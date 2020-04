Vorigen Mittwoch brachte das Bundeskabinett den Regierungsentwurf für ein Patientendaten-Schutzgesetz (PDSG) auf den Weg. Der Bundesdatenschutzbeauftragte Ulrich Kelber unterstützt den damit geplanten Schritt zur Digitalisierung des Gesundheitswesens sowie die Zielsetzung, die Patientensouveränität zu stärken, ausdrücklich. Gerade mit Blick darauf beklagt er aber auch "gravierende" und "wesentliche datenschutzrechtliche Defizite" bei der Initiative.

Start für 2021 geplant

Nach dem Willen der Bundesregierung soll die aus einem früheren Gesetzesvorhaben zunächst ausgeklammerte elektronische Patientenakte (ePA) nun Anfang 2021 mit einem groben Zugriffsmanagement starten. Dabei könnten nur die Inhaber eines geeigneten Endgerätes wie eines Smartphones oder Tablets über die Benutzeroberfläche einer App etwa einzelne Dokumente wie etwa auch den Impfausweis, den Mutterpass oder das Zahn-Bonusheft freigeben. Die einzelnen Funktionen sollen aber erst von Anfang 2022 an zur Verfügung stehen.

Noch schlechter sieht es mit der "Datensouveränität" bei Nutzern ohne eigenes Mobilgerät aus. Sie könnten von Januar 2021 an für ein Jahr lang nicht einmal die über sie in der ePA gespeicherten Daten einsehen. Erst von 2022 an sollen Krankenkassen verpflichtet werden, diesem Personenkreis in ihren Geschäftsstellen technische Einrichtungen für die ePA-Verwaltung zur Verfügung zu stellen.

Kelber sieht diesen Ansatz im "Widerspruch zu zentralen datenschutzrechtlichen Vorgaben". "Als Aufsichtsbehörde obliegt es mir gegenüber den meiner Zuständigkeit unterfallenden Stellen" darauf zu achten, dass die Auflagen eingehalten würden, schreibt der Kontrolleur in seiner Stellungnahme zu dem Entwurf. Er behalte es sich daher vor, – soweit erforderlich – "aufsichtsrechtliche Maßnahmen zu ergreifen", also etwa den Krankenkassen gegebenenfalls den Einsatz einer nicht datenschutzkonformen Online-Akte zu untersagen.

Gematik in Doppelrolle

Bundesgesundheitsminister Jens Spahn (CDU) versicherte bei der Präsentation des Kabinettsbeschlusses, dass die Nutzung der ePA freiwillig sei und der Patient "Herr über seine Daten wird". Für das ebenfalls vorgesehen E-Rezept solle es eine App geben, mit der sich dieses "direkt auf das Smartphone laden lässt". Der Patient könne es dann "in einer Apotheke seiner Wahl einlösen".

Im Gegensatz zur ePA sehe die Regierung hier eine Pflichtanwendung vor, konstatiert Kelber: "Die Übermittlung ärztlicher Verordnungen soll elektronisch erfolgen." Bei dieser Anwendung finde "ein Paradigmenwechsel statt", da die Projektgesellschaft Gematik eine entsprechende App entwickeln und verfügbar machen solle. Dies habe zur Folge, dass die eigentlich über Spezifikationen und Sicherheitsanforderungen für Dritte wachende Institution "ihre eigenen Entwicklungen zu prüfen und zuzulassen hat". Insoweit bestehe zumindest die Gefahr einer potenziellen Befangenheit.

"Ab 2023 haben Versicherte die Möglichkeit, die in der ePA abgelegten Daten im Rahmen einer Datenspende freiwillig der Forschung zur Verfügung zu stellen", hob Spahn zudem vorige Woche hervor. Auch die Umstände dieses Vorhabens findet Kelber bemängelnswert. Er begrüßt zwar, dass das Kabinett im Entwurf selbst auf den "irreführenden Begriff der Datenspende" verzichte. Auch das Konzept des umstrittenen Forschungsdatenzentrums könne er grundsätzlich mittragen. Die "datenschutzgerechte Umsetzung" bedürfe aber noch weiterer Anstrengungen.

Die Regierung strich beispielsweise die Präzisierung "wissenschaftlich" vor dem Wort "Forschungszwecke" aus dem Referentenentwurf. Damit dürfte das Zentrum künftig wohl etwa auch Interessen von Pharmakonzernen verfolgen, wenn es die von Patienten freigegebenen, in pseudonymisierter Form weitergegebenen sensiblen Gesundheitsdaten entlang der Vorgaben nutzt.

Zu viele mögliche Nutzungsszenarien

Der Datenschutzbeauftragte empfindet es hier als besonders bedenklich, dass es "durch den Verweis auf das Verfahren bei der Datentransparenz viele verschiedene Berechtigte" wie Institutionen der Gesundheitsberichterstattung, Hochschulen, Interessensverbände, Gesundheitsministerin und nachgeordnete Behörden sowie "verschiedene zu berücksichtigende Zwecke" gebe. So könnten die Patienteninformationen etwa verwendet werden, um die Versorgungsqualität zu verbessern, Leistungsressourcen zu planen oder politische Entscheidungen vorzubereiten.

Diese "weit gefächerten Möglichkeiten" ließen es fraglich erscheinen, "ob den Anforderungen an eine informierte Einwilligung" nach der Datenschutz-Grundverordnung (DSGVO) entsprochen werde. Ferner sei auch das vorgesehene Authentifizierungsverfahren für die Telematik-Infrastruktur (TI) noch nicht ausgereift und berge "weitergehende Risiken für die Versicherten". Sicherheitsexperten hatten Ende 2019 auf massive Lücken beim Schutz von Zugangskarten für die TI aufmerksam gemacht. Auf der technischen Seite soll es auch nicht gut aussehen. Der vorausgegangene PDSG-Referentenentwurf hatte bereits massive Kritik von vielen Seiten auf sich gezogen. Das Papier aus dem Kabinett geht nun an Bundesrat und Bundestag. (mho)