Pharmazeutische Zeitung online
Datenschutzbeauftragter

PDSG auf Kollisionskurs mit EU-Recht

Das kürzlich verabschiedete Patientendaten-Schutzgesetz (PDSG) ist nicht europarechtskonform. So sieht es zumindest der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber. Zusammen mit drei Landesbeauftragten für den Datenschutz erklärte er am heutigen Mittwoch in der Bundespressekonferenz, dass es derzeit mit der europäischen Datenschutz-Grundverordnung (DSGVO) kollidiert.
Charlotte Kurz
19.08.2020  14:20 Uhr

»Dass ich mich zusammen mit meinen Kollegen aus den Ländern noch im laufenden Gesetzgebungsverfahren an Sie wende zeigt, wie schwerwiegend wir die Lage einschätzen«, erklärte der Datenschutzbeauftragte Kelber in Berlin. Er habe während der gesamten Entstehung des Gesetzentwurfs wiederholt und eindringlich auf die Einhaltung der seit vielen Jahren bekannten Vereinbarung der Datenschutz-Grundverordnung (DSGVO) gedrängt, umso unbefriedigender sei das Ergebnis in einigen wichtigen Punkten.

Vor allem zwei Kritikpunkte nennt Kelber in Bezug auf die aktuelle Fassung des PDSG. Zum 1. Januar 2021 müssen die Krankenkassen laut Gesetz ihren Versicherten eine elektronische Patientenakte (EPA) anbieten. Im ersten Jahr ist im PDSG jedoch kein »feingranulares Zugriffsrecht« vorgesehen. Das bedeutet, dass Versicherte ihre Dokumente noch nicht einsehen können. »Das Zugriffsmanagement bietet nur eine unzureichende Kontrolle der Versicherten über ihre Daten«, kritisierte Kelber. Erst ab 2022 ist dies möglich. Aber auch dann können Versicherte nur mit einem geeigneten Endgerät, sprich einem Mobilgerät oder Tablet, auf die EPA zugreifen. Versicherte, die nicht über ein solches Gerät verfügen, haben keinen Zugriff, bemängelt er. Kelber fordert deshalb eine »dokumentengenaue Kontrolle für alle Versicherten«. Mit Kassenterminals oder Tablets in Arztpraxen könnte beispielsweise dafür gesorgt werden, dass auch Personen ohne entsprechendes Gerät einen Einblick in ihre EPA erhielten.

Der zweite Kritikpunkt betrifft das Authentifizierungsverfahren der EPA. »Das heute vorgesehene Verfahren ist aus Datenschutzsicht nicht hinreichend sicher und entspricht damit nicht den Vorgaben der Datenschutzgrundverordnung«, mahnt Kelber. Es muss sicher gestellt sein, dass die Krankenkassen auf ein hochsicheres Authentifizierungsverfahren zurückgreifen, weil Gesundheitsdaten besonders sensibel sind, so Kelber.

Datenschutzbeauftragte wollen Kassen warnen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Stefan Brink, pocht auf eine Nachbesserung durch den Gesetzgeber. Die Datenschutzbeauftragten können selbst keine Gesetze korrigieren, sehen sich aber in der Pflicht, bei rechtswidrigen Vorhaben einzuschreiten. Kelber plant noch vor dem 1. Januar eine Warnung an die Krankenkassen auszusprechen, dass »sie in Gefahr geraten, eine elektronische Patientenakte mit mangelhafter Kontrolle der Daten durch die Versicherten und ein nicht ausreichend sicheres Authentifizierungsverfahren anzubieten und damit europarechtswidrig zu handeln.« Die 65 Kassen hierzulande mit ihren rund 45 Millionen Versicherten unterliegen der datenschutzrechtlichen BfDI-Aufsicht.

Im nächsten Schritt will Kelber die Krankenkassen in die Pflicht nehmen, im Laufe des nächsten Jahres eine europarechtskonforme EPA zu entwickeln. Die AOK Niedersachsen arbeite beispielsweise bereits mit dem AOK Bundesverband an einer Möglichkeit, dass Versicherte von Beginn an ein umfängliches Zugriffsmanagement ihrer Daten in der EPA erhalten, erklärte Barbara Thiel, Landesbeauftragte für den Datenschutz in Niedersachsen. Bis Mai 2021 will Kelber die Kassen außerdem verpflichten, ein hochsicheres Authentifizierungsverfahren anzubieten. Bis die zwei Kritikpunkte allerdings berücksichtigt werden, sollen die Kassen in der Zwischenzeit allen Versicherten einen von Kelber formulierten Warntext zuschicken.

Nächsten Monat soll das Gesetz den Bundesrat passieren. Dass das PDSG allerdings noch vor dem Inkrafttreten im Januar 2021 gekippt wird, hält Brink auf Nachfrage der PZ für unwahrscheinlich, denn ein entsprechendes Verfahren beispielsweise beim Europäischen Gerichtshof (EuGH) würde mindestens zwei Jahre dauern.

Bundesgesundheitsministerium teilt die Bedenken nicht

In einer Stellungnahme, die der PZ vorliegt, erklärt das Bundesgesundheitsministerium (BMG), dass die Bundesregierung die Bedenken des Bundesdatenschutzbeauftragten »ausdrücklich nicht teilt«. Das PDSG wurde vor seiner Verabschiedung im Bundestag von den jeweiligen Ressorts rechtlich umfassend geprüft, so das BMG. »Außerdem war der BfDI selbst in die fachlichen Diskussionen eingebunden und hat an der Erarbeitung der Regelungen mitgewirkt.« Weiter erläutert das BMG, dass das Thema Datenschutz für die Bundesregierung ein wichtiges Anliegen sei. Mit dem Bundesdatenschutzbeauftragten befindet sich das Ministerium in einem kontinuierlichen Austausch. Jedoch bleibe die EPA eine freiwillige Anwendung. Und die Hoheit der Daten bleibe beim Versicherten, betont das Ministerium.

Mehr von Avoxa