- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Elektronische Patientenakte (ePA): BfDI übt Kritik

Die geplante Einführung der elektronischen Patientenakte (ePA) verstößt gegen die europäische Datenschutz-Grundverordnung (DSGVO). Das kritisiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber in einer Pressemitteilung deutlich.

„Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das Patientendaten-Schutz-Gesetz in seiner derzeitigen Fassung umgesetzt werden sollte“, betont Professor Kelber in der Pressemitteilung. Der BfDI ist zuständig für 65 gesetzliche Krankenkassen.

Kritische Stellungnahmen zur ePA

Schon während des Gesetzgebungsverfahrens hat der BfDI hat in mehreren Stellungnahmen darauf hingewiesen, dass Patienten bei Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen.

Und genau hier weise nach Ansicht von Professor Kelber das Patientendaten-Schutz-Gesetz (PDSG) Defizite auf. Der Deutsche Bundestag hat das PDSG bereits beschlossen, der Bundesrat berät derzeit darüber.

Anweisungen und Untersagungen gegen ePA?

„Gesundheitsdaten offenbaren intimste Informationen über die Bürgerinnen und Bürger. Deswegen sind sie in der europaweit geltenden DSGVO auch besonders geschützt“, macht der BfDI klar.

„Sollte das PDSG unverändert beschlossen werden, muss ich die meiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde.“

Außerdem bereite er in diesem Zusammenhang weitere Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen. Nach der DSGVO stünden ihm dazu neben Anweisungen auch Untersagungen zur Verfügung.

Datenschutz für Patienten

„Der Schutz der Versicherten und ihrer Gesundheitsdaten muss immer im Vordergrund stehen“, betont der BfDI. Bis zum Start der ePA am 1. Januar 2021 muss deshalb seiner Meinung nach noch vieles passieren, denn „Digitalisierung kann niemals Selbstzweck sein“.

Es könne zum Beispiel nicht sein, dass ein behandelnder Zahnarzt Einsicht in alle Daten des Versicherten bekomme und so auch Befunde des konsultierten Psychiaters lesen könne.

Ein weiterer Kritikpunkt ist das Authentifizierungsverfahren für die ePA, mit dem sich Versicherte per Frontend anmelden. Dieses ist bisher aus Datenschutzsicht nicht ausreichend sicher und entspricht nicht den Vorgaben der DSGVO.

Gesundheit und Datenschutz vereinbaren

„Die ePA ist ein wichtiger Schritt zu weiteren Verbesserungen in der Gesundheitsversorgung. Die dabei anfallenden Gesundheitsdaten benötigen ein Datenschutzniveau, wie es die DSGVO vorschreibt und wie es seit Jahren in Deutschland für die ePA fest vereinbart war“, sagt Professor Kelber. „Das PDSG in seiner aktuellen Form wird dem nicht ausreichend gerecht.“

Mehr Informationen:

Elke Zapf