Aufsichtbehörde maßregelt Datenschutzbeauftragten
Die Warnung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, und dessen angedrohte Sanktionen hätten bei vielen Krankenkassen für erhebliche Verunsicherung gesorgt, teilt das BAS mit.
Laut Kelber verstößt die ePA in dieser Form gegen die DSGVO
Kelber hatte die bundeseigenen Kassen mehrmals davor gewarnt, bei der Einführung der ePA auf ein feingranulares Berechtigungsmanagement zu verzichten und lediglich die im Patientendaten-Schutz-Gesetz (PDSG) enthaltenen Vorgaben zur technischen Ausgestaltung der ePA einzuhalten. Dies würde seiner Auffassung nach gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.
Das BAS teilt die Bedenken Kelbers, nicht, schreibt die Aufsichtsbehörde an die betroffenen Krankenkassen. Der Entwurf des PDSG sei im Rahmen des Gesetzgebungsverfahrens von den Verfassungsressorts rechtlich umfassend geprüft worden, insbesondere auch auf die Vereinbarkeit mit übergeordnetem Recht.
Das BAS hält die ePA auch ohne feingranulares Rechtemanagement für datenschutzkonform
Die Regelungen zur ePA seien gemessen an den Anforderungen der DSGVO bereits mit ihrem Start ab dem 1. Januar 2021 auch ohne ein differenziertes, sogenanntes feingranulares Rollen- und Rechtemanagement datenschutzkonform, so das BAS.
Wichtig hierfür sei die Ausgestaltung der ePA als freiwillige Anwendung, über deren Funktionsweise die Krankenkassen ihre Versicherten umfassend informieren müssten. Damit seien die wichtigsten Vorgaben der DSGVO erfüllt. Das in der ersten Stufe der ePA vorgesehene Berechtigungsmanagement genüge darüber hinaus den Datenschutzgrundsätzen der Datenminimierung, der Zweckbindung und der Vertraulichkeit, schreibt das BAS weiter. Nach seiner Auffassung könne daher kein Verstoß gegen Klebers zitierte Verstöße geben.
Kelber überschreitet laut BAS seine Befugnisse
Laut BAS ist Kelber auch nicht befugt, seine Warnung an die Kassen in ein aufsichtsrechtliches Verfahren zu überführen. Dabei handele es sich nicht um einen Verwaltungsakt, weil die Warnung keine unmittelbaren Rechtspflichten auslöse, so das Schreiben. Bei den nächsten Schritten, die der Datenschutzbeauftragte in seinen diversen Presseberichten angedroht habe, sei aber eine Verfahrensbeteiligung durch die Rechtsaufsichtsbehörden sichergestellt.
Die Aufsichtsbehörde warnt vor einer Eskalation
Eindringlich warnt das BAS vor einer solchen Eskalation: „Wir sind uns dessen bewusst, dass eine gerichtliche Klärung die Ultima Ratio sein sollte. Allen Beteiligten sollte allerdings klar sein, dass es hier nicht um eine abstrakte Rechtsposition und deren Bestätigungen, sondern um die Weiterentwicklung der Digitalisierung im Gesundheitswesen geht.“