Schattenblick → INFOPOOL → MEDIZIN → GESUNDHEITSWESEN


RECHT/662: Elektronische Patientenakte - BfDI kritisiert Krankenkassen (Dr. Datenschutz)


Newsletter "Dr. Datenschutz" vom 23. September 2021

Elektronische Patientenakte:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert Krankenkassen

Von Dr. Datenschutz


Künftig soll der Patient per Smartphone steuern können, welcher Arzt welche Befunde einsehen kann. Patienten, die über kein Smartphone verfügen, werden dabei nicht berücksichtigt. Der Bundesdatenschutzbeauftragte hält diese Pläne für rechtswidrig. Der Streit um die elektronische Patientenakte geht damit weiter.

Die elektronische Patientenakte

Seit dem 01. Januar 2021 können gesetzlich Versicherte eine elektronische Patientenakte (ePA) ihrer Krankenkasse erhalten. Über Praxis- und Krankenhausgrenzen hinweg können nun medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen umfassend gespeichert werden. Das Angebot der elektronischen Personalakte ist für die Patienten freiwillig. Dies wurde aufgrund einer Verfassungsbeschwerde zu Beginn dieses Jahres bereits durch das Bundesverfassungsgericht festgestellt. [1]

Feingranulares Management ab 2022 für Krankenkassen verpflichtend

Ab dem 01. Januar 2022 wird nun auch das feingranulare Management im Rahmen der ePA für Krankenkassen verpflichtend. Bisher ist es den Versicherten nicht möglich, die Zugriffsmöglichkeiten zu ärztlichen Befunden auf einzelne Ärzte zu beschränken. Sobald ein Patient demzufolge in die Nutzung der ePA einwilligt und in der Akte ärztliche Dokumente zur Verwaltung eingepflegt werden, können sämtliche Ärzte des Patienten auf alle in der ePA gespeicherten Dokumente zugreifen. Es gilt also das Alles-oder-Nichts-Prinzip.

Per Gesetz soll es nun künftig möglich sein, den Zugang für Arztpraxen oder Pflegeeinrichtungen zu den einzelnen, in der ePA hinterlegten Dokumenten, feingranular einzustellen. Zunächst gelte dies jedoch nur für Nutzer moderner Smartphones oder Tablets. Für Menschen ohne entsprechende Endgeräte sollen die Möglichkeiten für Zugriffe erst ab 2023 in den Filialen der Krankenkassen ermöglicht werden.

Bundesdatenschutzbeauftragter fordert datenschutzrechtliche Verbesserungen der ePA

Mitte September erhielten vier große gesetzliche Krankenkassen nun einen Bescheid vom Bundesdatenschutzbeauftragten (BfDI) Ulrich Kelber. In diesem Bescheid werden die Krankenkassen angewiesen, allen Patienten den gleichen, von der Datenschutz-Grundverordnung (DSGVO) garantierten Datenschutz, zu gewähren. Insbesondere müsse auch den Versicherten ohne Smartphone eine Einstellung der Zugriffsberechtigungen ermöglicht werden, um ein gleichwertiges Schutzniveau aller Versicherten gewährleisten zu können.

Nach den Ausführungen Kelbers sei Ziel der Anweisung

"gleiches Recht für alle Versicherten"

Würden sich die Krankenkassen jedoch nur an nationales Recht halten, hätten Smartphone Nutzer mehr Rechte als diejenigen, die nicht über ein solches Gerät verfügen.

Der BfDI kritisiert Vorgehen der Krankenkassen

Nach den Ausführungen im 29. Tätigkeitsbericht [2] werde eine große Gruppe von Menschen, die kein eigenes Gerät besitzen oder keines besitzen wollen, von den geplanten Änderungen nicht erfasst. Diese Patienten würden weiterhin in ihrer Patientensouveränität beschränkt.

Alternativ können einem Vertreter mit einem geeigneten technischen Gerät Vertretungsrechte eingeräumt werden. Dies hätte jedoch zur Folge, dass die Versicherten dem Vertretenden alle in ihrer ePA vorhandenen Gesundheitsdaten, d.h. auch intimste Informationen, offenbaren müssten.

Darüber hinaus sei es nach Ansicht des BfDI datenschutzrechtlich kritisch zu bewerten, dass eine Vielzahl von Patienten damit auf Dauer keinen Einblick in die eigene, von ihnen selbst zu führende ePA haben werden. Sie werden also von einer entsprechenden Nutzung der ePA ausgeschlossen. Folglich kann diese Personengruppe auch nicht von den Vorteilen einer ePA in der Gesundheitsversorgung profitieren.

Die Krankenkassen verweisen auf Sozialgesetzbuch

Nach den Vorschriften des fünften Buchs des Sozialgesetzbuchs sei bisher nur die Einrichtung eines Zugriffsmanagements für Endgeräte gefordert. Mit der geplanten Änderung zum 01. Januar 2022 würden die Krankenkassen nach eigenen Angaben demnach die gesetzlichen Vorgaben umsetzen. Diese Umsetzung sei insbesondere auch durch die Aufsichtsbehörde der Krankenkassen, das Bundesamt für Soziale Sicherung, bestätigt worden.

Allerdings handelt es sich bei der DSGVO um Europarecht

Bei den in der ePA gespeicherten Informationen handelt es sich grundsätzlich um Gesundheitsdaten und damit um sensible Daten im Sinne des Art. 9 DSGVO. [3] Unter Berücksichtigung der besonderen Schutzbedürftigkeit von Gesundheitsdaten sollten die Versicherten die volle Hoheit über ihre Daten haben. Dies umfasst auch die Möglichkeit der Einstellung von Zugriffsbeschränkungen. Die fehlende Möglichkeit der Einschränkung von Berechtigungen kann damit einen Verstoß gegen die DSGVO darstellen. Als europäische Verordnung steht diese im Zweifel über dem nationalen Recht.

Gegen die Weisung des Bundesdatenschutzbeauftragten können die Kassen nun innerhalb eines Monats klagen. In diesem Fall müsste das Sozialgericht Köln über die Rechtmäßigkeit der Weisung entscheiden.


Über den Autor

Der Beitrag wurde von Dr. Datenschutz geschrieben. Unter diesem Pseudonym schreiben Mitarbeiter, in der Regel Juristen mit IT-Kompetenz, der intersoft consulting services AG. Weitere Informationen:
https://www.dr-datenschutz.de/ziel-und-inhalt-dieser-website/


Fußnoten:

[1] https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2021/01/rk20210104_1bvr061920.html

[2] https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/29TB_20.pdf?__blob=publicationFile&v=3

[3] https://dsgvo-gesetz.de/art-9-dsgvo/


URL des Originalartikels:
https://www.dr-datenschutz.de/elektronische-patientenakte-bfdi-kritisiert-krankenkassen/

*

Quelle:
Newsletter "Dr. Datenschutz" vom 23.9.2021
intersoft consulting services AG
Beim Strohhause 17, 20097 Hamburg
Telefon: +49 40 790235-0
E-Mail: info@intersoft-consulting.de
Internet: https://www.dr-datenschutz.de

veröffentlicht in der Online-Ausgabe des Schattenblick zum 5. Oktober 2021

Zur Tagesausgabe / Zum Seitenanfang