Berlin, 10.03.2021 - Im Interview zur elektronischen Patientenakte (ePA) erneuert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, seine Kritik an der aktuellen Version der elektronischen Patientenakte und stellt dabei besonders auf drei Aspekte ab, die er für europarechtswidrig hält.
Sie haben bereits im vergangenen Jahr Bedenken geäußert, was die elektronische Patientenakte angeht. Sind diese mittlerweile ausgeräumt?
Ich halte nach wie vor an meiner Kritik fest. Bereits im Entstehungsprozess hatte ich konkrete Vorschläge für eine datenschutzkonforme Umsetzung der elektronischen Patientenakte (ePA) eingebracht, um von Anfang an in datenschutzrechtlicher und technisch-organisatorischer Hinsicht eine gute Lösung anbieten zu können.
Wo sehen Sie Nachbesserungsbedarf?
Schon während des Gesetzgebungsprozesses habe ich immer wieder darauf hingewiesen, dass ich drei Punkte des Patientendaten-Schutz-Gesetzes (PDSG), in dem die elektronische Patientenakte gesetzlich geregelt wird, für europarechtswidrig halte:
Erstens müsste ePA dem Versicherten die Möglichkeit geben, für jedes einzelne Dokument in der Akte zu entscheiden, wer es sehen darf. Das gibt es zumindest mit ihrem Start 2021 nicht. Nutzende können nur wählen, ob beispielsweise ein Arzt alle anderen ärztlichen Dokumente sehen darf oder gar keine. Das entspricht nicht dem Stand der Technik.
Das wird sich – zweitens – im nächsten Jahr zwar ändern, aber nur für die Nutzenden eines geeigneten Smartphones oder Tablets. Die Gruppe von Versicherten, die nicht darüber verfügen - und dies sind vor allem die älteren Menschen - bleibt außen vor. Ebenso Menschen, denen die Nutzung dieser Geräte für die ePA nicht sicher genug ist. So schafft das Patientendaten-Schutz-Gesetz eine Zweiklassengesellschaft bei der ePA. Auch in dieser Ungleichbehandlung sehe ich einen Verstoß gegen die Datenschutz-Grundverordnung.
Und drittens entspricht die Eingabe der Zugangsdaten ohne den gleichzeitigen Einsatz der elektronischen Gesundheitskarte nicht dem gleichen Schutzniveau, wie es für sensible Gesundheitsdaten sein müsste.
Sie haben Sanktionen angekündigt, sollte die ePA nicht konform mit der europäischen Datenschutz-Grundverordnung eingeführt werden. Gehen sie diesen Schritt nun?
Ich habe im August vergangenen Jahres meine Kritik öffentlich gemacht und bereits zu diesem Zeitpunkt dargelegt, welche Schritte ich im Falle der Nichtumsetzung plane. Nach der DSGVO stehen mir dazu neben Anweisungen auch Untersagungen zur Verfügung. Derzeit bin ich aber noch in einem Dialog mit den gesetzlichen Krankenkassen, die meiner Aufsicht unterstehen.
Ihre Kritik bezieht sich ja vor allem auf die Art und Weise, wie Patienten ihre Daten freigeben können - also, dass Patienten nicht über einzelne Dateien entscheiden können. Sind hier mittlerweile Regelungen getroffen worden – oder gar schon in Arbeit - die diese Kritik adressieren?
Ich habe im November den meiner Aufsicht unterstehenden Krankenkassen ein Warnschreiben geschickt und darum gebeten, mir mitzuteilen, in welcher Form Sie Ihren Versicherten die ePA ab Januar 2021 anbieten werden. Das Warnschreiben habe ich auf der Homepage meiner Behörde öffentlich gemacht. Die Rückmeldungen gehen nun ein. Sie werden von den Kolleginnen und Kollegen der Fachebene geprüft und bewertet. Zudem hat die gematik erklärt, die Funktion zu einem späteren Zeitpunkt einführen zu wollen. Die freie Entscheidung, wem ich welche Datei mit sensiblen Gesundheitsdaten zugänglich machen möchte, muss aber von Anfang an technisch realisiert werden - und allen Patientinnen und Patienten zur Verfügung stehen.