Verstößt die ePA gegen europäisches Recht?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, weist auf die Folgen einer europarechtswidrigen Verarbeitung personenbezogener Gesundheitsdaten hin und kündigte gestern aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in seinem Zuständigkeitsbereich an, sofern das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte.

Kelber ist zuständig für 65 gesetzliche Krankenkassen. „Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO).

Das PDSG wird derzeit im Bundesrat beraten, das Gesetz steht derzeit für Mitte September auf der Tagesordnung. Mehrfach hatte der Datenschutzbeauftragte während des Gesetzgebungsverfahrens zum PDSG darauf verwiesen, dass Patienten bei der Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen. Das PDSG, das bereits vom Bundestag beschlossen wurde, weist hier laut Kelber Defizite auf.

Das PDSG sieht nur für Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA vor. Hier geht es um die Kontrolle, welche Beteiligten welche Informationen einsehen können. Laut PDSG soll es diese Möglichkeit es erst ein Jahr nach Einführung der ePA geben. Das bedeutet, dass 2021 keine Steuerung auf Dokumentenebene vorgesehen ist.

Die Nutzer würden in Bezug auf die von den Leistungserbringern in der ePA gespeicherten Daten zu einem „Alles oder Nichts“ gezwungen, moniert Kelber.  Jeder, dem die Versicherten Einsicht in diese Daten gewähren, könne alle dort enthaltenen Informationen einsehen. Beispielsweise könnte der behandelnde Zahnarzt alle Befunde des konsultierten Psychiaters sehen.

„Sollte das PDSG unverändert beschlossen werden, muss ich die meiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde“, kündigte Kelber an. „Außerdem bereite ich in diesem Zusammenhang weitere Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen. Nach der DSGVO stehen mir dazu neben Anweisungen auch Untersagungen zur Verfügung.“

Mit Unverständnis regiert der Bundesdatenschutzbeauftragte darauf, dass es laut PDSG die für den Start der ePA am 1. Januar 2021 maßgebenden Spezifikationen den Krankenkassen nicht ermöglichen, ihren Versicherten einen sogenannten feingranularen Zugriff auf die von den Leistungserbringern gespeicherten Inhalte der ePA zu gewähren. Der Schutz der Versicherten und ihrer Gesundheitsdaten müsse immer im Vordergrund stehen, verlangt Kelber.

Ein weiterer Kritikpunkt Kelbers ist die Ungleichbehandlung im Gesetzesentwurf bei Menschen, die das ePA-Frontend auf dem Handy oder Tablet nicht nutzen können oder wollen. Hier sei keine eigenständige Einsicht in die ePA und auch keine Prüfung von erfolgten Zugriffen auf die Daten geregelt, hebt Kleber hervor. Ab 2022 solle alternativ für diesen Personenkreis eine Vertretung die Steuerung und Einsicht vornehmen können. Der Versicherte müsste dieser dann aber volle Kontrolle über seine Daten einräumen.

Ferner kritisiert Kelber, dass das Authentifizierungsverfahren für die ePA, mit dem sich Versicherte per Frontend anmelden, bisher aus Datenschutzsicht nicht ausreichend sicher sei und nicht den Vorgaben der DSGVO entspreche.

Kelbers Fazit: Das PDSG in seiner aktuellen Form werde dem Datenschutzniveau der DSGVO nicht ausreichend gerecht.  Kleber: „Als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenkassen werde ich deshalb mit den mir zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass diese Krankenkassen mit der von ihnen angebotenen ePA nicht gegen europäisches Recht verstoßen.“