Wahrscheinlich haben Sie von Ihrer Krankenkasse auch schon Post erhalten: Anfang 2025 geht die elektronische Patientenakte (ePA) schrittweise an den Start. Die gesetzlichen Krankenkassen müssen sie ihren Versicherten ab dem 15. Januar 2025 (je nach Wohnort auch später) bereitstellen, außer man hat der Einführung widersprochen.
§ 343 Abs. 1a SGB V regelt, dass die Krankenkassen vor der Einführung u.a. über den individuellen Nutzen und Mehrwert sowie über die Datenverarbeitung, aber auch über die Möglichkeit des Widerspruchs informieren müssen. Ohne aktiven Widerspruch wird die elektronische Patientenakte automatisch eingerichtet. Der Widerspruch gegen die grundsätzliche Einrichtung der ePA muss innerhalb einer Frist von sechs Wochen nach Erhalt des Schreibens erfolgen. Widerspricht man jetzt, heißt das aber nicht, dass man es sich nicht noch anders überlegen kann – die jetzt getroffene Entscheidung lässt sich im Nachhinein ändern. Auch andersherum: Wenn man sich jetzt für die Akte entscheidet, kann man sie später wieder löschen lassen. Ob Sie die ePA nutzen oder nicht, darf übrigens keine negativen Auswirkungen auf Ihre Gesundheitsversorgung haben.
Vermutlich am sinnvollsten ist es aber, die differenzierten Gestaltungsmöglichkeiten zu nutzen, wenn man die ePA erst einmal hat und diese per App oder am Computer selbst verwalten kann. Standardmäßig sind weitreichende Zugriffsrechte voreingestellt: So kann dann theoretisch auch eine Zahnarzthelferin Befunde vom Urologen oder Rezepte von der Psychiaterin einsehen. Je nach individuellem Gesundheitszustand sollte man sich zeitnah Gedanken machen, ob man ein Problem damit hat und die entsprechenden Dokumente nur ausgewählten Praxen zugänglich machen oder ganz verbergen oder löschen. Ebenso kann der (pseudonymisierten) Datenverarbeitung zu sogenannten gemeinwohlorientierten Forschungszwecken ab dem 15. Juli 2025 widersprochen werden – auch diese ist sonst voreingestellt. Über diese möglichen späteren Detaileinstellungen muss die jeweilige Krankenkasse bereits jetzt informieren.
Andererseits ist alles an einem Ort gespeichert und kann nicht verloren gehen: Auch Röntgenbilder, Impfpass, Mutterpass, Zahnbonusheft etc. können hinterlegt werden und man wird erinnert, wann Impfungen aufgefrischt werden sollten. Anhand der Medikamentenübersicht können Ärzte und Apotheker gleich sehen, falls sich zwei Medikamente nicht vertragen. Die ePA soll also nicht nur ein Datenablageort sein, sondern soll die Mitarbeiter im Gesundheitswesen unterstützen, aufgrund einer detaillierteren Datengrundlage verbesserte Diagnose- und Therapieentscheidungen zu treffen.
Der Zugriff ist zeitlich begrenzt: Ärzte und Krankenhäuser haben 90 Tage nach Einlesen der Krankenkassenkarte Zugriff auf eine Akte, Apotheken dagegen nur 3 Tage. Beide Zeiträume kann man auch individuell einstellen. Als Nutzer kann man in der App auch stets sehen, wer wann auf welche Daten der Akte zugegriffen hat. Die Krankenkasse hat übrigens keinen Zugriff auf die inhaltlichen Daten der ePA; lediglich die Abrechnungen zwischen Arzt und Krankenkasse werden auch über sie abgewickelt und auch für die Versicherten sichtbar hinterlegt. Die Zugriffsrechte auf die Abrechnungen sollte man, ebenso wie auf die Medikationspläne, auch im Blick behalten, da beide ebenfalls eine Menge Rückschlüsse auf Gesundheitsdaten zulassen.
Arztpraxen sind nicht verpflichtet, alte Arztbriefe oder Befunde in die ePA einzutragen. Man kann sie aber selbstständig mit Dokumenten, Arztbriefen und Befunden befüllen. Außerdem kann man seine Krankenkasse zwei Mal innerhalb von 24 Monaten bitten, bis zu zehn ältere medizinische Dokumente zu digitalisieren. Viele weitere Fragen, z.B. ob und wie sich die ePA ohne App steuern lässt, erläutert der Verbraucherzentrale-Bundesverband ausführlich. Dennoch gibt es noch eine ganze Reihe von Kritikpunkten und offenen Fragen.
Nun aber zum nächsten Thema: Kurz vor Weihnachten 2024 hat der Bundesrat noch einer neuen Verordnung gegen die „Cookie-Flut“ zugestimmt (den Bundestag hatte sie schon im Oktober passiert): Sie schafft den Rechtsrahmen für ein alternatives Einwilligungsverfahren durch Einbindung unabhängiger Dienste. Webseiten-Betreiber können nun Dienstleister zwischen User und Webseite schalten, die um Zustimmung zur Speicherung von Cookies bitten und sich diese Entscheidung merken sollen, um so die Anzahl der aufploppenden Cookie-Banner zu verringern, wenn man immer wieder die gleichen Webseiten besucht. Außerdem sollen User so einen besseren Überblick und mehr Kontrolle über ihre Einwilligungen bekommen. Ironischerweise müsste ein wiederkehrender Besucher allerdings über den Einsatz von Cookies wiedererkannt werden. Ob ein Dienstleister „anerkannt“ ist, soll die Bundesdatenschutzbeauftragte gegen Gebühr prüfen.
Die Verordnung nach § 26 Abs. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) tritt voraussichtlich zum 1. April 2025 in Kraft. Allerdings bemängelt z.B. Bitkom die rechtlichen Risiken für die Webseiten-Betreiber, da sie sich auf die zuverlässige Mitwirkung des anerkannten Dienstes verlassen müssen, um ihre DSGVO-Pflichten zu erfüllen. Und der Verbraucherzentrale Bundesverband kritisiert, dass die Webseiten-Betreiber sich auch nicht an die (ablehnenden) Wünsche halten müssen, die von den Nutzern gegenüber den Einwilligungsdiensten geäußert werden. Nur Opt-Ins gelten dauerhaft – aber wenn man die Einwilligung verweigert, können die Webseiten-Betreiber erneut beliebig oft um Einwilligung bitten. Damit würde sich der Aufwand für die Nutzenden dann noch vergrößern anstatt sich zu verringern! Auch der niedersächsische Datenschutzbeauftragte ist skeptisch. Daher soll die Verordnung auch nach zwei Jahren evaluiert werden und geprüft werden, ob man wirklich eine Ausweitung auf die gesamte EU anstrebt.
Viele Gesetze und Vorhaben aus dem Koalitionsvertrag werden aufgrund der vorgezogenen Bundestagswahl nicht mehr umgesetzt – beispielsweise der Teil des Sicherheitspakets, der infolge des Messerangriffs in Solingen die digitalen Befugnisse der Sicherheitsbehörden erheblich erweitern sollte, aber im Bundesrat abgelehnt wurde. Ebenfalls auf Eis liegen im Datenschutz-Bereich das Gesetz zur Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung, das geplante Beschäftigtendatenschutzgesetz, das Mobilitätsdatengesetz, die Verankerung eines Rechts auf Verschlüsselung im Telekommunikation-Telemedien-Datenschutz-Gesetz sowie die Änderung des § 38 BDSG, sodass weiterhin bereits ab 20 und nicht erst ab 50 Mitarbeitern ein Datenschutzbeauftragter zu benennen ist.
Noch eine andere wahlbezogene Datenschutz-Frage lautet: Darf das Einwohnermeldeamt meine Adresse für Wahlwerbung an die Parteien herausgeben? Muss ich als Adressat nicht erst einwilligen, bevor meine Anschrift weitergegeben werden darf? – Eigentlich dürfen Adressen aus dem Melderegister nur mit Einwilligung der betroffenen Person für Werbezwecke an Privatpersonen und Firmen weitergeben werden. Bei politischen Parteien ist die Rechtslage jedoch anders: Weil sie ein wichtiger Pfeiler der Demokratie und auch im Grundgesetz als solche herausgehoben werden, haben sie einige Privilegien.
Daher sieht § 50 Abs. 1 Bundesmeldegesetz vor, dass die Meldebehörden Namen und Adressen von Wahlberechtigten ab sechs Monate vor einer Wahl an Parteien und Wählergruppen auf deren Anfrage herausgeben dürfen. Die Parteien müssen bei ihrer Anfrage altersmäßig eingrenzen, wessen Anschriften sie haben möchten, also zum Beispiel alle Erstwählenden oder alle Wähler ab 65. Möchte man dies nicht, muss man selbst aktiv werden und beim Meldeamt Widerspruch gegen die Weitergabe der eigenen Anschrift erheben. Die Meldebehörden wiederum sind verpflichtet, über das Widerspruchsrecht bei der Anmeldung zu informieren sowie einmal jährlich durch ortsübliche Bekanntmachung darauf hinzuweisen. Der Widerspruch ist kostenlos, muss nicht begründet werden, ist an keine bestimmte Form gebunden und gilt auch für alle zukünftigen Wahlen.