Bundesdatenschutzbeauftragter Professor Dr. Ulrich Kelber sieht das vom Bundestag verabschiedete Patientendatenschutzgesetz (PDSG) als europarechtswidrig. Sollte es nicht zu Nachbesserungen kommen, bevor das Gesetz vom Bundesrat bestätigt wird, sehe er sich gezwungen, Maßnahmen gegen die unter seiner Aufsicht stehenden Krankenkassen einzuleiten. Konkret geht es bei Kelbers Kritik um das Zugriffsmanagement und das Authentifizierungsverfahren.
Auf laufende Gesetzgebungsverfahren kann der Bundesdatenschutzbeauftragte keinen Einfluss nehmen. Doch er muss deren Folgen managen – und die sind laut Kelber erheblich: „Ich habe während der Entstehung des Patientendatenschutzgesetzes wiederholt darauf hingewiesen, dass es in seiner jetzigen Fassung europarechtswidrig ist“, so Kelber am Mittwoch in Berlin. „Umso unbefriedigender“ sei es, dass das Gesetz nun so durch den Bundestag gegangen ist und im kommenden Monat vom Bundesrat bestätigt werden soll. Tritt der Fall so ein, habe er keine andere Handhabe, als aufsichtsrechtliche Maßnahmen gegen die 65 Kassen einzuleiten, für die er verantwortlich ist.
„Ich verstehe, dass die gesetzlichen Krankenkassen in eine unangenehme Situation geraten. Sie müssen ein Bundesgesetz umsetzen, stehen damit aber im Widerspruch zu europäischem Recht“, so Kelber auf einer eigens einberufenen Pressekonferenz. Aber: „Bei Stellen, die meiner Aufsicht unterliegen, kann und muss ich einschreiten, wenn geltendes Datenschutzrecht gebrochen wird.“ Und das sei beim PDSG der Fall: Denn es sehe nur für die Nutzer von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene elektronische Patientenakte (ePA) vor, nämlich eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können.
Und selbst diese Möglichkeit solle es erst ein Jahr nach Einführung der ePA geben. 2021 sei deshalb noch keine Steuerung auf Dokumentenebene vorgesehen. Die Nutzer werden demnach in Bezug auf die von den Leistungserbringern in der ePA gespeicherten Daten „vor die Wahl zwischen zwei Extremen gestellt“, so Kelber: Entweder sie geben alle ihre Daten frei oder aber gar keine. Geben sie alle frei, könne jede Person, der die Versicherten Einsicht in diese Daten gewähren, alle dort enthaltenen Informationen einsehen. So könne beispielsweise der behandelnde Zahnarzt alle Befunde des konsultierten Psychiaters sehen.
Für Menschen, die das Frontend über Smartphone oder Tablet nicht nutzen können oder wollen, sei selbst nach jenem Jahr noch keine eigenständige Einsicht in die ePA und auch keine Prüfung von erfolgten Zugriffen auf die Daten geregelt. Für sie soll ab 2022 alternativ eine vertretende Person die Steuerung und Einsicht vornehmen können, der die Versicherten dann aber volle Kontrolle über ihre Daten einräumen müssten.
„Diese Einschränkung der Kontrolle der Daten ist nicht hinnehmbar“, so Kelber. Daraus ergebe sich für ihn ein Handlungsdruck: „Sollte das PDSG unverändert beschlossen werden, muss ich die meiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde.“ Und dabei werde es im schlimmsten Fall nicht bleiben: „Außerdem bereite ich in diesem Zusammenhang weitere Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen. Nach der DSGVO stehen mir dazu neben Anweisungen auch Untersagungen zur Verfügung.“ Als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenkassen werde er den ihm zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass diese Krankenkassen mit der von ihnen angebotenen ePA nicht gegen europäisches Recht verstoßen.
Neben dem Zugriffsmanagement kritisierte Kelber auch das Authentifizierungsverfahren für die ePA, mit dem sich Versicherte per Frontend anmelden. Das sei bisher aus Datenschutzsicht nicht ausreichend sicher und entspreche ebenfalls nicht den Vorgaben der DSGVO. Diese gelte insbesondere für sogenannte alternative Authentifizierungen, also Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte, für die eine gewährte Übergangsfrist im Mai 2021 abläuft. Er plane, die Kassen dazu zu verpflichten, bis dahin ein hochsicheres Authentifizierungsverfahren zu etablieren und bereite dazu bereits entsprechende Warnungen und Weisungen vor. Das PDSG selbst, das neben der ePA auch wesentliche Regelungen zum E-Rezept enthält, dürfte aber nicht mehr gestoppt werden, erklärte Dr. Stefan Brink, Landesdatenschutzbeauftragter von Baden-Württemberg, der mit Kelber auf dem Podium saß. Dass der Europäische Gerichtshof es noch vor seinem geplanten Inkrafttreten Anfang 2021 kassiert, sei „über alle Maße unwahrscheinlich“.
APOTHEKE ADHOC Debatte