Die Dilemmata der elektronischen Patientenakte - Für den Erfolg ist ein Support vor Ort erforderlich
Unrealistische Forderungen aufgrund von zwei aktuellen Umfragen
Mitte Februar hat der Verbraucherzentrale Bundesverband die Ergebnisse einer repräsentativen Umfrage zur Nutzung der elektronischen Patientenakte (ePA) und eines Verbraucheraufrufs zur Schilderung eigener Erfahrungen veröffentlicht. Fast alle gesetzlich Versicherten wissen, dass es die ePA gibt (94 Prozent), aber 71 Prozent verwalten Sie nicht aktiv. Neun Prozent haben sogar Widerspruch eingelegt oder ihre ePA löschen lassen. Ein Drittel sieht keinen persönlichen Nutzen in der ePA (33 Prozent). Jeweils 13 Prozent haben Datenschutzbedenken und Sorgen hinsichtlich der Datensicherheit. In dem Verbraucheraufruf werden vor allem die komplizierten und unübersichtlichen Einrichtungsprozess der ePA und die Festlegung, wer auf welche Daten zugreifen darf, kritisiert sowie die unzureichend Unterstützung durch die Krankenkassen. Auch wird berichtet, dass die ePA „noch nicht im Behandlungsalltag angekommen sei, Arztpraxen die ePA nicht nutzen oder relevante Behandlungsdaten nicht hochladen“. Als Schlussfolgerung aus diesen und weiteren Befunden hat der BVZ zehn Forderungen erhoben, unter anderem:
- Die Kernforderung:, die ePA muss „patientenorientiert“ ausgestaltet werden und einfacher werden,
- Hürden bei der Registrierung müssen abgebaut werden,
- die Steuerungsmöglichkeit, wer auf welche Daten zugreifen darf, muss verbessert werden,
- es muss ein größtmögliches Level an Datensicherheit gewährleistet werden.
Fast zeitgleich hat auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit eine Umfrage zur Nutzung der ePA in Auftrag gegeben. Danach kennen 95 Prozent die ePA, aber nur 12 Prozent haben sie eingerichtet, sieben Prozent haben widersprochen. Hauptgründe für die fehlende Nutzung sind fehlender Bedarf (42 Prozent) und Zeitgründe für die Aktivierung (26 Prozent), „zu kompliziert, umständlich, App funktioniert nicht, kein/altes Handy“ (11 Prozent). Sehr detailliert werden die Datenschutzkompetenzen abgefragt. Zur Nutzungsplanung sagen von den Nicht-Nutzenden 42 Prozent, sie würden sich in den nächsten sechs Monaten registrieren, 50 Prozent werden nichts unternehmen.
Die Bundesbeauftragte, Prof. Dr. Louisa Specht-Riemenschneider sieht eine Schlussfolgerung darin, „Sicherheitslücken schnellstmöglich und bestmöglich zu schließen. Nur dann kann tiefes Vertrauen in die ePA entstehen.“ Die Möglichkeit, selbstbestimmt mit den Daten umzugehen sei wichtig für die Akzeptanz. (83 Prozent wollen künftig möglichst viele Einstellungsmöglichkeiten zur Weitergabe ihrer Gesundheitsdaten haben). Und sie fordert: „Die Funktionen und Einstellungsmöglichkeiten bei der ePA müssen für alle verständlich und nachvollziehbar sein. Das ist die Grundvoraussetzung für einen selbstbestimmten Umgang mit den eigenen Gesundheitsdaten, den sich die Menschen wünschen.“
Die Schlussfolgerungen aus beiden Umfragen klingen plausibel. Aber sind sie auch realistisch, im Sinne von umsetzbar? Sind die genannten Ziele sicher und einfach für alle gleichzeitig erreichbar? Nach meiner Erfahrung mit 30 Jahren Forschung zu Nutzbarkeit und Nützlichkeit von IT-Anwendungen ist beides zusammen nicht erreichbar. Vielmehr gibt es zwei grundsätzliche Dilemmata, nicht nur bei der ePA sondern auch bei anderen Massenanwendungen mit sensiblen Daten.
Das Sicherheits-Nutzbarkeits-Dilemma
Alle Befragten und die Auftraggeber wollen ein höchstmögliches Maß an Sicherheit. Nach der internationalen Norm ISO 27001 sind die drei Schutzziele der IT -Sicherheit (IT-Security)
- Vertraulichkeit (Confidentiality): Informationen dürfen nur für autorisierte Personen, Prozesse oder Systeme zugänglich sein. Der unbefugte Zugriff oder die Offenlegung von Daten wird verhindert.
- Integrität (Integrity): Daten müssen korrekt, vollständig und unverändert sein. Die Integrität stellt sicher, dass Informationen nicht unbefugt manipuliert wurden und vertrauenswürdig sind.
- Verfügbarkeit (Availability): Systeme, Netzwerke und Daten müssen bei Bedarf für autorisierte Benutzer zugänglich sein. Dies garantiert, dass die IT-Infrastruktur zuverlässig funktioniert.
Wenn nur berechtigte Personen auf die Daten in der ePA zugreifen können sollen, muss festgelegt werden, wer berechtigt ist, und bei jedem Zugriff müsste mit 100-prozentiger Gewissheit geprüft werden, ob es sich um eine berechtigte Person handelt. Das gilt für die versicherte Person genauso wie für alle anderen, denen eine Berechtigung eingeräumt wurde. Dafür gibt es Authentisierungsverfahren, die mit jeder nachgewiesenen Sicherheitslücke (erfolgreicher Hacker-Angriff) weiterentwickelt werden. Benutzername und PIN sind das nach der Umfrage der BfDI das am häufigsten gewählte Verfahren mit der geringsten Sicherheit. Zwei-Faktor-Authentisierung mit Gesichtserkennung oder Fingerabdruck sind deutlich sicherer und nach der Einrichtung auch einfacher bei jedem LogIn. Aber eben nicht 100-prozentig, daher werden zurzeit zusätzliche AuthentisierungsApps eingesetzt. Sie werden in dem Verbraucheraufruf deswegen kritisiert, weil man dabei auf dem Smartphone zwischen zwei Anwendungen hin- und her wechseln muss. In der Apotheken-Rundschau wird der Bundesvorsitzende des Deutschen Hausärztinnen- und Hausärzteverbands, Markus Beier, mit dem Vorwurf zitiert: „Die allerwenigsten Patientinnen und Patienten haben sich ihre ePA einmal angeschaut. Das liegt vor allem an dem absurd komplizierten Registrierungsprozess, der selbst digital affine Menschen irgendwann frustriert aufgeben lässt.“
Ich sehe hier ein grundsätzliches Dilemma zwischen Security und Usability: Mehr Sicherheit bedeutet zwangsläufig mehr Überprüfungsschritte und macht die Nutzung damit komplizierter. In der Fachliteratur spricht man von einem „magischen Dreieck“, wenn drittens noch die Kosten berücksichtigt werden. Ein Mehr bei einen Ziel führt zu einem Weniger bei einem anderen. (Mehr dazu in dem Buch zu diesem Dilemma beim Online-Banking im zweiten pdf).
Das Homogenitäts-Heterogenitäts-Dilemma
In meinem letzten Beitrag habe auch ich meine Probleme mit dem Wechsel zwischen der App meiner Beihilfestelle und dem erforderlichen Authentication Manager geschildert und dass ich meinen Sohn telefonisch um Hilfe bitten musste. Ich bin mir sicher, dass ich über relativ hohe digitale Kompetenzen verfüge und als Wissenschaftler gelernt habe zu lernen. Alle Umfragen zu digitalen Kompetenzen zeigen, dass diese in der Bevölkerung nicht gleich verteilt sind, sondern mit dem Alter, dem Bildungsabschluss und der Bildungsbiografie variieren. „Einfach für alle“ geht nicht, weil „einfach“ subjektrelativ ist: was die eine als einfach empfindet, bewertet der andere als schwierig. In der Software-Ergonomie gibt es eine Richtung des „Universal Design“, die zwar allgemeine Prinzipien entwickelt hat, aber in der notwendigen Konkretisierung auch auf diesen Zielkonflikt stößt. Denn man kann bei einer Massenanwendung wie der ePA nicht mehrere Versionen für unterschiedliche Kompetenzniveaus bereitstellen. Es muss eine homogene Anwendung sein. Und die trifft auf große Kompetenzunterschiede bei den 70 Millionen gesetzlich Versicherten. Der Ausgleich kann nur zu einem kleinen Teil durch besseres Design und Bedienhilfen erfolgen, am wenigsten bei den Sicherheitsfunktionen.
Ausgleich durch Support, am besten vor Ort
Diejenigen, die mit der Registrierung nicht zurechtkommen oder davor zurückschrecken oder es sich nicht zutrauen, brauchen Unterstützung und Ermutigung. In meinem Beitrag vom 2. Oktober 2025 habe ich die unterschiedlichen Support-Angebote verschiedener Krankenkassen geschildert. Da können einige Kassen noch besser werden. Aber es bleibt das Problem, dass man, wenn es am Telefon nicht gelingt, eine Geschäftsstelle aufsuchen muss. Wer keinen Nutzten für sich erwartet, wird das in der Regel nicht tun.
Ich bin mittlerweile davon überzeugt, dass der mit Abstand beste Ort die Arztpraxis ist. Und zwar wegen des Befundes in den Umfragen, dass viele am Nutzen der ePA zweifeln. Davon könnte ich mich am besten überzeugen, wenn mir in der Arztpraxis jemand anbietet, mir den Inhalt meiner ePA zu zeigen und zu erklären und mir dazu bei der Registrierung hilft. Dazu würde ich mich sofort bereiterklären, da ich ohnehin im Wartezimmer warten musss. Ich weiss, dass das für die Praxen einen zusätzlichen Aufwand bedeutet. Der muss, wie eine andere ärztliche Leistung entsprechend vergütet werden. Wirtschaftlich sehe ich darin für die Krankenkassen eine Investition, die die erhofften Einsparungen durch einen breiten Einsatz der ePA fördern kann.
Technische Weiterentwicklung vor allem bei der inhaltlichen Strukturierung
Den Arztpraxen würde dieser zusätzliche Aufwand leichter fallen, wenn die ePA den die versprochenen medizinischen Nutzen ermöglichen würde, insbesondere Doppelmedikation und schädliche Wechselwirkungen vermeiden helfen. Ich habe schon in meinem Beitrag vom 4.2. 2024 auf das Problem mit jpg&Co hingewiesen, dass man in Bildern von Rezepten und Befunden nicht gezielt suchen kann und in dem Beitrag vom 30.4.2025 die verschiedenen Nutzenversprechen hinterfragt. In. dieser Hinsicht stimme ich dem zitierten Bundesvorsitzenden des Deutschen Hausärztinnen- und Hausärzteverbands, Markus Beier, zu, wenn er sagt „die ePA sei derzeit vor allem „eine unsortierte PDF-Sammlung, mit der Praxen im Alltag nur wenig anfangen können“. Mühsam müssten sich die Ärztinnen und Ärzte durch unzählige Dokumente arbeiten, es fehle eine Volltextsuche.“ Die Volltextsuche ist wohl noch nicht der höchste Standard, eher wäre das, wie in der Verbraucheraufforderung gewünscht, eine KI-basierte Suche nach Doppelmedikationen und möglichen Unverträglichkeiten. Selbstverständlich nicht ohne ärztliche Abklärung. Diese Art von Sicherheit (safety) hätte sicher auch eine Motivationswirkung für die 50 Prozent, die derzeit noch keine Registrierung planen.