Elektronische Patientenakte laut Rechtsgutachten DSGVO-konform

Berlin – Die nationalen Regelungen zur elektronischen Patientenakte (ePA) nach dem Patienten-Daten­schutz-Gesetz (PDSG) verstoßen nicht gegen höherrangiges europäisches Datenschutzrecht. Dieses Er­gebnis liefert ein dem Deutschen Ärzteblatt vorliegendes Rechtsgutachten im Auftrag des Health Inno­vation Hub (hih).

Die Vorschriften des Sozialgesetzbuch V (SGB V), die den Zugriff der Leistungserbringer auf die in der ePA gespeicherten Daten auf eine Einwilligung des Versicherten stützen, stehen demnach im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO).

Dies gelte laut der beauftragten Anwaltskanzlei für alle vorgesehenen Ausgestaltungen auf den unter­schiedlichen Umsetzungsstufen. Insbesondere fordere die DSGVO nicht, dass die Versicherten ihre Ein­willigungen auf Dokumentenebene („feingranular“) erteilen können müssen.

Genau dies wurde vom Bundesbeauftragten für den Datenschutz und die Informations­frei­heit, Ulrich Kelber, kritisiert. Aufgrund „mangelhafter Datenkontrolle“ und einem nicht sicheren Authentifizierung­s­verfahren für die Versicherten drohten Verstoße gegen die DSGVO.

Ein Verstoß gegen die Datenschutzgrundsätze der Zweckbindung, Datenminimierung, Erforderlichkeit und Vertraulichkeit liege aber laut Gutachtem auch auf der ersten Umsetzungsstufe der ePA im Jahr 2021 nicht vor – dementsprechend sei auch kein Verstoß gegen die DSGVO gegeben. Die Sicherheit der Daten sei durch die Erteilung der freiwilligen Einwilligung in den Zugriff auf die ePA nicht beeinträch­tigt.

Zudem verlange die ePA von den potenziellen Nutzern auch in der ersten Umsetzungsstufe keine Ein­willigung in ein „Alles-oder-nichts“. Die Zugriffserteilung erfolge nach dem Willen der Versicherten für alle oder nur für einzelne Leistungserbringer und könne individuell zeitlich begrenzt werden. Über diese Rechte würden die Patienten jeweils vor Erteilung der Einwilligung in die konkrete Datenverarbeitung auch informiert.

Ferner liege in der unterschiedlichen Ausgestaltung des Berechtigungsmanagements von Frontend-Nut­zern und Frontend-Nichtnutzern, auch dies war von Kelber kritisiert worden, auf der zweiten Umset­zungs­stufe kein rechtlicher Verstoß. Durch das mittelgranulare Berechtigungsmanagement auf der zwei­ten Umsetzungsstufe für Frontend-Nichtnutzer bestehe zudem kein dem PDSG immanenter Wertungs­widerspruch zu dem grundsätzlichen Anspruch einer barrierefrei versichertengeführten ePA.

Auch die gesetzlichen Regelungen zu den Authentifizierungsanforderungen verstoßen laut den Experten nicht gegen höherrangiges Recht. Die Aufnahme der Formulierung eines „hohen Sicherheitsstandards“ in das SGB V für die einzusetzenden Authentifizierungsverfahren sei legitim und seit Inkrafttreten des Ge­setzes geltendes und anzuwendendes Recht. Aus der DSGVO ergäben sich eben keine konkreten Maß­nah­menvorgaben – sie halte nur an, praktisch realisierbare Maßnahmen umzusetzen, die ein angemes­senes Schutzniveau garantieren.

aha