Die E-Patientenakte kommt - mit Datenschutz-Warnung

Digitale Gesundheitsakte in Form einer App (Symbolbild)
Bild: dpa Rönt­gen­bilder, Impfungen, Medi­kamen­ten­pläne: Wich­tige Daten für den nächsten Arzt­besuch sollen Pati­enten bald auch digital parat haben - in einer elek­tro­nischen Akte. Doch beim Start des frei­wil­ligen Ange­bots im neuen Jahr drohen Warnungen vor mangelndem Daten­schutz an Millionen Versi­cherte. Der oberste Daten­schützer Ulrich Kelber sagte der Deut­schen Presse-Agentur, selbst­ver­ständ­lich könne er keine Gesetze korri­gieren. "Ich kann und muss aber einschreiten, wenn bei Stellen, die meiner Aufsicht unter­liegen, Daten­ver­arbei­tungs­vor­gänge gegen geltende Daten­schutz­vor­schriften verstoßen." Das Bundes­gesund­heits­minis­terium wies Bedenken zurück.

Konkret plant Kelber Warnungen und Anwei­sungen an 65 gesetz­liche Kran­ken­kassen mit insge­samt 44,5 Millionen Versi­cherten, über die er die Daten­schutz­auf­sicht hat. Dies zielt unter anderem darauf, dass Kassen vorge­gebene "Warn­texte" an Versi­cherte schi­cken müssen. Der Bundes­daten­schutz­beauf­tragte hatte Konse­quenzen ange­kün­digt, wenn ein vom Bundestag beschlos­senes Daten­schutz­gesetz für die E-Akten unver­ändert bleibt. An diesem Freitag kommt es abschlie­ßend in den Bundesrat, und der Gesund­heits­aus­schuss empfiehlt, es zu billigen.

Ab 1. Januar 2021 frei­willig nutzbar

Digitale Gesundheitsakte in Form einer App (Symbolbild)
Bild: dpa E-Akten sollen allen Versi­cherten ab 1. Januar 2021 zur frei­wil­ligen Nutzung ange­boten werden. In der Kritik steht aber schon seit längerem, dass zum Start eine etwas "abge­speckte" Version bei den Zugriffs­rechten vorge­sehen ist. So können Pati­enten fest­legen, welche Daten über­haupt in die E-Akte sollen und welcher Arzt sie sehen darf. Genauere Zugriffe je nach Arzt nur für einzelne Doku­mente kommen aber erst Anfang 2022. Das zwinge Nutzer zu einem "Alles oder Nichts", hatte Kelber wieder­holt moniert - ein Zahn­arzt könne alle Befunde eines Psych­iaters sehen. Die Oppo­sition kriti­siert das eben­falls.

Kelber sagte, er plane vor dem 1. Januar 2021 eine Warnung an die ihm unter­ste­henden Kassen zu senden, dass eine reine Gesetzes-Umset­zung "zu einem euro­parechts­wid­rigen, defi­zitären Zugriffs­manage­ment" führen würde. "Der nächste Schritt werden Anwei­sungen sein." Sie sollen die Kassen verpflichten, bis zum 31. Dezember 2021 für eine Ausge­stal­tung des Zugriffs­manage­ments zu sorgen, die der euro­päi­schen Daten­schutz­grund­ver­ord­nung (DSGVO) entspricht. In der Zwischen­zeit sollen sie Versi­cherten, die ihre digi­tale Akte frei­willig nutzen möchten, "einen vorge­gebenen Warn­text" zukommen lassen müssen.

Bundes­regie­rung teilt die Bedenken nicht

Das Gesund­heits­minis­terium betonte, die Bundes­regie­rung teile die Bedenken ausdrück­lich nicht. Ressort­chef Jens Spahn (CDU) machte am Mitt­woch gene­rell deut­lich, zu Beginn werde nicht alles perfekt sein. Er hob aber "höchste Stan­dards" für Daten­schutz und Daten­sicher­heit hervor. Spahn will nach jahre­langem Gezerre um mehr Funk­tionen der elek­tro­nischen Gesund­heits­karte Tempo bei der Digi­tali­sie­rung machen. Linke-Gesund­heits­experte Achim Kessler nannte es ein Armuts­zeugnis für Spahn, dass Kelber eine "Notbremse" ziehen müsse. So wie geplant, wider­spreche die E-Akte dem Anspruch an Pati­enten­sou­verä­nität.

Kelber will auch mit Blick auf die IT-Sicher­heit einschreiten - zunächst per Warnung an die Kassen. Nach dem 1. Januar 2021 will er sie dann anweisen, bis spätes­tens 30. April 2021 ein "hoch" sicheres Verfahren anzu­bieten, mit dem man sich für eine berech­tigte Nutzung anmelden kann. Die vorge­sehenen Authen­tifi­zie­rungs­ver­fahren seien "aus Daten­schutz­sicht nicht ausrei­chend sicher" und entsprä­chen nicht den DSGVO-Vorgaben, hatte er im August erläu­tert.

Kelber betonte, er unter­stütze ausdrück­lich die Digi­tali­sie­rung des Gesund­heits­wesens. "Sie bietet riesige Chancen für uns alle." Dies müsse aber auf Grund­lage der DSGVO geschehen. Daher laute seine Forde­rung: "Eine sichere elek­tro­nische Pati­enten­akte für alle, bei der man seine Daten voll im Griff hat." Im aktu­ellen Fall sehe er, dass die gesetz­lichen Kran­ken­kassen in einer "beson­deren Situa­tion" seien: "Sie sollen die Gesetze umsetzen, setzen sich damit aber in Wider­spruch zum euro­päi­schen Recht." Daher würde er sich ein fest­geschrie­benes Recht als Bundes­daten­schutz­beauf­tragter wünschen, natio­nale Normen bei vermu­teter Euro­parechts­wid­rig­keit dem Euro­päi­schen Gerichtshof (EuGH) vorlegen zu können.

Die Krank­schrei­bung per Video­kon­ferenz wurde inzwi­schen gene­rell erlaubt - auch ohne Corona.