Kann der Staat auf die elektronische Patientenakte zugreifen?
Deborah WeinbuchÄrztliche Unterlagen sind gesetzlich vor Beschlagnahme geschützt, doch für die ePA fehlt eine explizite Regelung. Fachanwalt Dr. Uwe Schneider erklärt exklusiv für ARZT & WIRTSCHAFT, welche Konsequenzen denkbar wären.
Hochsensible Gesundheitsdaten sind normalerweise besonders geschützt. Doch bei der neuen ePA hat der Gesetzgeber keine entsprechende Regel vorgesehen. Die Lage bleibt trotz Forderungen der Ärzteschaft irritierend unklar — und ein Zugriff nicht ausgeschlossen, wie Rechtsanwalt Dr. Uwe Schneider erklärt.
Herr Dr. Schneider, Sie kommen gerade von der Tagung Datenschutz im Gesundheitswesen in Berlin. War das Fehlen eines Beschlagnahmeverbots bei der ePA Thema?
Dr. Schneider: Ja, im Einzelgespräch. Eine wichtige Frage ist: Was kann der Staat technisch? Seit 2020 hat sich die Architektur der ePA verändert. Früher schützte eine Ende-zu-Ende-Verschlüsselung die ePA, die nur mit der elektronischen Gesundheitskarte (eGK) des Patienten entschlüsselt werden konnte. Diese Karte darf laut § 97 Strafprozessordnung nicht beschlagnahmt werden. Seit 2020 hat sich die Architektur geändert: Der Zugriff ist nun auch ohne eGK möglich. Zwar bestehen weiterhin Sicherheitsmaßnahmen, doch die „vertrauenswürdige Ausführungsumgebung“ ist nicht ganz so sicher, wie von der gematik behauptet. Ein Zugriff wäre sehr aufwendig, aber nicht ausgeschlossen.
Wie könnte der Staat auf ePA-Daten zugreifen?
Dr. Schneider: Ermittlungsbehörden könnten per Beschlagnahmeanordnung Krankenkassen oder IT-Dienstleister zur Kooperation zwingen. Trotz verteilter Verschlüsselung wäre ein Zugriff möglich, wenn mehrere Anbieter dadurch zur Zusammenarbeit verpflichtet werden. So könnte etwa eine SMC-B-Karte durch einen Identity-Provider ausgestellt werden, mit der sich der Staat als Arzt ausgibt und Zugriff auf die ePA-Daten erhält.
Wie ist die rechtliche Lage?
Dr. Schneider: Unklar. Die Gesetzesbegründung sieht ePA-Betreiber als mitwirkende Personen der Ärzte und damit als geschützt. Unabhängige Juristen zweifeln daran, da Ärztinnen und Ärzte keinen Einfluss auf die Betreiberwahl haben. 2023 bestätigte die Bundesregierung diese Sichtweise, doch die Fachliteratur bleibt skeptisch. Einige argumentieren, ein Beschlagnahmeverbot lasse sich verfassungsrechtlich ableiten, aber gesichert ist das nicht. Daher bleibt die Forderung nach einer expliziten gesetzlichen Regelung.
Welche Folgen hätte eine Beschlagnahme der Daten?
Dr. Schneider: Patienten könnten das Vertrauen in ihre Ärzte verlieren. Ermittler könnten etwa in Missbrauchsverfahren auf psychiatrische Behandlungsdaten zugreifen. Dies könnte dazu führen, dass Betroffene sich nicht mehr offenbaren oder gar keine medizinische Hilfe mehr in Anspruch nehmen. Besonders für psychisch Erkrankte und die Menschen in ihrem Umfeld wäre das fatal.
Kann ein Arzt sein Berufsgeheimnis noch garantieren?
Dr. Schneider: Nur bedingt. In der Praxis oder bei einem selbst beauftragten IT-Dienstleister bleibt die Schweigepflicht gewahrt. Doch sobald Daten in die ePA wandern, ist ein Zugriff nicht sicher ausgeschlossen. Deshalb forderte die Bundesärztekammer 2020 ein gesetzliches Beschlagnahmeverbot – bislang ohne Erfolg. Strafbar machen sich die Ärzte durch die ePA-Nutzung gleichwohl nicht.
Könnten ePA-Zugriffe die Gesellschaft mehr schützen?
Dr. Schneider: Da habe ich Zweifel. Geplante schwere Straftaten dürfen ohnehin gemeldet werden. Das Recht unterscheidet klar zwischen Prävention und nachträglichem Zugriff auf Behandlungsdaten.
Warum ist die ärztliche Schweigepflicht so wichtig?
Dr. Schneider: Sie verhindert, dass Patienten aus Angst vor Verfolgung auf medizinische Hilfe verzichten. Psychisch instabile Menschen können durch Therapie stabilisiert und Straftaten möglicherweise verhindert werden. Dies schützt die kranke Person, aber auch die Gesellschaft.
Dr. Uwe Schneider, Rechtsanwalt
Fachanwalt für IT-Recht und Medizinrecht
Experte für IT- und Datenschutzrecht, insbesondere im Gesundheitswesen (E-Health)
Promoviert zu einrichtungsübergreifenden elektronischen Patientenakten
Tätig als (externer) Datenschutzbeauftragter seit 2001