eHealth für Ärzte, Apps für Patienten
Am Mittwoch hat die Bundesregierung nach zähen Verhandlungen und endloser Verzögerung die digitale Revolution im Gesundheitswesen versprochen: In Form des eHealth-Gesetzes. Die Maßnahmen werden für Modernisierungsdruck in Krankenhäusern, bei Ärzten und der Telematikindustrie sorgen, doch am Nutzer geht das alles vorbei. Er ist weiter auf datensichere Apps angewiesen – und damit auf den Mut der Entwickler und Anbieter.
Das Thema eHealth ist sexy und doch sperrig. Sexy, weil es für Patienten eine bessere Gesundheit verspricht – und was ist schon wichtiger als die Gesundheit? Sexy auch, weil eine ganz neue Industrie in den Startlöchern steht. Sperrig jedoch, weil das Gesundheitswesen bürokratielastig ist und sich nicht scheut, Sätze wie diesen auf alle Interessierten loszulassen: „Die finanziellen Auswirkungen der Ermöglichung telemedizinisch-konsiliarischer Befundbeurteilungen von Röntgenaufnahmen hängen von der konkreten Umsetzung und Bewertung in der Vereinbarung über sichere technische Verfahren und vom Bewertungsausschuss ab.“ Oder eben Wortungetüme wie „Telematikinfrastruktur“, ebenfalls prominent im nun vom Kabinett beschlossenen Gesetzentwurf – die Form nimmt hier vorweg, an wen sich das Gesetz nicht richtet: den Nutzer.
Gerade der Begriff Telematikinfrastruktur ist wichtig. Hinter ihm verbirgt sich eine faszinierende Idee: Ein vernetztes, sicheres und weitreichendes Gesundheitswesen. Mit dem eHealth-Gesetz will die Regierung dem Ausbau der Leitungen, Speicherorte und Schnittstellen zwischen Krankenhäusern, Ärzten, Krankenkassen und Patienten auf die Sprünge helfen. Die Modernisierung stockt bislang, weshalb nun mit Zuckerbrot (Finanzierungsanreize) und Peitsche (Kürzungen bei verspäteter Umsetzung) nachgeholfen werden soll: Die Gesellschaft für Telematik und auch Arztpraxen bekommen konkrete Vorgaben. Wer mit medizinischer Versorgung zu tun hat, wird besser vernetzt – so lässt es sich herunterbrechen.
ehealth-Revolution ohne die Patienten
Winkt nun also die Digitalisierung des Gesundheitswesens? Kann ich nun kurz über eine App nachsehen, wie die Blutwerte beim letzten Arztbesuch aussahen? Nein. Denn die Revolution findet ohne die Patienten statt. Sprachlich wie Inhaltlich ist das Gesetz eines für Insider. Die Aufrüstung der Telematik dient den Austauschbedürfnissen zwischen Krankenversicherung, Krankenhäusern und Ärzten, nicht aber dem Zugriff durch die Patienten. Vielleicht können Patienten am Ende des Prozesses mit dem Smartphone dank des eHealth-Gesetzes ihre Stammdaten bei der Versicherung ändern. Das haben auch Verbaucherschützer bereits kritisiert: „Ein System, das den Betroffenen selbst keinen direkten Zugriff auf ihre eigenen medizinischen Daten gewährt, ist widersinnig“, beklagte zum Jahresbeginn Kai Vogel, Leiter des Teams Gesundheit und Pflege im vzbv. Der Verband forderte jetzt, dass sich Patienten Zugang verschaffen und mit den Ärzten austauschen können.
Schon jetzt wappnen sich Menschen vor dem Gang zum Arzt mit Gesundheitsinformationen aus dem Netz. Patienten wollen Zugriff auf die eigenen Gesundheitsinformationen. Doch wer Informationen will, muss ins Internet – oder in den App-Store. Hier lockt das Geschäft und der Datenklau, so skizzieren es Verbraucher- und Datenschützer. Und tatsächlich ist die rechtskonforme Gestaltung einer echten Gesundheitsapp ein besonders langer Spalierlauf, der in einer Art Tanz auf dem Vulkan mündet:
Der Spalierlauf
Da ist, natürlich, das klassische Datenschutzrecht. Das Bundesdatenschutzgesetz findet Anwendung auf Inhalte, die in der Gesundheitsapp verarbeitet werden, also etwa das Aussehen eines Muttermals oder Blutwerte. (Für die, grob vereinfacht, kommunikativen Funktionen gilt der besondere Datenschutz aus dem Telemedien- und Telekommunikationsrecht.) So müssen App-Anbieter zunächst die gewöhnlichen datenschutzrechtlichen Anforderungen beachten: Sie sind „verantwortliche Stelle“ im Visier der Datenschutzbehörden. Wer ein Smartphone in der Hand hält, bei dem werden Daten erhoben – so erklären die Behörden sich grob vereinfacht die Anwendbarkeit deutschen Datenschutzrechts (was sich anders sehen ließe, doch in der Praxis entscheidet die Sicht der Behörden). Eine Einwilligung nach der Art. 5 Abs. 3 Datenschutzrichtline ist bezüglich sämtlicher (auch nicht personenbezogener) Informationen notwendig, dasselbe ergibt sich aus dem Einwilligungserfordernis des BDSG. Die Informationsweitergabe muss unmissverständlich und differenziert erläutert sein, wie das aussehen soll deuten Dokumenten der Art. 29-Gruppe an (PDF). Der Patient muss also mit Hinweisen und Erklärungen versorgt werden, so dass er genau weiß, welche Kategorien von Daten er preisgibt. Manche Datenschützer wünschen sich zudem inzwischen, dass auch mitgeteilt wird, welche Daten nicht erhoben werden. Zugleich sollen die Hinweise aber auch kurz und knackig sein, lange Rechtstexte sind nicht erwünscht. Mag die eine oder andere Anforderung überzogen sein – politisch bekommen Aufsichtsbehörden für all dies steten Rückenwind, denn die Patienten sind zwar neugierig, aber auch besorgt um ihre Gesundheitsdaten, wie Umfragen nahelegen.
Die extra Meile
Neben dem üblichen datenschutzrechtlichen Sparlierlauf müssen App-Anbieter beim Thema Gesundheit eine extra Meile laufen. Denn Gesundheitsdaten sind besonders sensibel und besonders geschützt (§ 9 BDSG). Die technischen Schutzvorkehrungen müssen folglich besonders hoch sein – was natürlich die Bedienbarkeit nicht erleichtert. So hält der Düsseldorfer Kreis eine Speicherung der Zugangsdaten für „im Allgemeinen nicht zulässig“ wenn der Schutzbedarf erhöht ist und fordert zudem eine Auto-Logout Funktion (so in der Orientierungshilfe für App-Entwickler, 2014, S. 19 – PDF). Das ist besonders bei älteren Menschen ein Problem, die ohnehin von der Bedienung einer möglichen Gesundheitsapp stark gefordert sein werden. Die Pseudonymisierung von Daten – enorm wichtig für den Aufbau von Big Data-Lösungen – ist erschwert. Nutzer sollen möglichst leicht widersprechen können, ein Hinweis auf die Einstellungsmöglichkeiten im Mobilgerät genügen nicht. Vielmehr soll ein einfacher Link bereitstehen oder eine Schritt-für-Schritt-Anleitung (Orientierungshilfe, S. 11) – letzteres dürfte insbesondere für die fragmentierte Android-Welt mit verschiedenen Versionen und Gerätetypen ein besonderes Problem darstellen, ebenso für Darstellungsdisplays einer Smartwatch.
Der Tanz auf dem Vulkan
Doch beim Datenschutz hört es nicht auf. Apps, die einen medizinischen Zweck verfolgen, sind mehrals nur Apps, es sind gegebenenfalls Medizinprodukte – das ist anhand § 3 des Medizinproduktegesetzes (MPG), der Richtlinie 93/42/EWG über Medizinprodukte und dem MEEDDEV-Leitfaden der Kommission zu ermitteln. Handelt es sich um ein Medizinprodukt, ist eine CE-Zertifizierung gem. § 9 MPG ff. erforderlich. Ob eine App aber ein Medizinprodukt ist oder nicht, bestimmt zunächst der Hersteller selbst, denn er formuliert die Zweckbestimmung.
In dieser Eigenverantwortung liegen Chancen und Risiken: Eine allzu tolerante Bewertung durch die Hersteller kann zur Folge haben, dass sich Behörden im Zuge des eHealth-Medienhypes eine Auswahl an Gesundheitsapps zur Brust nehmen – etwa das Bundesinstitut für Arzneimittel und Medizinprodukte. Solche Kampagnen sind aus dem Datenschutzrecht bekannt: So sind im letzten Jahr international für Apps im Allgemeinen untersucht worden, in diesem Jahr geht es um Apps für Kinder – und im nächsten Jahr, so darf man vermuten, wird es um Gesundheitsapps gehen. Der neue EU-Datenschutzbeauftragte Giovanni Buttarelli hat bereit eine Ausweitung (!) der Haftung des EU-Rechts für Entwickler und Anbieter von mHealth Apps angemahnt. Konkurrenten und Verbände könnten Falschzertifizierungen als Irreführung abmahnen (§ 3 UWG, OLG München, 15. 10. 1998 – 6 U 2806/98). Zertifizierungspflichtige aber nicht zertifizierte Produkte sind nicht verkehrsfähig. In Fachkreisen werden besonders Ärzte daher davor gewarnt, fälschlich nicht geprüfte Apps zu verwenden, weil sie sich damit haftbar machen können.
Und so herrscht das große Schlottern: Ist das Reputationsrisiko schon bei „normalen“ Datenschutzbeanstandungen enorm braucht eine zusätzliche Portion Mut, sich beim Thema Gesundheitsdaten und eHealth hervorzuwagen. Das geht auch aus der Langzeitstudie der Unternehmensberatung A.T.Kearny hervor („Mobile Health: Fata Morgana oder Wachstumstreiber“ (PDF)).
Wird die bei IT-Ausgaben ohnehin chronisch zurückhaltende Gesundheitsbranche diesen Mut aufbringen? Und wird es die deutsche sein?
Goldwaage des Gesundheitswesens
Eine Lösung sehen die Autoren der A.T.Kearny-Studie in der Anerkennung des medizinischen Mehrwertes. Tatsächlich geht das eHealth-Gesetz einen kleinen Schritt in diese Richtung: „Telemedizinische Lesitungen sollen daher im EBM ausgebaut und mit Zuschlägen gefördert werden“, heißt es im Regierungsbeschluss. Der „Einheitliche Bewertungsmaßstab“ ist die Goldwaage des Gesundheitswesens – ist dort eine Leistung aufgeführt, kann sie in der gesetzlichen Krankenversicherung abgerechnet werden. Zumindest für eine Anwendung soll die Goldwaage entsprechend geeicht werden: Den Notfalldatensatz. Das ist ein Datensatz auf der elektronischen Gesundheitskarte, auf den auch die Patienten zugreifen können sollen – z.B. Arzneimittelunverträglichkeiten, Allergien und chronische Erkrankungen. Stellen Ärzte ihn elektronisch zur Verfügung, bekommen sie Geld. Die Frist hierfür ist im beschlossenen Gesetzentwurf indes eher gemütlich: 30. September 2017.
Das ist viel Zeit für mutige App-Entwickler – zumal der Umgang mit der elektronischen Gesundheitskarte kaum so nutzerfreundich sein wird, wie die Bedienung einer modernen Smartphone-App.
