Kassenaufsicht rät im ePA-Streit zur Klage gegen Datenschutz­beauftragten

/HNFOTO, stock.adobe.com

Berlin – Das Bundesamt für Soziale Sicherung (BAS) rät im Streit zwischen den Krankenkassen und dem Bundesdatenschutzbeauftragten (BfDI) zur Klage gegen die kürzlich vorgelegte BfDI-Weisung zur elektronischen Patientenakte (ePA).

„Wir halten es für zwingend erforderlich, dass Sie – schon aus Gründen der eigenen Rechtssicherheit – gegen diese Anweisung gerichtlich vorgehen werden", heißt es in einem Schreiben des BAS an die betroffenen Krankenkassen, das dem Deutschen Ärzteblatt vorliegt. „Wir können keine Hinweise erkennen, dass ein Angebot der elektronischen Patientenakte in der gesetzlich normierten Spezifikation gegen geltendes Recht verstößt“, heißt es weiter. „Wir unterstützen Sie gerne im weiteren gerichtlichen Verfahren.“

Vor zwei Wochen hatte der Bundesdatenschutzbeauftragte, Ulrich Kelber, zunächst an vier bundesein­heitliche Krankenkassen – dazu zählen die Techniker Krankenkasse (TK), die Barmer, die DAK Gesund­heit sowie die IKK classic – einen 19-seitigen Bescheid verschickt und angewiesen, dass die Kranken­kassen zum 1.1.2022 das „Zugriffsmanagement der ePA so auszugestalten“ haben, dass das „feingra­nulare Management“ der Daten möglich ist.

Dabei geht es um die Möglichkeit, dass Patientinnen und Patienten einzelne Dokumente von Ärztinnen und Ärzten für jeweils andere Arztgruppen sperren oder unsichtbar schalten können. Sollten sie dieser Weisung nicht nachkommen, drohten rechtliche Konsequenzen. Diese Forderungen hatte Kelber bereits im dazugehörigen Gesetzgebungsverfahren angemerkt. Ab dem 1.1.2022 sind Krankenkassen zu einem feingranularen Management verpflichtet. Allerdings konnten sie aus technischen Gründen zum Start der ePA am 1.1.2021 dies noch nicht zur Verfügung stellen, heiß es von Krankenkassenseite.

In dem nun vorliegenden Schreiben des BAS, das neben den Krankenkassen auch an das Bundesgesund­heits­ministerium (BMG), den BfDI sowie den GKV-Spitzenverband und den Verband der Ersatzkassen (vdek) ging, betont das Amt als Kassenaufsicht ausführlich, dass die ePA eine freiwillige Anwendung für Patientinnen und Patienten ist. „Es steht den Versicherten frei, sich für die Verwendung der elektro­nischen Patientenakte unter den gegebenen Voraussetzungen zu entscheiden.“

Der gesetzliche Auftrag, dass die Krankenkassen den Patienten eine ePA anbieten müssen, stehe in „keinem Verstoß gegen nationales oder europäisches Recht“, heißt es in dem Schreiben. Der Bundes­daten­schutzbeauftragte betont aber in seinem Schreiben mehrfach, dass die ePA nach derzeitigem Stand gegen die EU-Datenschutzgrundverordnung verstoße.

Auch über die Frage, ob Versicherten, die kein geeignetes mobiles Endgerät besitzen, eine ePA seitens der Krankenkassen angeboten werden muss, gibt es unterschiedliche Meinungen: So schreibt das BAS, es bestehe „nach unserer Auffassung keine rechtliche Verpflichtung“ dazu. Es bestehe zwar laut Gesetz die Verpflichtung, ab dem 1. Januar 2022 ein „feingranulares Management“ anzubieten – allerdings „für diejenigen, die die Benutzeroberfläche eines geeigneten Endgerätes benutzen.“ Für Menschen, die die ePA, deren Nutzung für Versicherte freiwillig ist, nicht nutzen wollen, müssen Krankenkassen nach Auffassung des BAS diese Technik nicht bereitstellen.

Der Bundesdatenschutzbeauftragte Kelber argumentiert in seiner Weisung von Anfang September genau gegenteilig: Er fordert vor allem, dass Menschen ohne geeignete Geräte den Zugang in den Räumen der Krankenkassen auf geeigneten Terminals bekommen müssen.

Das BAS weist darauf hin, dass laut Gesetz nur solche Terminals dafür infrage kommen, die von der gematik zugelassen worden sind. „Dem BAS ist nicht bekannt, dass technische Einrichtungen z.B. in den Geschäftsräumen der Kassen für einen solchen Zugriff von der gematik zugelassen sind.“

Laut Gesetz können Menschen ohne mobile Endgeräte ihre Akte auch auf Geräten von bestimmten Vertretern einsehen. „Auch damit wird ein feingranularer Zugriff ermöglicht. Eine darüberhinausgehende Verpflichtung zu einer zusätzlichen Einrichtung eines dauerhaften Zugriffs des Versicherten auf seine Daten können wir nicht erkennen“, schreibt das BAS. Ebenso hat der Gesetzgeber festgehalten, dass Krankenkassen ab dem 1.1.2023 solche Terminals in geeigneten Räumen anbieten müssen.

Vermehrt hatten Krankenkassenvertreter in den vergangenen Wochen angemahnt, dass sie bei diesem Streit zwischen den Stühlen sitzen: So gab es bereits im Gesetzgebungsprozess diese unterschiedlichen Auffassungen zwischen dem BMG und dem BfDI – und diese wurden nicht abschließend geklärt. „Nun können wir uns entscheiden, ob wir gegen das Gesetz des BMG verstoßen oder gegen die EU-Datenschutzgrundverordnung“, hatte beispielsweise der Vorsitzende des AOK-Bundesverbandes, Martin Litsch, beklagt.

Zwar sind die elf regionalen AOKen momentan von dieser Weisung noch nicht direkt betroffen, da der Bundesdatenschutzbeauftragte für die bundeseinheitlichen Krankenkassen zuständig ist. Möglicher­weise handeln Landesdatenschutzbeauftragte aber ähnlich. Das Schreiben des BAS ging auch an sie. © bee/aerzteblatt.de