Datenschutz: Neue ePA mit alten Problemen?
Der Neustart der elektronischen Patientenakte (ePA) steht bevor.
Doch datenschutzrechtlich schleppt die ePA noch Altlasten mit sich. Wie geht es weiter mit dem Streit um das Berechtigungsmanagement zwischen Kassen und Bundesdatenschutzbeauftragter?
Wie bekommen Menschen ohne ePA-App und Smartphone datenschutzrechtskonform Zugriff auf die Inhalte der ePA? Diese Frage ist auch bei der neuen ePA noch offen.
Fortbestehende Datenschutzprobleme bei der ePA? Bundesgesundheitsminister Karl Lauterbach weiß davon nach eigenem Bekunden nichts: „Wir sind da im regelmäßigen Austausch, aber soweit mir bekannt ist, sind die Authentifizierungsprobleme gelöst im Sinne der Datenschutzbeauftragten. Es wäre mir neu, dass da noch ein Punkt offen ist“, sagte er beim Startschuss zur Infokampagne seines Ministeriums über die Opt-out-ePA, die ab Januar ausgerollt werden soll, in der vergangenen Woche in Berlin.
Die Behörde der Bundesdatenschutzbeauftragten (BfDI) sieht das anders. Aus ihrer Sicht sind noch zwei Fragen offen. Die Authentifizierung ist eine davon. Am 6. Mai hat der BfDI – damals noch Ulrich Kelber – den Krankenkassen per Rundschreiben eine offizielle Warnung vor einer unzulässigen Gestaltung der Herabsenkung des Sicherheitsniveaus beim Zugriff auf die ePA ausgesprochen. Diese Warnung gilt weiterhin. „Die Möglichkeit, das Sicherheitsniveau per Einwilligung nach der Erstauthentifizierung dauerhaft abzusenken, sehen wir weiterhin kritisch“, sagte BfDI-Sprecher Christof Stein dem änd.
Ein besonderes Augenmerk legen die Bundesdatenschützer zudem auf das Widerspruchsmanagement der Krankenkassen bei der Opt-out-ePA. „Uns kommt es jetzt darauf an, dass die Krankenkassen die Möglichkeiten zum Widerspruch einfach, fair, barrierefrei und nicht ausschließlich digital anbieten“, sagte Stein weiter.
Während die Infokampagne zur neuen Opt-out-ePA anrollt, setzt sich ein alter Streit zwischen Krankenkassen und BfDI fort: Die Klagen von fünf großen Krankenkassen gegen die Bescheide der Behörde zum Berechtigungsmanagement sind immer noch anhängig. „Die Verfahren laufen weiter“, sagte Stein dem änd. Die Barmer Ersatzkasse bestätigte dies. Die Klage ist nach ihren Angaben seit 7. Oktober 2021 vor dem Sozialgericht Köln anhängig. „Verhandelt wurde in der Sache bislang nicht“, teilte ein Barmer-Sprecher dem änd mit. Er bat um Verständnis, dass die Kasse sich auf die Frage des änd nach einer möglichen Rücknahme der Klage und Umsetzung der Auflagen des BfDI aufgrund des laufenden Verfahrens nicht näher äußere. Die Techniker Krankenkasse (TK) antwortete auch auf mehrfache Nachfrage gar nicht.
Mit dem Bescheid hat der BfDI die Krankenkassen 2021 zum einen verpflichtet, das Zugriffsmanagement zur ePA so zu gestalten, dass auch Menschen, die keine ePA-App am Smartphone nutzen, spezifische Freigaben für unterschiedliche Zugriffe auf die Daten erteilen können (sogenanntes feingranulares Berechtigungsmanagement). Im gleichen Bescheid hat der BfDI gefordert, dass es Versicherten auch ohne App und Smartphone möglich sein müsse, „ohne die Bestellung eines Vertreters“ in ihre Daten Einblick zu nehmen. Beides bleibt aus Sicht der Bundesdatenschützer auch bei der Opt-out-ePA aktuell. Das Bundesamt für Soziale Sicherung hatte der Auffassung des BfDI jedoch damals schon widersprochen. Beobachter gehen davon aus, dass dieser Streit erst vor dem Bundessozialgericht geklärt wird – und das sicher nicht vor dem Start der Opt-out-ePA.
10.10.2024, 15:12, Autor/-in: am https://www.aend.de/article/231330