Ein Mitglied einer großen bundesweit vertretenen Krankenkasse hat im November 2021 eine Anfrage zu diesem Thema an den Bundesdatenschutzbeauftragten (BfDI) gerichtet. Im Januar 2023 ging das fünfseitige Antwortschreiben des BfDI beim Anfrage ein. Dieser hat den Schriftwechsel dem Verein Patientenrechte und Datenschutz e.V. und der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur Verfügung gestellt mit der Bitte, sie in anonymisierter Form auszugsweise anderen interessierten Versicherten zur Verfügung zu stellen.
Der Versicherte fragte den Bundesdatenschutzbeauftragten: „Besteht rechtlich die Möglichkeit, dass andere Behörden (z. B. Polizei und Justiz) Zugriff auf die in meiner ePA gespeicherten Unterlagen nehmen können?“ Als Begründung für seine Fragestellung hat der Versicherte auf einschlägige Regelungen in der Strafprozessordnung (StPO) hingewiesen:
- § 53 StPO (Zeugnisverweigerungsrecht der Berufsgeheimnisträger);
- § 97 StPO (Beschlagnahmeverbot) und
- § 163 StPO (Aufgaben der Polizei im Ermittlungsverfahren).
Daraus folgert er, „dass zwar meine elektronische Gesundheitskarte (§ 291a SGB V) einem Beschlagnahmeverbot nach § 97 Abs. 2 StPO unterliegt, nicht aber meine elektronische Patientenakte (§ 341 SGB V), sollte ich sie mir zulegen.“ Der Versicherte erklärt gegenüber dem Bundesdatenschutzbeauftragten: „Vollends unruhig gemacht hat mich dann eine Stellungnahme der Bundesärztekammer (BÄK) im Gesetzgebungsverfahren zum sogenannten Patientendaten-Schutzgesetz (PDSG)”. In dieser Stellungnahme vom 19.05.2020 wird auf S. 17/18 auf eine nach Ansicht der BÄK bestehende Gesetzeslücke hingewiesen. Unter der Überschrift „Beschlagnahmeverbot für Inhalte der elektronischen Patientenakte“ wird festgestellt: “… Der bislang bereits für die elektronische Gesundheitskarte geltende Beschlagnahmeschutz muss – wie im Referentenentwurf noch vorgesehen – auf die elektronische Patientenakte ausgedehnt werden. Anders als in der Gesetzesbegründung ausgeführt, ist es zweifelhaft, dass ein solches Beschlagnahmeverbot bereits nach derzeit geltendem Recht besteht. Dies soll sich laut Begründung aus § 11 Abs. 3 StGB ergeben. Diese Vorschrift regelt jedoch nur, dass Datenspeicher Schriftstücken gleichstehen. Es bleibt nach § 97 Abs. 1 StPO dabei, dass sich die Datenspeicher im Gewahrsam des Zeugnisverweigerungsberechtigten befinden müssen. § 97 Abs. 3 StPO erstreckt das Beschlagnahmeverbot nur auf solche Gegenstände, die sich im Gewahrsam einer mitwirkenden Person befinden… Bei der elektronischen Gesundheitsakte stellte sich ein vergleichbares Problem. Die Gesundheitskarte selbst und damit die auf ihr gespeichertes Daten befinden sich nicht im Gewahrsam des Arztes, sondern des Patienten. Der Patient ist jedoch nicht (ohne weiteres) als mitwirkende Person des Arztes anzusehen, so dass das Beschlagnahmeverbot nach § 97 Abs. 1, 3 nicht greifen dürfte. Daher hat der Gesetzgeber den Beschlagnahmeschutz auf die Gesundheitskarte erstreckt (§ 97 Abs. 2 S. 1 StPO). Diesen Schutz muss er jetzt konsequenterweise auf die elektronische Patientenakte erstrecken… Patienten müssen sich darauf verlassen können, dass auch die Inhalte ihrer Patientenakte genauso vertraulich bleiben wie Gespräche mit Ärztinnen und Ärzten in Krankenhäusern und Arztpraxen. Andernfalls besteht die Gefahr eines massiven Vertrauensverlusts…“
Drei Fragen an den Bundesdatenschutzbeauftragten hat der Versicherte am Ende des Schreibens formuliert:
- „Ist meine Bewertung zutreffend, dass eine ePA nicht dem Beschlagnahmeschutz des § 97 Abs. 2 StPO unterliegt?
- Teilen Sie die Bewertung der BÄK, dass ‘der bislang bereits für die elektronische Gesundheitskarte geltende Beschlagnahmeschutz…. – wie im Referentenentwurf noch vorgesehen – auf die elektronische Patientenakte ausgedehnt werden’ muss, um die ePA und die darin ggf. gespeicherten Gesundheits- und Behandlungsdaten wirksam vor einer Beschlagnahme zu schützen?
- Haben Sie im Gesetzgebungsverfahren zum sogenannten Patientendaten-Schutzgesetz (PDSG) zu dieser Problematik Stellung genommen? Wenn Ja, bitte ich um entsprechende Information.“
Das Antwortschreiben des BfDI vom 20.01.2023 enthält Antworten zu diesen Fragen. Zur Frage 1 (Beschlagnahmeschutz für die ePA) lautet die Antwort:
- „Eine spezifische Regelung, laut der Behörden gerade auf die elektronische Patientenakte nicht zugreifen dürfen (wie die von Ihnen in Bezug auf die elektronische Gesundheitskarte zitierte Vorschrift des § 97 Abs. 2 S. 1, 2. Halbsatz Strafprozessordnung [StPO]) könnte zwar theoretisch in Bezug auf diejenigen Vorschriften geregelt werden, die den Datenzugriff anderer Behörden regeln, jedoch ist mir keine solche spezifische Schutzvorschrift in Bezug auf die elektronische Patientenakte bekannt. Ob die Regelung über das Beschlagnahmeverbot nach § 97 StPO auf den von Ihnen thematisierten Fall eines Zugriffs auf die elektronische Patientenakte durch Strafverfolgungsbehörden anwendbar ist, ist derzeit nicht abschließend geklärt. Zwar hat sich in der Begründung des Referentenentwurfs zu § 341SGB V der gesetzgeberische Wille ausgedrückt, dass für sensible Gesundheitsdaten nach § 341 Abs. 2 SGB V-E der Beschlagnahmeschutz des § 97 StPO für die elektronische Patientenakte gelten soll, jedoch ist dies nicht als gesetzliche Regelung in den Wortlaut übernommen worden. Wie Strafverfolgungsbehörden die von Ihnen zitierte Vorschrift des § 97 StPO in Bezug auf einen möglichen Zugriff auf die elektronische Patientenakte auslegen bzw. auslegen werden, entzieht sich meiner Kenntnis. Dies gilt insbesondere im Hinblick darauf, dass die datenschutzrechtliche Aufsicht über die Strafverfolgungsbehörden in der Regel den Landesdatenschutzaufsichtsbehörden unterliegt. Ich kann daher nicht ausschließen, dass Strafverfolgungsbehörden die Regelung über das Beschlagnahmeverbot nach § 97 StPO nicht auf den Fall eines Zugriffs auf die elektronische Patientenakte an wenden.“ (Antwortschreiben S. 3)
- „Im Übrigen wird die elektronische Patientenakte von den Krankenkassen zur Verfügung gestellt. Es handelt sich also nicht um Unterlagen, die sich im Gewahrsam des Arztes oder eines anderen Leistungserbringers befinden. Auf Krankenkassen würde sich das Beschlagnahmeverbot nach der gesetzlichen Regelung erstrecken, wenn diese an der beruflichen Tätigkeit des Arztes oder anderen Leistungserbringers mitwirken (§ 53a Abs. 1 StPO). In der Literatur wird ausgeführt, dass Krankenkassen bei der Bereitstellung der elektronischen Patientenakte gerade nicht an der beruflichen Tätigkeit der Ärzte mitwirkten, sondern nach § 341 Abs. 1, § 342 Abs. 1 SGB V eine eigene gesetzliche Aufgabe erfüllten und Dienstleister der Versicherten seien (…). Insoweit stimme ich den Ausführungen in der von Ihnen als Anlage beigefügten Stellungnahme der Bundesärztekammer zu, dass nicht abschließend geklärt ist, ob und inwieweit sich das in § 97 StPO geregelte Beschlagnahmeverbot auch auf die elektronische Patientenakte bezieht…“ (Antwortschreiben S. 4)
Im Klartext: Der BfDI schließt nicht aus, dass eine elektronische Patientenakte (ePA) incl. der darin dokumentierten Gesundheits- und Behandlungsdaten dem Zugriff der Strafverfolgungsbehörden unterliegt, wenn diese es im Einzelfall darauf anlegen.
Ein Gedanke zu „Haben (Strafverfolgungs-)Behörden Zugriffsmöglichkeiten auf die elektronische Patientenakte (ePA)? – Die Antwort des Bundesdatenschutzbeauftragten: Das ist nicht ausgeschlossen!“