Nun, Rückschläge im Fortschritt sind zu erwarten, auch wenn bei neuen Technologien die Pflicht besteht, Risiken zu antizipieren und durch vorausschauendes Handeln zu neutralisieren. Dank CCC und eines beauftragten Unternehmens hat sich eine Lücke gezeigt, die nicht sein darf und zu schließen ist. Es ist aber wichtig, genau hinzuschauen: Identifikation, Authentisierung und Authentifizierung sind drei Schritte.
Die Identifikation braucht es einmal am Anfang, dazu gibt es Alternativen. Die Authentifizierung bleibt sicher. Und: Wenn es für Bank-Transaktionen gelingt, Video-Ident-Verfahren zu etablieren, die von der Finanzaufsicht akzeptiert werden, ist dies für die Krankenversicherung ebenfalls möglich.
Allerdings ist auch die Extremposition des Bundesbeauftragten nicht richtig, der die Erfüllung der Kriterien der Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen, eIDAS, verlangt. Dies findet keine Grundlage im SGB V und auch die eGK hat diese Kriterien nie erfüllt.
Dies sollte aber für die Zukunft durchaus geprüft werden, denn die ePA ist mehr als nur ein Nachweis zur Inanspruchnahme von Sozialversicherungsleistungen, sie enthält sensible Gesundheitsinformationen und bedarf daher eines höheren Schutzes als die eGK.
Mit der Umstellung auf die Opt-out-ePA bedarf es ohnehin eines differenzierten Prozesses: Authentifizierung, Befüllung (besser mit Rückwirkung) und Nutzerdifferenzierung sind hier die Challenges, und der Verzicht auf die datenschutzrechtlich überflüssige Registrierung, damit für den Patienten nicht nur das Recht auf Datenschutz, sondern auch sein Recht auf Datenverarbeitung realisiert wird.
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company