e-Patientenakte: Bleibt der Datenschutz auf der Strecke?
Seit dem 1. Januar 2021 können alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) ihrer Krankenkassen erhalten. Darin befinden sich medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen über Praxis- und Krankenhausgrenzen hinweg, die umfassend gespeichert werden können. Ähnlich wie bei der elektronischen Arbeitsunfähigkeitsbescheinigung (wir berichteten) stellen sich auch bei der ePA datenschutzrechtliche Fragen.
So steht der Bundesdatenschutzbeauftragter (BfDI) Ulrich Kelber der Umsetzung der ePA kritisch gegenüber: Ein solches Opt-out System sei in der DSGVO „grundsätzlich nicht angelegt“.
Diesen Informationen ist ein besonders hohes Schadens- und Diskriminierungspotenzial immanent mit der Folge, dass die ePA-Daten daher – sowohl bezüglich des „Ob“ als auch des „Wie“ der Verarbeitungsmodalitäten – äußerst strikten Vorgaben unterliegen.
Wer hat Zugriff auf die Daten
Ein bedeutender Aspekt ist die Frage der Zugriffsgestaltung auf die ePA. Dafür ist am 20. Oktober 2020 das Patientendaten-Schutz-Gesetz (PDSG) in Kraft getreten. Es enthält umfängliche Regelungen zur elektronischen Patientenakten. Mit dessen konkreten Ausgestaltungen zum Zugriffsmanagement – insbesondere für Versicherte, die kein geeignetes Endgerät besitzen oder nutzen wollen – verstößt es laut dem BfDI gegen die Datenschutz-Grundverordnung.
Umsetzung der ePA in vier Stufen geplant
Die Umsetzung des Berechtigungsmanagements soll in vier Stufen vorgenommen werden:
- Auf der ersten Stufe erhalten Patient*innen automatisch eine ePA.
- In der zweiten Stufe wird die digitale Akte sodann durch die Ärzte mit Informationen bestückt.
- Die dritte Stufe ermöglicht den behandelnden Mediziner*innen, die Akte einzusehen.
- Als letzte und vierte Stufe wird die Möglichkeit eröffnet, persönliche Gesundheitsdaten anonym zu Forschungszwecken zu spenden.
Offen ist allerdings noch, auf welcher Stufe Patienten der ePA widersprechen können.
Fazit
Das im PDSG normierte Zugriffsmanagement der ePA verstößt laut Kelber gegen die DSGVO und die Grundrechte der Versicherten. Der BfDI kommt so zu dem Schluss, dass eine Umsetzung der elektronischen Patientenakte ausschließlich nach den Vorgaben des nationalen Gesetzes europarechtswidrig sei.