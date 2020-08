Der Bundesdatenschutzbeauftragte, Ulrich Kelber, sowie Kollegen aus den Ländern haben erneut bemängelt, dass das Patientendatenschutzgesetz (PDSG), wie es derzeit geplant ist, nicht konform mit der Datenschutzgrundverordnung ist. In der Bundespressekonferenz (BPK) mahnen sie sogar die Krankenkassen, dass bei Umsetzung der elektronischen Patientenakte nur nach Vorgaben der PDSG ein europarechtswidriges Verhalten vorliege.

"Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte", schreibt Kelber in einer Pressemitteilung. Damit kündigt er auch Anweisungen und Untersagungen an, die ihm nach DSGVO zur Verfügung stünden. Kelber hatte bereits mehrfach auf die problematischen Bereiche des Gesetzes aufmerksam gemacht und auch mit einem Stopp gedroht. Geholfen hat das anscheinend nicht. Änderungen am Gesetz, das am 3. Juli vom Deutschen Bundestag beschlossen wurde, hat es daraufhin nicht gegeben. Der Bundesrat entscheidet nun am 18. September.

Die Kritik am PDSG

Um seinen Mahnungen Nachdruck zu verleihen, hat Kelber auch die Landesdatenschutzbeauftragten ins Boot geholt. Bei der BKP sitzen Dagmar Hartge aus Brandenburg, Barbara Thiel aus Niedersachsen und Stefan Brink aus Baden-Württemberg mit auf dem Podium. In einem Schreiben, das heise online vorliegt, bat Kelber Anfang des Monats um ein "gemeinsames Vorgehen im Hinblick auf die Ihrer Zuständigkeit unterfallenden Krankenkassen" bei den folgenden aufsichtsrechtlichen Maßnahmen. Enthalten ist auch die Planung für Anweisungen an die Krankenkassen, das Zugriffsmanagement der elektronischen Patientenakte (ePA) DSGVO-konform zu gestalten sowie das Authentifizierungsverfahren anzupassen. Die aktuelle Kritik am PDSG bezieht sich vor allem auf diese zwei Aspekte. Änderungswünsche sind aber auch aus der Wirtschaft, von Ärzten, Krankenkassen und Apotheken gekommen.

Lesen Sie auch Bundestag beschließt Füllhorn für die elektronische Patientenakte

Der Zugriff auf die ePA kann nach derzeitigem Stand nur über ein Mobilgerät erfolgen. Das schließt auch Menschen aus. Für sie soll ab 2022 eine stellvertretende Person Zugriff bekommen können, was aber wiederum die volle Kontrolle der eigenen Daten in fremden Händen bedeutet. Erst nach einem Jahr, also mit Beginn 2021, soll es die Möglichkeit geben, zu entscheiden, welche Informationen welcher Arzt bekommt. Zuvor werden "die Nutzerinnen und Nutzer in Bezug auf die von den Leistungserbringern in der ePA gespeicherten Daten zu einem "Alles oder Nichts" gezwungen." Ein Zahnarzt kann dann etwa die Befunde eines Psychiaters einsehen.

Außerdem kritisieren Datenschutzbeauftragte, dass das Authentifizierungsverfahren mit dem man sich bei der ePA anmeldet, nicht ausreichend ist – es entspricht nicht den eIDAS-VO "Hoch"-Vorgaben. eIDAS steht für electronic Identification, Authentication and Trust Services und ist eine EU-Verordnung für Vertrauensdienste.

Barbara Thiel, in deren Zuständigkeitsbereich die AOK Niedersachsen fällt, erklärt, dass Datenschutzverletzungen in der ersten Umsetzungsphase der ePA absehbar sind, weil gegen die elementaren Prinzipien der Erforderlichkeit und der Zweckbindung verstoßen werde. "Wir haben bereits das Gespräch mit der AOK gesucht und werden das auch weiterhin tun", erklärt Thiel, die die Krankenkassen in einem Dilemma sieht. "Entweder erfüllen sie die Vorgaben der PDSG, indem sie die elektronische Patientenakte ab Anfang des nächsten Jahres anbieten, oder sie halten die Vorgaben der DSGVO ein." Beides gleichzeitig sei zunächst kaum möglich.

Ähnlich sieht es ihr Kollege aus Brandenburg. In einer Pressemitteilung heißt es: "Die elektronische Patientenakte kann nur erfolgreich sein, wenn die Patientinnen und Patienten auf einen umfassenden Datenschutz vertrauen können. Im kommenden Jahr wird dies noch nicht der Fall sein."

(emw)