GSB 7.1 Standardlösung

Navigation und Service

Die elektronische Patientenakte (ePA)

Die Entwicklung nach Inkrafttreten des Patientendaten-Schutz-Gesetzes

es ist die Abkürzung ePA in einer digitalen Mappe und im Kreis sind verschiedene Symbole zum Thema Gesundheit abgebildet
Quelle: Adobe Stock

Mit dem Patientendaten-Schutz-Gesetz (PDSG) wird die Digitalisierung im Gesundheitswesen vorangetrieben. Zu Recht hat der Gesetzgeber in der amtlichen Gesetzesbegründung die Wahrung der Patientensouveränität als eine der wichtigsten Vorgaben betont. Trotz dieser zentralen Prämisse wird das Ziel einer informationellen Selbstbestimmung der Versicherten - vor allem im wohl größten Projekt des Gesetzes, der ePA - verfehlt. Das PDSG ist am 20.Oktober 2020 in Kraft getreten. Es enthält umfängliche Regelungen zur elektronischen Patientenakte (ePA) und verstößt mit den konkreten Ausgestaltungen zum Zugriffsmanagement gegen die Datenschutz-Grundverordnung (DSGVO). Kritisch ist auch der alternative Zugriff auf die ePA mittels mobiler Geräte (Smartphone etc.), d. h. ohne Verwendung der elektronischen Gesundheitskarte (eGK).

Gesetz legt datenschutzrechtliche Verantwortung fest

Anwendungen und Komponenten der TI werden von einer Vielzahl von Mitwirkenden geplant, entwickelt und betrieben. Deshalb ist es wichtig, die datenschutzrechtliche Verantwortung klar aufzuteilen. Nur so können Betroffene ihre Rechte wahrnehmen und Behörden ihre Aufsicht effizient ausüben. Deshalb hat bereits im September 2019 die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) einen Beschluss der datenschutzrechtlichen Verantwortung in der TI gefasst (vgl. 28. TB Nr. 4.2.1). Danach trägt die gematik als zentrale und planende Stelle der TI die datenschutzrechtliche Alleinverantwortung für die zentrale Zone der TI und eine Mitverantwortung für die dezentrale Zone. Das Gesetz regelt nunmehr explizit die Verantwortlichkeiten. Allerdings beschränkt der Gesetzgeber die Verantwortlichkeit der gematik (s. § 307 Absatz 5 SGB-V). Die gematik ist datenschutzrechtlich nur verantwortlich, soweit sie die Mittel der Verarbeitung personenbezogener Daten bestimmt und keine Verantwortlichkeit der anderen – allein verantwortlichen - Akteure (vgl. § 307 Absätze 1 bis 4 SGB-V) besteht. Die gematik muss eine koordinierende Stelle einrichten, die Betroffenen Auskünfte zu den Verantwortlichkeiten erteilt. Die Normierung einer lückenlosen datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitungen in der TI und die Einrichtung einer koordinierenden Stelle zur Erteilung von Informationen und Auskünften an die Betroffenen sind grundsätzlich zu begrüßen. Allerdings birgt die gesetzlich geregelte Alleinverantwortlichkeit der Anbieter von Anwendungen auch Probleme, wie das Beispiel der ePA zeigt.

Elektronische Patientenakte verstößt gegen die DSGVO

Das im PDSG normierte Zugriffsmanagement der ePA verstößt gegen die DSGVO und die Grundrechte der Versicherten. So haben die Versicherten zum Start der ePA am 1. Januar 2021 nicht die volle Hoheit über ihre eigenen Gesundheitsdaten erhalten. So kann im Jahr 2021 kein Versicherter den Zugriff seines Arztes auf einzelne, für die Behandlung notwendige Dokumente beschränken. Der Versicherte hat lediglich die Wahl, Leistungserbringern (z. B. seinen Ärzten, Therapeuten, Krankenhäusern etc.) entweder die Berechtigung für den Zugriff auf alle von Leistungserbringern gespeicherten Daten (Befunde, Diagnosen, Therapiemaßnahmen etc.) und/oder alle von ihm selbst in die ePA eingestellten Dokumente zu erteilen oder sie ganz zu verweigern. Es gilt also das Alles-oder-Nichts-Prinzip. Jede Person, der Zugriff auf ein ärztliches oder vom Versicherten selbst eingestelltes Dokument gewährt wird, kann jeweils alle Informationen der jeweiligen Kategorie in der ePA einsehen, auch wenn dies für die jeweilige Behandlung nicht erforderlich ist. Erst ab dem Jahr 2022 sieht das Gesetz eine Verbesserung vor. Dies gilt aber nur, wenn man ein mobiles Gerät (z. B. Smartphone, Tablet) nutzt. Ab diesem Zeitpunkt sollen mittels Smartphone oder Tablet dokumentengenaue Zugriffe erteilt werden können.

Die große Gruppe von Menschen, die kein eigenes geeignetes Gerät besitzen oder keines benutzen wollen, wird hiervon nicht erfasst. Diese Versicherten werden weiterhin in ihrer Patientensouveränität beschränkt. Sie können lediglich beim Leistungserbringer, z. B. in der ärztlichen Praxis, auf Kategorien von Dokumenten beschränkte Zugriffsrechte erteilen. Alternativ können sie einer Vertreterin oder einem Vertreter mit einem geeigneten technischen Gerät Vertretungsrechte einräumen. Nur die Vertreterin oder der Vertreter kann dann für diese Personen dokumentengenaue Berechtigungen erteilen. Dies bedeutet, dass die Versicherten der Vertreterin oder dem Vertreter alle in ihrer ePA vorhandenen Gesundheitsdaten, d. h. auch intimste Informationen, offenbaren müssen. Zudem hilft die Vertretung nicht denjenigen Versicherten, die z. B. aus Sicherheitsgründen bewusst kein Smartphone oder Tablet für die Verwaltung ihrer ePA einsetzen wollen – und damit auch kein entsprechendes Gerät eines Vertretenden.

Datenschutzrechtlich kritisch zu bewerten ist auch, dass die Vielzahl derjenigen Menschen, die kein eigenes Endgerät haben oder nutzen wollen, auf Dauer auch keinen Einblick in ihre eigene, von ihnen selbst zu führende ePA haben werden. Sie werden also von einer entsprechenden Nutzung der ePA ausgeschlossen. Somit kann diese Personengruppe auch nicht von den Vorteilen einer ePA in der Gesundheitsversorgung profitieren. Diese gravierenden Einschränkungen der Patientensouveränität stehen in Widerspruch zu elementaren Vorgaben der DSGVO und verstoßen damit gegen in Deutschland unmittelbar geltendes europäisches Recht. Hierauf hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) frühzeitig und wiederholt - auch im Rahmen des Gesetzgebungsverfahrens - hingewiesen. Seine Lösungsvorschläge wurden nicht berücksichtigt. Dies betrifft etwa die Einrichtung von sogenannten Kassenterminals in den Geschäftsstellen der Krankenkassen, mit denen Versicherte ohne eigenes Endgerät und diejenigen, die kein eigenes Endgerät einsetzen wollen, innerhalb der gesicherten TI-Umgebung in ihre ePA hätten Einblick nehmen können.
Durch die Benachteiligung und Ungleichbehandlung dieser großen Gruppe von Versicherten schafft das PDSG eine Zweiklassengesellschaft bei der ePA. Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben diese Kritik auch in einer im September 2020 verabschiedeten Entschließung öffentlich zum Ausdruck gebracht.

Ein weiterer zentraler Kritikpunkt ist, dass nicht alle Anforderung an ein Authentisierungsmittel, wie das BSI sie formuliert, erfüllt werden. Weil Gesundheitsdaten besonders sensibel sind, bedürfen Zugriffe auf die ePA immer hochsicherer Authentifizierungsverfahren, die stets dem aktuellen Stand der Technik entsprechen müssen. Das Verfahren der „Alternativen Versichertenidentität“, mit dem Versicherte sich auch ohne Einsatz der eGK an ihrer ePA anmelden können, basiert auf einem Signaturdienst und erfüllt diese Sicherheitsanforderungen nicht vollständig. Für einen datenschutzkonformen Zustand bedarf es auch bei dieser sogenannten alternativen Authentifizierung der Gewährleistung eines höchstmöglichen Sicherheitsniveaus. Diese Gewährleistung obliegt ebenfalls den Krankenkassen. Trotz dieser Bedenken, duldet der BfDI derzeit noch dieses Verfahren.

Bundesgesundheitsminister Spahn hat bei den Beratungen des Gesetzes am 3. Juli 2020 hat im Deutschen Bundestag zutreffend betont: „(…) Datenschutz ist bei so sensiblen Daten wie Gesundheitsdaten wichtig, und zwar Datenschutz auf höchstem Niveau. Es gibt nichts Sensibleres für den Einzelnen, nichts Persönlicheres, Intimeres als die Daten über die eigene Gesundheit und insbesondere eine mögliche Erkrankung. Deswegen legen wir Datenschutzstandards auf höchstem Niveau in diesem Patientendaten-Schutz-Gesetz fest (…)“.

Eine Umsetzung der ePA ausschließlich nach den Vorgaben des nationalen Gesetzes ist europarechtswidrig. Daher hat der BfDI im November 2020 den seiner Aufsicht unterfallenden gesetzlichen Krankenkassen zunächst eine förmliche Warnung übersandt, falls diese ihren Versicherten eine rechtswidrige ePA anbieten würden.
Nachdem die gesetzlichen Krankenkassen trotz dieser Warnung eine nicht der DSGVO entsprechende ePA ihren Versicherten seit dem 1. Januar 2021 anbieten, hat der BfDI den seiner Aufsicht unterliegenden Krankenkassen im Frühjahr 2021 zunächst eine Anhörung zur Vorbereitung eines Bescheides übersandt, in dem die Krankenkassen angewiesen werden, ihren Versicherten eine DSGVO-konforme ePA anzubieten.
Die Krankenkassen stehen aufgrund der ihnen vom Gesetzgeber zugewiesenen Alleinverantwortlichkeit für die ePA in einem Dilemma. Verweigern sie die Umsetzung der ePA gemäß den Vorgaben des PDSG, drohen ihnen hohe, gesetzlich festgelegte Strafzahlungen. Setzen sie demgegenüber das europarechtswidrige Gesetz um, d.h. bieten sie ihren Versicherten eine europarechtswidrige ePA an, kommen sie in den Fokus der Aufsichtsbehörden. Abhilfe schaffen kann hier letztlich nur der Gesetzgeber.

Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 01.09.2020

Patientendaten-Schutz-Gesetz: Ohne Nachbesserungen beim Datenschutz für die Versicherten europarechtswidrig!

Der Deutsche Bundestag hat am 3. Juli 2020 das Patientendaten-Schutz-Gesetz (PDSG) entgegen der von den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder geäußerten Kritik beschlossen. Die Kritik richtet sich insbesondere gegen das nur grobgranular ausgestaltete Zugriffsmanagement, die Authentifizierung für die elektronische Patientenakte (ePA) und die Vertreterlösung für Versicherte, die nicht über ein geeignetes Endgerät verfügen. Das PDSG soll am 18. September 2020 im Bundesrat abschließend beraten werden. Zentrale Gesetzesregelungen stehen in Widerspruch zu elementaren Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO).

Entgegen des derzeitigen Entwurfs müssen die Versicherten bereits zum Zeitpunkt der Einführung der ePA am 1. Januar 2021 die volle Hoheit über ihre Daten erhalten. Dies entspricht auch den im PDSG vom Gesetzgeber selbst formulierten Vorgaben, die Patientensouveränität über die versichertengeführten ePA grundsätzlich ohne Einschränkungen zu wahren und die Nutzung der ePA für alle Versicherten datenschutzgerecht auszugestalten. Diese Ziele werden mit dem Gesetzentwurf nicht erreicht. Zum Start der ePA werden alle Nutzerinnen und Nutzer in Bezug auf die von den Leistungserbringern (Ärzten etc.) in der elektronischen Patientenakte gespeicherten Daten zu einem „alles oder nichts“ gezwungen, da im Jahr 2021 keine Steuerung auf Dokumentenebene für diese Daten vorgesehen ist. Das bedeutet, dass diejenigen, denen die Versicherten Einsicht in ihre Daten gewähren, alle dort enthaltenen Informationen einsehen können, auch wenn dies in der konkreten Behandlungssituation nicht erforderlich ist.

Erst ein Jahr nach dem Start der ePA, d. h. ab dem 1. Januar 2022, können lediglich Versicherte, die für den Zugriff auf ihre ePA geeignete Endgeräte (Smartphone, Tablet etc.) nutzen, eigenständig eine dokumentengenaue Kontrolle und Rechtevergabe in Bezug auf diese Dokumente durchführen. Alle anderen Versicherten, die keine geeigneten Endgeräte besitzen oder diese aus Sicherheitsgründen zum Schutz ihrer sensiblen Gesundheitsdaten nicht nutzen möchten (d. h. sogenannte Nicht-Frontend-Nutzer), erhalten auch über den Stichtag 1. Januar 2022 hinaus nicht diese Rechte. Ab dem 1. Januar 2022 ermöglicht das PDSG insoweit den Nicht-Frontend-Nutzern lediglich eine Vertreterlösung. Danach können diese mittels eines Vertreters und dessen mobilem Endgerät ihre Rechte ausüben. Im Vertretungsfall müssten die Versicherten jedoch ihrem Vertreter den vollständigen Zugriff auf ihre Gesundheitsdaten einräumen.

Ein weiterer Kritikpunkt ist das Authentifizierungsverfahren für die ePA und die „Gewährleistung des erforderlichen hohen datenschutzrechtlichen Schutzniveaus“. Da es sich bei den fraglichen Daten um Gesundheitsdaten und damit um höchst sensible persönliche Informationen handelt, muss nach den Vorgaben der DSGVO die Authentifizierung ein höchstmögliches Sicherheitsniveau nach dem Stand der Technik gewährleisten. Dies gilt insbesondere für Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte. Wenn dabei alternative Authentifizierungsverfahren genutzt werden, die diesen hohen Standard nicht erfüllen, liegt ein Verstoß gegen die DSGVO vor.

Der Bundesrat hat in seiner Stellungnahme zum PDSG vom 15. Mai 2020 (BR-Drs. 164/1/20, s. Ziffer 21. zu Artikel 1 Nummer 31 [§§ 334 ff. SGB V-E9]) die Bundesregierung auf erhebliche Bedenken im Hinblick auf die DSGVO-Konformität des PDSG hingewiesen. Seine Kritik bezieht sich im Wesentlichen auf das zum Start der ePA fehlende feingranulare Zugriffsmanagement und die daraus resultierende Einschränkung der Datensouveränität der Versicherten. Er hat die Bundesregierung aufgefordert, im weiteren Gesetzgebungsverfahren insbesondere den Regelungsvorschlag zum Angebot und zur Einrichtung der ePA (§ 342 SGB V) umfassend bezüglich datenschutzrechtlicher Bedenken zu prüfen.

Auch im Lichte dessen fordern die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder den Bundesrat auf, anlässlich seiner für den 18. September 2020 anberaumten Beratung den Vermittlungsausschuss anzurufen, um notwendige datenschutzrechtliche Verbesserungen des PDSG noch im Gesetzgebungsverfahren zu erwirken.

Informationstexte nach § 343 SGB V – Einvernehmen mit BfDI

Mit dem PDSG wurde außerdem ein neuer § 343 in das SGB V eingeführt. Dieser verpflichtet die Krankenkassen, bevor sie ihren Versicherten nach § 342 Absatz 1 Satz 1 SGB V eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial in präziser, transparenter, verständlicher und leicht zugänglicher Form, in einer klaren, einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über:

  • alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte
  • die Übermittlung von Daten in die elektronische Patientenakte
  • die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur
  • die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren.

Der Spitzenverband Bund der Krankenkassen (GKV-SV) ist der gesetzlichen Verpflichtung nachgekommen, den Krankenkassen bei der Erfüllung ihrer Informationspflichten zu helfen, indem er geeignetes Informationsmaterial – auch in elektronischer Form – erstellt und den Krankenkassen zur verbindlichen Nutzung zur Verfügung gestellt hat. Hierzu hat der BfDI das gesetzlich vorgesehene Einvernehmen erklärt.