szmtag Elektronische Patientenakte laut Rechtsgutachten...
SucheTrefferlisteElektronische Patientenakte laut Rechtsgutachten DSGVO-konform
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Elektronische Patientenakte laut Rechtsgutachten DSGVO-konform

Montag, 21. Dezember 2020

/MQ Illustrations, stock.adobe.com

Berlin – Die nationalen Regelungen zur elektronischen Patientenakte (ePA) nach dem Patienten-Daten­schutz-Gesetz (PDSG) verstoßen nicht gegen höherrangiges europäisches Datenschutzrecht. Dieses Er­gebnis liefert ein dem Deutschen Ärzteblatt vorliegendes Rechtsgutachten im Auftrag des Health Inno­vation Hub (hih).

Die Vorschriften des Sozialgesetzbuch V (SGB V), die den Zugriff der Leistungserbringer auf die in der ePA gespeicherten Daten auf eine Einwilligung des Versicherten stützen, stehen demnach im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO).

Anzeige

Dies gelte laut der beauftragten Anwaltskanzlei für alle vorgesehenen Ausgestaltungen auf den unter­schiedlichen Umsetzungsstufen. Insbesondere fordere die DSGVO nicht, dass die Versicherten ihre Ein­willigungen auf Dokumentenebene („feingranular“) erteilen können müssen.

Genau dies wurde vom Bundesbeauftragten für den Datenschutz und die Informations­frei­heit, Ulrich Kelber, kritisiert. Aufgrund „mangelhafter Datenkontrolle“ und einem nicht sicheren Authentifizierung­s­verfahren für die Versicherten drohten Verstoße gegen die DSGVO.

Ein Verstoß gegen die Datenschutzgrundsätze der Zweckbindung, Datenminimierung, Erforderlichkeit und Vertraulichkeit liege aber laut Gutachtem auch auf der ersten Umsetzungsstufe der ePA im Jahr 2021 nicht vor – dementsprechend sei auch kein Verstoß gegen die DSGVO gegeben. Die Sicherheit der Daten sei durch die Erteilung der freiwilligen Einwilligung in den Zugriff auf die ePA nicht beeinträch­tigt.

Zudem verlange die ePA von den potenziellen Nutzern auch in der ersten Umsetzungsstufe keine Ein­willigung in ein „Alles-oder-nichts“. Die Zugriffserteilung erfolge nach dem Willen der Versicherten für alle oder nur für einzelne Leistungserbringer und könne individuell zeitlich begrenzt werden. Über diese Rechte würden die Patienten jeweils vor Erteilung der Einwilligung in die konkrete Datenverarbeitung auch informiert.

Ferner liege in der unterschiedlichen Ausgestaltung des Berechtigungsmanagements von Frontend-Nut­zern und Frontend-Nichtnutzern, auch dies war von Kelber kritisiert worden, auf der zweiten Umset­zungs­stufe kein rechtlicher Verstoß. Durch das mittelgranulare Berechtigungsmanagement auf der zwei­ten Umsetzungsstufe für Frontend-Nichtnutzer bestehe zudem kein dem PDSG immanenter Wertungs­widerspruch zu dem grundsätzlichen Anspruch einer barrierefrei versichertengeführten ePA.

Auch die gesetzlichen Regelungen zu den Authentifizierungsanforderungen verstoßen laut den Experten nicht gegen höherrangiges Recht. Die Aufnahme der Formulierung eines „hohen Sicherheitsstandards“ in das SGB V für die einzusetzenden Authentifizierungsverfahren sei legitim und seit Inkrafttreten des Ge­setzes geltendes und anzuwendendes Recht. Aus der DSGVO ergäben sich eben keine konkreten Maß­nah­menvorgaben – sie halte nur an, praktisch realisierbare Maßnahmen umzusetzen, die ein angemes­senes Schutzniveau garantieren. © aha/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #861110
diplpig1
am Dienstag, 22. Dezember 2020, 13:49

Theorie und Praxis

In der datenschutzrechtlichen Theorie bin ich beim Bundesbauftragten, weil das Berechtigungskonzept unzureichend ist. Wer aber die datenschutzrechtliche Praxis in einer deutschen Notaufnahme kennt und die praktischen Probleme im Umgang mit Dementen, Angehörigen, und anderen "Problemzonen" im Gesundheitswesen, dem ist klar, dass das alles akademische Diskussionen sind, die mit dem Alltag nichts zu tun haben. Grüße von der Datenschutz-Front.
Avatar #88767
fjmvw
am Dienstag, 22. Dezember 2020, 13:40

Wer hat das Gutachten in Auftrag gegeben? Dann ist alles klar.

Wenn die zuständige Instanz, der Datenschutzbeauftragte, feststellt, dass die Regelungen zur ePA nicht datenschutzkonform sind, dann wird diese Auffassung nicht durch ein "genehmes" Rechtsgutachten unterminiert. Der HIH macht mit dem in Auftrag gegebenen Gutachten lediglich deutlich, auf wessen payrole er steht.
Avatar #574541
hettich
am Dienstag, 22. Dezember 2020, 12:36

Bock zum Gärtner

Das Ergebnis des von der Health innovation hub in Auftrag gegebene Rechtsgutachten war so zu erwarten. Wes Brot ich ess, des Lied ich sing.
Es entkräftet in keinster Weise die erheblichen und weiterbestehenden Bedenken gegen die Datensicherheit bei der TI. Es braucht wohl erst einige Abmahnungen gegen Kassen und Datenlieferanten = an die TI angeschlossene Arztpraxen um der Gier auf die Patientendaten entgegenzutreten.

LNS

Zum Artikel

Fachgebiet

Fachgebiet

Anzeige

Stellenangebote

    Weitere...