Quelle: aerzteblatt.de – Das Bundesamt für Soziale Sicherung stärkt den Krankenkassen im Streit mit dem Bundesdatenschutzbeauftragen Ulrich Kelber (SPD) über die Datenschutz und -sicherheit bei der elektronischen Patientenakte (ePA) den Rücken.
In einem Schreiben an die bundesmittelbaren Kassen, für das das Bundesamt für Soziale Sicherung (BAS) als Aufsichtsbehörde zuständig ist, heißt es nun, dass die Bedenken von Kelber zu möglichen Verstößen gegen die Datenschutzgrundverodrndung (DSGVO) „nicht geteilt werden.“
Zusätzlich ist das BAS der Meinung, dass der Bundesdatenschutzbeauftragte (BfDI) nicht befugt sei, diese „ausgesprochene Warnung“ in ein aufsichtsrechtliches Verfahren zu überführen. Bei der Warnung handele „es sich nicht um einen Verwaltungsakt, weil die Warnung keine unmittelbaren Rechtspflichten auslöst.“
Wenn es dazu kommt, „wie der BfDI in seinen diversen Presseberichten angedroht hat, ist aber eine Verfahrensbeteiligung durch die Rechtsaufsichtsbehörden sichergestellt“, so das BAS. Denn dann sei das BAS selbst zuständig und strebe eine gerichtliche Überprüfung der möglichen Verfügungen durch den Datenschutzbeauftragten an.
Vor solch einer Eskalation warnt die Kassenaufsichtsbehörde: „Wir sind uns dessen bewusst, dass eine gerichtliche Klärung die Ultima Ratio sein sollte. Allen Beteiligten sollte allerdings klar sein, dass es hier nicht um eine abstrakte Rechtsposition und deren Bestätigungen, sondern um die Weiterentwicklung der Digitalisierung im Gesundheitswesen geht.“
Ein deutlicher Appell in dieser Weise ist seitens einer Aufsichtsbehörde eher unüblich. Denn das BAS hält auch fest, man sei gewillt, ein Gerichtsverfahren „soweit erforderlich“ auch entsprechend einzuleiten.
„Regelungen zur ePA sind datenschutzkonform“
In dem Schreiben wird ausgeführt, an welchen Stellen aus Sicht des BAS der Datenschutzbeauftragte in der rechtlichen Bewertung falsch liegt. Die rechtlichen Bedenken seien im Gesetzgebungsverfahren zum Patientendatenschutzgesetz (PSDG) bereits geprüft worden, auch der Bundesdatenschutzbeauftragte war daran beteiligt.
Weiter heißt es: „Die Regelungen zur ePA sind gemessen an den Anforderungen der Datenschutzgrundverordnung bereits mit ihrem Start ab dem 1. Januar 2021 auch ohne ein differenziertes, feingranulares Rollen- und Rechtemanagement datenschutzkonform.“
Für das BAS sei es ein wichtiges Kriterium, dass die ePa eine „freiwillige Anwendung“ sei, „über deren Funktionsweisen die Krankenkassen die Versicherten umfassend informieren müssen“, heißt es in der Stellungnahme weiter. Damit seien die wichtigsten Vorgaben der DSGVO erfüllt.
Das in der ersten Ausbaustufe der ePa geplante Berechtigungsmanagement „genügt darüber hinaus den Datenschutzgrundsätzen der Datenminimierung, der Zweckbindung und der Vertraulichkeit“, heißt es. Es könne daher kein Verstoß gegen mehrere vom Bundesdatenschutzbeauftragten zitierte Verstöße geben, so das BAS.
In der Stellungnahme kurz vor dem offiziellen Start der ePa gibt das BAS den ihnen zur Aufsicht unterstellten Krankenkassen auch Hinweise, „ob und wie die Forderungen des BfDI rein faktisch umgesetzt werden können.“ Es führe zu einem rechtlichen Dilemma, dass die Krankenkassen „nach unserer Interpretation“ keine „technischen Möglichkeiten haben, über die Spezifikationen der Gematik hinaus eigene technische Vorgaben in der ePA zu realisieren.“
Damit seien „die Umsetzung eines feingranularen Zugriffsmanagement unabhängig von den Spezifikationen der Gematik objektiv unmöglich“, schreibt das BAS. Daher empfehle das BAS, falls es zu einem aufsichtsrechtlichen Verfahren kommen sollte, die gerichtliche Klärung dessen.
Als Schlussfolgerung schreibt das BAS: „Der Datenschutz und die Sicherheit der Datenverarbeitung in der ePA sind mit Ihren Konzepten der Freiwilligkeit, der informierten Selbstbestimmung und des Diskriminierungsverbots Eckpfeiler der Digitalisierung, die für das Vertrauen und die Akzeptanz digitaler Lösungen essentiell sind.“
