Gesetzgebung

Wie viel Datenschutz braucht die elektronische Patientenakte?

Das Patiententendatenschutzgesetz biegt auf die Zielgerade ein. Jetzt befasst sich der Bundesrat damit. Die Kritik des obersten Datenschützers der Republik hat das Verfahren wieder spannend gemacht. Zwei Positionen dazu.

Von Hauke Gerlof Veröffentlicht: 02.09.2020, 04:15 Uhr
Der sichere Umgang mit Patientendaten in der ePA wird jetzt auch im Bundesrat diskutiert.

Der sichere Umgang mit Patientendaten in der ePA wird jetzt auch im Bundesrat diskutiert.

© sdecoret / stock.adobe.com

Berlin. Greift der Bundesrat den Plänen der Bundesregierung zum Patiententendatenschutzgesetz (PDSG) noch ins Steuer und ruft den Vermittlungsausschuss an? Oder geht das Gesetz unbeanstandet durch?

An diesem Mittwoch tagt der Gesundheitsausschuss der Länderkammer, auf der Tagesordnung steht unter anderem das PDSG. Mitte September kommt das Gesetz dann ins Plenum, dann entscheidet sich, ob das Gesetz noch eine Ehrenrunde im Vermittlungsausschuss drehen muss – oder nicht.

Zwei Podcasts zum Datenschutz der ePA

Die „Ärzte Zeitung“ hat in zwei Interviews mit den Protagonisten der Datenschutz-Debatte zur ePA gesprochen:

  • Professor Ulrich Kelber, Bundesdatenschutzbeauftragter, erläutert im Podcast, wo aus seiner Sicht die datenschutzrechtlichen Schwächen der Akte liegen.
  • Professor Ferdinand Gerlach, Vorsitzender des Sachverständigenrates zur Begutachtung der Entwicklung im Gesundheitswesen, betont in einer anderen Episode, welches Risiko damit verbunden ist, keine Akte zu haben.

Durch eine Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber und einiger seiner Länder-Kollegen vor der Bundespressekonferenz ist das Gesetzgebungsverfahren nochmal spannend geworden. Denn Kelber glaubt, dass die ePA, das Herzstück des PDSG, sich in der aktuell geplanten Form nicht mit dem europäischen Datenschutzrecht vereinbaren lässt. Er kritisiert unter anderem, dass der Zugriff auf die Daten für Patienten, so wie er jetzt vorgesehen ist, nicht sicher genug sei, und fordert Nachbesserungen. Die Datenschützer drohen sogar, falls das Gesetz unverändert durchgeht, den Krankenkassen vorzuschreiben, ihre Versicherten vorzuwarnen, dass die Akte nicht konform ist mit der EU-Datenschutzgrundverordnung.

Schützenhilfe erhalten die obersten Datenschützer der Republik von mehreren Ärzte- und Psychotherapeutenverbänden, auch KVen meldeten sich zu Wort, zum Beispiel die KV Bayerns.

Einspruch kommt dagegen unter anderem vom Vorsitzenden des Sachverständigenrates Professor Ferdinand Gerlach. Er kritisiert, die Datenschützer würden das Projekt schon vor dem Start kaputtreden. (ger)

Ärzte Zeitung: Herr Professor Kelber, nach Ihrer Kritik am Datenschutz in der E-Patientenakte: Sind Sie ein Gegner der Digitalisierung in der Medizin?

Professor Ulrich Kelber: Ich bin Informatiker, ich bin Technikfreak, ich bin ein totaler Fan von Digitalisierung übrigens auch in der Medizin, ich erwarte mir davon neue Erkenntnisse und die Vermeidung von Fehlern. Ich lasse nur nicht gerne die Digitalisierung und den Datenschutz gegeneinander ausspielen. Die Äußerungen in der Bundespressekonferenz waren sozusagen der letzte Punkt, um vor dem Start des Patientendatenschutzgesetzes (PDSG) noch einmal zu rufen, „die Kritik existiert noch, Ihr müsst sie Euch anschauen, es gibt die Möglichkeit nachzubessern“.

Sie führen an, die ePA verstoße gegen die Europäische Datenschutzgrundverordnung (DSGVO). An welchen Stellen genau sehen Sie denn einen Verstoß?

Bei der elektronischen Patientenakte sehen wir einen Verstoß gegen die DSGVO bei der sicheren Authentifizierung der Versicherten an ihren eigenen mobilen Endgeräten, also außerhalb der gesicherten Telematikinfrastruktur. Und einen Verstoß gegen die Möglichkeit, die Kontrolle über die eigenen Daten zu haben, indem es im ersten Jahr für keinen Versicherten und ab dem zweiten Jahr noch für keinen Versicherten ohne geeignete mobile Endgeräte möglich ist, dokumentengenau die eigene Patientenakte zu steuern.

Stichwort Authentifizierung in der ePA: Inwiefern ist die nicht DSGVO-konform?

Anders als zuerst geplant, soll nicht nur innerhalb der gesicherten Telematikinfrastruktur auf die Akte zugegriffen werden, also beispielsweise von Rechnern in der Arztpraxis, sondern jeder soll von seinem Smartphone, von seinem Tablet aus selbst zugreifen können. Das wollen die Versicherten auch. Nur wenn ich dann von außerhalb durch das Internet auf diese Daten zugreife, dann reicht es eben nicht mehr, sich mit der vierstelligen PIN des eigenen Handys einzuloggen.

Also es muss eigentlich nur etwas nachgebessert werden?

Das Bundesamt für die Sicherheit in der Informationstechnik und wir haben schon vor fast eineinhalb Jahren darauf hingewiesen, dass es hier eine andere technische Lösung geben muss. Andere geeignete Lösungen kommen derzeit auch auf den Markt, so dass es möglich ist, die ePA ab Mai 2021 mit dieser hochsicheren Authentifizierung zu betreiben, und das ist es, was wir erreichen wollen.

Stichwort dokumentengenaue Steuerung der Akte: Wenn die ePA doch freiwillig ist, wo liegt dann eigentlich das Problem? Es ist doch keiner gezwungen, dem Arzt irgendwelche Daten zu zeigen.

Wir Datenschutzbeauftragten haben nicht angekündigt, dass wir den Betrieb der ePA untersagen, sondern wir haben angewiesen, dass die dokumentengenaue Steuerung innerhalb von zwölf Monaten für alle Versicherten umgesetzt werden muss. Und das ist auch nicht nur im Interesse der Versicherten und der Leistungserbringer, sondern auch der Politik. Denn wir brauchen für die Digitalisierung Vertrauen. Und zum Vertrauen gehört, dass ich nicht vor die Wahl gestellt werde, auf die Vorteile der Akte zu verzichten, wenn ich nicht möchte, dass ein Arzt, zu dem ich gehe und dem ich aus eigenem Interesse einige Daten zeigen möchte, gleich alles liest. Dieses Alles-oder-Nichts-Prinzip ist unfair gegenüber den Versicherten und das ist durch die DSGVO nicht gedeckt.

Ärzte Zeitung: Herr Professor Gerlach, der Bundesbeauftragte für den Datenschutz will, dass der Datenschutz bei der ePA, wie sie im PDSG geplant ist, noch verbessert wird. Was ärgert sie daran?

Professor Ferdinand Gerlach: Wir reden hier in Deutschland seit 15 Jahren darüber, eine elektronische Patientenakte einführen zu wollen, und fast alle anderen Länder in Europa haben das längst gemacht. Und jetzt, kurz bevor das passieren soll, grätschen die Datenschutzbehörden dazwischen. Sie wollen den Krankenkassen, die den gesetzlichen Auftrag haben, quasi untersagen, die ePA umzusetzen. Und wenn sie es doch tun, müssen sie den Patienten einen Warnhinweis geben. Das ist so eine Art Beerdigung erster Klasse, bevor es überhaupt losgeht. Patienten und Ärzte werden unnötig verunsichert.

Stimmt es, dass die Akte nicht vereinbar ist mit der EU-DSGVO, wie die Datenschützer sagen?

Die DSGVO gilt nicht nur in Deutschland, sondern in allen 27 Mitgliedsländern der EU. Aber die anderen Länder haben die Akte viel einfacher, viel pragmatischer und, wie wir im Sachverständigenrat glauben, auch viel besser als hier umgesetzt. Und wir sind jetzt kurz davor, dieses wichtige Werkzeug öffentlich kaputtzureden.

Wie stehen denn Sie zum Datenschutz in der Patientenakte?

Wir sind natürlich auch für einen angemessenen Schutz der Daten. Aber man muss auch fragen dürfen, was denn angemessen ist: Die Datenschützer müssten in ihren Warnhinweis auch aufnehmen, welche Risiken bestehen, wenn die Patienten keine ePA haben. So kann es für einen Patienten lebensgefährlich sein, wenn ein Arzt im Notfall nicht weiß, dass sein Patient eine Penicillin-Allergie hat, die im Notfalldatensatz der Akte enthalten wäre. Wir müssen daher die Risiken für den Datenschutz ausbalancieren mit dem Nutzen der ePA.

Woran liegt es, dass in Deutschland immer wieder emotionale Diskussionen über ausreichenden Datenschutz geführt werden?

Das ist tatsächlich eine „German Angst“, ein spezifisch deutsches Phänomen. In Deutschland diskutieren wir zumeist sehr risikoorientiert. Das ist grundsätzlich berechtigt. Oft wird aber vergessen zu fragen, wie können wir die ePA zum Wohl der Patienten optimal nutzen? In Dänemark haben die Bürger hauptsächlich Angst, dass ihre Ärzte nicht wissen, was mit ihnen ist. Sie haben Sorge, dass alle behandelnden Ärzte optimal informiert sind, auch damit es nicht zu Falschbehandlungen kommt. Wir sagen, Gesundheitsdaten müssen besonders geschützt werden. Das stimmt zwar, aber wir sperren die Daten deshalb in den Giftschrank, damit da möglichst keiner rankommt. Dann haben wir zwar ein hoch sicheres System, aber wir können wichtige Informationen nicht zur optimalen Behandlung nutzen.

Woran sollen sich Ärzte in dieser Diskussion orientieren?

Wie im täglichen Leben geht es um eine Abwägung. Wenn ich in ein Auto oder Flugzeug steige, dann überlege ich auch nicht nur einseitig, welche Risiken im Detail auf mich zukommen – schließlich könnte jede Reise tödlich enden. Ich wäge vielmehr auch hier implizit Nutzen und Risiken ab. Genauso müssen wir es hier auch machen. Eine pragmatische und intelligente Lösung wäre etwa „Trust by Design“. So kann ein Patient in Estland jederzeit in seiner ePA sehen, wann wer darauf zugegriffen hat. Nachdem neugierige Ärzte dort in die Akte des Ministerpräsidenten geguckt und Informationen an die Presse gegeben hatten, wurde ihnen die Approbation entzogen. Volle Transparenz und empfindliche Strafen bei Missbrauch führen zu Vertrauen. Genau da müssen wir auch hinkommen.

Mehr zum Thema

Uniklinik Düsseldorf

Patientin durch Folgen des Hacker-Angriffs gestorben?

Patientendatenschutzgesetz

Datenschutzbeauftragter wiederholt Warnungen vor der ePA

KBV-VV

Kommt die IT-Sicherheitsrichtlinie zum 1. November?

Kommentare
Veröffentlichte Meinungsäußerungen entsprechen nicht zwangsläufig der Meinung und Haltung der Ärzte Zeitung.
Carsten Windt

Keine ePA kann lebensgefährlich sein; Eine ePA aber auch.

Zuallererst frage ich mich, was Generationen von Ärzten vor der Digitalisierung gemacht haben? Haben die leichtfertig das Leben Ihrer Patienten gefährdet? Konnten die überhaupt richtig ihren Job ausführen? Ich glaube wir brauchen uns hierüber nicht weiter unterhalten.

Ich sehe aber eine große Gefahr durch dieses Akte. Nicht etwa weil Ärzte schlecht arbeiten, sondern weil die Akte ja letztlich Kosten sparen soll. Machen wir uns nichts vor, der Gesetzgeber und die Kassen würden es nicht machen, wenn man sich nicht einen wirtschaftlichen Vorteil verspricht. Stichwort: Recht auf Zweitmeinung. Existiert erst einmal die Akte, ist es nur einen Schritt für einen Regelung, das Diagnosen welche in der Akte abgelegt werden nicht anzuzweifeln und weitere eine Diagnostik zu unterbinden. Wird dann dennoch die Untersuchung durchgeführt geht dann entweder Arzt leer aus (bzw. er muss die entstehenden Kosten selbst tragen) oder der Patient muss die Behandlung aus eigener Tasche zahlen.
Das wäre dann übrigens die oft beschworene Zweiklassenmedizin, da eine derartige Regelung für privat Versicherte nicht möglich ist.

Dr. Klaus Günterberg

Das Vertrauen in die ärztliche Schweigepflicht (Informatiker sprechen vom Datenschutz) ist wichtiger als die schnellere Übermittling von Befunden oder als mancher mutmaßliche Vorteil einer ePatientenakte. Das Bundesverfassungsgericht hat dazu bereits 2006 geurteilt (Urteil des BVerfG (Az. 2 BvR 1349/05 v. 6.6.2006)), der Bundesdatenschutzbeauftragte hat da völlig recht!

Einzelheiten bitte ich nachzulesen: http://dr-guenterberg.de/content/publikationen/2018/FA-Das-deutsche-TI-Projekt-aus-aerztlicher-Sicht.pdf


Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Abstrich auf SARS-CoV-2: Etwa 500 Infektzentren haben zu den Hochzeiten der Pandemie in Deutschland gearbeitet.

41. Hausärztetag

Hausärzte wollen mehr Qualität bei Infektbehandlung

Mammogramm: Trotz vollständiger operativer Entfernung eines DCIS ist das Risiko, langfristig an Brustkrebs zu sterben stark erhöht, - besonders hoch ist es bei jung erkrankten sowie dunkelhäutigen Frauen.

Therapiestrategie überdenken

Nach DCIS steigt brustkrebsbedingte Sterberate

Die Krankschreibung bei grippalem Infekt kann bei regional erhöhtem COVID-19-Erkrankungen auch nach telefonischem Kontakt erfolgen. Das kann der GBA jetzt kurzfristig beschließen, um auf regionale Hotspots reagieren zu können.

GBA

Corona-Sonderregeln: Telefon-AU lässt sich bei Bedarf aktivieren

Diese Website verwendet Cookies. Weitere Informationen zu Cookies und und insbesondere dazu, wie Sie deren Verwendung widersprechen können, finden Sie in unseren Datenschutzhinweisen.  Verstanden