datenaustausch zwischen Ärzten erschweren. Und damit den möglichen Nutzen des Patientendossiers verringern.
Wegen dieser Mängel erhielt das BAG 2019 den Negativpreis «Big Brother Award». In der Jury sassen Datenschutzaktivistinnen der Digitalen Gesellschaft, des Chaos Computer Clubs Schweiz, der p≡p Foundation und der Wau-Holland-Stiftung. Sie verwiesen auf einen Skandal um Gesundheitsdaten in Norwegen, wo im Januar 2018 im grossen Stil IT-Systeme im Gesundheitswesen gehackt wurden. Fast drei Millionen Menschen und ihre elektronischen Patientendossiers waren betroffen.
Beim BAG war man sich solcher «Restrisiken» bewusst, wie eine Risikoanalyse zum EPD zeigt, entschied sich aber gegen die Ende-zu-Ende-Verschlüsselung. Man wolle dieser Möglichkeit nachgehen, erklärt das BAG den Entscheid gegenüber der Republik. «Es stellt sich dabei aber auch die Frage, ob die Dokumente der Patienten so stark abgeschottet werden sollen, dass der Aufwand der Gesundheitsfachpersonen für den Zugriff zu aufwendig ist – und damit gar nicht mehr gemacht wird.»
Den Datenaustausch einfach zu gestalten, ist ein valides Anliegen. Der lasche Schutz ist aber gefährlich, weil die Daten de facto zentral gesammelt sind.
Ursprünglich war das EPD als dezentrales System konzipiert. Es sollten sich 20 bis 40 Stammgemeinschaften zusammenschliessen. Mittlerweile ist deren Zahl aber auf 8 geschrumpft. Und es ist fraglich, ob es dabei bleibt.
Das BAG erklärt dies mit der hohen Komplexität. Diese rühre daher, dass Zugriffsrechte gesteuert und Zugriffe protokolliert werden müssten – «beides wichtige Instrumente im Bereich Datenschutz und informationelle Selbstbestimmung». Statt der ursprünglich angestrebten Dezentralisierung steuert das Patientendossier also auf ein Klumpenrisiko zu.
Denn mit der Abilis AG arbeitet nur eine Stammgemeinschaft mit einer IT-Firma zusammen, die nicht teils oder vollständig in Staatsbesitz ist. Sie heisst Bint. Alle restlichen Anbieter greifen auf Softwarelösungen von der Swisscom und der Post zurück. Erstere beliefert die in 18 Kantonen tätige Gemeinschaft XAD, Letztere den grössten Teil der Stammgemeinschaften: Cara (Freiburg, Genf, Jura, Waadt, Wallis), E-Health Aargau, E-Health Südost, E-Health Ticino und den Kanton Neuenburg.
Die beiden (teil-)staatlichen Betriebe suchen nach neuen Geschäftsmodellen, während ihr Hauptgeschäft unter der Digitalisierung leidet. Das 70 Milliarden Franken schwere Gesundheitswesen ist eine naheliegende Option, das Patientendossier verspricht Eintritt in einen lukrativen Markt. Sowohl Swisscom als auch die Post haben eigene E-Health-Abteilungen.
Für die Digitale Gesellschaft ist diese Konzentration hoch problematisch. Man sei sich zwar bewusst, dass die Daten im Aktenschrank auch nicht sicher seien, erklärt sie gegenüber der Republik. «Dort sind sie aber wenigstens dezentral gespeichert und das Missbrauchspotenzial ist kleiner. Mit dem EPD gibt es nun zwei grosse Player mit je einer grossen Datenbank.»
Das EPD steht im Zentrum entgegengesetzter Interessen: dem Schutz der Gesundheitsdaten einerseits und dem einfachen Datenfluss andererseits.
Das Resultat ist ungenügend.
Die Verantwortlichen wussten, dass nur eine pragmatische Lösung die kritische Masse mobilisiert, die für das Funktionieren unbedingt erforderlich ist. Doch bis jetzt ist offen, ob der Grossteil der Bevölkerung auf den EPD-Zug aufspringen wird. Zwei Drittel der Bevölkerung finden das Patientendossier gemäss einer Studie des GFS Bern zwar eine gute Sache – vor einem Jahr waren es allerdings noch deutlich mehr. 36 Prozent der Befragten wollen ein eigenes EPD eröffnen. Das wären immerhin fast 3 Millionen Dossiers.
Doch die wenigsten wollen ihr Dossier im Spital oder in der Apotheke eröffnen – dort, wo dies anfangs möglich sein wird. Die meisten möchten sich lieber im Internet oder beim Hausarzt mit einem EPD ausrüsten lassen. Ausgerechnet die Hausärztinnen haben sich jedoch erfolgreich gegen eine Mitmachpflicht gewehrt. Sie dürfen abwarten. Auch Pflegeheime haben noch weitere zwei Jahre Zeit, bis sie das EPD anbieten müssen.
Damit steht die Freiwilligkeit bereits unter Druck. Auch der Bundesrat weiss, dass sich diese «sowohl kurz- wie auch langfristig negativ auf die Verbreitung des EPD» auswirken könne. Klar ist: Ohne Hausärzte wird das EPD einen schweren Stand haben. Darum entschied das Parlament bereits 2018, dass Neuzulassungen von Ärztinnen zur Grundversicherung nur unter der Bedingung erfolgen, dass sie sich einer Stammgemeinschaft anschliessen.
Offen bleibt, ob die Lösungen, die Ärzten und Patientinnen mehr oder weniger unsanft aufgezwungen werden, den Ansprüchen auch genügen.
Vor allem die Technologielieferanten und Betreiberfirmen sind an einer breiten Nutzung des EPD interessiert. Denn die gewaltigen Investitionen lohnen sich nur, wenn ein Grossteil der Bevölkerung mitmacht.
Zwar hat der Bund den Stammgemeinschaften eine Anschubfinanzierung von 30 Millionen Franken zur Verfügung gestellt. Das dürfte jedoch bei weitem nicht ausreichen, wie Axsana-Geschäftsführer Samuel Eglin bereits einräumte: «Die Swisscom wird ihre Entwicklungskosten für das Patientendossier wohl nicht vollständig refinanzieren können.»
Die Folge: Es dürften unattraktive Minimallösungen dominieren.
Ob sich bald ein nachhaltiges Geschäftsmodell entwickelt, ist fraglich. Müssen doch die Kosten für die Eröffnung von Patientendossiers, die Einspeisung alter und neuer Daten sowie Betrieb und Wartung der Infrastruktur gedeckt werden. Zwar finanzieren sich die Gemeinschaften über kantonale Beiträge oder Beteiligungen involvierter Spitäler und Heime. Die Gefahr bleibt aber, dass trotzdem Fusionen von Stammgemeinschaften nötig sein werden – was eine noch grössere Zentralisierung zur Folge hätte.
Das EPD sei als Ablage von Dokumenten konzipiert, gibt die Dienstleisterin HIN (Health Info Net AG) zu bedenken. «Damit Gesundheitsfachpersonen digital effizient zusammenarbeiten können, brauchen sie aber vor allem Lösungen für die sogenannte gerichtete Kommunikation», sagt HIN-Mediensprecher Philipp Senn. Gerichtete Kommunikation bedeutet zum Beispiel, dass eine Ärztin von einem anderen Arzt spezifische Informationen über eine Patientin anfordert. Vielerorts denkt man deshalb bereits über das EPD hinaus, weil es im digitalen Gesundheitswesen nur ein Anwendungsfall von vielen sei.
Senn warnt: «Mit dem EPD wurden teils Erwartungen geschürt, welche dieses am Anfang wohl noch nicht wird erfüllen können. Damit besteht die Gefahr, dass das EPD zu Beginn wenig Begeisterung hervorrufen wird.»
Wenig Begeisterung bedeutet wenig Menschen, die mitmachen. Und ohne kritische Masse droht dem Patientendossier der Absturz.
Wie wichtig ein funktionierendes, digitales System ist, haben die letzten Monate gezeigt. Zwar hätte das EPD in der Corona-Krise wohl nur wenig helfen können – vor allem den bemängelten Datenaustausch hätte es kaum liefern können. Aber: «Die behandelnden Ärzte hätten sich rasch ins Bild setzen können über Vorerkrankungen, Allergien und welche Medikamente eingenommen wurden.» Das sagt Adrian Schmid, Leiter von E-Health Suisse, der Kompetenz- und Koordinationsstelle von Bund und Kantonen.
Die Diskussion um den Einsatz von Contact-Tracing-Apps hat zudem unser Bewusstsein geschärft – dafür, wie wichtig eine solide und zweckdienliche Digitalisierung ist. Wir verstehen nun, wie sensibel unsere Gesundheitsdaten sind und dass es Wege gibt, diese zu schützen und dennoch zu nutzen.
Wäre da ein Marschhalt nicht angebracht, um das System von Grund auf neu zu gestalten? Ein Reset, um ein besseres Patientendossier zu erschaffen?
Julian Mausbach, Experte für Pflegerecht von der Universität Zürich, hält das für den richtigen Weg. «Es wäre gut, wenn wir uns jetzt nochmals vertieft mit der Materie, dem Nutzen und den Problemen auseinandersetzen und die Verzögerung nutzen», sagt er. Und fügt an: «Es ist unwahrscheinlich, dass das Patientendossier jetzt nochmal komplett neu gedacht wird.»
Ich will es genauer wissen: Wie funktioniert das Patientendossier?
Macht ein Assistenzarzt am Kantonsspital St. Gallen eine Röntgenaufnahme, lädt er diese zusammen mit dem Befund ins interne Informatiksystem. Jedes Spital, jede Gemeinschaftspraxis, jedes Altersheim hat ihr eigenes System, das in den vergangenen Monaten mit dem elektronischen Patientendossier EPD kompatibel gemacht werden musste.
Hat die Patientin bereits ein eigenes Patientendossier eröffnet – was vorerst noch freiwillig ist –, werden Befund und Aufnahme vom Spital automatisch als PDF inklusive allfälliger Bilder in ihr Dossier hochgeladen. Dafür sorgt zum Beispiel beim Kantonsspital St. Gallen das System XAD, das von der Axsana AG betrieben wird. Sie ist eine Gemeinschaft, die über 200 Gesundheitseinrichtungen aus 18 Kantonen vereint und auf eine technische Lösung der Swisscom zurückgreift. In deren Rechenzentren wird zudem eine Kopie der Aufnahme abgespeichert und mit Metadaten angereichert.
Geht die Patientin anschliessend zu einem Spezialisten im Kanton Zürich, kann dieser das Material direkt übers EPD einsehen – sofern er ebenfalls daran angeschlossen ist. Möchte die Patientin nicht, dass der Spezialist den Befund lesen darf, kann sie vorher die Zugriffsrechte anpassen. Diese Privatsphäre-Einstellungen dürfen Gesundheitsfachpersonen nur im Notfall ignorieren. So soll sichergestellt werden, dass Bürgerinnen die Kontrolle über ihre Daten behalten.
Ich will es genauer wissen: Das Problem mit der elektronischen Identität
Damit Patientin und Spezialist auf die Aufnahme zugreifen können, müssen beide ihre Identität mit einer E-ID gegenüber dem System nachweisen. Dafür wurde im Bundesgesetz über das elektronische Patientendossier (EPDG) sowie in der dazugehörigen Verordnung eigens eine gesetzliche Grundlage geschaffen, die auf das EPD zugeschnitten ist.
Im Moment stellen verschiedene Anbieter eine für das EPD zertifizierte E-ID zur Verfügung. Ärztinnen können sich ihre E-ID zum Beispiel bei der Health Info Net AG (HIN) ausstellen lassen. Das System der HIN ist bereits heute in Spitälern und Praxen weitverbreitet und wird zur sicheren Übermittlung von Patientendaten verwendet. Die HIN vergibt allerdings nur an Gesundheitsfachpersonen eine E-ID. Für Patienten bleibt die Wahl zwischen der bereits zugelassenen TrustID von Elca und der SwissID der SwissSign Group, die sich derzeit für den Einsatz im Patientendossier zertifizieren lässt.
Die Verstrickung des EPD mit der E-ID ist unschön. Denn die E-IDs der privaten Anbieter, deren Anwendung für öffentliche Zwecke umstritten ist, erhalten durch die Verknüpfung mit dem EPD eine gewaltige Legitimation.