Toolbar-Menü

Elektronische Patientenakte – Datenschutzverstöße sind vorprogrammiert

- Erschienen am 19.08.2020 - Presemitteilung 08/2020

Mit der elektronischen Patientenakte wird es ernst. Bereits nach geltendem Recht sind die gesetzlichen Krankenkassen verpflichtet, sie den Versicherten zum 1. Januar 2021 anzubieten. Im Eilverfahren hat der Bundesgesetzgeber in diesem Jahr das Patientendaten-Schutz-Gesetz auf den Weg gebracht, um das Vorhaben technisch umzusetzen. Die von dem Gesetz vorgesehenen technischen Voraussetzungen berücksichtigen den Datenschutz insbesondere in der ersten Umsetzungsphase jedoch nur unzureichend. Damit werden die Rechte der Versicherten ohne Not und unter Verstoß gegen europäisches Datenschutzrecht beschnitten. Dagmar Hartge:

Die elektronische Patientenakte kann nur erfolgreich sein, wenn die Patientinnen und Patienten auf einen umfassenden Datenschutz vertrauen können. Im kommenden Jahr wird dies noch nicht der Fall sein. Die gesetzlichen Krankenkassen in Brandenburg sind in der Verantwortung, die elektronische Patientenakte erst einzuführen, wenn die technischen Voraussetzungen dem Datenschutz ausreichend Rechnung tragen. Den Versicherten empfehle ich, im Zweifelsfall lieber noch ein Jahr zu warten, bevor sie die elektronische Patientenakte nutzen. 

In der Kritik steht vor allem die Regelung zum Zugriff auf die Inhalte der (freiwilligen) elektronischen Patientenakte. Ein Ziel des Vorhabens ist es, dass die Versicherten dokumentenscharf festlegen können, welche Ärztinnen und Ärzte, Psychotherapeutinnen und Psychotherapeuten oder Apotheken welche Daten sehen können. Wer beispielsweise nicht möchte, dass der Zahnärztin die Diagnosen des Hautarztes bekannt werden, gibt die Daten hierfür einfach nicht frei. Allerdings wird es in der ersten Ausbaustufe vom 1. Januar 2021 bis zum 31. Dezember 2021 noch nicht möglich sein, die Zugriffsrechte nach Dokumenten differenziert zu vergeben. Erst nach dem 1. Januar 2022 können Versicherte, die bereit sind, hierfür ein Smartphone zu nutzen, so verfahren. Patientinnen und Patienten, die nicht bereit oder in der Lage sind, ein Smartphone zu verwenden, wird diese Möglichkeit auch nach dem 1. Januar 2022 weitgehend verwehrt bleiben. Hinzu kommt, dass die ursprünglich vorgesehene Verpflichtung der Krankenkassen, Patiententerminals zur Verwaltung der elektronischen Patientenakte anzubieten, aus dem Gesetzentwurf gestrichen wurde.

Für die Anmeldung der Patientinnen und Patienten in der elektronischen Patientenakte ist neben der Verwendung der elektronischen Gesundheitskarte noch ein weiteres, alternatives Verfahren gesetzlich vorgeschrieben. Die derzeit angebotene Alternative (Authentifizierungsverfahren al.vi) entspricht dem erforderlichen Stand der Technik jedoch nicht und kann daher nicht datenschutzgerecht eingesetzt werden. Die Versicherten müssen sich aber – gerade wenn es um Gesundheitsdaten geht – in einer Weise anmelden können, die einen hohen Schutz vor Datenmissbrauch durch Unbefugte bietet.

Bereits vor ihrer Einführung ist also erkennbar, dass die elektronische Patientenakte ihr eigenes Ziel einer Verbesserung der Patientensouveränität zunächst einmal verfehlen wird.

Die sogenannte Telematikinfrastruktur, um die es in dem Patientendaten-Schutz-Gesetz vor allem geht, wird von der gematik GmbH betrieben. Das Unternehmen stellt damit unter anderem die von uns kritisierte informationstechnische Grundlage für die Vergabe von Zugriffsrechten auf die elektronische Patientenakte als auch die Schnittstelle für das Authentifizierungsverfahren zur Verfügung. Gegenüber den Versicherten bleiben jedoch die gesetzlichen Krankenkassen für die Einhaltung des Datenschutzes verantwortlich.

Die Kassen sind indes nicht zu beneiden: In der Einführungsphase der elektronischen Patientenakte zwingt der Gesetzgeber sie dazu, sich zu entscheiden, ob sie ihre Verpflichtung einhalten, die elektronische Patientenakte anzubieten, oder ob sie die Vorschriften zum Datenschutz beachten. Es ist absehbar, dass beides zugleich nicht möglich sein wird. Vor diesem Hintergrund ist es die Aufgabe der Landesbeauftragten, auf ein datenschutzkonformes Vorgehen der gesetzlichen Krankenkassen in Brandenburg hinzuwirken. Sie wird zunächst das Gespräch mit ihnen suchen und, falls erforderlich, vor beabsichtigten Verstößen gegen das Datenschutzrecht warnen. Im Falle eines nicht datenschutzgerechten Angebots der elektronischen Patientenakte nach dem 1. Januar 2021 wird sie von weiteren Aufsichtsbefugnissen Gebrauch machen.

Der Deutsche Bundestag hat das Patientendaten-Schutz-Gesetz am 3. Juli 2020 beschlossen, ohne die Empfehlungen des Bundesrates für datenschutzrechtliche Verbesserung vollständig umzusetzen. Am 18. September 2020 wird der Bundesrat erneut über das Gesetz beraten. Frau Hartge fordert die Landesregierung Brandenburg auf, sich dafür einzusetzen, dass die Länderkammer ihre weiteren Mitwirkungsrechte im Rahmen des Gesetzgebungsverfahrens ausschöpft – im Interesse aller Beteiligten.