Elektronische Patientenakte

Datenschützer:innen halten Patientendaten-Schutz-Gesetz für rechtswidrig

Sollte das Patientendaten-Schutz-Gesetz Anfang 2021 in Kraft treten, müssen sich Krankenkassen entscheiden, ob sie gegen das neue Gesetz oder die Datenschutzgrundverordnung verstoßen. Um dieses Dilemma aufzulösen, kündigt der Bundesdatenschutzbeauftragte Sanktionen gegen die Kassen an und erhöht so den Druck auf den Gesetzgeber.

Eine Hand bedient ein Tablet, auf dem Gesundheitsdaten zu sehen sind.
Dass Zahnärzt:innen sehen können, was Psychiater:innen diagnostiziert haben, ist nicht mit dem europäischen Datenschutz vereinbar. Vereinfachte Pixabay Lizenz mcmurryjulie

Der Bundesdatenschutzbeauftragte Ulrich Kelber hält die kürzlich vom Bundestag beschlossenen Änderungen beim Patientendaten-Schutz-Gesetz (PDF) für nicht vereinbar mit der europäischen Datenschutz-Grundverordnung (DSGVO). Seine Behörde werde aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen, sollte das Gesetz in seiner jetzigen Form umgesetzt werden. Das gab Kelber am Mittwoch Vormittag in der Bundespressekonferenz gemeinsam mit den Landesdatenschutzbeauftragten aus Brandenburg, Niedersachsen und Baden-Württemberg bekannt.

Die Datenschützer:innen wenden sich vor allem gegen die Einführung der elektronischen Patientenakte (ePA) in der aktuell geplanten Form. In dieser Akte sollen zum Beispiel Befunde, Behandlungsberichte oder Notfalldatensätze eines Patienten gespeichert sein, sodass die Daten allen behandelnden Ärzt:innen schnell zur Verfügung stehen. Auf der Webseite des Bundesgesundheitsministerium heißt es, dass man damit doppelte Untersuchungen vermeiden wolle.

Das Ministerium möchte den Datenschutz gewährleisten, indem es den Patient:innen überlassen bleibt, ob sie die elektronische Akte nutzen möchten. Außerdem sollen sie selbst entscheiden, welche Gesundheitsdaten sie speichern und welcher ihrer Ärzt:innen auf die elektronische Akte zugreifen darf.

Datenschutz bei elektronischer Patientenakte nicht ausreichend

Diese Maßnahmen reichen den Datenschützer:innen aber nicht aus. Patient:innen könnten nämlich erst ab Anfang 2022 entscheiden, welche Ärzt:innen welche Daten einsehen könnten. Informationen, die noch sensibler und persönlicher sind als Gesundheitsdaten ohnehin schon sind – beispielsweise Daten zur psychischen Gesundheit oder zu einem Schwangerschaftsabbruch – wären so von der Hautärztin bis zum Zahnarzt abrufbar. Dem Gesetzgeber zufolge sei eine Implementierung dieser dokumentengenauen Steuerung durch die Patient:innen in die sogenannte Telematikinfrastruktur erst ein Jahr nach Einführung des Gesetzes möglich.

„Dadurch sind Datenschutzverletzungen in der ersten Umsetzungsphase der elektronischen Patientenakte absehbar, weil gegen die elementaren Prinzipien der Erforderlichkeit und der Zweckbindung verstoßen wird“, warnt Barbara Thiel. Die niedersächsische Landesbeauftragte für den Datenschutz ist etwa für die AOK Niedersachsen mit mehr als 2,5 Millionen Versicherten verantwortlich und kündigte weitere Gespräche mit der Kasse an.

Ungleichbehandlung bei informationeller Selbstbestimmung

Doch selbst wenn die Infrastruktur für die zielgenaue Freigabe von Daten für bestimmte Mediziner:innen in einem Jahr verfügbar wäre, könnten nur „Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA“ erhalten, so Kelber.

Er sieht hier die Gefahr einer Ungleichbehandlung beim Grundrecht auf informationelle Selbstbestimmung und somit einen Verstoß gegen die DSGVO. Er kritisiert außerdem, dass das Authentifizierungsverfahren bei der Anmeldung über das Endgerät noch nicht ausreichend sicher sei und ebenfalls nicht den DSGVO-Vorgaben entspreche.

Ursprünglich waren stationäre Geräte bei den Krankenkassen vorgesehen, über die auch Patient:innen ohne Internetzugang Zugang zu ihrer Akte erhalten hätten. Nach Kritik durch die Krankenkassen, die die dafür nötige Infrastruktur als zu teuer empfanden, strich die Bundesregierung die entsprechenden Vorgaben aus dem Gesetz. Stattdessen sollen Patient:innen ohne passendes Endgerät nun Vertreter:innen benennen, die Steuerung und Einsicht übernehmen sollen. Diese vertretende Person hätte dann aber vollen Zugriff auf alle Daten.

In Sachsen planen Krankenkassen eine freiwillige Einrichtung eines Zugangs in den Geschäftsstellen, sagt Kelber. Die Kosten hierfür belaufen sich laut seinen Angaben nur auf 30 Cent pro Versichertem pro Jahr.

Kollision zwischen nationalem und europäischem Recht

Der Bundesdatenschutzbeauftragte behält sich vor, gegen die Teile des Gesetzes vorzugehen, die nicht mit EU-Recht vereinbar seien: „Als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenkassen werde ich deshalb mit den mir zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass diese Krankenkassen mit der von ihnen angebotenen ePA nicht gegen europäisches Recht verstoßen.“ Die Krankenkassen seien einem Dilemma ausgesetzt, bei dem sie entweder gegen das Patientendaten-Schutzgesetz oder gegen die europäische Datenschutzgrundverordnung verstoßen müssten.

Seine Behörde kann zwar keine Gesetze stoppen, allerdings im Nachhinein Verwarnungen aussprechen und Bußgelder erheben, wenn Verantwortliche gegen Regeln verstoßen. Kelber kann außerdem die Löschung von Daten anordnen und Datenverarbeitung verbieten.

Gänzlich unter Dach und Fach ist das Patientendaten-Schutz-Gesetz noch nicht: Zwar hat der Bundestag das Gesetz bereits abgesegnet, allerdings fehlt noch die abschließende Bestätigung des Bundesrates, der derzeit darüber verhandelt. Zustimmungspflichtig ist das Gesetz nicht, der Bundesrat könnte bei Bedenken aber einen Vermittlungsausschuss einsetzen. Dagmar Hartge, Landesdatenschutzbeauftragte aus Brandenburg, kündigte an, sich beim brandenburgischen Gesundheitsministerium dafür einzusetzen, dass der Bundesrat von diesem Recht Gebrauch macht. An sich soll das Gesetz Anfang 2021 in Kraft treten.

Stefan Brink, Landesdatenschutzbeauftragter aus Baden-Württemberg, weist darauf hin, dass der Eingriff der Datenschützer:innen in ein laufendes Gesetzgebungsverfahren außergewöhnlich sei. Der Bund werde aber in seiner Gesetzgebungskompetenz durch europäisches Recht, also die DSGVO, beschränkt. Er appelliert an den Gesetzgeber, die Kollision zwischen nationalem und europäischem Recht aufzulösen, bevor das Gesetz in Kraft trete.

Im Vorfeld ist auch die kurzfristige Änderung bei den Regeln zur Datenverarbeitung durch die Krankenkassen in die Kritik geraten. Gesetzliche Versicherungen könnten Daten für Forschung und Werbung nutzen, sofern Patient:innen dem nicht explizit widersprechen. Hierzu konnte Ulrich Kelber noch keine Angaben machen. Man müsse zunächst mit allen Krankenkassen Gespräche führen, um zu sehen, wie diese die Vorgaben in der Praxis umsetzen wollen.

 

8 Ergänzungen
  1. Gut zu hören, dass Herr Kelber an der Sache dran bleibt und hoffentlich nicht nachgiebig ist. Auch hier sind sonst erhebliche Dammbrüche zu befürchten.

    Es bleibt auch zu hoffen, dass die EU nach dem Schrems/Privacy Shield-Urteil, nicht die Standards für die DSGVO und die Stellung des Datenschutzes als Grundrecht herabsenken wird. Soetwas muss ja leider bei der derzeitigen Kommission auch befürchtet werden. Zumal Gesundheitsdaten und Gesundheitsüberwachung attraktive Märkte darstellen und unter den gegebenen Pandemie-Umständen durchaus ein großer Druck ausgeübt werden könnte, der zu Lasten der Grundrechte geht. Da heißt es jetzt sehr kritisch und wachsam draufzuschauen.

    Und an dieser Stelle mal ein großes Dankeschön, dass Sie an diesen Themen dran bleiben und hinschauen, Frau Ballweber!

  2. Oh wie schön,

    endlich ‚mal wieder ein Bundesdatenschutzbeauftragter mit Rück­grat.

    Gleichwohl sollten wir uns nicht darüber hinwegtäuschen, dass
    die Aktion nur ein Feuerwehreinsatz ist.

    Solche Gesetze dürfen gar nicht erst beschlossen werden.
    Dafür braucht es aber andere Mehrheiten.

    Die sind in Ihrem Land leider nicht verfügbar.

  3. Das Gesetz wird im Kern so kommen. Es wird vielleicht doch ein Widerspruchsrecht für Patient:innen eingeräumt werden, das war es.
    Gepaart mit der dressierten „ich-habe-doch-nichts-zu-verbergen“- Mentalität der Gesellschaft, wird das alles kosmetischer Natur sein.
    Denn nicht zu vergessen, die Gesundheits- und Pharmabranche ist genauso so mächtig wie die der großen Datenkraken.
    Und gegen die großen Datenkraken sind die Behörden ja auch zögerlich, siehe das faktische Nichtstun nach dem SchremsII- EuGH-Urteil.

    1. Und nicht zu vergessen: Diejenigen, die das Gesetz auf den Weg gebracht haben bzw. dafür gestimmt haben, sind selbst nicht betroffen: Warum? Privatversichert!

  4. Die EPA bietet keinen technischen Schutzmechnismus, mit dem der Patient seine Daten schützen kann, da der Patient nicht im Besitz eines Schlüsselbestandteils ist. Die Daten können somit für beliebige, politisch zu definierende „Berechtigte“ weitergegeben werden. Ist das eigentlich in der Öffentlichkeit bekannt?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.