Ihr Datenschutz-Experte in Neumarkt i. d. OPf.

Die elektronische Patientenakte und die DSGVO

Warum muss bei der elektronischen Patientenakte in Sachen Datenschutz nachjustiert werden? 

Ab dem 1. Januar 2021 müssen Krankenkassen ihren Versicherten die elektronische Patientenakte, kurz ePA, zur Verfügung stellen. 

Mit dem neuen Patientendatenschutzgesetz (PDSG) sollen digitale Angebote wie die ePA nutzbar gemacht werden um die Digitalisierung im Gesundheitswesen voranzutreiben. 

Was kann die elektronische Patientenakte?

Mit der ePA können ab Januar 2021 Befunde, Rezepte, Allergieberichte usw. zentral in eine digitale Akte hochgeladen werden. Alle wichtigen medizinischen Daten sind dann zentral an „einer Stelle“ hinterlegt. 

Der Nutzer muss sich die ePA- App auf sein Smartphone oder Tablet herunterladen und kann dann alle medizinischen Daten aus dieser App heraus verwalten. 

Der Nutzer kann bsp. dem Hausarzt erlauben Befunde hochzuladen und kann Fachärzte freischalten diese zu lesen. Auch kann man Apotheken freischalten E-Rezepte einzusehen. 

Soweit die Theorie. Doch in Sachen Datenschutz hat die ePA derzeit ein großes Problem. 

Probleme bei der Vergabe von Zugriffsberechtigungen in der elektronischen Patientenakte. 

2021 befindet sich die Akte noch in der Ausbaustufe. Alle Beteiligten binden sich nach und nach an das neue System an. 

Hier tritt das Datenschutzproblem auf: Denn die Zugriffsrechte auf die Akte sind noch nicht dokumentengenau geregelt. 

Das heißt, gibt man „Befunde“ für den Hausarzt und Zahnarzt frei, können beide alle hochgeladenen Befunde lesen. 

Ein Beispiel: 

Ein Patient möchte, dass der Psychiater den letzten Befund in die Akte hochlädt, damit der Hausarzt diesen lesen kann. Ein paar Wochen später bitte der Patient den Zahnarzt ebenfalls einen Befund hochzuladen. Rein theoretisch können jetzt der Hausarzt, der Zahnarzt, sowie der Psychiater alle hochgeladen Befunde des anderen Arztes lesen. Also kann auch der Zahnarzt den Befund vom Psychiater lesen.

Und das ist das große Problem: Dem Nutzer der ePA ist es im ersten Jahr noch nicht möglich, dokumentengenau zu bestimmen wer was lesen darf. 

Hier gibt es einen groben Verstoß gegen die Datenschutzgrundverordnung!

Denn schon von Anfang an sollte es jedem Nutzer möglich sein, die eigenen Gesundheitsdaten, so schützen zu können, wie es die DSGVO für sensible Daten wie diese vorsieht. 

Nutzung der elektronischen Patientenakte nur über Smartphone oder Tablet möglich. 

Zu dem Problem der „Zugriffsberechtigung“ kommt noch hinzu, dass die Akte nur über ein passendes End-Gerät genutzt werden kann. 

Wer also kein Smartphone oder Tablet besitzt ist außen vor. 

Der Patient ist hier also nicht „Herr über seine Daten“.

Es ist zwar angedacht, dass man ab 2022 einen Vertreter bestimmten kann, welcher dann die Akte „steuern“ kann. Hier muss aber der Patient auch wieder die volle Hoheit über seine Gesundheitsdaten an Dritte weitergeben.

Wer also zu „alt“ ist, aus gesundheitlichen Gründen oder einfach kein Smartphone oder Tablet nutzen möchte, ist bei der elektronischen Patientenakte stark benachteiligt. 

Bundesdatenschutzbeauftrager Ulrich Kleber kritisiert vehement die elektronische Patientenakte. 

Prof. Ulrich Kleber hat in mehreren Stellungnahmen darauf hingewiesen, „dass Patientinnen und Patienten bei der Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen.“  Kleber formuliert es so, dass der Nutzer anfangs zu einem „Alles oder nichts“ gezwungen wird. 

Er wies daraufhin, dass falls bei der elektronischen Patientenakte nicht nachgebessert werde, alle Krankenkassen mit ihren 44,5 Millionen Versicherten, welche vorhaben die ePA mit ihrem jetzigen Stand einzusetzen, formell gewarnt werden, da dies ein eurparechtswidriges Verhalten darstellen würde. Nach der DSGVO stehe ihm sogar die Untersagung der ePA zur Verfügung.

Hier geht’s zur Stellungnahme von Prof. Ulrich Kleber. 

Wer ist verantwortlich für den Datenschutz bei der elektronischen Patientenakte?

Verantwortlich für die Sicherheit der Daten in der elektronischen Patientenakte ist der Anbieter. Das sind eigentlich die Krankenkassen. Hier taucht aber wieder ein neues Problem auf: Denn wenn eine Krankenkasse die ePA an die Vorgaben der DSGVO anpassen möchte, kann sie dies nicht tun, weil die Akte für Kassen und Patienten gleich ist. 

Fazit zum Einsatz der elektronischen Patientenakte.  

Als Datenschutzbeauftragte rate ich von einem Gebrauch der ePA gleich bei der Einführung im Jahr 2021 ab. 

So lange die Zugriffsregelungen dokumentengenau nicht möglich sind, ist eindringlich davon abzuraten die elektronische Patientenakte zu nutzen. 

 Zudem sollte man sich als Betroffener, Patient und Bürger gut überlegen, ob man die sensibelsten Daten, die man hat, nämlich die eigenen Gesundheitsdaten in einem System hinterlegen möchte, welches datenschutztechnisch sehr scharf kritisiert wird.