Datenschützer kritisieren Patientendatenschutzgesetz

0
1004
Das Patientendatenschutzgesetz erlaubt nach dem Urteil der Datenschutzaufsichtsbehörden keine europarechtskonforme Umsetzung der elektronischen Patientenakte. (Foto: mohamed_hassan, www.pixabay.com)

Der Bundesdatenschutzbeauftragte und mehrere seiner Länderkolleginnen und -kollegen halten das vom Bundestag beschlossene Patientendatenschutzgesetz (PDSG) für unvereinbar mit europäischem Datenschutzrecht. Sie kündigen Maßnahmen gegen die Krankenkassen an, sollten diese den Datenzugriff auf die elektronische Patientenakte dem Gesetzestext gemäß umsetzen.

“Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte”, so der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber. “Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte (ePA) ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO).” Der BfDI ist für 65 der 105 gesetzlichen Krankenkassen in Deutschland zuständig. Ihnen gegenüber kann er Anweisungen und Untersagungen aussprechen.

Kelber stellt klar, dass Patientinnen und Patienten bei der Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen. Das PDSG sieht eine dokumentengenaue datenschutzrechtliche Kontrolle der ePA-Daten jedoch erst ein Jahr nach der Einführung vor, wie Kelber bemängelt. Auch dann sei die Einsicht in die ePA und die Prüfung erfolgter Zugriffe nur denen möglich, die das Frontend auf Smartphone oder Tablet nutzen können und wollen. Erst ab 2022 ist alternativ die Benennung eines Vertreters möglich. Diesem muss aber die volle Kontrolle über die persönlichen Daten eingeräumt werden. “Die Nutzerinnen und Nutzer werden in Bezug auf die von den Leistungserbringern in der ePA gespeicherten Daten zu einem “Alles oder Nichts” gezwungen”, kritisiert der BfDI. “Jede Person, der die Versicherten Einsicht in diese Daten gewähren, kann alle dort enthaltenen Informationen einsehen. Beispielsweise könnte der behandelnde Zahnarzt alle Befunde des konsultierten Psychiaters sehen.”

Keine sichere Anmeldung

Datenschützer kritisieren außerdem das vorgesehene Authentifizierungsverfahren zur Anmeldung bei der ePA, welches nicht dem laut EU-eIDAS-Verordnung erforderlichen höchsten Sicherheitsniveau entspreche. Besonders kritisch sehen sie das bis Mai 2021 befristete alternative Verfahren ohne Einsatz der elektronischen Gesundheitskarte.

Das Patientendatenschutzgesetz war im Juli vom Deutschen Bundestag beschlossen worden und befindet sich nun in der Befassung durch den Bundesrat.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here