Politik
Aufsicht stärkt Krankenkassen im Streit mit Datenschützern den Rücken
Mittwoch, 2. Dezember 2020
Berlin – Das Bundesamt für Soziale Sicherung (BAS, früher BVA) stärkt den Krankenkassen im Streit mit dem Bundesdatenschutzbeauftragen Ulrich Kelber (SPD) über die Datensicherheit bei der elektronischen Patientenakte (ePA) den Rücken.
In einem Schreiben an die bundesmittelbaren Kassen, für das das Bundesamt für Soziale Sicherung als Aufsichtsbehörde zuständig ist, heißt es nun, dass die Bedenken von Kelber zu möglichen Verstößen gegen die Datenschutzgrundverodrndung (DSGVO) „nicht geteilt werden.“
Zusätzlich ist das BAS der Meinung, dass der Bundesdatenschutzbeauftragte (BfDI) nicht befugt sei, diese „ausgesprochene Warnung“ in ein aufsichtsrechtliches Verfahren zu überführen. Bei der Warnung handele „es sich nicht um einen Verwaltungsakt, weil die Warnung keine unmittelbaren Rechtspflichten auslöst.“
Wenn es dazu kommt, „wie der BfDI in seinen diversen Presseberichten angedroht hat, ist aber eine Verfahrensbeteiligung durch die Rechtsaufsichtsbehörden sichergestellt“, so das BAS. Denn dann sei das BAS selbst zuständig und strebe eine gerichtliche Überprüfung der möglichen Verfügungen durch den Datenschutzbeauftragten an.
Vor solch einer Eskalation warnt die Kassenaufsichtsbehörde: „Wir sind uns dessen bewusst, dass eine gerichtliche Klärung die Ultima Ratio sein sollte. Allen Beteiligten sollte allerdings klar sein, dass es hier nicht um eine abstrakte Rechtsposition und deren Bestätigungen, sondern um die Weiterentwicklung der Digitalisierung im Gesundheitswesen geht.“
Ein deutlicher Appell in dieser Weise ist seitens einer Aufsichtsbehörde eher unüblich. Denn das BAS hält auch fest, man sei gewillt, ein Gerichtsverfahren „soweit erforderlich“ auch entsprechend einzuleiten.
Falsche rechtliche Einschätzung
In dem Schreiben wird ausgeführt, an welchen Stellen aus Sicht des BAS der Datenschutzbeauftragte in der rechtlichen Bewertung falsch liegt. Die rechtlichen Bedenken seien im Gesetzgebungsverfahren zum Patientendatenschutzgesetz (PSDG) bereits geprüft worden, auch der Bundesdatenschutzbeauftragte war daran beteiligt.
Weiter heißt es: „Die Regelungen zur ePA sind gemessen an den Anforderungen der Datenschutzgrundverordnung bereits mit ihrem Start ab dem 1. Januar 2021 auch ohne ein differenziertes, feingranulares Rollen- und Rechtemanagement datenschutzkonform.“
Für das BAS sei es ein wichtiges Kriterium, dass die ePa eine „freiwillige Anwendung“ sei, „über deren Funktionsweisen die Krankenkassen die Versicherten umfassend informieren müssen“, heißt es in der Stellungnahme weiter. Damit seien die wichtigsten Vorgaben der DSGVO erfüllt.
Das in der ersten Ausbaustufe der ePa geplante Berechtigungsmanagement „genügt darüber hinaus den Datenschutzgrundsätzen der Datenminimierung, der Zweckbindung und der Vertraulichkeit“, heißt es. Es könne daher kein Verstoß gegen mehrere vom Bundesdatenschutzbeauftragten zitierte Verstöße geben, so das BAS.
In der Stellungnahme kurz vor dem offiziellen Start der ePa gibt das BAS den ihnen zur Aufsicht unterstellten Krankenkassen auch Hinweise, „ob und wie die Forderungen des BfDI rein faktisch umgesetzt werden können.“ Es führe zu einem rechtlichen Dilemma, dass die Krankenkassen „nach unserer Interpretation“ keine „technischen Möglichkeiten haben, über die Spezifikationen der Gematik hinaus eigene technische Vorgaben in der ePA zu realisieren.“
Damit seien „die Umsetzung eines feingranularen Zugriffsmanagement unabhängig von den Spezifikationen der Gematik objektiv unmöglich“, schreibt das BAS. Daher empfehle das BAS, falls es zu einem aufsichtsrechtlichen Verfahren kommen sollte, die gerichtliche Klärung dessen.
Als Schlussfolgerung schreibt das BAS: „Der Datenschutz und die Sicherheit der Datenverarbeitung in der ePA sind mit Ihren Konzepten der Freiwilligkeit, der informierten Selbstbestimmung und des Diskriminierungsverbots Eckpfeiler der Digitalisierung, die für das Vertrauen und die Akzeptanz digitaler Lösungen essentiell sind.“
Im Rahmen der virutellen Verwaltungsratssitzung des GKV-Spitzenverbandes wurde heute dieser Brief ebenfalls diskutiert. GKV-Vorstandsvorsitzende Doris Pfeiffer nannte es eine „schwierige Situation“, der auf die Krankenkassen mit Beginn des Jahres zukommt.
Allerdings habe man sich angesichts der vielen Diskussionen aber „erstaunlicherweise“ schnell zwischen GKV-Spitzenverband und dem Bundesdatenschutzbeauftragten Kelber auf einen einheitlichen Text geeinigt, mit dem Versicherte über die Datenschutzdiskussion sowie die Warnung von Kelber informiert werden sollen. Dieses Schreiben soll in den kommenden Wochen an GKV-Versicherte geschickt werden. © bee/aerzteblatt.de
Wieso verkehrte Welt? (@fjmvw)
Im Zweifel werden diese Fragen eben vor Gericht geklärt werden müssen. Wie in einem Rechtsstaat für solche Fälle vorgesehen.
Wieso verkehrte Welt? (@fjmvw)
Im Zweifel werden diese Fragen eben vor Gericht geklärt werden müssen. Wie in einem Rechtsstaat für solche Fälle vorgesehen.
Das BAS will den Bundesdatenschützer über den Datenschutz belehren? Verkehrte Welt.
Klar, es geht um die Weiterentwicklung der Digitalisierung im Gesundheitswesen.
Die Frage ist nur, ob datenschutzkonform, wie es der Bundesdatenschutzbeauftragte auf Basis europäischen Rechts verlangt, oder ob der Datenschutz ausgehebelt wird, weil das die von vielen, u. a. dem BMG, gewünschte Verwertung hochsensibler und personenbezogen vorhandener Patientendaten geht.
Auf den Punkt gebracht:
Datenschutz vor Business oder doch umgekehrt?
Nachrichten zum Thema
Leserkommentare
Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.