Bundesdatenschutzbeauftragter versendet Warnung an Krankenkassen: Elektronische Patientenakte (ePA) ist nicht DSGVO-konform

Bundestag und Bundesrat haben das sogenannte Patientendaten-Schutzgesetz (PDSG) aus der Feder des Bundesgesundheitsministers Jens Spahn (CDU) trotz mehrfach geäußerter datenschutzrechtlicher Einwände des Bundesdatenschutzbeauftragten (BfDI) Prof. Ulrich Kelber beschlossen. Das PDSG enthält u. a. die Regelung, wonach die gesetzlichen Krankenkassen ihren Versicherten zum 01.01.2020 die Nutzung einer elektronischen Patientenakte (ePA) anbieten müssen (§ 342 Abs. 1 SGB V).

Am 03.04.2020 hatte der BfDI seine Stellungnahme zum Entwurf des PDSG veröffentlicht. Darin erklärt er eingangs: „Ich unterstütze die Digitalisierung des Gesundheitswesens, insbesondere soweit sie Verbesserungen für die Versicherten bringt. Aufgrund der besonderen Schutzbedürftigkeit von Gesundheitsdaten ist die Gewährleistung des Datenschutzes und der Datensicherheit dabei von herausragender Bedeutung… im Hinblick auf die Umsetzung dieser Prämissen weist der Gesetzentwurf noch wesentliche datenschutzrechtliche Defizite auf, z.B. in Bezug auf das Zugriffsmanagement der ePA und die Freigabe von Daten für die Forschung…“ Die vom BfDI genannten Kritikpunkte wurden weder vom Bundesgesundheitsminister, noch von Bundestag und Bundesrat aufgenommen.

Nach Zustimmung des Bundestags und vor der Beschlussfassung des Bundesrats erklärte der BfDI in einer erneuten Stellungnahme vom 19.08.2020: Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen… Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte (ePA) ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO)… Sollte das PDSG unverändert beschlossen werden, muss ich die meiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde. Außerdem bereite ich in diesem Zusammenhang weitere Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen…“ Diese Kritik an der elektronischen Patientenakte (ePA) wurde in der Stellungnahme an mehreren Beispielen konkretisiert.

Das Internet-Magazin Medical Tribune hat in reinem Beitrag vom 12.11.2020 darauf hingewiesen, dass der BfDI seine Ankündigungen wahr gemacht hat und als erste Maßnahme… mit Schreiben vom 6. November 2020 den gesetzlichen Krankenkassen, die seiner Kontrolle unterliegen, eine offizielle Warnung übersandt“ hat. „Eine Warnung in dieser Dimension hat der BfDI noch nie aussprechen müssen. In seinem Schreiben an die Kassen weist er darauf hin, dass insbesondere die Regelungen zum Zugriffsmanagement nicht den Vorgaben der DSGVO entsprechen. Und man werde prüfen, ob weitere Maßnahmen nach der DSGVO erforderlich sein werden. Zu diesen weiteren Maßnahmen gehört die Möglichkeit einer Anweisung an die Kassen, die ePA ausschließlich DSGVO-konform anzubieten. Und in einem dritten Schritt könnte den gesetzlichen Kassen untersagt werden, eine ePA, die gegen die DSGVO verstößt, anzubieten… Eine Anordnung bzw. Untersagung müssen die Kassen grundsätzlich befolgen – sie können sie allerdings auch gerichtlich anfechten…“


Drei ergänzende Hinweise:

  1. Der BfDI ist zuständig für 65 überregional tätige gesetzliche Krankenkassen. Eine Liste der betroffenen Krankenkassen ist auf der Internetseite des BfDI des abrufbar.
  2. Die Befugnisse der Datenschutz-Aufsichtsbehörden gegenüber den für die Verarbeitung personenbezogener Daten Verantwortlichen sind geregelt in Art. 58 DSGVO.
  3. Das Schreiben des BfDI an die seiner Aufsicht unterliegenden Krankenkassen wurde bislang nicht im Wortlaut veröffentlicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*