Berlin – Bei der Nutzung der elektronischen Patientenakte (ePA) sieht die Bundesdatenschutzbeauftragte (BfDI) Louisa Specht-Riemenschneider derzeit keine datenschutzrechtlichen Verletzungen.
Für die bundesweite Einführung gebe es aus ihrer Sicht keine größeren Hürden, erklärte die Rechtswissenschaftlerin heute bei der Vorstellung des Tätigkeitsberichts 2024 für den Datenschutz und die Informationsfreiheit. Gesundheit ist ein Schwerpunktthema des aktuellen Berichts.
Die ePA wird seit Mitte Januar in den drei Modellregionen Hamburg, Franken und Nordrhein-Westfalen getestet. Eine zeitnahe Ausweitung dieser Testphase über die Regionen hinaus ist geplant, kündigte Bundesgesundheitsminister Karl Lauterbach (SPD) diese Woche an.
Specht-Riemenschneider ist dem Chaos Computer Club (CCC) dankbar für das Aufdecken von Sicherheitslücken Ende vergangenen Jahres. Nur wenn Systeme auf Schwachstellen getestet würden, könnten sie auf dem Niveau sicher sein, dass Daten der Patienten geschützt seien, betonte Specht-Riemenschneider.
Ob die ePA sicher sei, entscheide aber nicht sie, sondern das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wenn ihre Behörde aber sehe, dass es einen datenschutzrechtswidrigen Zustand bei der ePA geben würde, werde man darüber sprechen, so dass dieser beendet werde, kündigte sie an.
Sie appellierte an die Versicherten, dass sie sich selbst über die ePA informieren und selbst die Entscheidung darüber treffen sollten, ob sie die ePA nutzen wollten. Es sei genauso legitim, wenn sich Versicherte gegen die ePA entscheiden würden, sagte sie.
Hinsichtlich der ePA habe Specht-Riemenschneider auch ein Brief der Kinder- und Jugendärzte erreicht, die auf mögliche Zugriffsprobleme bei der ePA hingewiesen haben. Allerdings seien die dort geschilderten Probleme keine originär datenschutzrechtlichen Probleme, sondern auch etwa zivilrechtlicher Natur, etwa wann Kinder einwilligungspflichtig seien, erläuterte Specht-Riemenschneider.
Ihre Behörde habe als Reaktion ein Schreiben an das Bundesgesundheitsministerium (BMG) gesendet und darin gefordert, dass diese Fragen geklärt werden müssten, so Specht-Riemenschneider. „Wir haben das auf dem Schirm und darauf hingewiesen, dass dies ein großes Problem werden könnte.“
Nachbesserungen bei der ePA dennoch nötig
Bereits erreicht habe ihre Behörde, dass die Krankenkassen ihren Versicherten auf verschiedenen Kommunikationskanälen ermöglichen, der Einrichtung der ePA zu widersprechen. Zudem hätten die Kassen auf Drängen der Datenschutzbehörde ihre diesbezüglichen Informationen für Versicherte verständlicher aufbereitet.
In dem vorliegenden 33. Tätigkeitsbericht empfiehlt Specht-Riemenschneider zudem, dass die Benutzerführung in der ePA so gestaltet wird, dass Versicherte in jeder Situation verstehen können, welche Konsequenzen ihre Handlungen haben. So sei es etwa möglich E-Rezepte aus dem E-Rezept-Fachdienst zu löschen, diese aber trotzdem in der ePA erhalten bleiben würden. Darüber müsse man besser aufklären.
Verbesserungsbedarf sieht Specht-Riemenschneider dem Bericht zufolge zudem bei den Einstellmöglichkeiten von Daten und Dokumenten in die ePA für weniger digitalaffine Menschen ohne eigene App. Zwar müssen die Krankenkassen sogenannte Ombudsstellen für Versicherte einrichten, die bei Anliegen rund um die ePA unterstützen sollen. Allerdings können in dieser Stelle keine Einsicht in die Inhalte der ePA genommen oder Zugriffsrechte auf einzelne Daten eingestellt werden.
Guter Umgang mit stigmatisierenden Diagnosen wichtig
Weil nun automatisch mehr ärztliche Praxen oder Apotheken und damit ein größerer Personenkreis auf die ePA ZugriffePA Zugriff haben werden, sei der Umgang mit sensiblen Daten sehr wichtig, heißt es weiter in dem Bericht. So könnten etwa einzelne Rezepte aus dem sich eine potenziell stigmatisierende Diagnose ableiten lasse, nicht in der Medikationsliste verborgen werden.
„Um diese Diagnose zu verbergen, muss die betroffene Person in diesem Fall auf die Vorteile der digitalen Unterstützung des Medikationsprozesses ganz verzichten“, so Specht-Riemenschneider. Deshalb wäre es besser, wenn potenziell stigmatisierende Diagnosen nicht ohne aktive Zustimmung der Versicherten in die ePA gelangen würden.
Das geplante Forschungsdatenzentrum Gesundheit (FDZ-Gesundheit), das derzeit am Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) aufgebaut wird, begrüßte Specht-Riemenschneider. Durch die Beratung der Datenschutzbehörde sei die Nutzung der Daten für Forschungszwecke unter den Prinzipien der Vertraulichkeit und Datenminimierung möglich.
„Ich bin zuversichtlich, dass das Beispiel zeigen wird, Forschung mit Gesundheitsdaten ist untrunter Wahrung des Datenschutzrechtes möglich und wird nicht dadurch verhindert.“ Sie wünsche sich zudem mehr solcher Positivbeispiele. Ab Sommer soll das FDZ-Gesundheit starten und die Patientendaten aus der ePA für Forschungszwecke genutzt werden können.
Rechtsgrundlage für KI-Trainings nötig
Für die verstärkte Nutzung von künstlicher Intelligenz (KI) nicht nur in der Medizin empfiehlt Specht-Riemenschneider dem Gesetzgeber zudem, eine Rechtsgrundlage für das Training von KI zu schaffen. Dem europäischen Datenschutz zufolge sei das Trainieren von KI auf Grundlage der Datenschutz-Grundverordnung (DSGVO) zwar möglich. Allerdings gebe es diesbezüglich noch Rechtsunsicherheit. Diese müsse der Gesetzgeber „aus dem Markt nehmen“.
So müsste eine gesetzliche Grundlage einen Katalog mit genauen Leitplanken definieren, wie KI-Trainings datenschutzkonform durchgeführt werden könnten. Vorbild sei hierfür Großbritannien, das dies bereits definiert hätte.
Zu diesem Katalog müssten Fragen geklärt werden, etwa wann und für welche Zwecke Daten für KI-Trainingszwecke und die KI selbst genutzt werden dürften, welche Schutzmaßnahmen entsprechend ergriffen werden müssten, wie lange die Daten gespeichert werden dürften und was man nach dem Training mit den Daten tun dürfe.
Über diese Fragen, also welche Datennutzbarkeit unter Wahrung des Datenschutzrechtes stattfinden soll oder nicht, müsse sich die Politik und die Gesellschaft verstärkt Gedanken machen, forderte sie. Fraglich ist auch ob man jeden Bereich auf eine rechtssichere Grundlage stellen oder ob man sich auf bestimmte Bereiche, etwa die Verbesserung der Krebstherapie, fokussieren wolle.
Um Unternehmen und Projekte bei entsprechenden KI-Vorhaben zu unterstützen, soll ihre Behörde ab Herbst ein KI-Reallabor anbieten, kündigte die Datenschutzbeauftragte heute an. Dieses Instrument soll anhand der DSGVO und des europäischen Datenschutzrechts Unternehmen, die KI-Projekte anstreben, unterstützen. Projekte, die entsprechende Unterstützung vom BfDI erhalten wollen, müssten sich in einem Ausschreibungsverfahren bewerben.
Nicht jedes Projekt könne im Rahmen des KI-Reallabors unterstützt werden, erklärte Specht-Riemenschneider. Sie schätzt, dass rund drei bis fünf Projekte pro Jahr gefördert werden könnten. Geplant sei aber die Erkenntnisse, die aus diesen Projekten entstehen sollen, in abstrahierter Form zur Verfügung zu stellen.
18.04.2025
#crpsselbsthilfe #CRPSgehtallean #chronischeschmerzen #Nervenentgleisung #morbussudeck #ehrenamt #selbsthilfe #gemeinsamstark #chronicpain #pain #crpsawareness #ColorTheWorldOrange #CRPSOrangeDay #reflexdystrophie