E-Rezept und Schutzmaskenverteilung im Visier der Datenschützer

Auch für den Bundesdatenschutzbeauftragten Ulrich Kelber nahm die Pandemie im vergangenen Jahr viel Raum ein. Datenschutzfragen stellten sich zum Beispiel im Hinblick auf die Corona-Warn-App. Während die App viel Kritik einstecken musste und muss (nicht zuletzt wegen des aus Sicht einiger zu ernst genommenen Datenschutzes), ist sie für Kelber ein positives Beispiel dafür, „wie durch die konsequente Einbindung einer Datenschutzaufsichtsbehörde im gesamten Entwicklungsprozess ein aus datenschutzrechtlicher Sicht hervorragendes Produkt an den Markt gebracht werden konnte“.

Doch an vielerlei anderen Stellen hätte Kelber gern mehr Einfluss genommen. Bei der Vorstellung des aktuellen Tätigkeitsberichts am heutigen Mittwoch warf er der Bundesregierung vor, seiner Behörde bei Stellungnahmen zu Gesetzgebungsvorhaben zu wenig Zeit einzuräumen.

Als Beispiel führte Kelber die Änderungen des Infektionsschutzgesetzes in der Corona-Pandemie an. Beim ersten Bevölkerungsschutzgesetz habe seine Behörde nur vier Stunden Zeit für eine Stellungnahme bekommen. Dabei gab es in den Pandemie-Gesetzen höchst sensible Regelungen: Ausgeweitete Meldepflichten und Vorgaben für Verkehrsunternehmen und den Veranstaltungssektor seien oft erhebliche Eingriffe in das Grundrecht auf informationelle Selbstbestimmung, betonte Kelber. Transparente Begründungen und eine Auseinanderset­zung mit den datenschutzrechtlichen Anforderungen wären nötig gewesen, hätten jedoch immer wieder gefehlt. Die unzureichend begründete Meldepflicht der Negativ-Ge­testeten sei immerhin wieder gestrichen worden. „Die Tragweite der Gesetzesänderungen würden eigentlich besondere Sorgfalt erfordern. Das Verhalten des Bundesministeriums für Gesundheit widerspricht dem“, so Kelber.

Doch auch ohne die Pandemie hätte seine Behörde alle Hände voll zu tun gehabt, so Kelber weiter. Einer der vielen weiteren Punkte ist die Digitalisierung des Gesundheitswesens. Insbesondere das Patientendaten-Schutzgesetz (PDSG), das am 20. Oktober 2020 in Kraft getreten ist, nimmt der Datenschutzbeauftragte ins Visier. Bekanntermaßen ist er überzeugt, dass dessen Regelungen zur elektronischen Patientenakte (ePA) in ihrer konkreten Ausgestaltung zum Zugriffsmanagement gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Die Krankenkassen stehen daher in einem Dilemma: Der Gesetzgeber zwingt sie zur Einführung der ePA, verweigern sie die Umsetzung gemäß den Vorgaben des PDSG, drohen ihnen hohe Strafzahlungen. Setzen sie das aus Kelbers Sicht europarechtswidrige Gesetz um, kommen sie in den Fokus der Aufsichtsbehörden. „Abhilfe schaffen kann hier letztlich nur der Gesetzgeber“, so Kelber.

Kritisch seien zudem der alternative Zugriff auf die ePA mittels mobiler Geräte, also ohne Verwendung der elektronischen Gesundheitskarte, sowie die Vorschriften zum elektronischen Rezept. Das E-Rezept wird die erste medizinische Pflichtanwendung der ePA sein. Die elektronischen Verordnungen sollen im Rahmen der vertragsärztlichen Versorgung immer in einem zentralen Speicher in der Telematikinfrastruktur abgelegt werden. Kelber hatte für eine dezentale Lösung plädiert. Diese hätte gegen Ausfälle zentraler Dienste robuster ausgestaltet werden können, meint er. 

Kelber kritisiert, dass kein alternatives Verfahren ohne eGK zur Authentisierung in der E-Rezept-App gegenüber dem E-Rezept-Server gibt. Patient:innen könnten sodann nur wählen, ob sie die Zugangsinformation dazu in elektronischer Form oder als Papierausdruck mit einem Code-Block zur Einlösung in einer Apotheke ausgehändigt bekommen wollen. Kelber ist überzeugt: „Wie bei der ePA wird es auch beim E-Rezept eine Zweiklassengesellschaft geben. Menschen, die nicht die E-Rezept-App nutzen möchten oder können, erhalten keinen unmittelbaren Einblick in die über sie gespeicherten Daten oder erfolgten Zugriffe auf ihre Rezepte.“

Der Datenschutzbeauftragte sieht beim E-Rezept auch einen Paradigmenwechsel: Und zwar, weil die Gematik die E-Rezept-App entwickelt und zur Verfügung stellen wird. Die Aufgabe der Gematik beschränkt sich hier nicht, wie z. B. bei der ePA, auf die Erstellung von Spezifikationen und Sicherheitsanforderungen, nach denen Hersteller Komponenten oder Dienste der TI anzubieten haben – sie werde vielmehr selbst zum Hersteller und damit auch datenschutzrechtlich verantwortlich. Dies habe zur Folge, dass die Gematik ihre eigenen Entwicklungen zu prüfen und zuzulassen hat. Insoweit bestehe zumindest die Gefahr einer potenziellen Befangenheit, so Kelber.

Schutzmasken gegen Daten?

Die Apotheken kommen im Tätigkeitsbericht in einem anderen Zusammenhang zur Sprache: der Schutzmaskenausgabe im Rahmen der Schutzmaskenverordnung. Kurz vor Weihnachten haben die Apotheken in einer ersten Tranche nach eigener Bedürftigkeitsprüfung FFP2-Masken an Risikogruppen ausgegeben – ehe die Berechtigungsscheine der zweiten und dritten Tranche kamen. Einige Apotheken dokumentierten anfänglich Kundendaten – die meisten wollten wohl wirklich nicht mehr, als vermeiden, dass gewisse Kunden mehrfach Masken abholten. In Kelbers Tätigkeitsbericht heißt es: „Einige Apotheker sahen dies als Chance, auch für andere Zwecke an die Daten Ihrer Kunden zu kommen.“

So wurden ihm Beschwerden zugetragen, dass in Apotheken Ausweise kopiert wurden. Dafür gebe es aber keinerlei Berechtigung oder Rechtsgrundlage. Andere Apothekeri:nnen hätten zudem nur dann die kostenlosen Schutzmasken aushändigen wollen, wenn die Betroffenen zuvor einen Antrag für eine Kundenkarte ausgefüllt und sich bereit erklärt hätten, ihre Daten (für Werbezwecke) an Dritte übermitteln zu lassen. Kelber bat daraufhin das BMG einzuschreiten und die Apotheken aufzufordern, sich entsprechend der Verordnung zu verhalten. Da er selbst nicht für die Apotheken zuständig ist, gab er die entsprechenden Hinweise an seine Länderkolleg:innen weiter – mit dem Hinweis, zu prüfen, ob hier nicht Bußgelder nach der DSGVO zu verhängen sind.