Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Die elektronische Patientenakte (ePA)

Die Entwicklung nach Inkrafttreten des Patientendaten-Schutz-Gesetzes

die Abkürzung ePA steht in einer digitalen Mappe und im Kreis darum sind verschiedene Symbole zum Thema Gesundheit abgebildet
Quelle: ©HNFOTO - stock.adobe.com

Mit dem Patientendaten-Schutz-Gesetz (PDSG) wurde die Digitalisierung im Gesundheitswesen vorangetrieben. Zu Recht hat der Gesetzgeber in der amtlichen Gesetzesbegründung die Wahrung der Patientensouveränität als eine der wichtigsten Vorgaben betont. Trotz dieser zentralen Prämisse wird das Ziel einer informationellen Selbstbestimmung der Versicherten - vor allem im wohl größten Projekt des Gesetzes, der ePA - verfehlt. Das PDSG ist am 20. Oktober 2020 in Kraft getreten und enthält umfängliche Regelungen zur elektronischen Patientenakte (ePA).

Hinsichtlich der Gruppe von Menschen, die kein eigenes geeignetes Gerät besitzen oder keines benutzen wollen (die sogenannten „Frontend-Nichtnutzer“) verstößt die Ausgestaltung der ePA zum Zugriffsmanagement gegen die DSGVO.  Diese Versicherten werden in ihrer Patientensouveränität beschränkt. Sie können lediglich beim Leistungserbringer, z. B. in der ärztlichen Praxis, auf Kategorien von Dokumenten beschränkte Zugriffsrechte erteilen. Alternativ können sie einer Vertreterin oder einem Vertreter mit einem geeigneten technischen Gerät Vertretungsrechte einräumen. Nur die Vertreterin oder der Vertreter kann dann für diese Personen dokumentengenaue Berechtigungen erteilen. Dies bedeutet, dass die Versicherten der Vertreterin oder dem Vertreter alle in ihrer ePA vorhandenen Gesundheitsdaten, d. h. auch intimste Informationen, offenbaren müssen. Zudem hilft die Vertretung nicht denjenigen Versicherten, die z. B. aus Sicherheitsgründen bewusst kein Smartphone oder Tablet für die Verwaltung ihrer ePA einsetzen wollen – und damit auch kein entsprechendes Gerät eines Vertretenden.

Datenschutzrechtlich kritisch zu bewerten ist auch, dass die Vielzahl derjenigen Menschen, die kein eigenes Endgerät haben oder nutzen wollen, auf Dauer auch keinen Einblick in ihre eigene, von ihnen selbst zu führende ePA haben werden. Sie werden also von einer entsprechenden Nutzung der ePA ausgeschlossen. Somit kann diese Personengruppe auch nicht von den Vorteilen einer ePA in der Gesundheitsversorgung profitieren. Diese gravierenden Einschränkungen der Patientensouveränität stehen in Widerspruch zu elementaren Vorgaben der DSGVO und verstoßen damit gegen in Deutschland unmittelbar geltendes europäisches Recht. Hierauf hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) frühzeitig und wiederholt - auch im Rahmen des Gesetzgebungsverfahrens - hingewiesen. Seine Lösungsvorschläge wurden nicht berücksichtigt. Dies betrifft etwa die Einrichtung von sogenannten Kassenterminals in den Geschäftsstellen der Krankenkassen, mit denen Versicherte ohne eigenes Endgerät und diejenigen, die kein eigenes Endgerät einsetzen wollen, innerhalb der gesicherten TI-Umgebung in ihre ePA hätten Einblick nehmen können.

Durch die Benachteiligung und Ungleichbehandlung dieser großen Gruppe von Versicherten hat  das PDSG eine Zweiklassengesellschaft bei der ePA geschaffen. Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben diese Kritik auch in einer im September 2020 verabschiedeten Entschließung öffentlich zum Ausdruck gebracht.

Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 01.09.2020

Patientendaten-Schutz-Gesetz: Ohne Nachbesserungen beim Datenschutz für die Versicherten europarechtswidrig!

Der Deutsche Bundestag hat am 3. Juli 2020 das Patientendaten-Schutz-Gesetz (PDSG) entgegen der von den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder geäußerten Kritik beschlossen. Die Kritik richtet sich insbesondere gegen das nur grobgranular ausgestaltete Zugriffsmanagement, die Authentifizierung für die elektronische Patientenakte (ePA) und die Vertreterlösung für Versicherte, die nicht über ein geeignetes Endgerät verfügen. Das PDSG soll am 18. September 2020 im Bundesrat abschließend beraten werden. Zentrale Gesetzesregelungen stehen in Widerspruch zu elementaren Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO).

Entgegen des derzeitigen Entwurfs müssen die Versicherten bereits zum Zeitpunkt der Einführung der ePA am 1. Januar 2021 die volle Hoheit über ihre Daten erhalten. Dies entspricht auch den im PDSG vom Gesetzgeber selbst formulierten Vorgaben, die Patientensouveränität über die versichertengeführten ePA grundsätzlich ohne Einschränkungen zu wahren und die Nutzung der ePA für alle Versicherten datenschutzgerecht auszugestalten. Diese Ziele werden mit dem Gesetzentwurf nicht erreicht. Zum Start der ePA werden alle Nutzerinnen und Nutzer in Bezug auf die von den Leistungserbringern (Ärzten etc.) in der elektronischen Patientenakte gespeicherten Daten zu einem „alles oder nichts“ gezwungen, da im Jahr 2021 keine Steuerung auf Dokumentenebene für diese Daten vorgesehen ist. Das bedeutet, dass diejenigen, denen die Versicherten Einsicht in ihre Daten gewähren, alle dort enthaltenen Informationen einsehen können, auch wenn dies in der konkreten Behandlungssituation nicht erforderlich ist.

Erst ein Jahr nach dem Start der ePA, d. h. ab dem 1. Januar 2022, können lediglich Versicherte, die für den Zugriff auf ihre ePA geeignete Endgeräte (Smartphone, Tablet etc.) nutzen, eigenständig eine dokumentengenaue Kontrolle und Rechtevergabe in Bezug auf diese Dokumente durchführen. Alle anderen Versicherten, die keine geeigneten Endgeräte besitzen oder diese aus Sicherheitsgründen zum Schutz ihrer sensiblen Gesundheitsdaten nicht nutzen möchten (d. h. sogenannte Nicht-Frontend-Nutzer), erhalten auch über den Stichtag 1. Januar 2022 hinaus nicht diese Rechte. Ab dem 1. Januar 2022 ermöglicht das PDSG insoweit den Nicht-Frontend-Nutzern lediglich eine Vertreterlösung. Danach können diese mittels eines Vertreters und dessen mobilem Endgerät ihre Rechte ausüben. Im Vertretungsfall müssten die Versicherten jedoch ihrem Vertreter den vollständigen Zugriff auf ihre Gesundheitsdaten einräumen.

Ein weiterer Kritikpunkt ist das Authentifizierungsverfahren für die ePA und die „Gewährleistung des erforderlichen hohen datenschutzrechtlichen Schutzniveaus“. Da es sich bei den fraglichen Daten um Gesundheitsdaten und damit um höchst sensible persönliche Informationen handelt, muss nach den Vorgaben der DSGVO die Authentifizierung ein höchstmögliches Sicherheitsniveau nach dem Stand der Technik gewährleisten. Dies gilt insbesondere für Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte. Wenn dabei alternative Authentifizierungsverfahren genutzt werden, die diesen hohen Standard nicht erfüllen, liegt ein Verstoß gegen die DSGVO vor.

Der Bundesrat hat in seiner Stellungnahme zum PDSG vom 15. Mai 2020 (BR-Drs. 164/1/20, s. Ziffer 21. zu Artikel 1 Nummer 31 [§§ 334 ff. SGB V-E9]) die Bundesregierung auf erhebliche Bedenken im Hinblick auf die DSGVO-Konformität des PDSG hingewiesen. Seine Kritik bezieht sich im Wesentlichen auf das zum Start der ePA fehlende feingranulare Zugriffsmanagement und die daraus resultierende Einschränkung der Datensouveränität der Versicherten. Er hat die Bundesregierung aufgefordert, im weiteren Gesetzgebungsverfahren insbesondere den Regelungsvorschlag zum Angebot und zur Einrichtung der ePA (§ 342 SGB V) umfassend bezüglich datenschutzrechtlicher Bedenken zu prüfen.

Auch im Lichte dessen fordern die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder den Bundesrat auf, anlässlich seiner für den 18. September 2020 anberaumten Beratung den Vermittlungsausschuss anzurufen, um notwendige datenschutzrechtliche Verbesserungen des PDSG noch im Gesetzgebungsverfahren zu erwirken.

Ein weiterer zentraler Kritikpunkt ist, dass nicht alle Anforderung an ein Authentisierungsmittel, wie das BSI sie formuliert, erfüllt werden. Weil Gesundheitsdaten besonders sensibel sind, bedürfen Zugriffe auf die ePA immer hochsicherer Authentifizierungsverfahren, die stets dem aktuellen Stand der Technik entsprechen müssen. Das Verfahren der „Alternativen Versichertenidentität“, mit dem Versicherte sich auch ohne Einsatz der eGK an ihrer ePA anmelden können, basiert auf einem Signaturdienst. Hierzu hat der BfDI sein befristetes Einvernehmen bis zum 31.12.2023 verlängert, allerdings nur unter der Bedingung, dass alle Nutzenden des Systems mit einer kartengebundenen Authentisierungslösung ausgestattet werden.

Eine Umsetzung der ePA ausschließlich nach den Vorgaben des nationalen Gesetzes ist europarechtswidrig. Daher hat der BfDI im November 2020 den seiner Aufsicht unterfallenden gesetzlichen Krankenkassen zunächst eine förmliche Warnung übersandt, falls diese ihren Versicherten eine rechtswidrige ePA anbieten würden.
Nachdem die gesetzlichen Krankenkassen trotz dieser Warnung ihren Versicherten seit dem 1. Januar 2021 eine nicht der DSGVO entsprechende ePA anbieten, hat der BfDI zunächst fünf seiner Aufsicht unterliegende Krankenkassen im September 2021 angewiesen, ihren Versicherten eine DSGVO-konforme ePA anzubieten. Gegen diesen Bescheid haben die adressierten Krankenkassen Klage beim Sozialgericht Köln erhoben.

Die Krankenkassen stehen aufgrund der ihnen vom Gesetzgeber zugewiesenen Alleinverantwortlichkeit für die ePA in einem Dilemma. Verweigern sie die Umsetzung der ePA gemäß den Vorgaben des PDSG, drohen ihnen hohe, gesetzlich festgelegte Strafzahlungen. Setzen sie demgegenüber das europarechtswidrige Gesetz um, d. h. bieten sie ihren Versicherten eine europarechtswidrige ePA an, kommen sie in den Fokus der Aufsichtsbehörden. Abhilfe schaffen kann hier letztlich nur der Gesetzgeber.

Informationstexte nach § 343 SGB V – Einvernehmen mit BfDI

Mit dem PDSG wurde außerdem ein neuer § 343 in das SGB V eingeführt. Dieser verpflichtet die Krankenkassen, bevor sie ihren Versicherten nach § 342 Absatz 1 Satz 1 SGB V eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial in präziser, transparenter, verständlicher und leicht zugänglicher Form, in einer klaren, einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über:

  • alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte
  • die Übermittlung von Daten in die elektronische Patientenakte
  • die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur
  • die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren.

Der Spitzenverband Bund der Krankenkassen (GKV-SV) ist der gesetzlichen Verpflichtung nachgekommen, den Krankenkassen bei der Erfüllung ihrer Informationspflichten zu helfen, indem er geeignetes Informationsmaterial – auch in elektronischer Form – erstellt und den Krankenkassen zur verbindlichen Nutzung zur Verfügung gestellt hat. Hierzu hat der BfDI das gesetzlich vorgesehene Einvernehmen erklärt.