ePA - Beipackzettel als Ersatz für Datenschutz?
Die elektronische Patientenakte könnte einen Beipackzettel für Risiken und Nebenwirkungen bekommen
Das Gesetz "zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur" widerspricht teilweise der Datenschutzgrundverordnung (DSGVO). Dies erklärte der Bundesdatenschutzbeauftragte Ulrich Kelber am Mittwoch vergangener Woche auf der Bundespressekonferenz. Sollten die seiner Aufsicht unterstehenden Krankenkassen die elektronische Patientenakte (ePA) dennoch entgegen seiner Warnung ohne Nachbesserung ab 01.01. 2021 anbieten, wird er sie anweisen, allen Versicherten einen "von mir vorgegebenen Warntext zukommen zu lassen".
Dagmar Hartge, eine von drei Landesdatenschutzbeauftragten, die Kelber auf der Pressekonferenz unterstützten, ergänzte, man wolle "Sorge dafür tragen", dass Versicherte, die sich freiwillig entscheiden, die elektronische Patientenakte "nicht datenschutzgerecht zu nutzen", "präziser informiert" werden.
Kelber kritisiert unzureichende Sicherheitsstandards beim Authentifizierungsverfahren sowie eine mangelhafte Kontrolle der Versicherten über ihre Daten durch das Fehlen eines feingranularen, also dokumentenbezogenen Zugriffsmanagements. Bereits im vergangenen Jahr hatte der Bundesdatenschutzbeauftragte davor gewarnt, hier Abstriche zu machen. Zuletzt hatte er mehrmals angedroht, aufsichtsrechtliche Maßnahmen zu ergreifen und den seiner Aufsicht unterstehenden Krankenkassen notfalls zu untersagen, ihren Versicherten eine DSGVO-widrige Patientenakte anzubieten.
Und nun? Warntext als Ersatz für Datenschutz? Das könnte für die erste Phase der ePA-Einführung tatsächlich der Fall sein.
Zur Realisierung ausreichend hoher Sicherheitsstandards beim Authentifizierungsverfahren plant der Bundesdatenschutzbeauftragte, den Krankenkassen auch nach Einführung der elektronischen Patientenakte noch weitere vier Monate Zeit zu lassen (bis Mai 2021).
Zur Umsetzung eines feingranularen Zugriffsmanagements kündigte er an, den Krankenkassen falls erforderlich per Anweisung ein weiteres Jahr Zeit zu geben (bis zum 31. Dezember 2021). Eine solche Anweisung würde sich zu einem großen Teil mit dem decken, was das Gesetz ohnehin jetzt schon vorsieht: Ab 01.01.2022 wird in der elektronischen Patientenakte ein feingranulares Zugriffsmanagement eingeführt. Allerdings fordert Kelber dies auch - und damit geht er über die gesetzlichen Vorgaben hinaus - für jene Versicherte, die nicht über ein Smartphone oder Tablet verfügen (sog. Frontend-Nichtnutzer).
Erstaunlich bleibt, dass Kelber - wenn auch mit Warntext - nun doch ein DSGVO-widriges Zugriffsmanagement im ersten Jahr der EPA-Einführung zu akzeptieren bereit ist. Mehrere Male wurde auf der Pressekonferenz betont, dass die für die technische Umsetzung verantwortliche Gematik "klargestellt" habe, dass ein feingranulares Zugriffsmanagement zu einem früheren Zeitpunkt nicht machbar sei. Auch Kelber, der im Beirat der Gematik sitzt, erklärte, ihm sei von der Gematik "tatsächlich bestätigt" worden, dass dies vor 2022 nicht möglich sei.
Tatsächlich ist das umstritten. Zwar hat die Gematik laut Bundesgesundheitsministerium bereits 2017 den Beschluss gefasst, dass zum Start der ePA am 01.01.2021 nur grobgranulare Zugriffsrechte eingeräumt werden können. Dem widersprechen aber IT-Experten wie der im Mai dieses Jahres zur Anhörung in den Gesundheitsausschuss geladene Sachverständige Dominique Schröder von der Friedrich-Alexander-Universität Erlangen.
Schröder - wie Kelber Informatiker - hatte in seiner schriftlichen Stellungnahme darauf hingewiesen, dass die technische Umsetzung eines feingranularen Zugriffsmanagements heutzutage kein Problem mehr darstelle, seit Jahrzehnten in verschiedenen Betriebssystemen erfolge und Bestandteil von unterschiedlichen Datenbanken sei. Die geplante stufenweise Einführung der ePA sei zudem als nachträglich vorgenommene Änderung sehr fehleranfällig.
Wir haben es hier mit medizinischen Daten zu tun […]. Diese Dinge sind nicht reparierbar, wenn sie einmal draußen sind. Das ist nicht wie bei einer Straße, wo man merkt, das funktioniert einfach nicht, wir bauen eine neue. Nein, wir geben Daten heraus und die sind dann ein für allemal verwertbar. Dementsprechend sehe ich diese schrittweise Einführung als sehr kritisch an.
Dominique Schröder, Anhörung im Gesundheitsausschuss 27. Mai 2020