Das Patientendaten-Schutz-Gesetz (PDSG) soll die Digitalisierung im Gesundheitswesen fördern. Der Gesetzgeber hat in der offiziellen Gesetzesbegründung betont, dass die Patientensouveränität eine der wichtigsten Vorgaben ist. Doch diese zentrale Prämisse wird nicht eingehalten - vor allem bei dem wohl größten Projekt des Gesetzes, der ePA. Das PDSG ist am 20. Oktober 2020 in Kraft getreten und regelt die elektronische Patientenakte (ePA).
Die ePA verstößt gegen die DSGVO, wenn es um die Gruppe von Menschen geht, die kein eigenes geeignetes Gerät haben oder keins nutzen wollen (die sogenannten „Frontend-Nichtnutzer“). Diese Versicherten werden in ihrer Patientensouveränität eingeschränkt. Sie können nur beim Leistungserbringer, z. B. beim Arzt, auf bestimmte Dokumentenkategorien beschränkte Zugriffsrechte vergeben. Oder sie können jemandem mit einem geeigneten technischen Gerät Vertretungsrechte geben.
Nur diese Person kann dann für sie einzelne Dokumente freigeben. Das heißt, dass die Versicherten dieser Person alle ihre Gesundheitsdaten in der ePA zeigen müssen - auch sehr persönliche Informationen. Außerdem nützt die Vertretung nichts denjenigen Versicherten, die z. B. aus Sicherheitsgründen kein Smartphone oder Tablet für ihre ePA verwenden wollen - und auch kein Gerät von jemand anderem.
Auch aus datenschutzrechtlicher Sicht ist es problematisch, dass die vielen Menschen, die kein eigenes Endgerät haben oder nutzen wollen, nie in ihre eigene, selbst zu führende ePA schauen können. Sie werden also von der Nutzung der ePA ausgeschlossen. Damit können sie auch nicht von den Vorteilen der ePA für die Gesundheitsversorgung profitieren. Diese schwerwiegenden Einschränkungen der Patientensouveränität widersprechen den grundlegenden Vorgaben der DSGVO und verletzen damit europäisches Recht, das in Deutschland direkt gilt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat darauf frühzeitig und mehrmals - auch während des Gesetzgebungsverfahrens - aufmerksam gemacht. Seine Lösungsvorschläge wurden ignoriert. Zum Beispiel die Einrichtung von sogenannten Kassenterminals in den Geschäftsstellen der Krankenkassen, mit denen Versicherte ohne eigenes Endgerät und diejenigen, die kein eigenes Endgerät nutzen wollen, in der gesicherten TI-Umgebung ihre ePA einsehen könnten.
Das PDSG hat eine Zweiklassengesellschaft bei der ePA geschaffen, indem es diese große Gruppe von Versicherten benachteiligt und ungleich behandelt. Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben diese Kritik auch in einer im September 2020 beschlossenen Entschließung öffentlich gemacht.
Ein weiterer wichtiger Kritikpunkt ist, dass nicht alle Anforderungen an ein Authentisierungsmittel, wie das BSI sie vorgibt, erfüllt werden. Weil Gesundheitsdaten sehr sensibel sind, brauchen Zugriffe auf die ePA immer hochsichere Authentifizierungsverfahren, die immer dem neuesten Stand der Technik entsprechen müssen. Das Verfahren der „Alternativen Versichertenidentität“, mit dem Versicherte sich auch ohne eGK an ihrer ePA anmelden können, basiert auf einem Signaturdienst. Der BfDI hat seine Zustimmung dazu bis zum 31.12.2023 verlängert, aber nur unter der Bedingung, dass alle Nutzerinnen und Nutzer des Systems eine kartengebundene Authentisierungslösung bekommen.