Diese Feststellung trifft der Bundesdatenschutzbeauftragte Ulrich Kelber in Abschnitt 4.2 seines Tätigkeitsberichts für 2020.Er bekräftigt damit seine bereits im Jahr 2020 benannten Bewertungen.

Ein Auszug aus dem Tätigkeitsbericht (ab S. 36) mit den wesentlichen Kritikpunkten:

• „Das im PDSG normierte Zugriffsmanagement der ePA verstößt gegen die DSGVO und die Grundrechte der Versicherten. So erhalten die Versicherten zum Start der ePA am 1. Januar 2021 nicht die volle Hoheit über ihre eigenen Gesundheitsdaten. Das bedeutet z.B., dass im Jahr 2021 kein Versicherter den Zugriff seines Arztes auf einzelne, für die Behandlung notwendige Dokumente, beschränken kann. Der Versicherte hat lediglich die Wahl, Leistungserbringern (z.B. seinen Ärzten) entweder die Berechtigung für den Zugriff auf alle gespeicherten Daten (Befunde, Diagnosen, Therapiemaßnahmen etc.) und alle von ihm selbst in die ePA eingestellten Dokumente zu erteilen oder sie ganz zu verweigern. Es gilt also das Alles-oder-Nichts-Prinzip. D.h. jede Person, der Zugriff auf ein ärztliches oder vom Versicherten selbst eingestelltes Dokument gewährt wird, kann jeweils alle Informationen in der ePA einsehen, auch wenn dies für die jeweilige Behandlung nicht erforderlich ist.“
• „Erst ab dem Jahr 2022 sieht das PDSG eine Verbesserung vor. Dies gilt aber nur, wenn man ein mobiles Gerät (z.B. Smartphone, Tablet) nutzt. Ab diesem Zeitpunkt könnten dann mittels Smartphone oder Tablet dokumentengenaue Zugriffe erteilt werden.Die große Gruppe von Menschen, die kein eigenes Gerät besitzen oder keines benutzen wollen, wird hiervon nicht erfasst. Diese Versicherten werden weiterhin in ihrer Patientensouveränität beschränkt. Sie können lediglich beim Leistungserbringer, z.B. in der ärztlichen Praxis, auf Kategorien von Dokumenten beschränkte Zugriffsrechte erteilen. Alternativ können sie einem Vertretenden mit einem geeigneten technischen Gerät Vertretungsrechte einräumen. Nur der Vertretende kann dann für diese Personen dokumentengenaue Berechtigungen erteilen. Dies bedeutet, dass die Versicherten dem Vertretenden alle in ihrer ePA vorhandenen Gesundheitsdaten, d.h. auch intimste Informationen, offenbaren müssen.“
• „Zudem hilft die Vertretung nicht denjenigen Versicherten, die z.B. aus Sicherheitsgründen bewusst kein Smartphone oder Tablet für die Verwaltung ihrer ePA einsetzen wollen – und damit auch kein entsprechendes Gerät eines Vertretenden. Datenschutzrechtlich kritisch zu bewerten ist auch, dass die Vielzahl derjenigen Menschen, die kein eigenes Endgerät haben oder nutzen wollen, auf Dauer auch keinen Einblick in ihre eigene, von ihnen selbst zu führende ePA haben werden. Sie werden also von einer entsprechenden Nutzung der ePA ausgeschlossen. Somit kann diese Personengruppe auch nicht von den Vorteilen einer ePA in der Gesundheitsversorgung profitieren. Diese gravierenden Einschränkungen der Patientensouveränität stehen in Widerspruch zu elementaren Vorgaben der DSGVO und verstoßen damit gegen in Deutschland unmittelbar geltendes europäisches Recht…“
• „Ein weiterer zentraler datenschutzrechtlicher Kritikpunkt ist das nicht den Vorgaben der DSGVO entsprechende Authentifizierungsverfahren der ePA mit eigenen Endgeräten. Weil Gesundheitsdaten besonders sensibel sind, bedürfen Zugriffe auf die ePA immer hochsicherer Authentifizierungsverfahren, die stets dem aktuellen Stand der Technik entsprechen müssen. Das Verfahren der ‚Alternativen Versichertenidentität‘, mit dem Versicherte sich auch ohne Einsatz der eGK an ihrer ePA anmelden können, basiert auf einem Signaturdienst und erfüllt diese Sicherheitsanforderungen nicht vollständig…“
• „Eine Umsetzung der ePA ausschließlich nach den Vorgaben des PDSG ist europarechtswidrig und erfordert daher die Verhängung aufsichtsrechtlicher Maßnahmen…“