Aufsicht stärkt Krankenkassen im Streit mit Datenschützern den Rücken

/M.Dörr & M.Frommherz, stock.adobe.com

Berlin – Das Bundesamt für Soziale Sicherung (BAS, früher BVA) stärkt den Krankenkassen im Streit mit dem Bundesdatenschutzbeauftragen Ulrich Kelber (SPD) über die Datensicherheit bei der elektronischen Patientenakte (ePA) den Rücken.

In einem Schreiben an die bundesmittelbaren Kassen, für das das Bundesamt für Soziale Sicherung als Aufsichtsbehörde zuständig ist, heißt es nun, dass die Bedenken von Kelber zu möglichen Verstößen ge­gen die Datenschutzgrundverodrndung (DSGVO) „nicht geteilt werden.“

Zusätzlich ist das BAS der Meinung, dass der Bundesdatenschutzbeauftragte (BfDI) nicht befugt sei, die­se „ausgesprochene Warnung“ in ein aufsichtsrechtliches Verfahren zu überführen. Bei der Warnung han­dele „es sich nicht um einen Verwaltungsakt, weil die Warnung keine unmittelbaren Rechtspflichten aus­löst.“

Wenn es dazu kommt, „wie der BfDI in seinen diversen Presseberichten angedroht hat, ist aber eine Ver­fahrensbeteiligung durch die Rechtsaufsichtsbehörden sichergestellt“, so das BAS. Denn dann sei das BAS selbst zuständig und strebe eine gerichtliche Überprüfung der möglichen Verfügungen durch den Datenschutzbeauftragten an.

Vor solch einer Eskalation warnt die Kassenaufsichtsbehörde: „Wir sind uns dessen bewusst, dass eine gerichtliche Klärung die Ultima Ratio sein sollte. Allen Beteiligten sollte allerdings klar sein, dass es hier nicht um eine abstrakte Rechtsposition und deren Bestätigungen, sondern um die Weiterentwicklung der Digitalisierung im Gesundheitswesen geht.“

Ein deutlicher Appell in dieser Weise ist seitens einer Aufsichtsbehörde eher unüblich. Denn das BAS hält auch fest, man sei gewillt, ein Gerichtsverfahren „soweit erforderlich“ auch entsprechend einzulei­ten.

Falsche rechtliche Einschätzung

In dem Schreiben wird ausgeführt, an welchen Stellen aus Sicht des BAS der Datenschutzbeauftragte in der rechtlichen Bewertung falsch liegt. Die rechtlichen Bedenken seien im Gesetzgebungsverfahren zum Patientendatenschutzgesetz (PSDG) bereits geprüft worden, auch der Bundesdatenschutzbeauftragte war daran beteiligt.

Weiter heißt es: „Die Regelungen zur ePA sind gemessen an den Anforderungen der Datenschutzgrund­verordnung bereits mit ihrem Start ab dem 1. Januar 2021 auch ohne ein differenziertes, feingranulares Rollen- und Rechtemanagement datenschutzkonform.“

Für das BAS sei es ein wichtiges Kriterium, dass die ePa eine „freiwillige Anwendung“ sei, „über deren Funktionsweisen die Krankenkassen die Versicherten umfassend informieren müssen“, heißt es in der Stellungnahme weiter. Damit seien die wichtigsten Vorgaben der DSGVO erfüllt.

Das in der ersten Ausbaustufe der ePa geplante Berechtigungsmanagement „genügt darüber hinaus den Datenschutzgrundsätzen der Datenminimierung, der Zweckbindung und der Vertraulichkeit“, heißt es. Es könne daher kein Verstoß gegen mehrere vom Bundesdatenschutzbeauftragten zitierte Verstöße geben, so das BAS.

In der Stellungnahme kurz vor dem offiziellen Start der ePa gibt das BAS den ihnen zur Aufsicht unter­stel­lten Krankenkassen auch Hinweise, „ob und wie die Forderungen des BfDI rein faktisch umgesetzt werden können.“ Es führe zu einem rechtlichen Dilemma, dass die Krankenkassen „nach unserer Inter­pre­tation“ keine „technischen Möglichkeiten haben, über die Spezifikationen der Gematik hinaus eigene technische Vorgaben in der ePA zu realisieren.“

Damit seien „die Umsetzung eines feingranularen Zugriffsmanagement unabhängig von den Spezifi­kati­onen der Gematik objektiv unmöglich“, schreibt das BAS. Daher empfehle das BAS, falls es zu einem aufsichtsrechtlichen Verfahren kommen sollte, die gerichtliche Klärung dessen.

Als Schlussfolgerung schreibt das BAS: „Der Datenschutz und die Sicherheit der Datenverarbeitung in der ePA sind mit Ihren Konzepten der Freiwilligkeit, der informierten Selbstbestimmung und des Diskri­minierungsverbots Eckpfeiler der Digitalisierung, die für das Vertrauen und die Akzeptanz digitaler Lösungen essentiell sind.“

Im Rahmen der virutellen Verwaltungsratssitzung des GKV-Spitzenverbandes wurde heute dieser Brief ebenfalls diskutiert. GKV-Vorstandsvorsitzende Doris Pfeiffer nannte es eine „schwierige Situation“, der auf die Krankenkassen mit Beginn des Jahres zukommt.

Allerdings habe man sich angesichts der vielen Diskussionen aber „erstaunlicherweise“ schnell zwischen GKV-Spitzenverband und dem Bundesdatenschutzbeauftragten Kelber auf einen einheitlichen Text ge­einigt, mit dem Versicherte über die Datenschutzdiskussion sowie die Warnung von Kelber informiert werden sollen. Dieses Schreiben soll in den kommenden Wochen an GKV-Versicherte geschickt werden. © bee/aerzteblatt.de