EHDS könnte Zugriffsmanagement in der elektronischen Patientenakte verändern

Berlin – Die Implementierung des Europäischen Gesundheitsdatenraums (EHDS) könnte zu Veränderungen beim Zugriffsmanagement in der elektronischen Patientenakte (ePA) führen. Das erklärte die scheidende Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider heute bei der Vorstellung ihres Tätigkeitsberichts für das Jahr 2025.

Bisher würden beim Rechtemanagement in der ePA die eher generellen Regelungen der europäischen Datenschutzgrundverordnung (DSGVO) gelten, führte sie aus. Der Gesetzgeber habe mit dem Wechsel zum Widerspruchsverfahren (Opt-out) im vergangenen Jahr aber auch das Rechtemanagement neu geregelt. Trotz vielfältiger Widerspruchsmöglichkeiten könne deshalb aktuell nicht mehr festgelegt werden, dass einzelne Leistungserbringer nur auf bestimmte Dokumente zugreifen könnten.

In der Verordnung über den Europäischen Gesundheitsdatenraum (EHDS-VO) habe der europäische Gesetzgeber jedoch das Recht auf Beschränkung des Zugangs zu personenbezogenen elektronischen Gesund­heitsdaten oder Teilen davon explizit und detaillierter als es bisher gilt geregelt.

Diese Konkretisierungen würden „nicht zulasten der informationellen Selbstbestimmung gehen, wie es leider oft dargestellt wird, sondern diese im Gegenteil sogar stärken“, erklärte Specht-Riemenschneider heute in Berlin.

Die Normierung werde jedoch frühestens ab dem 26. März 2029 unmittelbare Geltung entfalten. „Ob und wie sie sich auf das Rechte­management der ePA auswirken wird, werde ich mit dem Gesetzgeber, der Gematik und den Krankenkassen erörtern“, schreibt Specht-Riemenschneider dazu in ihrem Tätigkeitsbericht.

Auch bei der Ausgestaltung der Authentifizierung zur Nutzung der ePA sei bisher die DSGVO entscheidend. Sie schreibe eine Authentifizierung mit dem höchstmög­lichen Sicherheitsniveau nach dem Stand der Technik vor.

Im SGB V sei zudem festgeschrieben worden, dass mögliche Authentifizierungsverfahren ohne elektronische Gesundheitskarte (eGK) unter Anwendung eines sicheren Verfahrens zu erfolgen hätten, welches „einen hohen Sicherheitsstandard gewährleis­tet“.

Davon abweichend stehe jedoch an anderer Stelle im Sozialgesetzbuch V (SGB V), dass Versicherte nach umfassender Information in die Nutzung eines Authentifizie­rungsverfahrens einwilligen könnten, das einem „anderen angemessenen Sicherheitsniveau“ entspreche. Den Spezifikationen der Gematik zufolge könne dies durch Nutzung von Biometrie umgesetzt werden.

Hier sieht Specht-Riemenschneider jedoch bisher keine Möglichkeiten einer rechtssicheren Umsetzung. Denn nach Untersuchungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) würden die Biometrie­funktionen der am Markt erhältlichen mobilen End­geräte nicht das erforderliche Vertrauens­niveau „hoch“, sondern bestenfalls das Vertrauensniveau „substantiell“ erreichen, meist sogar nur das Ver­trauensniveau „normal“.

Mindestens initial müsste also eine andere, sicherere Authentifizierung erfolgen. Zwar sei es prinzipiell möglich, dass Versicherte danach auf eigenen Wunsch auf ein anderes Sicherheitsniveau wechseln. Allerdings würden die Kranken­kassen verpflichtet bleiben, weiterhin den Zugang mit höchstmöglichem Sicherheitsniveau vorzuhalten und ihren Versicherten jederzeit die Möglichkeit zu bieten, auf ein höheres Sicher­heitsniveau zurück zu wechseln.

Den Krankenkassen Unterstützung zukommen lassen will Specht-Riemenschneider auch bei der Auswertung von Versichertendaten nach Paragraf 25b SGB V. Die Möglichkeit, auf diesem Wege beispielsweise Präventionsangebote zu unterbreiten, habe zwar großes Potenzial, sei jedoch bei vielen Kassen noch mit Rechtsunsicherheit behaftet.

Hier will Specht-Riemenschneider mit sogenannten Regulierungslabors (ReguLab) Abhilfe schaffen. Krankenkassen – aber auch Behörden, öffentliche Stellen, Forschungseinrichtungen und Unternehmen – sollen durch die Bereitstellung datenschutzrechtlicher Expertise Unterstützung bei der Entwicklung neuer Programme und Projekte erhalten.

„Ziel ist, dass die Versicherten und ihre Daten geschützt bleiben, aber dennoch Innovationen in die Versorgung kommen“, sagte sie. „Datenschutz ist nicht der Gegner von Innovation – Rechtsunsicherheit ist es.“

Deshalb seien die Schaffung größerer Rechtsklarheit, eine einheitlichere Auslegungspraxis sowie ein konstruktiver Beitrag zur Weiterentwicklung gesetzlicher Rahmenbe­dingungen grundlegend, heißt es im Tätigkeitsbericht. Das Regu­Lab trage zur Rechtsklarheit bei, indem es aufzeigt, wie technologische Innovationen auch in rechtlichen Grau­bereichen grundrechtskonform möglich sind. Es beuge Fehlentwicklungen vor und stehe für eine progressive Datenschutzkultur.

Der aktuelle Tätigkeitsbericht wird aller Voraussicht nach Specht-Riemenschneiders letzter sein. Nach rund 20 Monaten auf dem Posten hatte sie kürzlich bekanntgegeben, das Amt aus gesundheitlichen Gründen niederzulegen. Sie werde es jedoch so lange weiterführen, bis eine Nachfolgerin oder ein Nachfolger gefunden ist, betonte sie heute erneut.

afp