NewsPolitikDatenschutz­beauftragter schickt Kassen Anweisungen zur ePA zu
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Datenschutz­beauftragter schickt Kassen Anweisungen zur ePA zu

Donnerstag, 9. September 2021

/wladimir1804, stock.adobe.com

Berlin – Der Streit zwischen Krankenkassen und dem Bundesdatenschutzbeauftragten beim „feingranu­lares Zugriffsmanagement“ bei elektronischen Patientenakte (ePA) geht in eine neue Runde. Dabei geht es um die Möglichkeit, dass Patientinnen und Patienten einzelne Dokumente von Ärztinnen und Ärzte für jeweils andere Arztgruppen sperren und unsichtbar machen können.

Laut einem Schreiben, das dem Deutschen Ärzteblatt vorliegt, werden die Krankenkassen vom Daten­schutzbeauftragten nun per Bescheid angewiesen, „das Zugriffsmanagement der ePa so auszugestalten“, dass das „feingranulare Management“ der Daten zum 1.1.2022 möglich wird.

Anzeige

Zusätzlich müsse dies für Versicherte, die kein entsprechendes Endgerät besitzen „mittels der dezentra­len Infrastruktur der Leistungserbringer oder in Geschäftsräumen der Krankenkassen“ binnen eines Jah­res entsprechende Möglichkeiten zum Zugang geschaffen werden. Beide Forderungen hatte der Bundes­datenschutzbeauftragte (BfDI), Ulrich Kelber, bereits im entsprechenden Gesetzgebungsverfahren angemerkt.

„Ziel der Anweisung ist mit Blick auf die Datenschutz-Grundverordnung durch Erweiterung der Funktio­na­litäten gleiches Recht für alle Versicherten herzustellen. Die bloße Umsetzung des nationalen Rechts schafft Versicherte mit unterschiedlichen Rechten“, erklärte Kelber vor Journalisten.

Per Gesetz ist das feingranulare Management bei der ePA ab 2022 für Krankenkassen verpflichtend. In den Filialen der Krankenkassen sollen die Möglichkeiten für Zugriffe für Menschen ohne entsprechende Endgeräte ab 2023 ermöglicht werden. Die Krankenkassen hatten im gesetzgeberischen Prozess zu dem Thema immer wieder angemerkt, technisch das dokumentenbezogene Management von Dateien nicht bereits zum Start der ePA am 1.1.2021 zur Verfügung stellen zu können.

Kelber geht allerdings in seinem Schreiben davon aus, dass die technischen Möglichkeiten längst vor­handen sind. „Die technische Realisierung feingranularer benutzerspezifischer Zugriffsrechte ist in der Informatik heute selbstverständlich und damit auch Stand der Technik“, schreibt Kelber.

Das Schreiben wurde gestern nach Informationen des Deutschen Ärzteblattes zunächst an vier der größten Krankenkassen (darunter die DAK, IKK classic und die Barmer) verschickt, die anderen rund 60 Krankenkassen, für die der BfdI zuständig ist, sollen nun sukzessive folgen. Auf Nachfrage bei den betroffenen Krankenkassen, ist das Schreiben dort allerdings noch nicht offiziell eingetroffen.

Länger schwelender Streit

Der Streit, ob Krankenkassen mit der Bereitstellung der ePA seit dem 1.1.2021 gegen die EU-Datenschutzregelung (DSGVO) verstoßen, schwelt schon seit rund zwei Jahren. Vor allem ärgert sich Kelber über den bisherigen Umgang der Krankenkassen mit seinen Einwänden zur Datenverarbeitung in der ePA. „Wir haben trotz Fristverlängerungen von allen Krankenkassen praktisch identische Schreiben bekommen, die offenbar untereinander abgestimmt waren. Dafür hätte man nicht einmal eine einmalige Fristverlängerung benötigt“, sagte Kelber vor Journalisten.

In seinem Schreiben an die Krankenkassen formuliert er: „Meine Möglichkeiten andere gleich geeignete, aber mildere Mittel zu ergreifen habe ich bereits ausgeschöpft. Bereits vor Einführung der ePA habe ich eine ausdrückliche Warnung an Sie sowie an alle meiner Aufsicht unterstehenden Krankenver­sicherungs­träger ausgesprochen. Sie haben die Verarbeitung gleichwohl in nicht datenschutzkonformer Art und Weise aufgenommen“, heißt es. Eine Verwarnung sei „nicht in gleicher Weise“ geeignet, „da sie lediglich auf die Feststellung eines in der Vergangenheit erfolgten Verstoßes gegen die DSGVO gerichtet wäre.“

Außerdem würde eine Verwarnung nicht mit der Pflicht einhergehen, den Verstoß abzustellen, heißt es in dem Schreiben. Gleichzeitig heißt es: „Die Verhängung von Beschränkungen oder Verboten für Verarbeitung wäre kein milderes, sondern ein einschneidendes Mittel, dessen Angemessenheit vor dem Hintergrund der grundsätzlichen Pflicht zur Einführung der ePA zweifelhaft wäre.“ Daher habe man sich nun für diesen Schritt eines Bescheides entschieden.

In dem Streit zwischen Krankenkassen und BfDI geht es auch um die Frage, ob es ausreichend ist, das nationale Recht umzusetzen und entsprechende Regelungen aus der EU-Datenschutzvorgabe nicht anzuwenden. Hier hatte sich beispielsweise auch das Bundesamt für soziale Sicherung als zuständige Aufsichtsbehörde für bundeseinheitliche Krankenkassen hinter die Krankenkassen gestellt.

Kelber schreibt nun: „Soweit Sie daher lediglich die Vorgaben des nationalen Rechts zur ePA im SGB V umsetzen, ohne ein durchgehend feingranulares Zugriffsmanagement vorzusehen, verstoßen Sie gegen unmittelbar auf Sie als Verantwortliche treffende Pflichten nach der DSGVO. Dementsprechend bleibt die Ihnen obliegende Umsetzung von Einführung und Betrieb der ePA hinter den datenschutzrechtlichen Anforderungen zurück.“

Gegen diesen Bescheid Kelbers können Krankenkassen nun gerichtlich vorgehen. Bei Nichttätigkeit tritt er Ende 2021 in Kraft. © bee/aerzteblatt.de

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.
LNS
VG WortLNS LNS

Fachgebiet

Stellenangebote

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER