Bundesdatenschützer schickt ePA-Warnung an die Krankenkassen

Berlin – Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) hat die bundeseinheit­li­chen Krankenkassen angemahnt, eine datenschutzkonforme elektronische Patientenakte (ePA) vorzulegen.

In einem Brief an die 65 bundesweit geöffneten Krankenkassen, die 45 Millionen Men­schen versichern, heißt es wörtlich: „Ich rege dringend an, dass Ihre Krankenkassen ab dem 1. Januar 2021 ihren Versicherten nur eine solche elektronische Patientenakte an­bietet, die den Vorgaben der DSGVO entspricht“.

Des Weiteren bittet er darum, dass die Krankenkassen ihm mitteilen „in welcher Form Sie ihren Versicherten die ePA ab dem 1. Januar 2021 anbieten werden.“ Mit diesem Brief, der dem Deutschen Ärzteblatt vorliegt, spricht Kelber die seit Monaten angedrohte Warnung nach der europäischen Datenschutzgrundverordnung (DSGVO) aus.

Aus seiner Sicht entspricht die Einführung der elektronischen Patientenakte nicht der Da­tenschutzgrundverordnung (DSGVO), da sie zu Beginn den Versicherten nicht die Mög­lich­keit gibt, ein feingranulares Datenmanagement anzubieten. Mit diesem Datenma­na­gement sollen Versicherte einzelnen Ärzten ihre Daten freigeben aber auch sperren können. Diese Anwendung wird erst 2022 zur Verfügung stehen.

„Hinsichtlich der wichtigen medizinischen Informationen gilt demnach das ‚Alles-oder-Nichts-Prinzip‘, da nur auf alle von Leistungserbringern eingestellte Dokumente berech­tigt werden kann“, schreibt Kelber. Und weiter: „Diese Regelungen bleiben deutlich hinter den datenschutzrechtlichen Anforderungen zurück.“

Mit der Absicht, dass Patienten im ersten Jahr keine Möglichkeit der eigenen Datenver­wal­tung haben werden, ergebe sich ein „Wertungswiderspruch zu der Prämisse, dass die ePA vom Versicherten eigenständig geführt wird.“ Außerdem fordert Kelber, dass Versi­cher­te auch ohne ein eigenes Endgerät sicher und eigenständig auf die ePA zugreifen können müssen.

Aus der Sicht des Bundesdatenschutzbeauftragen ist dies mit den aktuellen Regelungen nicht möglich. Kelber hatte bereits im Gesetzgebungsverfahren zum Patientendaten-Schutzgesetz (PDSG) im April und Mai 2020 auf die Notwendigkeit einer DSGVO-konfor­men Ausgestaltung der Regelungen bei der ePA hingewiesen.

Zuletzt hatte er bei einer Pressekonferenz Mitte August damit gedroht, die nun erfolgte Warnung auszusprechen, falls der Bundesrat das Gesetz unverändert passieren lasse. Der Bundesrat hatte das Gesetz am 18. September gebilligt und keine Änderungen vorge­nom­men. Die elektronische Patientenakte kann damit zum 1. Januar 2021 starten.

In dem Schreiben verweist Kelber auch darauf, dass es „nach aktuellem Stand der Tech­nik“ ein feingranulares Berechtigungsmanagement bereits möglich sei und „in einer Viel­zahl von Anwendungen bereits auf dem Markt angeboten“ werde. Komme ein anderes Pro­dukt auf den Markt, „entspricht dies nicht dem Stand der Technik“ und verstoße eben­so gegen die Vorgaben aus der DSGVO.

Krankenkassen hatten bislang zurückhaltend auf die Mahnung von Kelber im Sommer reagiert. Auf dem Handelsblatt Health Kongress erklärte der TK-Vorstandschef Jens Baas: „Wir müssen überlegen, mit wem wir uns anlegen.“

Denn zum einen hätte das Bundesgesundheitsministerium den Start der Akte für 2021 festgelegt. Zum anderen läge die Kritik des Bundesdatenschutzbeauftragten vor.

„Kelber hat inhaltlich nicht recht“, erklärte Baas. Auch das Bundesgesundheitsministerium hatte auf Kelbers Kritik im Sommer erklärt, dass der Start der ePA nicht gefährdet sei und insgesamt eine freiwillige Anwendung für Versicherte ist.

bee