E-Patientenakte drohen Warnungen vor unzureichendem Datenschutz

Am 01.01.2021 soll die elektronische Patientenakte starten. Der Bundesdatenschutzbeauftragte Ulrich Kelber hält allerdings die Ausgestaltung des Datenzugriffs für europarechtswidrig und plant daher Warnungen und Anweisungen. Er sagte der Deutschen Presse-Agentur, er könne selbstverständlich dem Gesetzgeber keine Vorgaben machen und keine Gesetze korrigieren. Er müsse aber einschreiten, wenn bei seiner Aufsicht unterliegenden Stellen Datenverarbeitungsvorgänge gegen geltende Datenschutzvorschriften verstoßen.

Kritik an "Alles oder Nichts"-Zugriff auf Daten

E-Akten sollen allen Versicherten ab dem 01.01.2021 zur freiwilligen Nutzung angeboten werden und zum Beispiel Befunde, Röntgenbilder und Medikamentenpläne speichern. In der Kritik steht aber schon seit längerem, dass zum Start eine etwas "abgespeckte" Version bei den Zugriffsrechten vorgesehen ist. So können Patienten festlegen, welche Daten überhaupt in die E-Akte sollen und welcher Arzt sie sehen darf. Genauere Zugriffe je nach Arzt nur für einzelne Dokumente kommen aber erst Anfang 2022. Das zwinge Nutzer zu einem "Alles oder Nichts", hatte Kelber wiederholt moniert – ein Zahnarzt könne alle Befunde eines Psychiaters sehen. Die Opposition kritisiert das ebenfalls.

Kelber plant zunächst Datenschutz-Warnungen

Kelber plant daher Warnungen und Anweisungen an 65 gesetzliche Krankenkassen mit insgesamt 44,5 Millionen Versicherten, über die er die Datenschutzaufsicht hat. Er sagte, er wolle vor dem 01.01.2021 eine Warnung an die ihm unterstehenden Kassen senden, dass eine reine Gesetzes-Umsetzung "zu einem europarechtswidrigen, defizitären Zugriffsmanagement" führen würde.

Sodann Anweisung der Kassen zu EU-rechtskonformer Ausgestaltung des Zugriffsmanagements

"Der nächste Schritt werden Anweisungen sein." Sie sollen die Kassen verpflichten, bis zum 31.12.2021 für eine Ausgestaltung des Zugriffsmanagements zu sorgen, die der europäischen Datenschutzgrundverordnung (DS-GVO) entspricht. In der Zwischenzeit sollen sie Versicherten, die ihre digitale Akte freiwillig nutzen möchten, "einen vorgegebenen Warntext" zukommen lassen müssen. Kelber hatte Konsequenzen angekündigt, wenn ein vom Bundestag beschlossenes Datenschutzgesetz für die E-Akten (Patientendaten-Schutzgesetz) unverändert bleibt. Am 18.09.2020 kommt es abschließend in den Bundesrat, und der Gesundheitsausschuss der Länderkammer empfiehlt, es zu billigen.

Gesundheitsministerium hat keine Bedenken

Das Gesundheitsministerium betonte, das Gesetz sei von den Verfassungsressorts für Justiz und Inneres umfassend geprüft worden. Die E-Akte sei eine freiwillige Anwendung – über die Funktionsweise müssten die Kassen ihre Versicherten vorab umfassend informieren. "Die Versicherten behalten die Hoheit über ihre Daten." Dem Start am 01.01.2021 stünden die Ankündigungen des Datenschutzbeauftragten nicht entgegen. Minister Jens Spahn (CDU) will nach jahrelangem Gezerre um mehr Funktionen der elektronischen Gesundheitskarte Tempo bei der Digitalisierung machen. Die E-Akten sollen schrittweise mehr Funktionen bekommen und auch per Smartphone abrufbar sein.

Warnungen und Anweisungen auch bezüglich der IT-Sicherheit geplant

Kelber will auch mit Blick auf die IT-Sicherheit einschreiten – zunächst per Warnung an die Kassen. Nach dem 01.01.2021 will er sie dann anweisen, bis spätestens zum 30.04.2021 ein "hoch" sicheres Verfahren anzubieten, mit dem man sich für eine berechtigte Nutzung anmelden kann. Die vorgesehenen Authentifizierungsverfahren seien "aus Datenschutzsicht nicht ausreichend sicher" und entsprächen nicht den DS-GVO-Vorgaben, hatte er im August 2020 erläutert.

Kelber will EuGH-Vorlagerecht für Bundesdatenschutzbeauftragten

Kelber betonte, er unterstütze ausdrücklich die Digitalisierung des Gesundheitswesens. "Sie bietet riesige Chancen für uns alle." Dies müsse aber auf Grundlage der DS-GVO geschehen. Daher laute seine Forderung: "Eine sichere elektronische Patientenakte für alle, bei der man seine Daten voll im Griff hat." Im aktuellen Fall sehe er, dass die gesetzlichen Krankenkassen in einer "besonderen Situation" seien: "Sie sollen die Gesetze umsetzen, setzen sich damit aber in Widerspruch zum europäischen Recht." Daher würde er sich ein festgeschriebenes Recht als Bundesdatenschutzbeauftragter wünschen, nationale Normen bei vermuteter Europarechtswidrigkeit dem Europäischen Gerichtshof vorlegen zu können.

Redaktion beck-aktuell, Sascha Meyer, 16. Sep 2020 (dpa).