Zurzeit gibt es keinen datenschutzrechtlich Verantwortlichen für die Telematik-Infrastruktur der elektronischen Gesundheitskarte - so, wie es die Datenschutzgrundverordnung fordert. Mit der elektronischen Gesundheitskarte sollen hunderttausende Arzt-, Zahnarzt- und Therapeutenpraxen, Krankenhäuser, Apotheken und Krankenkassen im Gesundheitswesen vernetzt werden.

Dazu dient die Telematik-Infrastruktur. An diesem Netzwerk, die mehrere Plattformen und Zonen umfasst, sind zahlreiche Unternehmen, Konsortien und Rechenzentren beteiligt. Unvorstellbare Mengen vertraulicher Patientendaten soll die TI nach ihrer Fertigstellung übermitteln, speichern, verarbeiten.

Keine Vorabkontrolle erfolgt

Über datenschutzrechtliche Vorgaben sahen die Konstrukteure des Netzwerks großzügig hinweg. Die Verarbeitung sensibler Daten in großem Umfang erforderte bereits nach dem Bundesdatenschutzgesetz eine "Vorabkontrolle" durch die "verantwortliche Stelle".

Diese gab es jedoch nicht. Seit Inkrafttreten der europäischen Datenschutzgrundverordnung ist eine noch ausführlichere Datenschutzfolgenabschätzung (DSFA) vorgeschrieben, die die Risiken und möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen bewertet. Die TI wurde jedoch ohne jegliche datenschutzrechtliche Vorab-Prüfung ausgerollt und bereits als erste Anwendung der Versichertenstammdatenabgleich in Betrieb genommen.

"Wenn offensichtlich die datenschutzrechtlichen Bedingungen für die TI nicht erfüllt sind, müsste eine vorübergehende oder endgültige Beschränkung der Verarbeitung verhängt werden (Art 58 DSGVO)", meint Dr. Elke Steven von der Digitalen Gesellschaft e.V. "Die Datenschutzfolgenabschätzung muss von einem unabhängigen, interdisziplinären Team erstellt werden, das sich um den Schutz der Grundrechte der Betroffenen kümmert."

Handfeste Probleme für Ärzte

Für Ärzte ergäben sich handfeste Probleme, bemerkt Dr. med. Silke Lüder, Stellvertretende Bundesvorsitzende der Freien Ärzteschaft e.V. "Wir sind ja gehalten, für unsere Praxen eine Datenschutzfolgenabschätzung zu machen. Nur: Wie sollen wir einschätzen, welchen Risiken Patientendaten ausgesetzt sind, wenn wir sie in die Telematik-Infrastruktur übermitteln? Dafür gibt es ja gerade keine Datenschutzfolgenabschätzung. Und angesichts der organisierten Verantwortungslosigkeit seitens der Betreiber können Ärzte nur zu dem Schluss kommen, ihre Praxen nicht anschließen zu lassen."

Gesundheitsminister Spahn will nun mit der Brechstange alle grundsätzlichen Bedenken und Probleme aus dem Weg räumen. Mit dem vom Kabinett verabschiedeten "Digitale Versorgungs-Gesetz", über das im Herbst das Parlament entscheiden muss, wird Wirtschaftsförderung auf Kosten der Versicherten betrieben. Auch daran ist Kritik notwendig.