Streit um die Einführung der elektronischen Patientenakte

Eigentlich soll die elektronische Patientenakte, kurz ePA, dem Gesundheitswesen mehr Flexibilität bescheren. Im Januar 2021 steht voraussichtlich die offizielle Einführung auf Bundesebene an.

Doch nun schlägt der Bundesbeauftragte für Datenschutz und Informationsfreiheit Alarm.

Deren Leitung unter Professor Ulrich Kelber legt die Finger in die Wunde und mahnt zur Vorsicht. Nach Ansicht des Bundesdatenschutzbeauftragten Kelbers beugt das geplante Patientendaten-Schutzgesetz für die ePA völlig unzureichend Missbrauch vor und steht außerdem im Konflikt mit europäischer Rechtsprechung.

Gesundheitswesen im Wandel: Die ePA soll alles effizienter machen

Klassische Dokumentation auf Papier und Informationsübermittlung per Bote oder Telefon wird durch die Digitalisierung zunehmend verdrängt. Die ePA soll die Vorzüge digitaler Vernetzung im Gesundheitswesen salonfähig machen. Ein fließender Übergang über freiwillige Teilnehmer soll den Wandel möglichst ohne Hindernisse ermöglichen. Die Vorteile liegen auf der Hand: Alle relevanten Patientendaten aus Aktenordnern stehen nun über das Internet zur Verfügung. Andere Ärzte können diese ohne Verzögerung in ihrer Praxis anfordern und sind so stets auf dem aktuellsten Stand. Im Endeffekt führt dies zu weniger Bürokratie und somit mehr Zeit für den Patienten. Gleichzeitig beugt das Verfahren Missverständnissen bei der Therapie und unnötigen Doppeluntersuchungen vor. Im Jahr 2022 folgen noch Einträge für Impfpass, U‑Heft für Kinder, Mutterpass sowie das Bonusheft für regelmäßige Zahnarztbesuche. Ärzte dürfen nur mit Erlaubnis durch den betreffenden Patienten auf die Daten zugreifen – worin liegt also das Problem?

Datenschutzbeauftragter Ulrich Kelber geht auf Konfrontationskurs

Information über körperliche und psychische Gesundheit gelten als äußerst sensibles Thema. Missbrauch und Benachteiligung durch Dritte sind eine realistische Gefahr. In den USA kam es zu einem großen Skandal, als über 100 Millionen Patientendaten von Hackern entwendet wurden und nun auf dem Schwarzmarkt jedermann zugänglich sind. Der stärkste Gegenwind weht den Krankenkassen derzeit vom Bundesschutzbeauftragten Professor Ulrich Kelber entgegen. Seiner Argumentation nach sei das Patientendaten-Schutzgesetz (PDSG) nicht vereinbar mit den Vorgaben durch die DSGVO. Kelber maßregelte bereits die ihm unterstehenden, gesetzlichen Krankenkassen bezüglich der aktuellen Situation. Sollten diese dennoch an der ePA in Kombination mit dem aktuellen PDSG festhalten, würde er aufsichtsrechtliche Gegenmaßnahmen einleiten. Das Bundesgesundheitsministerium sieht indessen offenbar keine akute Gefährdungslage. Immerhin erfolge die Einführung auf freiwilliger Basis und es bedarf der ausdrücklichen Zustimmung des Patienten für den Einblick in die elektronischen Akte.

Löchrige Schutzmaßnahmen in der Übergangszeit

Kritiker des geplanten Feldversuchs sehen jede Menge Nachbesserungsbedarf. Tatsächlich steht erst ab dem Jahr 2022 die Möglichkeit zur Eingrenzung des befugten Zugriffes zur Verfügung. Bis dahin könnten theoretisch Zahnärzte Informationen über ein psychisches Gutachten einsehen. Der völlig ungeschützte Offenlegung ohne die erforderliche Zweckgebundenheit stelle ein großes Risiko dar. Bis die ersten schweren Fälle von Datenmissbrauch vorliegen, sei es lediglich eine Frage der Zeit. Doch die derzeitigen Fehler im Konzept reichen noch tiefer und seien nach derzeitigem Stand so nicht tolerierbar.

Informationelle Selbstbestimmung in Gefahr

Das der derzeitige Entwurf auf einem wackeligen Fundament steht, macht auch ein Blick auf den geplanten Zugriff der Akte von Patienten sichtbar. Kelber mahnt an, dass er das Recht auf informationelle Selbstbestimmung unzureichend berücksichtigt sehe. Tatsächlich dürfen Patienten laut Entwurf ab 2022 zwar Ärzte und bestimmte Datensätze per Filter vom allgemeinen Zugriff fernhalten, aber ein Kontrollzugriff auf die eigene Akte soll zu diesem Zeitpunkt technisch noch nicht flächendeckend möglich sein. Dieser geschieht primär über eine App per Smartphone oder Tablet. Ein aktiver Internetzugang ist dafür also Voraussetzung. Fehlt die technische Grundlage, entfällt auch vorerst die Einsicht auf die eigene Akte. Betroffene sollten laut DSGVO aber jederzeit Zugriffsmöglichkeiten zu Kontrollzwecken und Selbstbestimmung auf die eigenen Datenbestände haben. Das angestrebte Konzept läuft also nicht konform mit EU-Recht. Alternative Informationswege über Terminals in den Krankenkassenfilialen scheuen die Versicherungen aufgrund der dadurch entstehenden Kosten. Die Sorge vor der finanziellen Verantwortung treibt teils seltsam anmutende Vorschläge hervor. Vielmehr solle im Notfall eine beauftragte Vertrauensperson die Datenbestände im Internet managen – ein äußerst heikler Ansatz, da diese dann ebenfalls Kenntnis über die sensiblen Informationen erlangt. Zusätzlich löst auch das derzeitige Anmeldeverfahren bei Kelber Bedenken aus. Eine einfache PIN als Passwortschutz reiche nicht aus und erfülle bei weitem nicht die von der DSGVO vorgesehenen Mindeststandards.

Krankenkassen in der Zwickmühle

Das Tauziehen zwischen DSVGO und PDSG wird sich in der Praxis als äußerst problematisch erweisen. Kelber kritisiert den Bundestag für dir voreilig beschlossene Regelungen für das Patientendaten-Schutz-Gesetz. Das Gesetz ist derzeit im Bundesrat zur Begutachtung vorgelegt. Einspruchsrechte kann der Bundesdatenschutzbeauftragte an dieser Stelle nicht zur Geltung bringen. Allerdings darf er Mahnungen und sogar Bußgelder gegenüber den meisten gesetzlichen Krankenkassen aussprechen. Der BDFI beobachte das Verhalten der betroffenen Einrichtungen genau, ob diese ihre Pflichterfüllung gegenüber dem europäischen Recht auch nachkommen. Zweifelsohne führt dies wiederum die Versicherungen in prekäre Lage. Die offensichtliche Nachlässigkeit des PDSG gegenüber elementare Schutzmechanismen der DSVGO lässt sich nicht leugnen. Egal für welches Recht die Kassen sich entscheiden, sie verstoßen unvermeidlich gegen eine der beiden Vorschriften. Im Ernstfall darf Kelber in seiner Funktion als Bundesdatenschutzbeauftragter die Nutzung und Weiterverbreitung von Daten untersagen und die Löschung betroffener Informationen erzwingen. Unmittelbar abhängig von einer Bestätigung durch den Bundesrat ist das unter Beschuss geratene Gesetz allerdings keineswegs. Es gilt als nicht zustimmungspflichtig. Trotzdem bleibe der Bundestag an rechtliche Rahmenbedingungen auf europäischer Ebene gebunden. Als letzte Notmaßnahme kann der Bundesrat ein Vermittlungsausschuss ins Leben rufen und somit die Umsetzung zeitlich herauszögern. Kelber empfiehlt, dass der Bund den derzeitigen Widerspruch zwischen nationalem und europäischem Recht beseitigt. Die drohende Misere würde ansonsten den seiner Ansicht nach den guten Grundgedanken der ePA torpedieren.

Zweckentfremdung für kommerzielle Ziele denkbar

Eine Änderung zur Datenverarbeitung durch die Krankenkassen birgt weiteren Sprengstoff. So möchten Krankenkassen die kompletten Datensätze der Patienten zu Werbezwecken verwenden. Nur ein ausdrücklicher Widerspruch schiebe dem Vorhaben einen Riegel vor. Für medizinische Anlässe bestehe ebenfalls Interesse. So können die Daten hilfreiche Erkenntnisse für Forschungszwecke liefern. Ist dieses Verfahren in der Praxis erst einmal großflächig etabliert, werden Begehrlichkeiten auf verschiedenen Seiten geweckt. Auch wenn diese Befürchtungen im Raum stehen, äußerte sich Kelber nicht direkt zu diesem Thema. Er setze zunächst auf einen Dialog mit den zuständigen Krankenkassen für einen DSVGO-konformen Lösungsansatz und werde Umsetzung und Effektivität der Schutzmaßnahmen kontinuierlich überwachen.