Stufenweiser Aufbau der elektronischen Patientenakte DSGVO-konform

1. Nach jahrelangen Verzögerungen wird ab 1. Januar 2021 die elektronische Patientenakte (ePA) eingeführt. Damit soll der Weg frei gemacht werden für eine moderne, zeitgemäße Form der Verwaltung und Übermittlung von Patientendaten im Rahmen der Gesundheitsvorsorge und Heilbehandlung. Nachdem der Deutsche Bundestag das von Bundesgesundheitsminister Jens Spahn initiierte
Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) mit Änderungen am 3. Juli 2020 beschlossen hat, passierte dieses am 18. September 2020 auch den Bundesrat.

2. Es ist unstreitig, dass die ePA das Informationsmanagement in Bezug auf die Gesundheitsdaten in einem vernetzten Gesundheitssystem verbessert und dass hieraus erhebliche Vorteile für den Gesundheitsschutz erwachsen. Durch den elektronischen Zugriff können schwerwiegende gesundheitliche Gefährdungen durch fehlende Daten vermieden werden, nicht zuletzt unter den erschwerten Bedingungen einer Pandemie, bei der etwa ein Lockdown „analoge“ Prozesse zum Erliegen bringen kann. Diese Vorteile den Nutzerinnen und Nutzern möglichst früh zukommen zu lassen, ist auch unter dem Aspekt eines dringend notwendigen Digitalisierungsschubs ein nachvollziehbares Anliegen. Nebenbei wird der Prozess der Einführung der ePA zeitlich entzerrt, so dass nicht 73 Millionen Versicherte auf einen Schlag die ePA beanspruchen. Das IT-System kann so stufenweise aufgebaut
werden.

3. Dessen ungeachtet hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, das PDSG in seiner jetzigen Form scharf kritisiert: Es sei „europarechtswidrig“, weil Nutzende der elektronischen Patientenakte infolge des zunächst lediglich „grobgranularen“ Berechtigungskonzepts keine ausreichende Hoheit über ihre Daten hätten. Er werde „die seiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde.“ Außerdem bereite er „in diesem Zusammenhang weitere Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen. Nach der DSGVO stünden ihm „dazu neben Anweisungen auch Untersagungen zur Verfügung.“

4. Tatsächlich haben Patientinnen und Patienten nach dem Stufenkonzept des PDSG erst 2022 die Möglichkeit, auf Dokumentenebene zu entscheiden, welchen Arztbrief, Befund oder Laborwert sie einem bestimmten Arzt oder einer Ärztin über die ePA zur Kenntnis bringen. 2021 können sie den technischen Zugriff auf die ePA nur als Ganzes freigeben. 

5. Das nun beschlossene Konzept ist gleichwohl mit den Vorgaben der DSGVO vereinbar. Es eröffnet den Versicherten schon in der ersten, ohnehin nur ein Jahr währenden Phase ausreichende Möglichkeiten, über den Umgang mit ihren Daten zu bestimmen. Die Weiterentwicklung des Systems bis 2022 wird insbesondere die Zugriffsoptionen in Bezug auf eine patientenorientierte Verwaltung
der Daten dann noch einmal verbessern. Vor diesem Hintergrund hat jede Patientin und jeder Patient die Hoheit über ihre und seine Gesundheitsdaten: 

a) Die Nutzung der elektronischen Patientenakte ist freiwillig; niemand wird gezwungen, von ihr überhaupt oder gar sofort Gebrauch zu machen. Über die genaue Funktionsweise der ePA muss ausdrücklich, ausführlich und verständlich informiert werden (§ 343 Abs. 1 SGB V). Wer also Sorgen um einen missbräuchlichen Datenzugriff hat, kann seine Daten vorerst auf herkömmlichem Wege übermitteln lassen, notfalls sogar durch Briefpost. Dass auch bei dieser Übermittlungsart faktische Zugriffe durch unbefugte Dritte möglich sind, wird dabei zuweilen übersehen. Nicht übersehen werden darf, dass das derzeitige Berechtigungskonzept Ärztinnen und Ärzten keineswegs z.B.
die Kenntnisnahme „aller Befunde des konsultierten Psychiaters“ durch den „behandelnden Zahnarzt“ (so das Beispiel von Kelber) erlaubt. Ein solcher Datenzugriff hätte ernste berufsrechtliche, ggf. sogar strafrechtliche Konsequenzen.
b) Weil Versicherte Zugriffe auf die ePA den Ärztinnen und Ärzten ihres Vertrauens vorbehalten und bei Zweifeln auf herkömmliche Übermittlungswege ausweichen können, ist die ePA auch 2021 keine „Alles-oder-nichts-Lösung“. Sie erweitert sogar die Zahl der Übermittlungsmöglichkeiten für Gesundheitsdaten.
c) Die Datenhoheit von Patienten bedeutet keinen Anspruch auf ein bestimmtes technisch-organisatorisches Konzept, weil Datenschutz auch mit unterschiedlichen IT-Technologien verwirklicht werden kann. Patientensouveränität muss sich innerhalb existierender Systeme erweisen und dort verhältnismäßig umgesetzt werden.

6. Eine datenschutzkonforme Umsetzung des Stufenkonzepts des PDSG verlangt allerdings von den Beteiligten, alle Anstrengungen zu unternehmen, damit die gesetzlichen Vorgaben in der Praxis auch interessengerecht umgesetzt werden, insbesondere die Informationspflichten des § 343 SGB V mit der Freiwilligkeit der Nutzung der ePA und dem Recht auf Löschung. Komplexe IT-Systeme
beruhen auch auf Vertrauen in ihre verantwortungsbewusste Nutzung, dessen sich alle Akteure bewusst sein sollten.

7. Die Androhung von Sanktionen gegen die Krankenkassen für den Fall, dass sie die ePA PDSGkonform umsetzen, wird der schwierigen Rolle der Krankenkassen nicht gerecht. Diese befinden sich in einem Dilemma: Verletzen sie die ihnen vom PDSG auferlegten Pflichten, drohen Maßnahmen der zuständigen Gesundheitsministerien als Rechtsaufsichtsbehörden und Sanktionen durch den Spitzenverband Bund der Krankenkassen. Letztlich wird der Streit zwischen BfDI und Bundestag auf dem Rücken der Krankenkassen und damit der Versicherten ausgetragen, denen eine bessere Gesundheitsvorsorge vorerst versagt werden würde. Der wissenschaftliche Beirat der AOK
Nordost appelliert stattdessen dafür, die Patientenrechte im bestmöglichen Umfang in einem zügigen Ausbau der ePA zu gewährleisten. So stehen Datenschutz und Gesundheitsschutz in einem ausgewogenen Verhältnis.

• Dipl.-Pol. Inga Bergen, Sprecherin
• Prof. Dr. Dirk Heckmann, Geschäftsführer

• Prof. Dr. Wilfried Bernhardt
• Prof. Dr. Dr. Walter Blocher
• Prof. Dr. Stefan Heinemann
• Prof. Dr. Dr. h.c. Stefan Jähnichen
• Prof. Dr. Anne Paschke
• Dipl.-Psychologin Marina Weisband