Stellungnahme des Bundesdatenschutzbeauftragten zum Patientendaten-Schutzgesetz veröffentlicht

Gesunde_daten/ April 7, 2020/ alle Beiträge, Gesundheitsdatenschutz, Telematik-Infrastruktur/ 2 comments

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat am 03.04.2020 seine Stellungnahme zum Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutzgesetz – PDSG) veröffentlicht. Darin erklärt er eingangs: „Ich unterstütze die Digitalisierung des Gesundheitswesens, insbesondere soweit sie Verbesserungen für die Versicherten bringt. Aufgrund der besonderen Schutzbedürftigkeit von Gesundheitsdaten ist die Gewährleistung des Datenschutzes und der Datensicherheit dabei von herausragender Bedeutung… im Hinblick auf die Umsetzung dieser Prämissen weist der Gesetzentwurf noch wesentliche datenschutzrechtliche Defizite auf, z.B. in Bezug auf das Zugriffsmanagement der ePA und die Freigabe von Daten für die Forschung…“

Im Abschnitt „1. Datenschutzrechtliche Verantwortung und Datenschutz-Folgenabschätzung“ wird angeregt. „im Gesetzentwurf eine entsprechende DSFA gemäß Artikel 35 Absatz 10 DSGVO verbindlich vorzusehen.“ Dies ist im Gesetzentwurf der Bundesregierung bislang nicht berücksichtigt.

Im Abschnitt „2. Zugriffsmanagement für die ePA“ wird die Kritik am Gesetzentwurf der Bundesregierung noch deutlicher formuliert: „Ein feingranulares, d.h. dokumentenbezogenes, Zugriffsmanagement der Versicherten bzw. der von ihnen bestellten Vertreter in Bezug auf die ePA ist zur Wahrung der Datensouveränität… von zentraler Bedeutung. Insoweit bestehen gravierende Defizite.Der Gesetzentwurf gewährt dieses feingranulare Zugriffsmanagement nur denjenigen Versicherten, die über die Benutzeroberfläche eines geeigneten Endgeräts (z.B. eine App) auf die ePA zugreifen können (sog. Frontend-Nutzer) –und dies auch erst ab dem 1. Januar 2022… d.h. nicht bereits zum Startzeitpunkt der ePAam 1. Januar 2021. Zudem fehlen Vorgaben, die es den Versicherten ermöglichen, ihre Zugriffsfreigaben effizient und einfach zu erteilen und zu verwalten. Nach dem Gesetzentwurf soll die ePA zum 1. Januar 2021 mit einem grobgranularen Zugriffsmanagement sowohl für die Frontend-Nutzer als auch für diejenigen Versicherten starten, die kein Frontend nutzen können oder wollen. Letztere können in Ermangelung eigener Zugriffsmöglichkeiten nur mittels der dezentralen Infrastruktur der Leistungserbringer Zugriffsberechtigungen erteilen. Dies ist umso kritischer zu bewerten, als dieser Personenkreis für die Zeit vom 1. Januar 2021 bis zum 1. Januar 2022 zwar eine ePA besitzen kann, allerdings selbst keinen Einblick in seine eigene, von ihm selbst zu führende ePA nehmen kann…Damit steht der Gesetzentwurf, insbesondere in Bezug auf die Frontend-Nichtnutzer, in Widerspruch zu zentralen datenschutzrechtlichen Vorgaben. Ich rege dringend eine datenschutzkonforme Änderung an…“

Im Abschnitt „3. Authentifizierungsverfahren“ erklärt der Bundesdatenschutzbeauftragte, dass „nur mit einer sicheren Authentifizierung auf höchstem Niveau… das Risiko angemessen minimiert werden (kann), dass die besonders sensiblen und schutzwürdigen Gesundheitsdaten Unbefugten zur Kenntnis gelangen.“ Daraus folgend kritisiert er, dass die „mit §§ 291und 340 PDSG-E nur abstrakt festgelegten Anforderungen…demgegenüber weitergehende Risiken für die Versicherten“ begründen.

Im Abschnitt „4.Elektronische Verordnungen“ wird festgestellt: „Bei dieser Anwendung findet zudem ein Paradigmenwechsel statt, da die gematik eine entsprechende App zu entwickeln und zur Verfügung zu stellen hat (vgl. § 311 Absatz 1 Nr. 10 PDSG-E). Die Aufgabe der gematik beschränkt sich demnach nicht auf die Erstellung von Spezifikationen und Sicherheitsanforderungen, nach denen Dritte, also Hersteller, Komponenten oder Dienste der TI anzubieten haben. Die gematik wird vielmehr selbst zum Hersteller. Dies hat zur Folge, dass die gematik ihre eigenen Entwicklungen zu prüfen und zuzulassen hat. Insoweit besteht zumindest die Gefahr einer potentiellen Befangenheit.Ein externes Sicherheitsgutachten ist insoweit kein ausreichendes Korrektiv.Im Übrigen sind die Regelungen zur Einführung der elektronischen Verordnung nicht hinreichend normenklar und ausreichend…“

Diesen allgemeinen Bewertungen schließt sich eine Liste von insgesamt 27 Punkten an, in denen der Bundesdatenschutzbeauftragte konkrete Änderungen bzw. Präzisierungen einzelner gesetzlicher Neuregelungen im Patientendaten-Schutzgesetz (PDSG) fordert.

 

2 Comments

  1. Datenschützer droht mit Stopp der elektronischen Patientenakte
    07.04.2020 16:20 Uhr
    Von Stefan Krempl

    Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert den Regierungsentwurf für ein Patientendaten-Schutzgesetz scharf.
    Kelber sieht diesen Ansatz im „Widerspruch zu zentralen datenschutzrechtlichen Vorgaben“. „Als Aufsichtsbehörde obliegt es mir gegenüber den meiner Zuständigkeit unterfallenden Stellen“ darauf zu achten, dass die Auflagen eingehalten würden, schreibt der Kontrolleur in seiner Stellungnahme zu dem Entwurf. Er behalte es sich daher vor, – soweit erforderlich – „aufsichtsrechtliche Maßnahmen zu ergreifen“, also etwa den Krankenkassen gegebenenfalls den Einsatz einer nicht datenschutzkonformen Online-Akte zu untersagen.

    https://www.heise.de/newsticker/meldung/Datenschuetzer-droht-mit-Stopp-der-elektronischen-Patientenakte-4698992.html

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*