Datenschutz und Datensicherheit

Alle ePA-Betreiber müssen mit der von Ihnen entwickelten ePA das Zulassungsverfahren der gematik durchlaufen. Die gematik prüft die Funktionsfähigkeit und Interoperabilität der ePA auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach Vorgaben, die unter Beteiligung des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelten wurden.

Die Daten in Ihrer Akte sind stets verschlüsselt abgelegt. Wenn Sie selbst oder eine an Ihrer Behandlung beteiligte Leistungserbringereinrichtung berechtigt auf die ePA zugreifen, überträgt die ePA die Daten verschlüsselt zu den entsprechenden Computersystemen, z. B. Ihrer Arztpraxis. Die Datenverarbeitung in der ePA erfolgt in einer auf höchstem Niveau sicherheitsgeprüften und vertrauenswürdigen technischen Umgebung. Weder der Betreiber noch die Krankenkasse haben Zugriff auf Ihre Daten.

Neben der ePA selbst müssen auch alle ePA-Apps das Zulassungsverfahren der gematik durchlaufen. Die gematik prüft ebenfalls die Funktionsfähigkeit und Interoperabilität der ePA-App auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach Vorgaben, die unter Beteiligung des BSI entwickelt wurden.

Die von Ihrer Krankenkasse zur Verfügung gestellte ePA-App ist somit nach höchsten Standards sicherheitsgeprüft. Sie lässt sich auf Smartphones mit Android- oder iOS-Betriebssystemen installieren sowie zukünftig auch auf Desktop-Computern und Laptops mit aktuellen, geeigneten Betriebssystemen wie z. B. Windows, MacOS und gegebenenfalls Linux betreiben.

Für die Sicherheit Ihrer Anwendungsumgebung (Smartphone, PC-Hardware, Betriebssystem), in der die Anwendung installiert wird, sind Sie selbst verantwortlich. Nähere Informationen dazu finden Sie unter Wie gehe ich mit meinen Gesundheitsdaten in der ePA sicher um?

Um Ihre ePA einzurichten, tauschen die Krankenkasse und der jeweilige Industriepartner administrative personenbezogene Informationen aus. Zudem prüft Ihre Krankenkasse bzw. der ePA-Betreiber anhand Ihrer Krankenversichertennummer, ob bereits eine ePA für Sie existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt.

Wenn Sie Ihre Krankenkasse wechseln, überträgt der ePA-Betreiber Ihrer bisherigen Krankenkasse ihre ePA in verschlüsselter Form an den ePA-Betreiber Ihrer neuen Krankenkasse. Falls Sie der Nutzung einer ePA widersprochen haben, tauschen bei einem Kassenwechsel die beiden Krankenkassen die Information über den Widerspruch ebenfalls über die ePA-Betreiber aus. 

Ihre Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sowie den sozialdatenschutzrechtlichen Vorschriften des Sozialgesetzbuchs. Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher“. Sie als versicherte Person können gegenüber Ihrer Krankenkasse die „Rechte der betroffenen Person“ nach der DSGVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung personenbezogener Daten zu informieren (Art. 13 DSGVO in Verbindung mit § 82 SGB X und Art. 14 DSGVO in Verbindung mit § 82a SGB X). Ferner haben die Versicherten folgende Rechte:

• das Recht auf Auskunft, ob und ggf. zu welchem Zweck bestimmte personenbezogene Daten von der Krankenkasse bzw. ihren Auftragnehmern verarbeitet werden (Art. 15 DSGVO in Verbindung. mit § 83 SGB X)
• das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO in Verbindung mit § 84 SGB X)
• das Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO in Verbindung mit § 84 SGB X)
• das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO in Verbindung mit § 84 SGB X)
• das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• das Widerspruchsrecht (Art. 21 DSGVO in Verbindung mit § 84 SGB X)

Dabei ist zu beachten, dass der Gesetzgeber diese Rechte ausgeschlossen hat, wenn deren Wahrnehmung von der Krankenkasse als datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung, gewährleistet werden kann. Diese Einschränkung besteht für die in der ePA verschlüsselt gespeicherten Daten, da die Krankenkasse als verantwortliche Stelle technisch keinen Zugriff auf diese Daten hat. Dementsprechend kann die Krankenkasse Auskunfts- oder Korrekturbitten seitens der Versicherten zu den in der ePA gespeicherten Daten (z. B. zu Arztbriefen) gar nicht nachkommen. Eine Ausnahme stellen Daten über in Anspruch genommene Leistungen dar, die Ihnen Ihre Krankenkasse in der ePA bereitstellt. Da diese Daten aus den Beständen der Abrechnungsdaten Ihrer Krankenkasse in Ihre ePA eingespielt werden, haben Sie bei diesen Daten die Möglichkeit der Korrektur durch die Krankenkasse. Dazu benötigen Sie von den jeweiligen Leistungserbringenden eine Bestätigung der korrekten Diagnose. Über das nähere Verfahren informiert Sie Ihre Krankenkasse.

Für Daten, die nicht verschlüsselt sind, wie beispielsweise die Protokolldaten, sind die oben genannten Rechte hingegen nicht ausgeschlossen.

Die Krankenkasse stellt Ihnen eine ePA-App zur selbstständigen Wahrnehmung Ihrer Rechte im Sinne der DSGVO zur Verfügung. Allerdings können Sie mithilfe der ePA-App nicht die von Ihren Leistungserbringenden zur Verfügung gestellten Daten korrigieren. Sollten Korrekturen dieser Daten erforderlich sein, wenden Sie sich bitte an die jeweiligen Sie behandelnden Leistungserbringenden.

Sie sind berechtigt, Daten aus der ePA auszulesen, in der ePA zu speichern und zu löschen. Sie haben das Recht, den Zugriff auf Daten in der ePA zu beschränkten bzw. diese Beschränkung aufzuheben und Berechtigungen zu erteilen bzw. zu widerrufen. Darüber hinaus können Sie dem Zugriff auf Daten der ePA widersprechen bzw. müssen zur Speicherung von besonders sensiblen Daten (wie z. B. Genom-Daten) Ihre Einwilligung erteilen. Zudem können Sie beispielsweise die folgenden Daten selbstständig verarbeiten, d. h. ändern und in Ihrer ePA speichern:

• Gesundheitsdaten, die von Ihnen selbst in die ePA eingestellt wurden
• zukünftig: Daten zu Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von:
• Erklärungen zur Organ- und Gewebespende
• Vorsorgevollmachten oder Patientenverfügungen

Es gibt grundsätzlich die folgenden Anmeldeverfahren zur ePA:

• Anmeldung mit der GesundheitsID
• Anmeldung mit der elektronischen Gesundheitskarte (eGK)
• Anmeldung mit der eID-Funktion des Personalausweises, des Aufenthaltstitels oder der eID-Karte für EU-Bürger

Die Nutzung der GesundheitsID erlaubt unterschiedliche Sicherheitsniveaus bei der Authentifizierung. Mithilfe der eGK und PIN erreichen Sie – genau wie z. B. mit dem Personalausweis, dem Aufenthaltstitel oder der eID-Karte für EU-Bürgerinnen und -Bürger das höchste mögliche Niveau. Alternativ können Sie sich auch ohne Karte und PIN anmelden. Dabei fällt das Sicherheitsniveau der Anmeldung zwar geringer aus als das mit Karte und PIN erreichbare Niveau, gewährleistet aber dennoch ein angemessen hohes Schutzniveau.

Gesetzlich vorgesehen ist zudem die Möglichkeit, im Einzelfall nach umfassender Information durch Ihre Krankenkasse über die Besonderheiten des Verfahrens gegenüber Ihrer Krankenkasse den Wunsch zu erklären, ein komfortableres Anmeldeverfahren mit einem unter Umständen niedrigeren Sicherheitsniveau zu nutzen. Sollten Sie dies erwägen, beachten Sie bitte schon jetzt folgende Hinweise. Die in der ePA gespeicherten Gesundheitsdaten erfordern grundsätzlich einen hohen Schutzbedarf, da sich ein Schaden bei Verlust oder Missbrauch nicht materiell beziffern lässt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt möglichst auf eine Herabsenkung des Sicherheitsniveaus zu verzichten.

Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden Möglichkeiten, die potenziellen Risiken und über Wege, diese zu vermeiden.