Elektronische Patientenakte – DanLahiri Agboli von HC Plus über datenschutzrechtliche Problemstellen

Arztwechsel gestalteten sich in der Vergangenheit nicht immer reibungslos. Aufgrund der dezentralen Speicherung von Patientendaten gingen oft Informationen verloren, was aufwendige Nachuntersuchungen und zusätzliche Belastungen für Patienten und Mediziner nach sich zog. Die am 01. Januar 2021 eingeführte elektronische Patientenakte soll diese Probleme langfristig lösen. Darin werden alle behandlungsrelevanten Daten zentral gespeichert, sodass behandelnde Mediziner leichter darauf zugreifen können. Unter DSGVO-Gesichtspunkten gilt die digitale Infrastruktur allerdings als problematisch, weiß Datenschutzexperte DanLahiri Agboli von HC Plus.

Inhaltsverzeichnis

Die wichtigsten Informationen zur elektronischen Patientenakte zusammengefasst von DanLahiri Agboli

Die elektronische Patientenakte (ePA) ist eine digitale Plattform, auf der Krankenversicherte ihre Gesundheitsdaten speichern und verwalten können. Das im Zuge des Terminservice- und Versorgungsgesetzes ins Leben gerufene Projekt soll durch eine Verbesserung der Datenverfügbarkeit die medizinische Behandlung von Patienten verbessern und die fachübergreifende Zusammenarbeit von Medizinern erleichtern.

Ob und in welchem Umfang die in der ePA enthaltenen Daten genutzt werden dürfen, bestimmen die Patienten in der finalen Version der Plattform selbst. So entscheiden sie etwa, welche Daten in der Akte gespeichert oder gelöscht werden und welcher Mediziner welche Informationen über den eigenen Gesundheitszustand einsehen darf. Die Verwaltung erfolgt per Smartphone oder Tablet über die App der jeweiligen Krankenkasse.

Der Ausbau der elektronischen Patientenakte ist in drei Stufen geplant. Jeder dieser Schritte beinhaltet eine Erweiterung im Hinblick auf Dokumententypen und Funktionsumfang.

1. Schritt (01.01.2021)

Dokumententypen:

  • Notfalldatensatz
  • Elektronischer Arztbrief
  • Elektronischer Medikationsplan

Funktionsumfang:

  • Verwalten erster Dokumente
  • Protokollfunktion
  • Einfache Berechtigungsvergabe

2. Schritt (01.01.2022)

Dokumententypen:

  • Impfpass
  • Zahnbonusheft
  • Mutterpass
  • Kinderuntersuchungsheft

Funktionsumfang:

  • Desktop-Version
  • Detailliertes Berechtigungskonzept
  • Einrichten eines Vertreters

3. Schritt (01.01.2023)

Dokumententypen:

  • KH-Entlassbrief
  • Laborwerte
  • Pflegeüberleitungsbogen
  • Digitale Gesundheitsanwendung (DiGA)
  • Elektronische Arbeitsunfähigkeitsbescheinigung (eAU)

Funktionsumfang:

  • Datenfreigabe zu Forschungszwecken
  • Kopplung mit gesund-bund.de
  • Einbindung von DiGA-Daten und TI-Messenger

ePA unter Datenschutzgesichtspunkten problematisch

Das hinter der ePA stehende und teils stark kritisierte Patientendaten-Schutz-Gesetz (PDSG) soll die Digitalisierung im Gesundheitswesen fördern. Dabei weist der Gesetzgeber in seiner amtlichen Gesetzesbegründung zwar darauf hin, dass die Wahrung der Patientensouveränität zu seinen zentralen Anliegen gehört, in der im 20. Oktober 2020 in Kraft getretenen Form verstößt das Gesetz allerdings gegen die Datenschutz-Grundverordnung (DSGVO). Kritisch angemahnt werden vor allem die konkreten Ausgestaltungen des Zugriffsmanagements und der Nutzungsvoraussetzungen.

Fehlende Datenhoheit

Zum Start der elektronischen Patientenakte am 01. Januar 2021 und im gesamten Jahresverlauf haben die Patienten noch nicht die volle Kontrolle über ihre Daten. Sie können den Zugriff des behandelnden Arztes auf einzelne Patientenakten nicht individuell beschränken, sondern lediglich eine Komplettverweigerung oder einen uneingeschränkten Zugriff einrichten. Problematisch ist dies insofern, als Ärzte bei einer Freigabe auf alle sensiblen Daten zugreifen können, auch wenn diese für die aktuelle Behandlung nicht erforderlich sind. Eine Anpassung sieht das Gesetz erst 2022 vor, allerdings nur für Smartphone-Nutzer.

Endgeräte-Abhängigkeit

Vor allem ältere Menschen, die über kein Smartphone verfügen, sind langfristig von einer Einschränkung ihrer Patientensouveränität betroffen. Sie können Zugriffsbeschränkungen lediglich für Kategorien von Dokumenten erlassen. Datenschutzrechtlich bedenklich ist in diesem Zusammenhang weiterhin, dass Versicherte ohne entsprechendes Endgerät auch keine Möglichkeit haben, Einblick in ihre ePA zu nehmen. Dies verstößt gegen zentrale Regelungen der DSGVO.

Mangelhafte Authentisierungsmittel

Kritiker bemängeln weiterhin, dass Anforderungen an Authentisierungsmittel, wie sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert, nicht erfüllt werden. Da es sich bei Gesundheitsdaten um sensible Informationen handelt, müssen Zugriffe auf die elektronische Patientenakte mit Authentifizierungsmaßnahmen auf dem aktuellen Stand der Technik erfolgen.

Das Verfahren der „Alternativen Versichertenidentität“, mit dem eine Anmeldung an der ePA auch ohne elektronische Gesundheitskarte (eGK) möglich ist, funktioniert auf Grundlage eines Signaturdienstes, der den hohen Anforderungen nicht genügt. Obwohl Bedenken bestehen, wird das Verfahren aktuell vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) noch geduldet.

Bundesbeauftragter für Datenschutz und Informationsfreiheit übt Kritik

Da eine Umsetzung der elektronischen Patientenakte ausschließlich nach den Vorgaben des nationalen Gesetzes europarechtswidrig ist, hat der BfDI die gesetzlichen Krankenkassen zunächst förmlich gewarnt, ihren Versicherten die Nutzung anzubieten. Da diese Warnung fruchtlos blieb, folgte im Frühjahr 2021 eine Aufforderung, den Mangel zu beheben.

Die Krankenkassen befinden sich diesbezüglich in einem Dilemma. Wenn sie die Umsetzung der ePA gemäß PDSG-Vorgabe ablehnen, drohen ihnen hohe gesetzlich geregelte Strafzahlungen. Wenn sie hingegen gegen Europarecht verstoßen, werden die zuständigen europäischen Aufsichtsbehörden auf sie aufmerksam, was ebenfalls zu langen aufwendigen Verfahren führen dürfte.

Krankenkassen verweisen auf Sozialgesetzbuch

Aktuell planten die Kassen, das Ganz-oder-gar-nicht-Datenmanagement möglichst bis zum 01. Januar 2022 anzupassen – allerdings nur, wie im Sozialgesetzbuch gefordert, für Nutzer von Endgeräten. Der BfDI verlangt dagegen, bereits in diesem Jahr das Smartphone-Zugriffsmanagement zu ermöglichen und für 2022 auch eine Lösung für Menschen ohne Smartphone bereitzustellen. Dies lehnen die Krankenkassen ab. Ihre Aufsichtsbehörde, das Bundesamt für Soziale Sicherung, habe ihr Vorgehen gebilligt und man bewege sich auf rechtssicherem Boden.

Dem hält der BfDI entgegen, dass im Sozialgesetzbuch nirgends stehe, dass ein Zugriffsmanagement für Nutzer ohne Smartphones nicht rechtmäßig sei. Darüber hinaus handele es sich bei der DSGVO um Europarecht, das den Geltungsbereich nationaler Regelungen im Konfliktfall einschränkt. Kritik wird auch dahingehend geübt, dass die technische Umsetzung einer neuen Lösung nur einen geringen Aufwand nach sich ziehen dürfte. Der Bundesdatenschutzbeauftragte weist darauf hin, dass in den Filialen der Krankenkassen für die Nutzung bereitstehende Tablets ausreichend seien.

Profilbild DanLahiri Agboli
DanLahiri Agboli, Gründer und Geschäftsführer von HC Plus (Bild: © DanLahiri Agboli / HC Plus)

Über HC Plus

Die HC Plus Datenschutz GmbH aus Berlin verbindet die Expertise eines IT-Unternehmens und einer Anwaltskanzlei und unterstützt Unternehmenskunden bei der praktikablen und rechtssicheren Umsetzung des Datenschutzes. Das seit 2012 erfolgreiche Team um die beiden Gründer DanLahiri Agboli und Benjamin Kühn ist dabei vor allem auf den Bereich Gesundheitswesen spezialisiert.

Anmerkung der Redaktion: Der Inhalt dieses Artikels gibt die Sichtweise des Autors wieder. Zugunsten des Leseflusses wurde die generisch maskuline Formulierungsform beibehalten.

Kennen Sie schon die Leinwände von Inspiring Art?