Tätigkeitsbericht
Viel Arbeit für den Datenschutzbeauftragten beim Gesundheitswesen
In seinem jüngsten Tätigkeitsbericht beschäftigt sich der Bundesdatenschutzbeauftragte unter anderem mit der Digitalisierung im Gesundheitswesen und warnt vor unverschlüsseltem Mailversand sensibler Daten.
Veröffentlicht:
Der Bundesdatenschutzbeauftragte fordert umfassende und konkrete Patientenrechte zur Datenverwaltung in der ePA.
© dpa
Berlin. Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) hat davor gewarnt, den Gesundheitsschutz gegen einen vernünftigen Datenschutz ins Feld zu führen. „Keine geeignete und erforderliche Maßnahme zur Pandemiebekämpfung wurde aufgrund datenschutzrechtlicher Vorgaben blockiert“, sagte Ulrich Kelber am Mittwoch in Berlin bei der Vorstellung des aktuellen Tätigkeitsberichtes seiner Behörde. Der Datenschutz trage dazu bei, dass die Akzeptanz gegenüber Maßnahmen zum Gesundheitsschutz steige, so Kelber. Die Vorstellung der Corona-Warn-App am Dienstag sei dafür der beste Beweis. Kelber bekräftigte seine Kritik an dem Verfahren, wie ein Infektionsstatus in der App offiziell bestätigt werde. Zum Start der App würden offenbar nur zehn Prozent der Testergebnisse datenschutzfreundlich digital übertragen. Der große Rest müsse über eine Telefon-Hotline gehen.
Ein Baustein: Verantwortung der TI
In dem aktuellen Tätigkeitsbericht befasst sich die Behörde schwerpunktmäßig unter anderem mit der Digitalisierung im Gesundheitswesen. Sie könne „nur mit einem hohen Datenschutz- und Datensicherheitsniveau gelingen, denn sie ist auf die Verarbeitung zahlreicher sensibler Gesundheitsdaten ausgerichtet. Hier müssen Gesetze sicherstellen, dass digitalisierte Gesundheitsdaten nicht durch private oder staatliche Stellen missbraucht werden und auch nicht zu Stigmatisierung oder Gesundheitsprofilbildung führen“, so Kelber.
Wichtig für den Berichtzeitraum 2019 war in diesem Zusammenhang zu klären, dass die gematik eine datenschutzrechtliche Mitverantwortung für die Telematikinfrastruktur (TI) trage, „weil sie mit ihren Vorgaben und Festlegungen Mittel und Zweck für die Datenverarbeitung in der TI bestimmt“.
Das befreie Ärzte aber nicht von ihrer Verantwortung, ihre Konnektoren für die Übermittlung von Patientendaten zu nutzen. Eine Datenschutz-Folgenabschätzung hinsichtlich der Aufstellung des Konnektors, wie sie nach Angaben Kelbers zahlreiche Ärzte vorgenommen haben, sei unnötig, da nicht die Leistungserbringer, sondern die gematik als Betreibergesellschaft diesen Teil der TI verantworte.
In Sachen elektronischer Patientenakte, die zum 1. Januar 2021 eingeführt werden soll, plädiert Kelber in seinem Tätigkeitsbericht erneut, von Beginn an ein differenziertes Rollen- und Rechtemanagement in die ePA zu implementieren. Es sei wichtig, dass Patienten „souverän über die Nutzung ihrer dort gespeicherten Daten bestimmen“ und „dokumentengenau die Zugriffe an einzelne Leistungserbringer erteilen“ können, wie es in dem Bericht heißt.
Die ePA soll jedoch zunächst mit eingeschränkten Patientenrechten kommen, ein differenziertes Rechtemanagement erst in den Folgeschritten realisiert werden.
Problem: Unverschlüsselte Mails
Der Datenschutzbeauftragte kritisiert außerdem das unverschlüsselte Versenden sensibler Daten. Besonders kritisch sei dies, wenn Gesundheitsdaten betroffen seien. Selbst Einwilligungen betroffener Personen zum unverschlüsselten Mail-Versand könnten Verantwortliche nicht von ihrer Pflicht entbinden, Maßnahmen zum Schutz personenbezogener Daten zu treffen, heißt es. Vielfach werde versucht, über Einwilligungen diese Art der „unverschlossenen“ Datenübermittlung zu legitimieren. Kelber dazu: „Ich halte eine solche Einwilligung weder für freiwillig erteilt noch für datenschutzkonform. Sie kann in keinem Fall die unverschlüsselte Übermittlung personenbezogener Daten legitimieren.“
Der Bericht zum Datenschutz wurde erstmals in dem von der Datenschutz-Grundverordnung vorgegebenen jährlichen Turnus verfasst. (mit Material von dpa)
