Datensparsamkeit, Zugriffsrechte, Organisation der Datenhaltung und manches mehr: Wenn es um die Digitalisierung im Gesundheitswesen geht, hat die seit September 2024 amtierende Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) an vielen Stellen Kontrollpflichten und Aufsichtsrechte. Aber der digitale Zugriffsschutz und die Sicherheit vor Hackerangriffen auf die elektronische Patientenakte (ePA) ist nicht ihre Baustelle.

Das hat die BfDI Professorin Louisa Specht-Riemenschneider bereits bei der Übergabe des jüngsten Tätigkeitsberichts deutlich gemacht, und das hat sie nochmals im „ÄrzteTag“-Podcast betont. Hier seien die Kolleginnen und Kollegen im Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Pflicht. Und in der Kritik, wie zuletzt, nachdem der Chaos Computer Club auch die angeblich gesicherte ePA erneut gehackt hatte.

Zugriff auf die ePA auch ohne digitale Hilfsmittel?

Im Podcast nimmt die Juristin aber klar Stellung dazu, ob die ePA unter Datenschutz-Aspekten sicher ist: Hier gehe es weniger um die Entscheidung, ob ein Patient per Opt-in oder per Opt-out der Nutzung der elektronischen Akte zustimmen oder diese ablehnen kann – „Das ist eine politische Entscheidung, keine juristische“, so Specht-Riemenschneider.

Vielmehr seien hier Fragen zu klären, ob auch ein Zugriff auf die Akte erfolgen kann ohne digitale Hilfsmittel, ob die Verschattungsmöglichkeiten in der Akte feingranular oder eher grob gestaltet werden oder ähnliche Fragen der Datenverarbeitung – aber eben nicht um die Datensicherheit.

Zu welchen Zwecken die Daten genutzt werden

Im Gespräch erläutert Specht-Riemenschneider, wie die rechtlichen Bestimmungen verhindern, dass ein monetäres Interesse an der Ausleitung der Daten aus der ePA überwiegt – und zu welchen Zwecken die Daten tatsächlich genutzt werden dürfen.

Sie geht auf die Bedenken der Kinderärzte ein, die den Datenschutz im Interesse der Kinder und Jugendlichen bemängelt haben, weil die Eltern auch noch in einem Alter Zugriff auf die Akte haben, in dem die Jugendlichen nicht wünschen, dass Eltern alles erfahren. Und sie spricht über die unterschiedliche Interpretation der EU-Datenschutzgrundverordnung in den Ländern der Europäischen Union.