Tätigkeitsbericht 2025
Bundesdatenschutzbeauftragte: ePA-Zugriff ist noch nicht EU-konform
Spektakuläre Verfehlungen hat die Bundesdatenschutzbeauftragte aus der Gesundheitswirtschaft aktuell nicht zu berichten. Hier gilt es vielmehr, dicke Bretter in Sachen ePA-Zuschnitt zu bohren.
Veröffentlicht:
Wer darf was in der elektronischen Patientenakte sehen? EU-Recht sieht eigentlich vor, dass darüber nur die Patienten selbst befinden.
© Stockwerk-Fotodesign / stock.adobe.com
Bonn. Vertrauen ist gut, Kontrolle ist besser: Mit 11.824 Eingaben (5.494 Beschwerden, 6.330 Anfragen) hat die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) vergangenes Jahr so viele Publikumskontakte bearbeitet, wie schon lange nicht mehr.
„Die Zahl der Beschwerden hat sich innerhalb von zwei Jahren mehr als verdoppelt“, heißt es in einer Mitteilung anlässlich der Veröffentlichung des 34. BfDI-Tätigkeitsberichts.
Die Zahlen zeigten, „dass immer mehr Menschen erwarten, dass Datenschutzaufsicht ihnen hilft, ihre Rechte gegenüber Unternehmen, Behörden und anderen öffentlichen Einrichtungen durchzusetzen.“
Behördenchefin Louisa Specht-Riemenschneider übergab den Tätigkeitsbericht für 2025 am heutigen Mittwoch an Bundestagspräsidentin Julia Klöckner (CDU). Sensible Gesundheitsdaten stellen traditionell einen Interessenschwerpunkt der Datenschützer dar.
Zuletzt standen auf diesem Gebiet zwei Entwicklungen im Fokus der Bonner Oberaufsicht: Der bundesweite Rollout der elektronischen Patientenakte (ePA) sowie die datengestützte Recherche nach individuellen Gesundheitsrisiken durch Kranken- und Pflegekassen.
Klärungsbedarf mit Gesetzgeber und gematik
Eine offene ePA-Baustelle sieht Specht-Riemenschneider insbesondere noch im fehlenden Zugriffsmanagement der Patienten, die „trotz vielfältiger Widerspruchsmöglichkeiten“ aktuell nicht selbst festlegen können, „dass einzelne Leistungserbringer nur auf bestimmte Dokumente zugreifen dürfen“.
Dabei sei mit der EU-Verordnung über den Europäischen Gesundheitsdatenraum (EHDS-VO) bereits auf übergeordneter Ebene „das Recht auf Beschränkung des Zugangs zu personenbezogenen elektronischen Gesundheitsdaten oder Teilen davon explizit geregelt“.
Die Verordnung ist am 26. März 2025 in Kraft getreten und soll schrittweise in mehreren Rechtsakten über vier Jahre umgesetzt werden. Demnach sollen Bürgerinnen und Bürger nicht nur regelmäßig selbst auf ihre Gesundheitsdaten zugreifen können, sondern auch in der Lage sein, den Datenzugang für Leistungserbringer konkret abzustecken.
Unmittelbare Geltung entfalte die EHDS-Verordnung ab Ende März 2029, heißt es. Ob und wie sich die EU-Vorgaben dann auf das Rechtemanagement der ePA auswirken, „werde ich mit dem Gesetzgeber, der gematik und den Krankenkassen erörtern“, kündigt Specht-Riemenschneider in ihrem Tätigkeitsbericht an.
Ausdrücklich begrüßt wird hingegen, dass im Zuge des Pflegekompetenzgesetzes Leistungserbringern – nicht jedoch Patienten – der Zugang zu ePA-hinterlegten Abrechnungsdaten inzwischen versperrt wurde. „Dies trägt zum Schutz vor indirekter Offenbarung sensibler Informationen der Versicherten bei“, lobt die Datenschützerin.
Informationspflicht der Kassen bei Datenauswertung
Mit dem vor zwei Jahren verabschiedeten Gesundheitsdatennutzungsgesetz wurde Kranken- und Pflegekassen erstmals die Möglichkeit eröffnet, Abrechnungs- und Verordnungsdaten versichertenbezogen nach Impflücken oder Hinweisen auf schwerwiegende oder seltene Erkrankungen zu durchforsten (Paragraf 25b SGB V).
Doch die Informationspflicht der Kostenträger hinsichtlich des Rechts ihrer Versicherten, einer solchen Datenauswertung zu widersprechen, sei im Gesetz nicht eindeutig geregelt, kritisiert Specht-Riemenschneider.
In einem Rundschreiben an die Kassen interpretiert sie die Gesetzesbegründung dahingehend, dass diese „ihre Informationspflicht durch eine öffentliche Information an die Versicherten erfüllen können“. Auf eine „versichertenindividuelle Kenntnisnahme“ komme es nicht an – „wohl jedoch auf die Möglichkeit zur Kenntnisnahme“, der einzig und allein ein Hinweis auf der Kassen-Website oder im Mitgliederblättchen nicht genüge.
Stattdessen müssten die Kranken- und Pflegekassen auf mehreren Kanälen gleichzeitig – und dort jeweils „gut sichtbar“ – das Widerspruchsrecht ansprechen.
Ob ihre Versicherten danach „in geeigneter Weise Kenntnis von der Information“ hatten nehmen können, sei zunächst von jeder Kasse selbst zu beurteilen. „Sollte die Prüfung ergeben, dass das zur Verfügung stehende Maßnahmenportfolio nicht ausreicht, um die betroffenen Versicherten in geeigneter Weise öffentlich zu informieren, muss im Zweifel auf die versichertenindividuelle Information zurückgegriffen werden.“ (cw)
