Streit um Datenschutz­standards bei Zugang zu Gesundheits­anwendungen

Berlin – Welche Datenschutzstandards beim Zugang zu Gesundheitsanwendungen künftig gelten sollten, bleibt zwischen einigen Hauptakteuren umstritten. Der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber und der Chef der Gematik, Markus Leyck Dieken, machten gestern auf einer Diskussionsveranstaltung auf der Messe für die digitale Gesundheitsver­sorgung DMEA ihre unterschiedlichen Auffassungen deutlich.

Insbesondere bei der Frage, wie regelhaft es Ausnahmen des datenschutzkonformen Standardwegs bei der Handhabung von Gesundheitsdaten geben darf, waren sich Kelber und Leyck Dieken nicht einig.

Kelber bekräftigte, dass lediglich im Einzelfall ein niedrigeres Sicherheitsniveau zu verantworten sei. Leyck Dieken hingegen ist der Überzeugung, dass sich Nutzende, die entsprechend aufgeklärt worden sind, auch für pragmatischere und damit für Varianten mit einem niedrigeren Sicherheitsniveau entscheiden dürfen sollten.

Im Krankenhauspflegeentlastungsgesetz hatte der Gesetzgeber im Dezember des vergangenen Jahres einen Passus eingefügt, in dem es heißt, dass Versicherte nach umfassender Aufklärung durch ihre Krankenkasse in die Nutzung einer digitalen Identität für das Gesundheitswesen einwilligen dürfen, die einem anderen, niedri­geren Sicherheitsniveau entspricht als dem eigentlich gesetzlich geregelten hohen Standard.

In der Begründung des Gesetzestextes heißt es, dass damit eine Ausnahmeregelung der Datenschutzgrund­verordnung (DSGVO) realisiert wird. Bestimmte regelmäßig vorzuhaltende Maßnahmen zur Umsetzung der Datensicherheit nach der DSGVO können damit auf ausdrücklichen Wunsch der betroffenen Person im Ein­zelfall nicht angewendet werden.

Kelber betonte, diese Begründung beziehe sich lediglich auf Einzelfälle, Leyck Dieken interpretiert diesen Passus breiter. Dass die hohen Sicherheitsstandards die Digitalisierung behindern würden, machte Leyck Dieken an einem Beispiel deutlich. Zur Registrierung der E-Rezept-App der Gematik werden Leyck Dieken zufolge derzeit fünf verschiedene Authentifizierungsschritte benötigt. Zum Öffnen der App seien es immer noch vier Schritte. Das sei aber vielen Nutzenden zu kompliziert, betonte Leyck Dieken.

Er erhalte die Rückmeldung, dass andere Anbieter Bypasslösungen finden, um den komplizierten, aber siche­ren Zugang zur App zu umgehen und einfachere Zugangslösungen anzubieten. Auch bei der Nutzung der elektronischen Patientenakte (ePA) werden viele, aufwendige verschiedene Schritte benötigt, um die Akte auf das Smartphone zu spielen und jedes Mal zu öffnen.

Kelber hielt dem entgegen, dass es doch nicht zu viel sein könne, wenn sich Nutzende alle sechs Monate erneut für die ePA authentifizieren. „Wenn das schon zu viel ist, dann haben wir deutlich unterschiedliche Auffassungen von Cybersicherheit“, so Kelber.

Kelber sprach sich für eine zügige Einführung der Onlineausweisfunktion (eID) des Personalausweises aus, die abgeleitet durch den Personalausweis zu einem hohen Datenschutzstandard führen würde. Mit diesem Schritt würden die benötigten vielen Schritte, um etwa auf die ePA oder die E-Rezept-App zugreifen zu können, auf einen reduziert. Er mahnte zudem an, dass neu entwickelte Lösungen auch immer europäisch gedacht werden müssen und entsprechenden europäischen Sicherheitsniveaus entsprechen sollten.

Bis es eine eID gebe, die nicht nur im Gesundheitsbereich angewendet werde, könnten auch E-Gesundheits-IDs eine Rolle spielen, betonte Leyck Dieken. Diese Lösungsmöglichkeit sollte nicht einfach „weggewischt“, sondern müsse ernsthaft in Betracht gezogen werden.

„Wir brauchen in einem guten Zeithorizont eine von den Bürgern akzeptierte Gesundheits-ID“, forderte Leyck Dieken. In der Kontroverse über die gesetzliche Interpretation der DSGVO in verschiedenen EU-Staaten regte er an, möglicherweise eine neue Übersetzung des Textes aus der Originalfassung vorzunehmen, damit auch die juristische und rechtsphilosophischen Fragen besser geklärt werden könnten.

In der Diskussion zwischen Kelber und Leyck Dieken mahnte der Gematik-Chef auch an, dass alle Entwicklun­gen – insbesondere mit Blick auf die europäische Zusammenarbeit – nun auf dem „puren FHIR-Standard“ ab­laufen müssten. Es dürften hier keine „Dialekte“ oder Verwässerungen genutzt werden. Dem stimmte Kelber zu.

Digitale Identitäten im Gesundheitswesen

Susanne Ozegowski, Abteilungsleiterin für Digitalisierung und Innovation im Bundesgesundheitsministerium (BMG), sprach sich heute auf der DMEA für die Etablierung einer Gesundheits-ID aus. Die alternative Versi­cher­tenidentität (al.vi), die auf einer Ausnahmeentscheidung des BFDI nur bis Ende des Jahres gelte, brauche eine Alternative. Mit al.vi können sich Versicherte auf rein digitalem Weg auch ohne Einsatz der elektroni­schen Gesundheitskarte (eGK) anmelden, um etwa auf ihre ePA zuzugreifen.

Mit der Gesundheits-ID soll in Zukunft auf niedrigschwelligem und einfachem Weg entsprechender Zugang zu Gesundheitsanwendungen erfolgen, betonte Ozegowski. Die Kassen würden diese ID derzeit vorbereiten, sagte sie. Die Krankenkassen sind per Gesetz verpflichtet, ab dem 1. Januar 2024 eine solche Identität den Versicherten auf Wunsch zur Verfügung zu stellen.

Laut den ursprünglichen Plänen sollten auch Leistungserbringer ab 2024 ergänzend zu ihrem elektronischen Heilberufs- und Berufsausweis (eHBA) eine digitale Identität zur Verfügung gestellt bekommen. Maria Parsch, Produktmanagerin Identity Management bei der Gematik, sprach allerdings bei der DMEA von einer „sehr wahrscheinlichen“ Verschiebung auf Anfang 2025.

Franz-Josef Herpers, Referent Digitalisierung bei der Bundesärztekammer (BÄK), verwies diesbezüglich auf „recht gut“ laufende Gespräche mit der Gematik zu den entsprechenden Spezifikationen für Leistungserbrin­ger. Diese seien naturgemäß nicht vollständig deckungsgleich mit den bereits vorliegenden Identitätsspe­zifika­tionen für Versicherte.

cmk/bee