Der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber weist bei einer Pressekonferenz in Berlin darauf hin, dass das Patientendaten-Schutz-Gesetz gegen die europäische Datenschutzgrundverordnung (DSVGO) verstößt. Kelber hat auch die Landesdatenschutzbeauftragten aus Brandenburg, Niedersachsen und Baden-Württemberg bei der Bundespressekonferenz aufs Podium geholt.
Ab 1. Januar 2021 sollen alle Gesetzlichen Krankenkassen jedem Versicherten den Zugang zu einer elektronischen Patientenakte (ePa) anbieten. Dies ist Inhalt des im Juli vom Bundestag verabschiedeten Patientendaten-Schutz-Gesetz (PDSG). Sollten die Krankenkassen dem nicht nachkommen, drohen ihnen Sanktionen.
Geplant ist ein Elektronikdokument, in welchem zum Beispiel Befunde, Behandlungsberichte oder Notfalldatensätze eines Patienten gespeichert sein werden. Ziel ist es, schnell und einfach per Mausklick an Kontakte von behandelnden Ärzten zu kommen. Damit sollen in Zukunft die Kosten für die Behandlungen reduziert werden, wenn leicht ersichtlich ist, dass eine doppelte Untersuchung unnötig wäre.
Denn der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Ulrich Kelber, hält das Gesetz für europarechtswidrig. Kelber arbeitet nun daran, dass PPDSG abzuwenden. Der BfDI ist für knapp 44,5 Millionen Versicherte zuständig aus insgesamt 65 Krankenkassen. Dazu gehören Betriebskrankenkassen, Ersatzkassen (Barmer, die DAK und die Techniker Krankenkasse) und die Knappschaft.
Sollten Kelbers Bedenken zur Umsetzung des PDSG Form bekommen, könnte das Gesetz noch gestoppt werden. Somit wäre schlichtweg eine Umsetzung der ePA nicht möglich. Der Spitzenverband der Gesetzlichen Krankenkassen (GKV-SV) spricht von einer „Dilemma-Situation“, in welche man geraten sei. „Die gesetzlichen Krankenkassen brauchen unbedingt Klarheit und Rechtssicherheit, um den Aufbau und die Einführung der elektronischen Patientenakte weiter vorantreiben zu können. Wir appellieren dringend an die Politik, diese Klarheit rasch herzustellen“, so Florian Lanz, Sprecher des GKV-SV.
Worauf beruht die Kritik des Bundesdatenschutzbeauftragten? Der erste Kritikpunkt bezieht sich auf die Dokumentensteuerung. So könnten Versicherte nicht entscheiden, welche Dokumente sie zugänglich machen wollen. So ist bisher nur eine „Alles oder Nichts“-Entscheidung vorgesehen. „Diese Einschränkung der Kontrolle der Betroffenen über ihre Daten ist nicht hinnehmbar.“, sagte Kelber. Gefordert wird hier eine bessere Kontrolle, welche den Versicherten ermöglicht, einzelne Dokumente auswählen zu können.
„Ab dem 1. Januar 2022 wird es diese Möglichkeit der feingranularen Rechtevergabe nur für diejenigen Patienten geben, die die Zugriffsberechtigungen auf einem eigenen Endgerät erteilen können“, teilt der Sprecher des BfDI mit. „Die Vielzahl derjenigen, die kein geeignetes Endgerät besitzen oder aus Sicherheitsgründen nicht nutzen möchten, wird dagegen stark benachteiligt, da sie entweder nur in der Leistungserbringerumgebung auf Kategorien berechtigen können oder alternativ ihre sensiblen Gesundheitsdaten einem Vertreter offenbaren müssen und zudem nicht in ihre eigene ePA Einblick nehmen können.“
„Es ist ein massives Versäumnis der Bundesregierung, dass zum Start der elektronischen Patientenakte keine differenzierten Datenschutzeinstellungen möglich sind“ sagen die MdBs Konstantin von Notz und Maria Klein-Schmeink (Grüne). Obwohl seit 2018 Schwächen im Rechtemanagement bekannt sind, wurden die Fehler nicht beseitigt.
Die andere Kritik bezieht sich auf das Anmeldeverfahren per Authentifizierung über Mobiltelefone für die ePA. „Das vorgesehene Verfahren ist aus Datenschutz-Sicht nicht hinreichend sicher und entspricht damit nicht den Vorgaben der Datenschutz-Grundverordnung“, so Kelber.
Kaum denkbar ist hingegen ein Stopp des PDSG im Bundesrat. Im Gesundheitsausschuss des Bundesrats wurde darauf verzichtet einen Vermittlungsausschuss anzurufen. Es deutet sich an, dass die Einführung des ePA zu einem endlosen Rechtsstreit werden könnte.
Die Gematik, die für die digitale Infrastruktur der elektronischen Patientenakte zuständig ist, reagiert konsterniert und kann die Kritik nicht nachvollziehen. „Alle relevanten Festlegungen wurden zusammen mit den Sicherheitsexperten des Bundesamts für Sicherheit in der Informationstechnik getroffen. Dazu gehören auch Authentifizierungsverfahren, wie Versicherte über mobile Geräte auf ihre Akte zugreifen können.“, sagt Gematik-Chef Markus Leyck Dieken.
Aber wie geht es nun weiter mit dem PDSG? Sicher ist: Kelber will das Gesetz in seiner jetzigen Form am liebsten verhindern. Dass man sich noch im laufenden Gesetzgebungsverfahren an die Öffentlichkeit wende, zeige „wie schwerwiegend wir die Lage einschätzen“, sagte Kelber. Er könne zwar dem Gesetzgeber keine Vorgaben machen, er müsse aber „einschreiten“, wenn von ihm zu beaufsichtigende Stellen gegen geltende Datenschutzvorschriften verstoßen.
Kelber will jetzt alle Krankenkassen dafür sensibilisieren, dass sie gegen EU-Recht verstoßen, wenn sie am 1. Januar 2021 die ePA einführen. Den Krankenkassen wird vorgeschrieben, eine DSGVO-konforme Version des ePA bereitzustellen. Zudem soll ein hochsicheres Authentifizierungsverfahrens bis Mai 2021 entwickelt werden. Sonst könnte Kelber die Datenverarbeitung nach Artikel 58 der Datenschutzgrundverordnung versagen.
Der Landesdatenschutzbeauftragter aus Baden-Württemberg, Stefan Brink sagt, dass es ungewöhnlich sei, in ein laufendes Gesetzgebungsverfahren einzugreifen. Die Gesetzgebungskompetenz des Bundes wird durch europäisches Recht beschränkt. Es muss dafür gesorgt werden, dass nationales und europäisches Recht nicht miteinander kollidieren.
Das Bundesgesundheitsministerium betont, dass sie Kelbers Kritik nicht nachvollziehen kann: „Die Bundesregierung teilt die Bedenken des Bundesdatenschutzbeauftragten ausdrücklich nicht“. Das Gesetz sei vor seiner Verabschiedung im Bundestag von den Verfassungsressorts BMJV und BMI rechtlich umfassend geprüft worden. „Außerdem war der BfDI selbst in die fachlichen Diskussionen eingebunden und hat an der Erarbeitung der Regelungen mitgewirkt.“ Vermutlich ist dies erst der Beginn eines drohenden langen Rechtsstreits zwischen dem Bundesdatenschutzbeauftragten und den Krankenkassen.