Ab dem 1. Januar sind die Krankenkassen verpflichtet, ihren Versicherten eine elektronische Patientenakte (ePA) anzubieten. Als Versicherter hört man davon aber bisher nichts – denn auch weniger als einen Monat vor Ende der Frist ist der Streit um deren datenschutzrechtliche Zulässigkeit nicht geklärt. Das Patientendatenschutzgesetz (PDSG) droht den Kassen mit Sanktionen, wenn sie keine ePA anbieten, der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber droht den Kassen wiederum mit aufsichtsrechtlichen Schritten, wenn sie es tun. Bei den Kassen herrscht deshalb Verunsicherung. Nun hat das Bundesamt für soziale Sicherung (BAS) in den Streit eingegriffen: Es fordert die Kassen implizit auf, die ePA trotz datenschutzrechtlicher Bedenken einzuführen und es notfalls auf einen Gerichtsprozess ankommen zu lassen – bei dem werde das BAS die Kassen unterstützen.
Kelbers Auffassung ist eindeutig: Die Vorgaben des PDSG zur ePA verstoßen gegen die Datenschutzgrundverordnung (DSGVO) und sind damit europarechtswidrig. Seit Monaten trommelt er deshalb öffentlich gegen die Einführung der ePA und drohte den Kassen bereits im August ganz offen: Er werde als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenversicherungen mit den ihm zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass die Kassen nicht gegen europäisches Recht verstoßen. „Nach der DSGVO stehen mir dazu neben Anweisungen auch Untersagungen zur Verfügung“, so Kelber. Diese Warnungen und die weiteren angedrohten Sanktionen „haben bei vielen Krankenkassen für erhebliche Verunsicherung gesorgt“, schreibt das dem Bundesarbeitsministerium nachgeordnete BAS nun an das Bundesgesundheitsministerium, die Aufsichtsbehörden der Länder, den GKV-Spitzenverband und den Verband der Ersatzkassen in einer Stellungnahme, die APOTHEKE ADHOC vorliegt.
Darin macht das BAS eindeutig klar, was es von Kelbers Einwänden hält, nämlich nichts. Der Entwurf des PDSG sei während des Gesetzgebungsverfahrens von den Verfassungsressorts rechtlich umfassend geprüft worden, und zwar insbesondere auch auf die Vereinbarkeit mit übergeordnetem Recht. Gemessen an den Anforderungen der DSGVO seien die Vorgaben zur ePA bereits mit ihrem Start ab dem 1. Januar 2021 auch ohne ein differenziertes, sogenanntes feingranulares Rollen- und Rechtemanagement datenschutzkonform. Denn das ist einer der zentralen Kritikpunkte Kelbers. Die Versicherten haben nämlich vorerst keine Möglichkeit, zu entscheiden, wer was in ihrer Akte sehen darf und würden so „vor die Wahl zwischen zwei Extremen gestellt“, wie er es ausdrückt: Entweder sie geben alle ihre Daten frei oder aber gar keine. Geben sie alle frei, könne jede Person, der die Versicherten Einsicht in diese Daten gewähren, alle dort enthaltenen Informationen einsehen. So könne beispielsweise der behandelnde Zahnarzt alle Befunde eines konsultierten Psychiaters sehen.
Für das BAS trägt dieses Argument schon aus einem einfachen Grund nicht: Die ePA ist freiwillig, die Kassen sind laut PDSG ohnehin verpflichtet, ihre Versicherten vorab umfassend zu informieren und deren Einwilligung einzuholen. „Die DSGVO fordert für eine wirksame Einwilligung keine Granularität hinsichtlich Daten in bestimmten Dokumenten. Das ausdrücklich normierte Diskriminierungsverbot in § 335 SGB V in der Fassung des PDSG gewährleistet zudem eine echte Wahlfreiheit“, so das BAS. Außerdem genüge das Berechtigungsmanagement der ePA den Datenschutzgrundsätzen der Datenminimierung, der Zweckbindung und der Vertraulichkeit. Ein Verstoß gegen die DSGVO sei deshalb nicht zu erkennen.
Dennoch stelle sich für die Kassen nunmehr die Frage, ob und wie die Forderungen des BfDI rein faktisch umgesetzt werden können. Die Regelungen des PDSG würden vorsehen, dass die Telematikinfrastruktur nur von solchen ePA verwendet werden darf, die durch die Gematik zugelassen sind. „Die Krankenkassen verfügen nach unserer Interpretation insoweit technisch über keine Möglichkeit, über die Spezifikationen der Gematik hinaus eigene technische Vorgaben in der ePA zu realisieren“, urteilt das Bundesamt. „Die Umsetzung eines feingranularen Zugriffsmanagements unabhängig von den Spezifikationen der Gematik ist somit objektiv unmöglich.“
All das weiß auch Kelber. Dem BSA zufolge stecken die Kassen deshalb nun in der Klemme, da die Situation zu einem rechtlichen Dilemma führe: „Einerseits bewirken die Forderungen des BfDI und die angekündigten weiteren Maßnahmen, dass die Krankenkassen ihren Versicherten im Ergebnis keine ePA anbieten dürften, andererseits droht Krankenkassen die im PDSG verankerte Sanktionierung, wenn sie Ihrer gesetzlichen Verpflichtung nicht nachkommen.“ Dabei seien auch dem BSA die Hände gebunden: Denn sobald der GKV-Spitzenverband es in einem entsprechenden bestandskräftigen Bescheid feststellt, müsse das BSA als Ausführungsbehörde die Höhe der Zuweisungen nach der Risikostruktur-Ausgleichverordnung entsprechend mindern. „Liegt uns ein Bescheid des GKV-Spitzenverbands vor, haben wir kein Ermessen und müssen die Sanktionierung vollziehen.“
Es könnte jedoch einen anderen Weg geben, Kelber ins Leere laufen zu lassen: den Rechtsweg. Und den würde die BSA notfalls gehen wollen. Da nicht auszuschließen sei, dass der BfDI weitere Aufsichtsmaßnahmen prüfen und auch ergreifen wird, werde das Bundesamt nämlich auch in seiner Rolle als Rechtsaufsichtsbehörde eingebunden.
Denn im Bundesdatenschutzgesetz sind Verfahrensregeln zu einem rechtlichen Gehör definiert, die sicherstellen sollen, dass die Datenschutzaufsichtsbehörde vor Ausübung bestimmter Abhilfebefugnisse die zuständige Rechtaufsicht informieren und ihr die Gelegenheit zur Stellungnahme einräumen muss. Sollten die geplanten Verfugungen des Datenschutzbeauftragten der Auffassung der Rechtsaufsichtsbehörde widersprechen, kann diese die Sozialversicherungsträger zur gerichtlichen Klärung anweisen. „Dies werden wir, soweit erforderlich, auch tun“, kündigt das BAS an.
Dabei wirft das Bundesamt Kelber vor, seine Kompetenzen überschritten zu haben: Die von ihm ausgesprochene Warnung gehöre nämlich nicht zu den Befugnissen laut DSGVO, die ein solches Verfahren auslösen. Es handele sich dabei nicht um einen Verwaltungsakt, weil die Warnung keine unmittelbaren Rechtspflichten auslöst. Und auch einen kleinen Seitenhieb gegen die Vorgehensweise Kelbers kann sich das BAS nicht verkneifen: „Bei den nächsten Schritten, die der BfDI in seinen diversen Presseberichten angedroht hat“, sei eine Verfahrensbeteiligung durch die Rechtsaufsichtsbehörden sichergestellt.
„Wir sind uns dessen bewusst, dass eine gerichtliche Klärung die Ultima Ratio sein sollte. Allen Beteiligten sollte allerdings klar sein, dass es hier nicht nur um abstrakte Rechtspositionen und deren Bestätigungen, sondern um die Weiterentwicklung der Digitalisierung im Gesundheitssystem geht“, schreibt das Bundesamt. Der Datenschutz und die Sicherheit der Datenverarbeitung in der ePA seien mit Ihren Konzepten der Freiwilligkeit, der informierten Selbstbestimmung und des Diskriminierungsverbots „Eckpfeiler der Digitalisierung, die für das Vertrauen und die Akzeptanz digitaler Lösungen essentiell sind“. Die neuen Regelungen des PDSG seien insoweit uneingeschränkt anzuwenden – sprich: Die ePA soll kommen, auch wenn der oberste Datenschützer sie für rechtswidrig hält.
APOTHEKE ADHOC Debatte