ePA: Datenschutzbeauftragter hat „erhebliche Bedenken“

Für die Heilberufs-Gruppen gibt es noch einiges an der elektronischen Patientenakte (ePA) auszusetzen. Unter anderem aus Sicht des Deutschen Apothekerverbands und der Bundesärztekammer fehlen bisher „elementare Bestandteile, die für eine nutzenstiftende Verwendung im Versorgungsalltag benötigt werden“. Das erklärten sie Mitte Februar in einer gemeinsamen Pressemitteilung.

Der GKV-Spitzenverband hingegen bezeichnete den ePA-Beginn im Januar kommenden Jahres als „mehr als ambitioniert“. Die Versicherten bräuchten genug Zeit für eine informierte Entscheidung für oder gegen die ePA und die Krankenkassen für die Vorbereitung der Opt-out-Lösung.

Nun hat der Bundesdatenschutzbeauftragte Ulrich Kelber seine Kritik an der ePA bekräftigt. Überhaupt kommen die Digitalisierungsgesetze von Bundesgesundheitsminister Karl Lauterbach (SPD) in seinem an diesem Mittwoch vorgelegten Tätigkeitsbericht 2023 insgesamt schlecht weg – Ausnahme ist das E-Rezept, das in einem kurzen Kapitel mit dem Titel „Positives“ auftaucht.

Missachtung des verfassungsmäßigen Rechts auf informationelle Selbstbestimmung

Zum Gesundheitsdatennutzungsgesetz (GDNG) heißt es von Kelber, ein Teil der Regelungen, „greift zu weit in die Grundrechte der betroffenen Personen ein und missachtet mögliche Risiken ebenso wie das verfassungsmäßige Recht auf informationelle Selbstbestimmung“. Ganz konkret geht es ihm unter anderem um die Möglichkeit der Krankenkassen, auch ohne Einwilligung der Versicherten eine „individuelle, versichertenbe­zogene Auswertungsbefugnis“ zu erhalten.

Auch die ABDA hatte sich an diesem Punkt quergestellt und versucht, im parlamentarischen Verfahren die automatisierte Prüfung der Arzneimitteltherapiesicherheit (AMTS) durch die Krankenkassen zu verhindern. Kritisiert wurde von der Apothekerschaft, dass die Kassen dadurch zu Leistungserbringern würden und das Gesetz „übermäßige Eingriffe in das Grundrecht der informationellen Selbstbestimmung“ vornehme.

Verstoß gegen datenschutzrechtliche Grundsätze

Der Bundesdatenschutzbeauftragte spricht davon, dass diese Regelung des GDNG gegen „datenschutzrechtliche Grundsätze“ verstoße. Es verletze „das sozialdatenschutzrechtliche Trennungsgebot und ermöglicht den Krankenkassen die Profilbildung (‚gläserner Versicherter‘) und hat daher erhebliches Diskriminierungspotenzial“. 

Zudem gebe es keinen Nachweis und keine Erfahrung dazu, „ob die vorlie­genden Daten nach Struktur und Validität überhaupt geeignet sind, die beabsichtigten Ergebnisse zuver­lässig zu erbringen“. Außerdem greife diese Auswer­tung in die ärztlichen Kompetenzen ein, unterstreicht auch Kelber. Seine Empfehlungen seien „im Wesentlichen leider nicht berücksichtigt“ worden, konstatiert der Bericht.

ePA: Abschwächung der Cybersicherheit

Auch zur Widerspruchslösung bei der ePA wird festgestellt, dass diese „erheblich in das Grundrecht auf die informationelle Selbstbestimmung“ eingreife. Überhaupt hat Kelber „erhebliche datenschutzrechtliche Bedenken“ bei der Ausgestaltung der ePA.

So wendet sich der Bundesdatenschutzbeauftragte beispielsweise gegen ein automatisches Befüllen der ePA, „schutzwürdige“ Daten müssten davon ausgespart bleiben. „Dies gilt insbesondere für Daten, deren Bekanntwerden zu erheblichen Gefährdungen für die Rechte der Versicherten führen, etwa, weil sie Anlass zu Diskriminierung oder Stigmatisierung geben können, darunter Daten zu HIV-Infektionen, Schwangerschaftsabbrüchen oder psychischen Erkrankungen.“

Der Datenschutzbeauftragte sieht aber auch in der IT-Sicherheit Mängel. „Leider lässt der Gesetzentwurf im Gegensatz zu seiner Intention eine Abschwächung der Cybersicher­heit erkennen, wenn niedrigschwellige Sicherheits­niveaus im Regelfall und nicht nur in absoluten Aus­nahmefällen zugelassen werden sollen“, heißt es in seinem Bericht.

ePA: „Verunsicherung, Ohnmacht und Misstrauen“

Zum Schluss kommt Kelber aber noch einmal auf die Widerspruchslösung zu sprechen.  Täglich wendeten sich Bürgerinnen und Bürger an ihn, die besorgt um ihre Daten sind und der ePA widersprechen wollen. Er nehme „Verunsicherung, Ohnmacht und Misstrauen wahr“. Einen der Gründe dafür sieht er darin, dass bei der Einführung der ePA „vor dem Hintergrund des Selbstbestimmungsrechts der Versicherten und der Patientensouveränität davon ge­sprochen wurde, dass Verarbeitungen nur auf Basis von Einwilligungen erfolgen würden, nur um jetzt – weniger als vier Jahre später – eine Verarbeitung auch ohne Ein­willigung zu ermöglichen“.

Sicherheit des E-Rezepts verbessert

Positives weiß Kelber aber zum E-Rezept zu berichten. Auch wegen seiner Beratung habe „die Sicherheit eines alternativen, barrierearmen Einlösewegs von E-Rezepten erheblich verbessert werden“ können. Da die elektronische Gesundheitskarte nun aber an Bedeutung zunehme, schlägt er vor, ihre Ausgabe zu überarbeiten, „sodass unbefugte Dritte sie nicht nutzen können, um Zugang zu Gesundheitsdaten zu erlangen“.