Klagen gegen elektronische Patientenakte abgewiesen

Arzttisch
Bei Sicherheitsbedenken weist das Bundesverfassungsgericht auf die Möglichkeit hin, die ePA nicht zu nutzen. (imago images / Ikon Images)

Das Bundesverfassungsgericht hat eine Verfassungsbeschwerde und einen Eilantrag zur elektronischen Patientenakte (ePA) abgewiesen. Dabei ging es jeweils um die Auswertung von Patientendaten durch die Krankenkassen für neue Angebote und zur Qualitätssicherung. Beide Kläger sehen sich in ihrem Grundrecht auf informationelle Selbstbestimmung verletzt, scheiterten aber schon an formalen Kriterien, wie das höchste deutsche Gericht in Karlsruhe am Dienstag mitteilte.

In der elektronischen Patientenakte können Dokumente wie Arztbefunde, Röntgenbilder oder der Impfpass digital gespeichert werden. Das soll es Praxen ermöglichen, sich besser zu vernetzen und Doppel-Untersuchungen zu vermeiden. Die Nutzung der elektronischen Patientenakte ist freiwillig. Bislang können die Versicherten jedoch nur generellen Zugriff auf ihre Daten erteilen. Etwa ab Anfang 2022 soll die Patientin, der Patient oder ein Bevollmächtigter dann differenzierter entscheiden können, welche Daten wem zur Verfügung gestellt werden. Die Einführung ePA erfolgt schrittweise und ist zum Jahreswechsel gestartet.

Kein Zwang zur ePA

Jeder Patient kann selbst entscheiden, ob sie oder er die elektronische Patientenakte nutzen möchte. Deshalb nahmen die Richter die Verfassungsbeschwerde gar nicht erst zur Entscheidung an. Weil die Nutzung freiwillig sei, habe der Kläger es selbst in der Hand, eine Verletzung seiner Rechte abzuwenden. Der Mann befürchtet, dass die Datensammlung nicht ausreichend gesichert sei und Ziel von Hackerangriffen werden könnte. Außerdem könnten immer aussagekräftigere Gesundheitsprofile erstellt werden.

Der zweite Kläger wollte mit seinem Eilantrag verhindern, dass die Krankenkassen gespeicherte Sozialdaten leichter nutzen können. Bisher war die Einwilligung der Versicherten erforderlich. Jetzt haben diese nur noch die Möglichkeit, auf sie zugeschnittenen Informationen und Angeboten zu widersprechen. Dagegen hätte der Kläger aber zunächst an den Sozialgerichten vorgehen müssen, um die fachrechtlichen Fragen zu klären, hieß es. Erst dann könne über die Verfassungsmäßigkeit der Vorschriften entschieden werden. Das Patientendaten-Schutz-Gesetz (PDSG), in dem die Regelungen stehen, war Mitte Oktober in Kraft getreten.

Sicherheitsbedenken bei der ePA

Die Bedenken der Kläger rühren nicht von ungefähr: Der Chaos Computer Club (CCC) hatte im Mai letzten Jahres seine Kritik an der ePA erneuert, die der Verein bereits im Jahr 2019 geäußerte hatte. Der CCC wies damals darauf hin, dass die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderten Sicherheitsstandards in Bezug auf das Telematik-Netzwerk abgeschwächt wurden. So wurde darauf verzichtet, eine sichere Identifikation bei der Ausgabe der elektronischen Gesundheitskarte vorzuschreiben. Der CCC hatte im Dezember 2019 gezeigt, wie einfach sich eine elektronische Gesundheitskarte mit Daten von Dritten bestellen ließ. Schlussendlich gab es eine Nachbesserung des PDSG, die vorschreibt, dass nun vor dem Versand der Gesundheitskarte die Anschrift des Versicherten mithilfe des Melderegisters überprüft werden muss.

Im August 2020 äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber Bedenken und erklärte, die ePA unter dem Patientendatenschutzgesetz verstoße gegen die DSGVO. Konkret kritisierte Kelber die eingeschränkte Kontrolle der Patientin oder des Patienten darüber, wer welche Informationen der eigenen Akte sehen darf. Das PDSG sieht bislang nur vor, dass Patienten mithilfe eines Smartphones oder Tablets diese Kontrolle per App haben. Wer keinen Zugang zu einem geeigneten Gerät hat, muss auf die “dokumentengenaue Kontrolle” verzichten.

Kritik gab es auch an einer kurzfristigen Änderung des PDSG, die es den Krankenkassen erlaubt, Versichertendaten auszuwerten, um den Versicherten Angebote und Informationen zukommen zu lassen. Während es sich im ursprünglichen Gesetzentwurf um einen Opt-in-Prozess gehandelt hatte, bei dem die Versicherten aktiv zustimmen mussten, handelt es sich nun um einen sogenannten Opt-out-Prozess. Hier muss jeder einzelne aktiv werden, um keine individualisierten Informationen zu erhalten. Gegen die generelle Analyse ihrer Daten durch die Kassen können Versicherte nicht vorgehen. (dpa / hcz)