• Home
  • News
  • Zugriffsmanagement auf ePA ist defizitär
Bundesdatenschutzbeauftragter ermahnt Krankenkassen

Zugriffsmanagement auf ePA ist defizitär

94961-flexible-1900
Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) hat die 65 bundeseinheit­li­chen Krankenkassen aufgefordert, eine datenschutzkonforme elektronische Patientenakte (ePA) vorzulegen. Adobe Stock_M.Dörr & M.Frommherz
pr/pm
Der Bundesdatenschutzbeauftragte Ulrich Kelber hat die Krankenkassen davor gewarnt, auf einen feingranularen Zugriff (ePA) auf die geplante elektronische Patientenakte zu verzichten. Das sei nicht gesetzeskonform.

In einem Brief forderte Kleber die bundesweiten gesetzlichen Krankenkassen dazu auf, die ePA nach datenschutzkonformen Kriterien vorzulegen. Ausdrücklich warnte er davor, lediglich die im Patientendaten-Schutz-Gesetz (PDSG) enthaltenen Vorgaben einzuhalten und dabei auf ein feingranulares Berechtigungsmanagement der Patienten bei der Einführung der ePA zu verzichten.

Zum Hintergrund: Das PDSG trat am 20. Oktober in Kraft. Das Gesetz sieht nur für Nutzende von geeigneten Endgeräten (Smartphones, Tablets, PC) einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA vor – und zwar mit einer dokumentengenauen Kontrolle, welche Beteiligten welche Informationen einsehen können. Diese Möglichkeit soll aber erst ein Jahr nach Einführung der Akte zur Verfügung stehen.

Es gilt das „Alles-oder-Nichts-Prinzip“

Das bedeutet, dass 2021 kein feingranulares Berechtigungsmanagement auf Dokumentenebene vorgesehen ist. Hinsichtlich der wichtigen medizinischen Informationen gilt demnach das „Alles-oder-Nichts-Prinzip“, da nur auf alle von Leistungserbringern eingestellten Dokumente zugegriffen werden kann. Versicherte ohne Smartphone oder PC können ihre Zugriffsberechtigung lediglich auf Kategorien von Dokumenten erteilen oder einen Vertreter beauftragen, die ePA-Daten für sie zu verwalten.

Die Regelungen seien im Widerspruch zur DGVO

Die datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitung der ePA hatte der Gesetzgeber den Krankenkassen zugewiesen. Kleber weist nun in seinem Schreiben die Kassen darauf hin, dass die Regelung deutlich hinter datenschutzrechtlichen Anforderungen zurückbleibt. Es ergebe sich ein Wertungswiderspruch zu der im PDSG enthaltenen Prämisse, dass die ePA vom Versicherten eigenständig geführt werden soll – auch ohne eigenes Endgerät. Ferner, so Kleber weiter, stünden die Regelungen im Widerspruch zu den Vorgaben der Datenschutz-Grundverordnung (DGVO).

Außerdem führt Kleber weiter an, dass nach aktuellem Stand der Technik ein dokumentenspezifisches, feingranulares Berechtigungsmanagement schon jetzt möglich sei und auf dem Markt angewendet werde. Sollte also eine epA-Berechtigung nach dem „Alles-oder-Nichts-Prinzip“ umgesetzt werden, entspreche dies nicht den Gesetzesvorgaben im PDSG und der DSGVO, warnte Kleber.

Kleber hatte auf diese Diskrepanzen bereits mehrfach in der Öffentlichkeit hingewiesen, so auch seinerzeit in seiner Stellungnahme zum Gesetzesverfahren für den Bundestags-Gesundheitsausschuss sowie in einer Bundespressekonferenz im August. Sollte nun bei einem ePA-Angebot einer Kasse kein feingranulares Zugriffsmanagement vorgesehen sein, kündigt Kelber in seinem Schreiben an, genau zu prüfen, ob weitere Maßnahmen erforderlich sind, um die Einhaltung der DSGVO-Vorgaben zu gewährleisten.

Kelber in seinem Schreiben wörtlich: „Ich rege daher dringend an, dass Ihre Krankenkasse ab dem 1. Januar 2021 ihren Versicherten nur eine solche elektronische Patientenakte anbietet, die den aufgezeigten Vorgaben der DSGVO entspricht.“

Empfohlene Beiträge

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.