elektronischen Patientenakte ePA (aus Datenschutz im Alltag)

Die elektronische Patientenakte (ePA) fungiert als digitaler Ordner mit verschiedenen Abschnitten, was die umfassende Speicherung von medizinischen Befunden und Informationen aus früheren Untersuchungen und Behandlungen ermöglicht. Gemäß dem Patientendaten-Schutz-Gesetz sind die Funktionen, Zugriffsberechtigungen der beteiligten Parteien und die Phasen der Einführung der elektronischen Patientenakte in den §§ 341 ff. Sozialgesetzbuch (SGB) V festgelegt. Die alleinigen Rechte an den Daten in der ePA liegen beim Patienten. Aufgrund des Rechts des Versicherten, Einträge selbst zu löschen oder zu entscheiden, welche Informationen in seine ePA aufgenommen werden sollen, sollten behandelnde Ärzte nicht automatisch von der Vollständigkeit der medizinischen Informationen über den Patienten ausgehen. Laut Artikel 4 Nr. 7 der DSGVO ist die Verantwortliche Person definiert als die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt (Alternative 1) oder die dazu gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten bestimmt wird (Alternative 2). In Bezug auf die elektronische Patientenakte (ePA) hat der Gesetzgeber von dieser sogenannten Öffnungsklausel Gebrauch gemacht und die Verantwortlichkeit im § 307 SGB V geregelt. Gemäß § 307 Abs. 4 SGB V liegt die datenschutzrechtliche Verantwortung für die Datenverarbeitung bei der elektronischen Patientenakte (ePA) beim Leistungsträger, der in diesem Fall die jeweilige gesetzliche Krankenkasse (GKV) als Anbieter der ePA ist. Diese Verantwortung erstreckt sich umfassend auf alle Datenverarbeitungen im Zusammenhang mit der ePA, außer auf den Upload und Download von Dokumenten durch Leistungserbringer wie Ärzte, Apotheken, Krankenhäuser oder andere Beteiligte.