Datenschutzbeauftragter: Elektronische Patientenakte verstößt gegen DSGVO

ePA-Grafik
Dass die elektronische Patientenakte noch nicht ausreichend geschützt ist, wurde schon mehrfach belegt. (Quelle: gematik)

Der Bundesdatenschutzbeauftragte Ulrich Kelber verweigert der elektronischen Patientenakte (ePA) unter dem geplanten Patientendatenschutzgesetz (PDSG) seinen Segen. Das Anfang Juli vom Bundestag verabschiedete Gesetz sei derzeit nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar.

Zusammen mit Landesdatenschutzbeauftragten warnte Kelber in der Bundespressekonferenz die Krankenkassen davor, dass die Datenschutzbehörden aufsichtsrechtliche Maßnahmen ergreifen werden, sollte sich gesetzlich nichts mehr ändern. In einer Pressemitteilung kündigte er an, die ihm nach DSGVO zur Verfügung stehenden Mittel wie Untersagungen und Anweisungen zu nutzen. Kelber kommentiert: “Digitalisierung kann niemals Selbstzweck sein. Der Schutz der Versicherten und ihrer Gesundheitsdaten muss immer im Vordergrund stehen.”

Unter anderem schloss sich die niedersächsische Datenschutzbeauftragte Barbara Thiel Kelbers Kritik an und erklärte, dass Datenschutzverletzungen im Zusammenhang mit der ePA absehbar seien. Es werde voraussichtlich gegen die elementaren Prinzipien der Erforderlichkeit und der Zweckbindung verstoßen. Thiel sieht die Krankenkassen in einem Dilemma, weil sie sich entscheiden müssen, die ePA nach Vorgaben der PDSG einzuführen oder die Vorgaben der DSGVO einzuhalten.

Kontrollverlust

Konkret kritisiert Kelber die eingeschränkte Kontrolle der Patientin oder des Patienten darüber, wer welche Informationen der eigenen Akte sehen darf. Das PDSG sieht bislang nur vor, dass Patienten mithilfe eines Smartphones oder Tablets diese Kontrolle per App haben. Wer keinen Zugang zu einem geeigneten Gerät hat, muss auf die “dokumentengenaue Kontrolle” verzichten.

Und selbst diese Möglichkeit wird erst ein Jahr nach Einführung der ePA (Anfang 2021) vorhanden sein. Das heißt, dass ein Jahr lang keine Steuerung auf Dokumentenebene vorgesehen ist. Laut Mitteilung werden die Patienten zu einem “Alles oder Nichts gezwungen”. Sie können sich nur entscheiden, alle Daten in der ePA allen Beteiligten zu offerieren oder sämtliche Informationen unter Verschluss zu halten. Als Beispiel nennt der Datenschutzbeauftragte einen behandelnden Zahnarzt, der die Befunde des konsultierten Psychiaters sieht – und andersherum.

Als Notlösung sollen Patienten ohne Zugang zum Aktenkontrollsystem eine vertretende Person für die Steuerung und Einsicht benennen dürfen. Das soll aber auch erst im Jahr 2022 möglich sein und die oder der Versicherte müsste damit die volle Kontrolle über ihre oder seine Daten an eine andere Person abgeben.

Darin sieht der Bundesdatenschutzbeauftragte eine “Ungleichbehandlung beim Grundrecht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung”. Die ePA sei ein wichtiger Schritt zu weiteren Verbesserungen in der Gesundheitsversorgung. Die dabei anfallenden Gesundheitsdaten benötigten aber ein Datenschutzniveau, wie es die DSGVO vorschreibt.

Anmeldeverfahren

Auch in dem Authentifizierungsverfahren für die Verwaltungsoberfläche der ePA sieht Kelber ein Problem. Es entspreche nicht den Vorgaben einer entsprechenden EU-Verordnung für Vertrauensdienste.

Der CCC hatte bereits im Dezember 2019 gezeigt, wie einfach sich eine elektronische Gesundheitskarte mit Daten von Dritten bestellen ließ. Dafür hatte es gereicht, der Krankenkasse eine vermeintlich neue Adresse per E-Mail mitzuteilen. Auch an den Praxis-Ausweis und den Arztausweis gelangten die Experten auf ähnliche Weise. Ende Mai wies der CCC noch einmal auf die Schwächen des Systems hin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnete das Verfahren für Smartphones in einem Schreiben an das Bundesministerium für Gesundheit (BMG) im Jahr 2019 als “neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette”.

Änderungen noch möglich

Der Start der elektronischen Patientenakte ist bislang für Anfang 2021 geplant. Ulrich Kelber hatte schon mehrfach, unter anderem im April 2020, auf die Datenschutz- und Sicherheitsprobleme aufmerksam gemacht, die sich ergeben, wenn die ePA mit dem jetzigen PDSG auf den Weg gebracht wird. Damals kritisierte er auch die Problematik, dass ein Einverständnis des Patienten, dass seine Daten zu Forschungszwecken genutzt werden dürfen, nicht revidierbar ist.

Zuletzt war das Gesetz auch in die Kritik geraten, weil Krankenkassen künftig Versichertendaten für individuell zugeschnittene Werbung ohne Zustimmung der Versicherten verwenden können. Kelber hatte den Wegfall des Einwilligungserfordernisses kritisiert.

Auch Ärzte, Apotheker und Krankenkassen hatten in einer geschlossenen Anhörung Änderungswünsche geäußert.

Der Bundestag hat das Patientendatenschutzgesetz am 3. Juli beschlossen und seitdem keine Änderungen vorgenommen. Warnungen wurden ignoriert. Am 18. September soll der Bundesrat darüber entscheiden. (hcz)