Gesetzgebung
Wie viel Datenschutz braucht die elektronische Patientenakte?
Das Patiententendatenschutzgesetz biegt auf die Zielgerade ein. Jetzt befasst sich der Bundesrat damit. Die Kritik des obersten Datenschützers der Republik hat das Verfahren wieder spannend gemacht. Zwei Positionen dazu.
Veröffentlicht:
Der sichere Umgang mit Patientendaten in der ePA wird jetzt auch im Bundesrat diskutiert.
© sdecoret / stock.adobe.com
Berlin. Greift der Bundesrat den Plänen der Bundesregierung zum Patiententendatenschutzgesetz (PDSG) noch ins Steuer und ruft den Vermittlungsausschuss an? Oder geht das Gesetz unbeanstandet durch?
An diesem Mittwoch tagt der Gesundheitsausschuss der Länderkammer, auf der Tagesordnung steht unter anderem das PDSG. Mitte September kommt das Gesetz dann ins Plenum, dann entscheidet sich, ob das Gesetz noch eine Ehrenrunde im Vermittlungsausschuss drehen muss – oder nicht.
Zwei Podcasts zum Datenschutz der ePA
Die „Ärzte Zeitung“ hat in zwei Interviews mit den Protagonisten der Datenschutz-Debatte zur ePA gesprochen:
- Professor Ulrich Kelber, Bundesdatenschutzbeauftragter, erläutert im Podcast, wo aus seiner Sicht die datenschutzrechtlichen Schwächen der Akte liegen.
- Professor Ferdinand Gerlach, Vorsitzender des Sachverständigenrates zur Begutachtung der Entwicklung im Gesundheitswesen, betont in einer anderen Episode, welches Risiko damit verbunden ist, keine Akte zu haben.
Durch eine Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber und einiger seiner Länder-Kollegen vor der Bundespressekonferenz ist das Gesetzgebungsverfahren nochmal spannend geworden. Denn Kelber glaubt, dass die ePA, das Herzstück des PDSG, sich in der aktuell geplanten Form nicht mit dem europäischen Datenschutzrecht vereinbaren lässt. Er kritisiert unter anderem, dass der Zugriff auf die Daten für Patienten, so wie er jetzt vorgesehen ist, nicht sicher genug sei, und fordert Nachbesserungen. Die Datenschützer drohen sogar, falls das Gesetz unverändert durchgeht, den Krankenkassen vorzuschreiben, ihre Versicherten vorzuwarnen, dass die Akte nicht konform ist mit der EU-Datenschutzgrundverordnung.
Schützenhilfe erhalten die obersten Datenschützer der Republik von mehreren Ärzte- und Psychotherapeutenverbänden, auch KVen meldeten sich zu Wort, zum Beispiel die KV Bayerns.
Einspruch kommt dagegen unter anderem vom Vorsitzenden des Sachverständigenrates Professor Ferdinand Gerlach. Er kritisiert, die Datenschützer würden das Projekt schon vor dem Start kaputtreden. (ger)
Ärzte Zeitung: Herr Professor Kelber, nach Ihrer Kritik am Datenschutz in der E-Patientenakte: Sind Sie ein Gegner der Digitalisierung in der Medizin?
Professor Ulrich Kelber: Ich bin Informatiker, ich bin Technikfreak, ich bin ein totaler Fan von Digitalisierung übrigens auch in der Medizin, ich erwarte mir davon neue Erkenntnisse und die Vermeidung von Fehlern. Ich lasse nur nicht gerne die Digitalisierung und den Datenschutz gegeneinander ausspielen. Die Äußerungen in der Bundespressekonferenz waren sozusagen der letzte Punkt, um vor dem Start des Patientendatenschutzgesetzes (PDSG) noch einmal zu rufen, „die Kritik existiert noch, Ihr müsst sie Euch anschauen, es gibt die Möglichkeit nachzubessern“.
Sie führen an, die ePA verstoße gegen die Europäische Datenschutzgrundverordnung (DSGVO). An welchen Stellen genau sehen Sie denn einen Verstoß?
Bei der elektronischen Patientenakte sehen wir einen Verstoß gegen die DSGVO bei der sicheren Authentifizierung der Versicherten an ihren eigenen mobilen Endgeräten, also außerhalb der gesicherten Telematikinfrastruktur. Und einen Verstoß gegen die Möglichkeit, die Kontrolle über die eigenen Daten zu haben, indem es im ersten Jahr für keinen Versicherten und ab dem zweiten Jahr noch für keinen Versicherten ohne geeignete mobile Endgeräte möglich ist, dokumentengenau die eigene Patientenakte zu steuern.
Stichwort Authentifizierung in der ePA: Inwiefern ist die nicht DSGVO-konform?
Anders als zuerst geplant, soll nicht nur innerhalb der gesicherten Telematikinfrastruktur auf die Akte zugegriffen werden, also beispielsweise von Rechnern in der Arztpraxis, sondern jeder soll von seinem Smartphone, von seinem Tablet aus selbst zugreifen können. Das wollen die Versicherten auch. Nur wenn ich dann von außerhalb durch das Internet auf diese Daten zugreife, dann reicht es eben nicht mehr, sich mit der vierstelligen PIN des eigenen Handys einzuloggen.
Also es muss eigentlich nur etwas nachgebessert werden?
Das Bundesamt für die Sicherheit in der Informationstechnik und wir haben schon vor fast eineinhalb Jahren darauf hingewiesen, dass es hier eine andere technische Lösung geben muss. Andere geeignete Lösungen kommen derzeit auch auf den Markt, so dass es möglich ist, die ePA ab Mai 2021 mit dieser hochsicheren Authentifizierung zu betreiben, und das ist es, was wir erreichen wollen.
Stichwort dokumentengenaue Steuerung der Akte: Wenn die ePA doch freiwillig ist, wo liegt dann eigentlich das Problem? Es ist doch keiner gezwungen, dem Arzt irgendwelche Daten zu zeigen.
Wir Datenschutzbeauftragten haben nicht angekündigt, dass wir den Betrieb der ePA untersagen, sondern wir haben angewiesen, dass die dokumentengenaue Steuerung innerhalb von zwölf Monaten für alle Versicherten umgesetzt werden muss. Und das ist auch nicht nur im Interesse der Versicherten und der Leistungserbringer, sondern auch der Politik. Denn wir brauchen für die Digitalisierung Vertrauen. Und zum Vertrauen gehört, dass ich nicht vor die Wahl gestellt werde, auf die Vorteile der Akte zu verzichten, wenn ich nicht möchte, dass ein Arzt, zu dem ich gehe und dem ich aus eigenem Interesse einige Daten zeigen möchte, gleich alles liest. Dieses Alles-oder-Nichts-Prinzip ist unfair gegenüber den Versicherten und das ist durch die DSGVO nicht gedeckt.
Ärzte Zeitung: Herr Professor Gerlach, der Bundesbeauftragte für den Datenschutz will, dass der Datenschutz bei der ePA, wie sie im PDSG geplant ist, noch verbessert wird. Was ärgert sie daran?
Professor Ferdinand Gerlach: Wir reden hier in Deutschland seit 15 Jahren darüber, eine elektronische Patientenakte einführen zu wollen, und fast alle anderen Länder in Europa haben das längst gemacht. Und jetzt, kurz bevor das passieren soll, grätschen die Datenschutzbehörden dazwischen. Sie wollen den Krankenkassen, die den gesetzlichen Auftrag haben, quasi untersagen, die ePA umzusetzen. Und wenn sie es doch tun, müssen sie den Patienten einen Warnhinweis geben. Das ist so eine Art Beerdigung erster Klasse, bevor es überhaupt losgeht. Patienten und Ärzte werden unnötig verunsichert.
Stimmt es, dass die Akte nicht vereinbar ist mit der EU-DSGVO, wie die Datenschützer sagen?
Die DSGVO gilt nicht nur in Deutschland, sondern in allen 27 Mitgliedsländern der EU. Aber die anderen Länder haben die Akte viel einfacher, viel pragmatischer und, wie wir im Sachverständigenrat glauben, auch viel besser als hier umgesetzt. Und wir sind jetzt kurz davor, dieses wichtige Werkzeug öffentlich kaputtzureden.
Wie stehen denn Sie zum Datenschutz in der Patientenakte?
Wir sind natürlich auch für einen angemessenen Schutz der Daten. Aber man muss auch fragen dürfen, was denn angemessen ist: Die Datenschützer müssten in ihren Warnhinweis auch aufnehmen, welche Risiken bestehen, wenn die Patienten keine ePA haben. So kann es für einen Patienten lebensgefährlich sein, wenn ein Arzt im Notfall nicht weiß, dass sein Patient eine Penicillin-Allergie hat, die im Notfalldatensatz der Akte enthalten wäre. Wir müssen daher die Risiken für den Datenschutz ausbalancieren mit dem Nutzen der ePA.
Woran liegt es, dass in Deutschland immer wieder emotionale Diskussionen über ausreichenden Datenschutz geführt werden?
Das ist tatsächlich eine „German Angst“, ein spezifisch deutsches Phänomen. In Deutschland diskutieren wir zumeist sehr risikoorientiert. Das ist grundsätzlich berechtigt. Oft wird aber vergessen zu fragen, wie können wir die ePA zum Wohl der Patienten optimal nutzen? In Dänemark haben die Bürger hauptsächlich Angst, dass ihre Ärzte nicht wissen, was mit ihnen ist. Sie haben Sorge, dass alle behandelnden Ärzte optimal informiert sind, auch damit es nicht zu Falschbehandlungen kommt. Wir sagen, Gesundheitsdaten müssen besonders geschützt werden. Das stimmt zwar, aber wir sperren die Daten deshalb in den Giftschrank, damit da möglichst keiner rankommt. Dann haben wir zwar ein hoch sicheres System, aber wir können wichtige Informationen nicht zur optimalen Behandlung nutzen.
Woran sollen sich Ärzte in dieser Diskussion orientieren?
Wie im täglichen Leben geht es um eine Abwägung. Wenn ich in ein Auto oder Flugzeug steige, dann überlege ich auch nicht nur einseitig, welche Risiken im Detail auf mich zukommen – schließlich könnte jede Reise tödlich enden. Ich wäge vielmehr auch hier implizit Nutzen und Risiken ab. Genauso müssen wir es hier auch machen. Eine pragmatische und intelligente Lösung wäre etwa „Trust by Design“. So kann ein Patient in Estland jederzeit in seiner ePA sehen, wann wer darauf zugegriffen hat. Nachdem neugierige Ärzte dort in die Akte des Ministerpräsidenten geguckt und Informationen an die Presse gegeben hatten, wurde ihnen die Approbation entzogen. Volle Transparenz und empfindliche Strafen bei Missbrauch führen zu Vertrauen. Genau da müssen wir auch hinkommen.
