August 19, 2020 at 01:33PM: netzpolitik.org schreibt:
Der Bundesdatenschutzbeauftragte Ulrich Kelber hält die kürzlich vom Bundestag beschlossenen Änderungen beim Patientendaten-Schutz-Gesetz (PDF) für nicht vereinbar mit der europäischen Datenschutz-Grundverordnung (DSGVO). Seine Behörde werde aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen, sollte das Gesetz in seiner jetzigen Form umgesetzt werden. Das gab Kelber am Mittwoch Vormittag in der Bundespressekonferenz gemeinsam mit den Landesdatenschutzbeauftragten aus Brandenburg, Niedersachsen und Baden-Württemberg bekannt.
Die Datenschützer:innen wenden sich vor allem gegen die Einführung der elektronischen Patientenakte (ePA) in der aktuell geplanten Form. In dieser Akte sollen zum Beispiel Befunde, Behandlungsberichte oder Notfalldatensätze eines Patienten gespeichert sein, sodass die Daten allen behandelnden Ärzt:innen schnell zur Verfügung stehen. Auf der Webseite des Bundesgesundheitsministerium heißt es, dass man damit doppelte Untersuchungen vermeiden wolle.
Das Ministerium möchte den Datenschutz gewährleisten, indem es den Patient:innen überlassen bleibt, ob sie die elektronische Akte nutzen möchten. Außerdem sollen sie selbst entscheiden, welche Gesundheitsdaten sie speichern und welcher ihrer Ärzt:innen auf die elektronische Akte zugreifen darf.
Datenschutz bei elektronischer Patientenakte nicht ausreichend
Diese Maßnahmen reichen den Datenschützer:innen aber nicht aus. Patient:innen könnten nämlich erst ab Anfang 2022 entscheiden, welche Ärzt:innen welche Daten einsehen könnten. Informationen, die noch sensibler und persönlicher sind als Gesundheitsdaten ohnehin schon sind – beispielsweise Daten zur psychischen Gesundheit oder zu einem Schwangerschaftsabbruch – wären so von der Hautärztin bis zum Zahnarzt abrufbar. Dem Gesetzgeber zufolge sei eine Implementierung dieser dokumentengenauen Steuerung durch die Patient:innen in die sogenannte Telematikinfrastruktur erst ein Jahr nach Einführung des Gesetzes möglich.
„Dadurch sind Datenschutzverletzungen in der ersten Umsetzungsphase der elektronischen Patientenakte absehbar, weil gegen die elementaren Prinzipien der Erforderlichkeit und der Zweckbindung verstoßen wird“, warnt Barbara Thiel. Die niedersächsische Landesbeauftragte für den Datenschutz ist etwa für die AOK Niedersachsen mit mehr als 2,5 Millionen Versicherten verantwortlich und kündigte weitere Gespräche mit der Kasse an.
Ungleichbehandlung bei informationeller Selbstbestimmung
Doch selbst wenn die Infrastruktur für die zielgenaue Freigabe von Daten für bestimmte Mediziner:innen in einem Jahr verfügbar wäre, könnten nur „Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA“ erhalten, so Kelber.
Er sieht hier die Gefahr einer Ungleichbehandlung beim Grundrecht auf informationelle Selbstbestimmung und somit einen Verstoß gegen die DSGVO. Er kritisiert außerdem, dass das Authentifizierungsverfahren bei der Anmeldung über das Endgerät noch nicht ausreichend sicher sei und ebenfalls nicht den DSGVO-Vorgaben entspreche.
Ursprünglich waren stationäre Geräte bei den Krankenkassen vorgesehen, über die auch Patient:innen ohne Internetzugang Zugang zu ihrer Akte erhalten hätten. Nach Kritik durch die Krankenkassen, die die dafür nötige Infrastruktur als zu teuer empfanden, strich die Bundesregierung die entsprechenden Vorgaben aus dem Gesetz. Stattdessen sollen Patient:innen ohne passendes Endgerät nun Vertreter:innen benennen, die Steuerung und Einsicht übernehmen sollen. Diese vertretende Person hätte dann aber vollen Zugriff auf alle Daten.
In Sachsen planen Krankenkassen eine freiwillige Einrichtung eines Zugangs in den Geschäftsstellen, sagt Kelber. Die Kosten hierfür belaufen sich laut seinen Angaben nur auf 30 Cent pro Versichertem pro Jahr.
Kollision zwischen nationalem und europäischem Recht
Der Bundesdatenschutzbeauftragte behält sich vor, gegen die Teile des Gesetzes vorzugehen, die nicht mit EU-Recht vereinbar seien: „Als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenkassen werde ich deshalb mit den mir zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass diese Krankenkassen mit der von ihnen angebotenen ePA nicht gegen europäisches Recht verstoßen.“ Die Krankenkassen seien einem Dilemma ausgesetzt, bei dem sie entweder gegen das Patientendaten-Schutzgesetz oder gegen die europäische Datenschutzgrundverordnung verstoßen müssten.
Seine Behörde kann zwar keine Gesetze stoppen, allerdings im Nachhinein Verwarnungen aussprechen und Bußgelder erheben, wenn Verantwortliche gegen Regeln verstoßen. Kelber kann außerdem die Löschung von Daten anordnen und Datenverarbeitung verbieten.
Gänzlich unter Dach und Fach ist das Patientendaten-Schutz-Gesetz noch nicht: Zwar hat der Bundestag das Gesetz bereits abgesegnet, allerdings fehlt noch die abschließende Bestätigung des Bundesrates, der derzeit darüber verhandelt. Zustimmungspflichtig ist das Gesetz nicht, der Bundesrat könnte bei Bedenken aber einen Vermittlungsausschuss einsetzen. Dagmer Hartge, Landesdatenschutzbeauftragter aus Brandenburg, kündigte an, sich beim brandenburgischen Gesundheitsministerium dafür einzusetzen, dass der Bundesrat von diesem Recht Gebrauch macht. An sich soll das Gesetz Anfang 2021 in Kraft treten.
Stefan Brink, Landesdatenschutzbeauftragter aus Baden-Württemberg, weist darauf hin, dass der Eingriff der Datenschützer:innen in ein laufendes Gesetzgebungsverfahren außergewöhnlich sei. Der Bund werde aber in seiner Gesetzgebungskompetenz durch europäisches Recht, also die DSGVO, beschränkt. Er appelliert an den Gesetzgeber, die Kollision zwischen nationalem und europäischem Recht aufzulösen, bevor das Gesetz in Kraft trete.
Im Vorfeld ist auch die kurzfristige Änderung bei den Regeln zur Datenverarbeitung durch die Krankenkassen in die Kritik geraten. Gesetzliche Versicherungen könnten Daten für Forschung und Werbung nutzen, sofern Patient:innen dem nicht explizit widersprechen. Hierzu konnte Ulrich Kelber noch keine Angaben machen. Man müsse zunächst mit allen Krankenkassen Gespräche führen, um zu sehen, wie diese die Vorgaben in der Praxis umsetzen wollen.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.