„Ich werde mir erst eine ePA zulegen, wenn ich dokumentengenaue Berechtigungen vergeben kann“

Foto von Ulrich Kelber
© Bundesregierung/Kugler

Der Bundesdatenschutzbeauftragter Ulrich Kelber kann der elektronischen Patientenakte (ePA) viel Gutes abgewinnen. Eine gut gemachte digitale Lösung sei datenschutzfreundlicher als viele analoge Lösungen. In der jetzigen Form würde er die ePA allerdings nicht nutzen, so Kelber. Die Gründe erläutert er im Interview mit der DAH.

Die Fragen stellte Axel Schock

Die Datenschutz-Grundverordnung wie auch das Gesetz zur elektronischen Patientenakte (ePA) sehen vor, dass alle Nutzenden selbst darüber entscheiden können müssen, wem sie welche Dokumente zugänglich machen. Das war bei der Einführung der ePA nicht der Fall?

Ulrich Kelber: Nein, leider nicht. Und das, obwohl die Anforderungen an eine elektronische Patientenakte seit vielen Jahren klar waren.

Im September haben sie vier der großen gesetzlichen Krankenkassen per Bescheid angewiesen, deren ePA um zusätzliche Datenschutzfunktionen zu erweitern. Welche Verstöße gegen die DSGVO haben Sie ausfindig gemacht?

Ohne ein dateigenaues Berechtigungsmanagement haben die Versicherten nicht die volle Souveränität über ihre sensiblen Gesundheitsdaten. Diese Funktion muss ergänzt werden. Ab Januar 2022 für Versicherte mit eigenem Frontend-Gerät, also zum Beispiel Smartphone oder Tablet. Und ab Januar 2023 für alle Versicherten.

Wie haben die angesprochenen Krankenkassen reagiert? Wie der GKV-Spitzenverband?

Die Krankenkassen haben über ihre Anwälte fristwahrend Klage gegen meine Weisung eingereicht.

„Ich wäre froh, wenn wir eine funktionierende und datenschutzfreundliche ePA für alle Versicherten bekommen. Wie lange es bis dahin dauert, hängt von den Krankenkassen ab.“

Müssen Sie im Zweifelsfalle, falls es die geforderte Verbesserung nicht gibt, den Einsatz der ePA untersagen? Und müssten wir uns dann sogar auf einen jahrelangen Rechtsstreit einstellen?

Ich würde mich freuen, wenn die Krankenkassen das Geld ihrer Versicherten nicht dafür nutzen würden, um vor Gericht die ungleiche Behandlung eben dieser Menschen durchzusetzen. Aktuell gibt es kein dateigenaues Berechtigungsmanagement und ich habe die Nutzung der ePA nicht untersagt. Im Gegenteil: Ich wäre froh, wenn wir eine funktionierende und datenschutzfreundliche ePA für alle Versicherten bekommen. Wie lange es bis dahin dauert, hängt von den Krankenkassen ab.

Die künftige Regierung hat eine „Opt-out“-Regelung in Aussicht gestellt. Demnach müssten die Versicherten sich aktiv gegen die Nutzung der ePA aussprechen. Wie beurteilen Sie diese Option, insbesondere auch unter dem Aspekt, dass dies wohl nur über ein Smartphone, nicht aber über einen Computer gemacht werden kann?

Grundsätzlich könnte die neue Regierung eine „Opt-out“-Regelung schaffen, solange es keinen gleichzeitigen Zwang zur Speicherung von Daten durch beispielsweise Ärztinnen und Ärzte gibt. Dann gäbe es halt viele leere ePAs, was ich für vergebene Arbeit halte. Viel wichtiger ist doch aber, dass den Versicherten in den letzten Jahren immer gesagt wurde, es bleibt beim „Opt-in“. Diese geplante Kehrtwende halte ich für kein gutes Signal.

In Österreich gibt es bereits eine „elektronische Gesundheitsakte“ mit einer „Opt-out“-Möglichkeit. Könnte man aus den Erfahrungen dort lernen?

Man sollte immer auch ein Auge dafür haben, welche Lösungen es in anderen Ländern gibt.

„Selbstverständlich zwingt niemand die Krankenkassen, nur gerade das Nötigste zu tun, um die gesetzliche Norm zu erfüllen.“

Wie schätzen Sie die bisherige Informationspolitik der Krankenkassen in Sachen ePA ein? Sehen Sie hier Versäumnisse?

Das Informationsschreiben an die Versicherten wurde mit meiner Behörde abgestimmt. Insofern bin ich damit ganz zufrieden. Selbstverständlich zwingt niemand die Krankenkassen, nur gerade das Nötigste zu tun, um die gesetzliche Norm zu erfüllen.

Das feingranulare Management der Dokumente in der ePA ist ab 2022 für Krankenkassen verpflichtend. Gleichwohl werden die gezielte Freigabe in der ePA oder die Deaktivierung der ePA wohl nur über ein Smartphone möglich sein. Sie kritisieren deshalb die sich dadurch ergebende Ungleichbehandlung von Personen ohne geeignetes Endgerät. Was wäre eine demokratische Alternative?

Die einfachste Variante wäre es, wenn es in den Filialen der Versicherungen Endgeräte gibt, im Idealfall direkt an die sichere Telematik-Infrastruktur angebunden. Die Idee stand unter dem Stichpunkt „Kassenterminals“ sogar im Gesetzentwurf, bevor sie kurz vor der Verabschiedung durch den Deutschen Bundestag wieder gestrichen wurde.

Was raten Sie angesichts des aktuellen Sachstands jenen Patient*innen, die selbst entscheiden möchten, wer welche Dokumente sieht, zum Beispiel, weil es um sensible Daten und Diagnosen geht, etwa zu HIV oder psychischen Erkrankungen?

Ich werde mir erst eine ePA zulegen, wenn ich dokumentengenaue Berechtigungen vergeben kann. Gerade die Menschen, die auf den Schutz ihrer sensiblen Gesundheitsdaten angewiesen sind, sollten es ähnlich halten.

Darf, wie von einigen Wissenschaftler*innen gefordert, eine anonymisierte bzw. pseudonymisierte Weitergabe von Daten zu Forschungszwecken auch ohne Einwilligung der Patient*innen erfolgen? Dazu sollten nach Plänen des ehemaligen Gesundheitsministers Spahn von den Kassen die Klardaten ihrer Versicherten an eine Datensammelstelle übermitteln werden. Sind hier der Datenschutz und die Datensicherheit hinreichend gewährleistet?

Anonymisierte Daten durften schon immer ohne Einwilligung an Forschende übermittelt werden, da ihnen per Definition der Personenbezug fehlt. Pseudonymisierte Daten sind dagegen personenbezogene Daten. Diese dürfen nur dann ohne Einwilligung an Forschende übermittelt werden, wenn es hierfür eine gesetzliche Grundlage gibt. So können etwa die pseudonymisierten Abrechnungsdaten von gesetzlichen Krankenkassen, die Gesundheitsdaten enthalten, über das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) derzeit einzurichtende Forschungsdatenzentrum aufgrund einer gesetzlichen Grundlage an Forschende übermittelt werden, sodass es hierfür keiner Einwilligung bedarf.

Kann eine Pandemie wie aktuell Corona dazu führen, dass Daten auch ohne Einwilligung, im Sinne der Pandemiebekämpfung genutzt werden?

Unabhängig von der Pandemie gilt immer: Für jede Form der Datenverarbeitung – also beispielsweise Erhebung, Speicherung oder Weitergabe – bedarf es immer entweder einer gesetzlichen Grundlage oder einer Einwilligung der betroffenen Person. Daran ändert auch die Pandemie nichts.