Die elektronische Patientenakte (ePA) soll Versicherten helfen, ihre Gesundheitsdaten sicher und effizient zu verwalten. Doch mit der ePA 3.0 wurde die Möglichkeit entfernt, den Zugriff auf einzelne Dokumente gezielt zu steuern.
Das Problem: Aktuell können Versicherte einem Arzt oder Therapeuten nur vollständigen Zugriff auf alle Dokumente geben oder ihm den Zugriff komplett verweigern. Das bedeutet, dass ein Zahnarzt beispielsweise nicht nur zahnmedizinische Unterlagen sieht, sondern auch sensible Daten aus anderen medizinischen Bereichen. Alternativ bleibt nur die Möglichkeit, alle sensiblen Dokumente auf „privat“ zu setzen – was jedoch dazu führt, dass auch der Hausarzt oder andere wichtige Behandler diese nicht mehr einsehen können.

Warum? Jeder hat ein Recht auf Intimität, Datenschutz und Selbstbestimmung!
Jeder Mensch hat Geheimnisse, die bis auf die involvierten Ärzte niemanden etwas angehen. Ein Patient will seine psychotherapeutischen Befunde nicht auch dem Hautarzt vorlegen müssen. Doch die aktuelle ePA zwingt ihn dazu: Entweder sie offenbaren alles – oder sie verstecken Teile ihrer Geschichte, die für andere Ärzte lebenswichtig sein könnten.
Gesundheitsdaten sind keine bloßen Dateien. Sie erzählen Geschichten von Scham, Hoffnung und Verletzlichkeit. Patienten verdienen die Macht, selbst zu entscheiden, wem Sie davon erzählen wollen – ohne dass dies die Tür zum Behandlungserfolg verschließt!

Die ePA sollte ein Tool sein, die medizinische Versorgung auf ein neues Niveau zu heben – nicht ein System, das Patient:innen in die Zerrissenheit zwischen Privatsphäre und lebenswichtigen Behandlungserfolg treibt. Mit jedem Dokument, das wir verstecken müssen, verlieren wir auch ein Stück medizinische Wahrheit.
Die gezielte, feingranulare Berechtigungssteuerung ist kein technisches Detail. Sie gibt uns zurück, was die Digitalisierung nie nehmen durfte: Das Recht, über unsere intimsten Gesundheitsgeheimnisse zu bestimmen – ohne dass dies den Preis der medizinischen Sicherheit kostet.

Es sei zudem darauf hingewiesen, dass das Fehlen eines feingranularen Berechtigungsmanagements nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (Schreiben v. 06.11.2020, GZ 13-315/105#1147) gegen Art. 25 und 32 DSGVO verstößt.

Zitat: "Nach Art. 25 DSGVO trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen um die Verarbeitungsgrundsätze wie Datenminimierung umzusetzen und Garantien zum Schutz der Rechte der betroffenen Person aufzunehmen. Hierzu gehören nach Art. 25 Abs. 2 DSGVO auch datenschutzfreundliche Voreinstellungen. Nach aktuellem Stand der Technik ist ein dokumentenspezifisches, feingranulares Berechtigungsmanagement möglich, wie es in einer Vielzahl von Anwendungen bereits auf dem Markt angeboten wird. Damit wird den datenschutzrechtlichen Verarbeitungsgrundsätzen der Datenminimierung (Art. 5 Abs. 1 Buchst. c) DSGVO), der Erforderlichkeit und
Zweckbindung (Art. 5 Abs. 1 Buchst. b) DSGVO) sowie der Vertraulichkeit (Art. 5 Abs. 1 Buchst. f) DSGVO) entsprochen. Sollte zu Beginn also eine Berechtigung nur nach dem „Alles oder Nichts-Prinzip“ umgesetzt werden, entspricht dies nicht dem Stand der Technik und verstößt gegen die Vorgaben in Art. 25 sowie Art. 5 Abs. 1 Buchst. b), c) und f) DSGVO." (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allgemein/2020/Warnung-Krankenkassen-ePA.html)

Ferner verstößt es auch gegen § 342 Abs. 2 Nr. 1 lit. c) SGB V, der ein solches feingranulares Berechtigungsmanagement explizit anordnet. (Anmerkung: Seit dem 15.01. müssen die Krankenkassen gem. § 342 Abs. 1 SGB V diese Regelung nicht mehr berücksichtigen.)