Wenn die elektronische Patientenakte nicht DSGVO-konform ist – können Ärzte Probleme bekommen?

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Die ePA kommt mit einer weiteren Nebenwirkung. Die ePA kommt mit einer weiteren Nebenwirkung. © MQ-Illustrations – stock.adobe.com

Nach Ansicht des Bundesdatenschutzbeauftragten verstößt die ePA gegen europäischen Datenschutz. Was heißt das für Ärzte, die ab Januar damit arbeiten sollen?

In einem Schreiben von Anfang November warnte der Bundesdatenschutzbeauftragte (BfDI) die gesetzlichen Krankenkassen in seinem Zuständigkeitsbereich: Bei Ausgestaltung der elektronischen Patientenakte (ePA) nach den Vorgaben des Patientendatenschutzgesetz (PDSG) würden sie gegen die Datenschutzgrundverordnung (DSGVO) verstoßen.

Der Grund: Nach den gesetzlichen Bestimmungen können Versicherte im ersten Jahr der Akte keine auf einzelne Dateien beschränkte Zugriffsberechtigungen erteilen. Und auch danach gibt es Hürden für die feingranulare Zustimmung: Wer über kein eigenes Endgerät verfügt und keinen Vertreter einsetzen möchte, wird nur ganze Kategorien von Dokumenten freigeben können. Damit verstoßen die Kassen aber gegen die Vorgaben des europäischen Datenschutzrechts.

Für Arztpraxen und Krankenhäuser sind dagegen Landesdatenschutzbehörden zuständig. Diese gehen mit der Bundesbehörde konform, dass die Regelungen zur ePA nicht der DSGVO entsprechen. Klar ist auch, dass dem Gesetz nach die Krankenkassen datenschutzrechtlich für die ePA verantwortlich sind.

Die Gretchenfrage nach der Einwilligung des Patienten

Die Aufsichtsbehörde Hamburg geht dabei nicht davon aus, dass auch Ärzte oder Krankenhäuser, die die ePA ab Januar füllen und lesen sollen, zwangsweise gegen die DSGVO verstoßen. Die Ärzte würden hier auf ausdrücklichen Wunsch der Versicherten tätig werden, so dass im Einzelfall eine Einwilligung bzw. eine Ermächtigung zur Verarbeitung der Daten bestehe. Aber man sei zu diesen Punkten im Gespräch mit den anderen Datenschutzbeauftragten.

Auch Mecklenburg-Vorpommern sieht keine Verantwortung bei den Ärzten. Und Bayern unterstreicht: Da kein Patient gezwungen sei, Dokumente hochzuladen und freizugeben und Upload und Freigabe stets von seinem aktivem Handeln abhängen, sehe man für Ärzte oder Krankenhäuser keine unmittelbaren Probleme.

Zur Diskussion steht, wann der Arzt Daten auslesen darf

Baden-Württemberg bestätigt, dass Ärzte und Krankenhäuser nicht unmittelbar verantwortlich sind für die Einschränkungen des Zugriffsmanagements. Wenn Ärzte auf Verlangen des Versicherten Daten in die ePA übermitteln, können ihnen die Mängel innerhalb der ePA nicht vorgeworfen werden; Datenübermittlung und -verarbeitung sind gerechtfertigt.

Datenschutzrechtlich problematisch könne es aber sein, wenn Ärzte auf Daten aus der Patientenakte lesend zugreifen wollen. Denn nach der DSGVO hat eine Einwilligung nur dann legitimierende Wirkung, wenn sie freiwillig erteilt wird. Hat der Betroffene aber gar nicht die Möglichkeit, zu verschiedenen Verarbeitungsvorgängen jeweils eigene Einwilligungen zu erteilen, fehlt es an dieser Freiwilligkeit.

Das könnte also heißen, dass die dem Arzt erteilte Zugriffsberechtigung keine wirksame Einwilligung darstellt und der Datenempfänger – Arzt oder Klinik – somit gegen die Datenschutzgrundverordnung verstößt. Und das würde einen Bußgeldtatbestand darstellen. Wobei die Aufsichtsbehörde Baden-Württemberg zu verstehen gibt, dass es nicht das Ziel ist, wahllos Maßnahmen zu ergreifen. Werde ein Verstoß festgestellt, ginge es immer darum, welche Reaktion angemessen erscheint. Wenn eine Unklarheit in der nationalen gesetzlichen Regelung den Verstoß provoziert, dann werde das berücksichtigt.

Eine Möglichkeit, dem unverschuldeten Restrisiko zu begegnen: Sich als Arzt bei Abruf oder Einsichtnahme von Dokumenten aus der ePA nicht darauf verlassen, dass die bloße technische Zugriffsfreigabe eine datenschutzrechtlich ausreichende Einwilligung des Patienten darstellt. Stattdessen ist es ratsam, konkret den Willen des Patienten zu ermitteln, auf welche Dokumente in der ePA tatsächlich (lesend) zugegriffen werden darf. Dieser Wille müsse ausdrücklich erklärt und dokumentiert werden, so die Aufsichtsbehörde.

Unbestritten ist, dass es auch Wille eines Patienten sein kann, dass der Arzt die ePA insgesamt, wie eine Papierakte, nach relevanten Unterlagen durchsuchen soll. Nur dass man davon eben nicht allein deswegen ausgehen darf, weil der Patient vor der Zugriffsfreigabe über deren fehlende bzw. eingeschränkte Teilbarkeit aufgeklärt wird.

Medical-Tribune-Recherche