Krankenkassen klagen gegen vom BfDI verhängte datenschutzaufsichtsrechtliche Maßnahmen zur Durchsetzung einer europarechtskonformen Ausgestaltung der elektronischen Patientenakte (ePA) und damit gegen gleiche Rechte für alle Versicherten.
Im 29. Tätigkeitsbericht (TB) (Nr. 4.2) wurde über die europarechtswidrige Ausgestaltung der ePA auf Grundlage des Patientendaten-Schutz-Gesetzes (PDSG) berichtet. Insbesondere das Zugriffsmanagement ist mit europarechtlichen Vorgaben nicht vereinbar. Die nationalen gesetzlichen Vorgaben sehen vor, dass Zugriffe nur nach dem „Alles-oder –Nichts-Prinzip“ möglich sind. Erst ab dem 1. Januar 2022 kann die Benutzergruppe, die über ein geeignetes mobiles Endgerät verfügt, feingranular , d. h. dokumentenspezifisch Zugriffe erteilen. Die Versicherten, die kein eigenes geeignetes Gerät besitzen oder keines nutzen wollen, werden hiervon nicht erfasst. Sie können lediglich beim Leistungserbringer, z. B. in der ärztlichen Praxis, auf Kategorien von Dokumenten beschränkte Zugriffsrechte erteilen oder einem Dritten mit einem geeigneten technischen Gerät Vertretungsrechte einräumen, müssen dabei aber dieser Person gegenüber alle Daten offenlegen. Außerdem werden diejenigen, die weder ein geeignetes Endgerät nutzen können oder wollen, noch die Vertreterlösung für sich in Anspruch nehmen möchten, auf Dauer auch keinen Einblick in ihre eigene, von ihnen selbst zu führende ePA haben.
Diese gesetzlichen Vorgaben beschneiden die Souveränität der Versicherten empfindlich und stellen einen Verstoß gegen die für die Verarbeitung personenbezogener Daten geltenden Grundsätze der:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a) DSGVO),
- Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO),
- Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO,
- Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO)
dar, sowie einen Verstoß gegen Art. 25 Abs. 1 DSGVO, wonach der Verantwortliche unter Berücksichtigung unter anderem des Stands der Technik geeignete technische und organisatorische Maßnahmen treffen muss. Diese müssen dafür ausgelegt sein, die genannten Verarbeitungsgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Person zu schützen.
Nachdem die im November 2020 gegenüber der Datenschutzaufsicht unterliegenden gesetzlichen Krankenkassen ausgesprochene Warnung (vgl. ebenfalls 29. TB, Nr. 4.2) keine Änderung herbeigeführt hat, hat der BfDI angekündigte datenschutzaufsichtsrechtliche Maßnahmeverfahren voranzutreiben und im September 2021 fünf große gesetzliche Krankenkassen gemäß Art. 58 Abs. 2 lit. d) DSGVO angewiesen:
- Das Zugriffsmanagement der ePA so auszugestalten, dass Versicherte eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 SGB V in den Zugriff sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der ePA barrierefrei erteilen („feingranulares Zugriffsmanagement“ ) können. Dies kann für Versicherte, die keine Benutzeroberfläche eines geeigneten Endgeräts verwenden (Frontend-Nichtnutzer), insbesondere mittels der dezentralen Infrastruktur der Leistungserbringer oder durch sonstige technische Einrichtungen bei den Leistungserbringern bzw. in ihren Geschäftsräumen oder in Kooperation mit anderen Krankenkassen oder Stellen erfüllt werden.
- Das Zugriffsmanagement der ePA so auszugestalten, dass auch Frontend-Nichtnutzer auch ohne die Bestellung eines Vertreters in die sie betreffenden personenbezogenen Daten (sowohl Dokumente und Datensätze der ePA als auch Protokolldaten) Einblick nehmen können. Dies kann ebenfalls insbesondere mittels der dezentralen Infrastruktur der Leistungserbringer oder durch sonstige technische Einrichtungen bei den Leistungserbringern bzw. in ihren Geschäftsräumen oder in Kooperation mit anderen Krankenkassen oder Stellen erfüllt werden.
- Für Versicherte, die die Benutzeroberfläche eines geeigneten Endgeräts verwenden (Frontend-Nutzer), hat die Umsetzung der Ziffer 1 bis zum 31. Dezember 2021, spätestens jedoch innerhalb von einem Monat nach Rechtskraft eines etwaigen abschließenden Urteils zu erfolgen.
- Für Frontend-Nichtnutzer hat die Umsetzung der Ziffern 1 und 2 binnen eines Jahres zu erfolgen.
Gegen diese Anweisungen haben die adressierten Krankenkassen Klage erhoben.
Quelle: BfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks