• Home
  • News
  • Aufsichtbehörde maßregelt Datenschutzbeauftragten
Streit um Datenschutzbedenken bei der ePA

Aufsichtbehörde maßregelt Datenschutzbeauftragten

56201-flexible-1900
Der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber (SPD) (siehe Bild) hatte vor Datenschutzlücken bei der elektronischen Patientenakte (ePA) gewarnt. Das Bundesamt für Soziale Sicherung (BAS, früher BVA) wies nun die Kritik zurück und teilte mit, Kelber sei nicht befugt, die­se „ausgesprochene Warnung“ in ein aufsichtsrechtliches Verfahren zu überführen. Bundesregierung_Kugler
Im Streit um vermeintliche Datenschutzlücken bei der elektronischen Patientenakte (ePA) erhalten die Krankenkassen Unterstützung. Die Kassenaufsichtsbehörde, das Bundesamt für Soziale Sicherung (BAS), teilt die Bedenken des Bundesdatenschutzbeauftragen Prof. Ulrich Kelber nicht.

Die Warnung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, und dessen angedrohte Sanktionen hätten bei vielen Krankenkassen für erhebliche Verunsicherung gesorgt, teilt das BAS mit.

Laut Kelber verstößt die ePA in dieser Form gegen die DSGVO

Kelber hatte die bundeseigenen Kassen mehrmals davor gewarnt, bei der Einführung der ePA auf ein feingranulares Berechtigungsmanagement zu verzichten und lediglich die im Patientendaten-Schutz-Gesetz (PDSG) enthaltenen Vorgaben zur technischen Ausgestaltung der ePA einzuhalten. Dies würde seiner Auffassung nach gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Das BAS teilt die Bedenken Kelbers, nicht, schreibt die Aufsichtsbehörde an die betroffenen Krankenkassen. Der Entwurf des PDSG sei im Rahmen des Gesetzgebungsverfahrens von den Verfassungsressorts rechtlich umfassend geprüft worden, insbesondere auch auf die Vereinbarkeit mit übergeordnetem Recht.

Das BAS hält die ePA auch ohne feingranulares Rechtemanagement für datenschutzkonform

Die Regelungen zur ePA seien gemessen an den Anforderungen der DSGVO bereits mit ihrem Start ab dem 1. Januar 2021 auch ohne ein differenziertes, sogenanntes feingranulares Rollen- und Rechtemanagement datenschutzkonform, so das BAS.

Wichtig hierfür sei die Ausgestaltung der ePA als freiwillige Anwendung, über deren Funktionsweise die Krankenkassen ihre Versicherten umfassend informieren müssten. Damit seien die wichtigsten Vorgaben der DSGVO erfüllt. Das in der ersten Stufe der ePA vorgesehene Berechtigungsmanagement genüge darüber hinaus den Datenschutzgrundsätzen der Datenminimierung, der Zweckbindung und der Vertraulichkeit, schreibt das BAS weiter. Nach seiner Auffassung könne daher kein Verstoß gegen Klebers zitierte Verstöße geben.

Kelber überschreitet laut BAS seine Befugnisse

Laut BAS ist Kelber auch nicht befugt, seine Warnung an die Kassen in ein aufsichtsrechtliches Verfahren zu überführen. Dabei handele es sich nicht um einen Verwaltungsakt, weil die Warnung keine unmittelbaren Rechtspflichten auslöse, so das Schreiben. Bei den nächsten Schritten, die der Datenschutzbeauftragte in seinen diversen Presseberichten angedroht habe, sei aber eine Verfahrensbeteiligung durch die Rechtsaufsichtsbehörden sichergestellt.

Die Aufsichtsbehörde warnt vor einer Eskalation

Eindringlich warnt das BAS vor einer solchen Eskalation: „Wir sind uns dessen bewusst, dass eine gerichtliche Klärung die Ultima Ratio sein sollte. Allen Beteiligten sollte allerdings klar sein, dass es hier nicht um eine abstrakte Rechtsposition und deren Bestätigungen, sondern um die Weiterentwicklung der Digitalisierung im Gesundheitswesen geht.“

Empfohlene Beiträge

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.