Bundesdatenschützer schickt Warnung an Krankenkassen: Elektronische Patientenakte nicht DSGVO-konform

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit schickt eine formelle Warnung an ePA-Anbieter. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit schickt eine formelle Warnung an ePA-Anbieter. © iStock/FotografiaBasica

Der Bundesdatenschutzbeauftrage zieht in den Kampf. Er sagt, die Krankenkassen verstoßen mit der elektronischen Patientenakte gegen europäischen Datenschutz. Recht hat er, sagen viele. Die Crux: Das deutsche Gesetz will es so. Die Kassen stehen vor einem Dilemma.

Noch wenige Tage, bevor der Bundesrat das sogenannte Patientendaten-Schutzgesetz (PDSG) Mitte September im zweiten Durchgang billigte, hatte Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), erneut darauf hingewiesen, seine Aufsichtsbehörde werde Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen müssen, für den Fall, dass diese das Gesetz in dieser Form umsetzen. Denn die Einführung der elektronischen Patientenakte (ePA) nach den Vorgaben des PDSG verstoße an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO).

Nicht, dass der BfDI nicht schon zuvor auf diese Stellen hingewiesen hätte. Das ist seine Aufgabe und er hat es auch in diesem Fall getan. Der Gesetzgeber aber hat das Gesetz verabschiedet, ohne den Bedenken des BfDI Rechnung zu tragen. Dem BfDI bleibt in einem solchen Fall eines: Sobald das Gesetz in Kraft tritt, kann er sich an die Institutionen halten, die das Gesetz vollziehen. Was die ePA betrifft, sind das die Krankenkassen.

Eine Warnung in dieser Dimension hat der BfDI noch nie ausgesprochen

Jetzt ist es also soweit. Als erste Maßnahme hat der Bundesbeauftragte mit Schreiben vom 6. November 2020 den gesetzlichen Krankenkassen, die seiner Kontrolle unterliegen, eine offizielle Warnung übersandt. Rund 44,5 Millionen Versicherte sind in diesen Kassen versichert, grundsätzlich betroffen sind jedoch alle gesetzlich Versicherten – für einen Teil von ihnen sind die Landesbehörden zuständig. Eine Warnung in dieser Dimension hat der BfDI noch nie aussprechen müssen.

In seinem Schreiben an die Kassen weist er darauf hin, dass insbesondere die Regelungen zum Zugriffsmanagement nicht den Vorgaben der DSGVO entsprechen. Und man werde prüfen, ob weitere Maßnahmen nach der ­DSGVO erforderlich sein werden.

Zu diesen weiteren Maßnahmen gehört die Möglichkeit einer Anweisung an die Kassen, die ePA ausschließlich DSGVO-konform anzubieten. Und in einem dritten Schritt könnte den gesetzlichen Kassen untersagt werden, eine ePA, die gegen die DSGVO verstößt, anzubieten.

Zu warnen ist noch nicht die letzte Waffe der DSGVO

Eine Anordnung bzw. Untersagung müssen die Kassen grundsätzlich befolgen – sie können sie allerdings auch gerichtlich anfechten. In diesem Fall würde letztlich die Verfassungskonformität der Vorgaben geprüft werden.

An welchen Stellen die ePA nach Ansicht der Behörde gegen die europäischen Datenschutzvorgaben verstößt, erklärte Bertram Raum, zuständiger Ministerialrat beim BfDI, auf der Tagung „Datenschutz in der Medizin – Update 2020“. Auch er betont: Der BfDI hatte während des Gesetzgebungsverfahrens mehrfach darauf hingewiesen, dass Patientinnen und Patienten bei Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen. Das jedoch ist faktisch erst ab 2022 vorgesehen. Das heißt: Erteilt ein Patient seinem Zahnarzt den Zugriff auf die ePA, hat dieser auch Einblick in die psychotherapeutische Behandlung des Akteninhabers.

Aufsichtsbehörde kritisiert Entwurf für das dritte Pandemiegesetz

Auch der Entwurf des Dritten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage stößt beim Bundesdatenschutzbeauftragten auf ausdrückliche Kritik. In einer Stellungnahme vom 9. November bemängelt er, dass mit dem Gesetz „erneut“ verschiedene Meldepflichten oder Übermittlungen personenbezogener Daten eingeführt und erweitert werden, ohne zu berücksichtigen, dass die Verarbeitung von Gesundheitsdaten besonders zu begründen und zu rechtfertigen ist und besondere flankierende Maßnahmen zum Schutz der sensiblen Daten vorzusehen sind. Er sehe mit Besorgnis, dass die Gewinnung von Erkenntnissen zunehmend zwingend durch staatliche Stellen vorgesehen wird. Darüber hinaus rügt er die extrem kurzen Fristen zur Prüfung der Formulierungen, die teilweise unter 24 Stunden lagen. Wichtige Punkte der Kritik des BfDI:
  • Der Vorschlag, die Wirksamkeit der aufgrund der Pandemie eingeführten Vorschriften im Nachhinein zu überprüfen, wurde vom Gesetzgeber nicht aufgegriffen.
  • Die Verfeinerung der Ortsangaben bei der Übermittlung eines Nachweises eines Krankheitserregers erhöhe das Re-Identifikationsrisiko. Diese Regelung soll auch außerhalb des Pandemie­falles gelten.
  • Die Übermittlung pseudonymer Falldaten von Laboren an Einrichtungen der Spezialdiagnostik sei problematisch, da eine Pseudonymisierung den Personenbezug nicht aufheben kann, sondern lediglich die namentliche Identifizierung verhindere. Vorschriften zum Vernichten des Materials und zur Datenlöschung sind nicht ­vorgesehen.
  • Eine zusätzliche Übermittlung personenbezogener Patientendaten nicht nur an das RKI, sondern auch an das Paul-Ehrlich-Institut verdoppele Datensätze und sei unbegründet.
  • Die in der elektronischen Einreiseregelung vorgesehene Möglichkeit, dass auch private Beförderer umfängliche Gesundheitsdaten erheben und übermitteln müssen, sei kritisch zu bewerten.

Aus den gleichen Gründen problematisch ist für den Bundesdatenschutzbeauftragten, dass die im Gesetzesentwurf vorgesehenen Krankenkassenterminals, über die Versicherte ohne Tablet oder Smartphone ihre Daten ab 2022 „feingranular“ bestimmen können sollten – z.B. um dem Zahnarzt ein einzelnes Attest zugänglich zu machen – kurzfristig weggefallen sind. Genauso wenig DSGVO-konform ist nach Ansicht des BfDI das vorgesehene Authentifizierungsverfahren. Aktuell würde es nicht dem hohen Schutzbedarf der Daten Rechnung tragen. Problematisch seien außerdem die Regelungen zur Datenverarbeitung zu Forschungszwecken, zum eRezept und im Zusammenhang mit der Information zu überindividuellen Versorgungsinnovationen, bei der der Gesundheitsausschuss die Einwilligungslösung durch eine Widerspruchslösung ersetzt hat.

Für die Krankenkassen ist das geltende Recht bindend

Der AOK-Bundesverband unterstreicht, dass die im PDSG normierten Regelungen für die Krankenkassen bindend sind und will diese entsprechend umsetzen. Die Intervention des BfDI führe die AOK und andere gesetzlichen Krankenkassen in ein Dilemma: Zum einen seien sie unter Androhung von Strafzahlungen gezwungen, die von der gematik spezifizierte ePA einzuführen. Zum anderen könnten die Aufsichtsbehörden mit Sanktionen drohen. Die Leidtragenden wären die Beitragszahler. „Der Streit um die ePA sollte zwischen den Aufsichtsbehörden und den politischen Verantwortlichen ausgetragen werden. Die Beitragszahler und die Akteure im Gesundheitswesen dürfen zu Recht Normenklarheit erwarten“, so ein Sprecher des AOK-Bundesverbandes. Die Barmer informierte auf Anfrage, man versuche gerade, die unterschiedlichen Auffassungen hinsichtlich des Datenschutzes bei der ePA zu klären. An den Diskussionen sei neben dem BfDI auch das Bundesamt für Soziale Sicherung als Aufsichtsbehörde beteiligt. Die Barmer sei als Körperschaft des öffentlichen Rechts in jedem Fall verpflichtet, geltendes Recht umzusetzen, sie habe weder bei der Gestaltung noch beim Umsetzungstermin der ePA Dispositionsraum.

Umsetzungstermin der ePA hängt auch an der Technik

Bezüglich des Umsetzungstermins erwähnt die Deutsche Krankenhausgesellschaft (DKG) die große Abhängigkeit von der Industrie. Diese stünde der fristgerechten Einführung der ePA in den Krankenhäusern zurzeit entgegen, so Dr. Anne-Maria Purohit, Referentin IT, Datenaustausch und eHealth der DKG, auf der Fachtagung „Datenschutz in der Medizin“. Es gebe noch keine Zulassung für einen der notwendigen Konnektoren mit PTV4-Update. Und auch die Implementierung der Außenschnittstellen und der Module in den Krankenhausinformationssystemen stünden noch aus.

Medical-Tribune-Recherche