Datenschützer warnen Krankenkassen vor elektronischer Patientenakte

Das Patientendaten-Schutzgesetz (PDSG) hat den Bundestag bereits passiert – doch nach der Sommerpause steht am 18. September noch eine letzte Runde im Bundesrat an, ehe es in Kraft treten kann. Zustimmungsbedürftig ist das Gesetz zwar nicht – dennoch ist es den Ländern möglich, ihr Veto einzulegen und den Vermittlungsausschuss einzuberufen. Der Einspruch des Bundesrats kann in diesem Fall aber durch den Deutschen Bundestag überstimmt werden.

Geht es nach obersten Datenschützern des Landes – allen voran Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) – muss das PDSG auf jeden Fall nachgebessert werden. Denn mit seinen jetzigen Regelungen stellt es die Krankenkassen in puncto elektronische Patientenakte (ePA) vor ein echtes Dilemma: Entweder sie befolgen die nationalen Vorgaben des PDSG, das eine Einführung der ePA zum 1. Januar 2021 vorschreibt, oder sie sehen sich an die Datenschutz-Grundverordnung (DSGVO) gebunden und sorgen erst einmal dafür, dass deren Vorgaben erfüllt sind.

Welches Problem sehen die Datenschützer genau? Das erläuterten am heutigen Mittwoch neben Kelber auch einige seiner Kollegen aus den Ländern: Dagmar Hartge, Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen, und Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Datenschützer bemängeln Alles-oder-Nichts-Prinzip

Das ist zum einen das Zugriffsrecht: Laut PDSG sollen die Versicherten selbst entscheiden können, welche ihrer sensiblen Gesundheitsdaten in der ePA für wen verfügbar sein sollen. So muss nicht jeder beliebige Arzt oder auch der Apotheker das Zahnbonus-Heft einsehen können – und der Zahnarzt muss auch nicht jedes Röntgenbild kennen oder wissen, dass der Patient eine Psychotherapie macht.

Aber: Im Jahr 2021 wird zunächst nur möglich sein, die Akte insgesamt gegenüber Leistungserbringern freizugeben. Wer die ePA nutzen will, ist als zum „Alles oder Nichts“ gezwungen. Erst 2022 soll man eine Auswahl treffen können, welche Daten wer einsehen kann  – ein Umstand, den bereits die Oppositionsfraktionen im Gesetzgebungsverfahren scharf kritisiert hatten. Auch für Kelber ist dies schlicht „nicht hinnehmbar“. Ebenso wenig, dass Versicherte, die kein Smartphone oder Tablet haben, nicht eigenständig in ihre ePA Einsicht nehmen können. Ab 2022 soll es für diese Personen ohne Frontend die Möglichkeit geben, einen Dritten die Steuerung und Einsicht vornehmen zu lassen. Doch das reicht dem BfDI nicht.

Die Datenschützer fordern daher von Anfang an einen dokumentengenauen Zugriff für alle – sonst liege ein Verstoß gegen die DSGVO vor, den sie rügen müssten. Möglich wäre es etwa gewesen, Patienten ohne Handy oder Tablet über Patiententerminals den Zugriff auf ihre Daten in der ePA zu gewähren – doch das sieht das PDSG nicht mehr vor.

Als zweiten Knackpunkt, der mit EU-Vorgaben nicht vereinbar sei, nannte Kelber das Authentifizierungsverfahren für die ePA, mit dem sich Versicherte per Frontend anmelden. Dieses sei bisher aus Datenschutzsicht nicht ausreichend sicher und entspreche ebenfalls nicht den Vorgaben der DSGVO.

Übergangsfrist bis Mai 2021

Der BfDI bereitet bereits Warnungen und Weisungen vor, wenn das PDSG an den kritisierten Stellen nicht nachgebessert wird: Die Kassen sollen noch in diesem Jahr wissen, dass sie, wenn sie am 1. Januar 2021 mit der ePA nach den Vorgaben des PDSG loslegen, „Gefahr laufen europarechtswidrig zu handeln“, erklärte Kelber. Und für Europarecht gebe es nun einmal einen Anwendungsvorrang. Dann will Kelber die seiner Aufsicht unterstehenden bundesweit agierenden Kassen anweisen, für eine DSGVO-konforme Umsetzung zu sorgen – dafür solle soll es eine Übergangsfrist bis Mai 2021 geben. Eine weitere mögliche Maßnahme wäre eine Untersagung.

Seine Kollegin aus Niedersachsen, Barbara Thiel, berichtete, bereits in Gesprächen mit der AOK Niedersachsen zu sein. Dort habe man zwar erklärt, man könne bis zum Jahresende die geforderten „feingranularen“ Zugriffsmöglichkeiten anbieten. Allerdings: Die Gematik wird zeitlich nicht mithalten können – selbst wenn es gute, datenschutzkonforme ePAs gebe, werde man diese nicht fristgerecht in die Telematikinfrastruktur einbinden können.

Appell an die Landesregierungen: Vermittlungsausschuss anrufen!

Die Datenschutzbeauftragten der Länder appellieren nun an ihre Landesregierungen, im Bundesrat auf eine Anrufung des Vermittlungsausschusses hinzuwirken, damit doch noch datenschutzrechtliche Nachbesserungen im PDSG erfolgen können. Zunächst wird sich der Bundesrats-Gesundheitsausschuss am 2. September mit dem PDSG befassen – er könnte eine entsprechende Empfehlung fürs Plenum beschließen.