Bundesdatenschutzbeauftragter fordert Nachbesserungen bei der ePA

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ( BfDI ), Ulrich Kelber, SPD; hat in seinem kürzlich vorgestellten 29. Tätigkeitsbericht einen sorgfältigeren Umgang mit der Gesetzgebung rund um die Pandemie angemahnt: „Ich empfehle, die Gesetze, Projekte und Maßnahmen, die im Rahmen der Corona-Pandemie unter hohem Druck und innerhalb kürzester Fristen entwickelt und umgesetzt wurden, nach Ende der Pandemielage bewusst und sorgfältig zu evaluieren."

Insbesondere im Gesundheitsbereich seien neben dem ohnehin schon sehr beratungsintensiven Patientendaten-Schutz-Gesetz (PDSG) gleich drei Pandemiebekämpfungsgesetze auf den Weg gebracht worden, die zum Teil kaum Zeit zur Prüfung und Beratung ließen, so seine Kritik.

In drei „Etappen“ wurde das Infektionsschutzgesetz (IfSG) aufgrund der Pandemie-Lage geändert, heißt es in dem Tätigkeitsbericht dazu. Dabei habe man durch die Ausweitung sowohl der Gründe als auch des Umfangs von Meldepflichten für Erkrankungen und Krankheitserreger erheblich in das Grundrecht auf informationelle Selbstbestimmung eingegriffen. „Transparente Begründungen und eine Auseinandersetzung mit den datenschutzrechtlichen Anforderungen wären nötig gewesen, fehlten jedoch immer wieder,“ betont Kelber in dem Bericht.

Die Kritik Kelbers bezieht sich auch auf das PDSG, das insbesondere die schon lange geplante elektronische Patientenakte (ePA) und die Einführung von elektronischen Rezepten regelt. Kelber: „Trotz langer und intensiver Beratungen mit dem Bundesgesundheitsministerium ist es leider nicht gelungen, die ePA für alle gesetzlich Versicherten so auszugestalten, dass diese vom ersten Tag an sowohl die gesundheitlichen Vorteile als auch die von der Datenschutz-Grundverordnung (DSGVO) geforderten Maßgaben erfüllt. Gerade weil die ePA viele, besonders sensible Patientendaten enthalten soll, ist der Schutz dieser Daten besonders wichtig. Ich muss hier auf weitere Nachbesserungen im Sinne der DSGVO bestehen.“

Kritisch, so heißt es in dem Bericht weiter, sind auch der alternative Zugriff auf die ePA mittels mobiler Geräte wie Smartphones, also ohne Verwendung der elektronischen Gesundheitskarte (eGK), sowie die Vorschriften zur elektronischen ärztlichen Verordnung (E-Rezept).

Das E-Rezept ist die erste Pflichtanwendung, weshalb das PDSG Vorgaben enthält, die zwingend für alle gesetzlich Versicherten gelten. Eine weitere wichtige Regelung im PDSG ermöglicht den Versicherten die Freigabe der Daten in der ePA für die Forschung. Vor diesem Hintergrund fehlen wichtige Festlegungen, die vom Gesetzgeber – und nicht in nachgelagerten Prozessen – getroffen werden müssen.

Der Bericht verweist darauf, dass die Krankenkassen nun aufgrund der ihnen vom Gesetzgeber zugewiesenen Alleinverantwortlichkeit für die ePA in einem Dilemma stecken. Verweigern sie die Umsetzung der ePA gemäß den Vorgaben des PDSG, drohen ihnen hohe Strafzahlungen. Setzen sie das europarechtswidrige Gesetz um und bieten ihren Versicherten eine europarechtswidrige ePA an, kommen sie in den Fokus der Aufsichtsbehörden. Abhilfe schaffen könne hier letztlich nur der Gesetzgeber, so der Tätigkeitsbericht.

Lobend hebt der Datenschutzbeauftragte die Corona-Warn-App (CWA) der Bundesregierung hervor, ein Projekt, das unter hohem Zeitdruck umgesetzt wurde. Kelber: „Deshalb freut es mich auch, dass die CWA als positives Beispiel dafür dienen kann, wie durch die konsequente Einbindung einer Datenschutzaufsichtsbehörde im gesamten Entwicklungsprozess ein aus datenschutz-rechtlicher Sicht hervorragendes Produkt an den Markt gebracht werden konnte.“ Die App ist gemessen an den Downloadzahlen aktuell die erfolgreichste App in der EU, so Kleber.

Verwundert zeigte sich Kelber über die Diskussion zur angeblich fehlenden Funktionalitäten der App und zu Behauptungen, strenge Datenschutzvorgaben verhinderten eine sinnvolle Weiterentwicklung. Dies sei schlichtweg falsch und basiere nicht selten auf mangelndem Verständnis der Funktionsweise und technischen Möglichkeiten der App. Kelber: „Fakt ist, dass bislang keine der in die Diskussion eingebrachten, geeigneten und technisch umsetzbaren Vorschläge am Datenschutz gescheitert sind.“

Trotzdem sieht Kelber Potenzial für eine Weiterentwicklung. Ideen wie eine Cluster-Erkennung sind seiner Meinung nach sinnvoll und möglich. Mit dem Ende der Pandemie werde auch der Einsatz der CWA enden. Seine Empfehlung: Die dabei gewonnenen Erkenntnisse, wie derartige Lösungen auf freiwilliger Basis effektiv und datenschutzfreundlich umsetzbar sind, sollten bei eventuellen zukünftigen Projekten Berücksichtigung finden.