Am 1. Januar 2021 soll die elektronische Patientenakte (ePA) kommen, doch jetzt steht dieser Termin wieder ein bisschen in Frage. Denn der Bundesdatenschutzbeauftragte Ulrich Kelber und zumindest einige Landesdatenschutzbeauftragte wollen das – vom Deutschen Bundestag schon verabschiedete – Patientendatenschutzgesetz (PDSG) in der derzeitigen Fassung nicht hinnehmen. Es sei europarechtswidrig, widerspreche der Europäichen Datenschzutzgrundverordnung (DSGVO) so Kelber, der dafür eine eigene Bundespressekonferenz einberief, was schon etwas ungewöhnlich ist.
Das PDSG regelt im Detail, wie das Datenschutzkonzept der ePA auszusehen hat. Vorgesehen ist, dass die Versicherten noch nicht von Anfang an die Möglichkeit haben, auf Ebene einzelner Dokumente festzulegen, welcher Arzt oder welche Ärztin zugreifen darf. Dieses „feingranulare Rechtemanagement“ wird gemäß PDSG erst mit der so genannten ePA 2.0, voraussichtlich ab dem 1. Januar 2022, kommen. Bis dahin soll es ein Körbemodell geben, bei dem Versicherte pauschale Zugriffsrechte für Dokumentengruppen definieren können. Die ePA ist außerdem komplett freiwillig.
Datenschützer stößt sich an Last-Minute-Änderung zum Patientenkiosk
Das alles ist nicht neu, und Kelber war in die entsprechenden Diskussionen, die auf eine Intervention des Justizministeriums im Zuge der Ausformulierung des Digitale-Versorgung-Gesetz zurückgehen, auch eingebunden. Dass er jetzt trotzdem intervenierte, begründete er in der Pressekonferenz mit Änderungen kurz vor Toresschluss.
Neben dem ersten Jahr ohne dokumentenbasiertem Zugriffsmanagement – das von Anfang an ein völlig transparent kommunizierter, politischer Kompromiss war, um die seit Jahren ausgebremste deutsche ePA nicht nochmal verschieben zu müssen – ist ihm vor allem ein Dorn im Auge, dass auch mit der ePA 2.0 ab dem 1. Januar 2022 ein solches Zugriffsmanagement nur bei den ePA Apps möglich sein soll, nicht dagegen vor Ort in der Arztpraxis. Diese Funktion soll erst viel später hinzukommen, laut Kelber 2026. Um Patienten ohne Mobilgeräte ein Rechtemanagement zu ermöglichen, war ursprünglich an Patientenkiosks für die ePA gedacht gewesen, zum Beispiel in Krankenhäusern oder bei Krankenkassen. Diese Kioske allerdings sind jetzt nicht mehr vorgesehen, anders als ursprünglich geplant.
Der zweite zentrale Kritikpunkt Kelbers betrifft das Authentifizierungsverfahren, mit dem Versicherte sich als ePA-Nutzer anfangs registrieren müssen. Auch dieses sei nicht DSGVO-konform: „Da Gesundheitsdaten besonders sensibel sind, bestehen wir darauf, dass Krankenkassen nur bei einem nach Stand der Technik hochsicheren Authentifizierungsverfahren Zugriffe von außerhalb der gesicherten Telematikinfrastruktur auf die ePA erlauben.“
Krankenkassen sollen angewiesen werden
Kelber, dessen Behörde die Datenschutzaufsicht über 65 bundesweit agierende Krankenkassen innehat, kündigte an, entsprechend Artikel 58 Absatz 2 DSGVO Anfang 2021 eine so genannte Anweisung aussprechen, wonach die Krankenkassen bis 31. 12. 2021 ein DSGVO-konformes Zugriffsmanagement anzubieten haben. Die Krankenkassen sollen ihre Versicherten außerdem explizit darauf hinweisen müssen, dass die ePA-Apps im ersten Jahr nicht DSGVO-konform sind. In einer weiteren Anweisung will Kelber die Krankenkassen verpflichten, bis Mai 2021 ein DSGVO-konformes Authentifizierungsverfahren zu implementieren.
Die Reaktionen auf Kelbers Vorpreschen sind überwiegend kritisch. Patientenverbände halten sich auffallend zurück, Beifall kommt von einigen wenigen Leistungserbringern, darunter die Deutsche Psychotherapeutenvereinigung DPtV und die KV Bayerns. Die KVB tischte in ihrer Stellungnahme auch gleich wieder die Krankenkassen auf, die Abrechnungsdaten auswerten wollten, was korrekt aber nicht neu ist und was mit der ePA rein gar nichts zu tun hat. Die Süd-KV fürchtet außerdem einen „Einstieg ins Case Management“ durch Krankenkassen. So kann man auch begründen, warum man Patienten die Hoheit über die eigenen Daten vorenthalten möchte.
Der Industrieverband bvitg betont demgegenüber, dass es „keinen weiteren Verzug bei der ePA geben“ dürfe. Kelbers Kritik sei „nicht nachvollziehbar“, der stufenweise Ausbau technisch sinnvoll. Dass die ePA frühzeitig ins Gesundheitswesen eingebracht werde, sei ein Mehrwert, zumal die ePA jederzeit freiwillig sei und bleibe: „Die informationelle Selbstbestimmung der Versicherten wird durch die ePA nicht geschwächt, sondern ganz im Gegenteil gestärkt“, so der Verband.
Kommt ein Vermittlungsausschuss?
Kritik kommt auch aus der Politik. Kelber habe offensichtlich versäumt, sich im Gesetzgebungsverfahren zum PDSG konstruktiv einzubringen, so der CDU-Gesundheitspolitiker Alexander Krauß schnippisch. Viele andere äußern sich nur hinter vorgehaltener Hand, aber im Inhalt ähnlich. Vom Bundesministerium für Gesundheit gibt es bisher keine offizielle Reaktion.
Eventuell geht die Bundesregierung auch doch noch einmal ans PDSG ran. Eine Möglichkeit dazu gäbe es noch: Der Bundesrat befasst sich am 18. September mit dem PDSG. Er muss nicht zustimmen, hat aber ein Einspruchsrecht, was in einem Vermittlungsausschuss und auf diesem Weg zumindest theoretisch noch in Änderungen des PDSG münden könnte. Für das Land Brandenburg kündigte Datenschützerin Dagmar Hartge an, ihrem Sozialministerium eine entsprechende Empfehlung zu geben.