https://gi.de/meldung/epa-datenschutzrechtliche-bedenken

bereits in ihrer jetzigen Form unterläuft sie dieses Ziel aus folgenden Gründen:

Automatische Einrichtung ohne Einwilligung: Die meisten Patientinnen und Patienten erhalten eine ePA, ohne aktiv zugestimmt zu haben. Lediglich ein nachträglicher Widerspruch ist möglich, was das Prinzip der freiwilligen Nutzung umkehrt.
Fehlende Kontrolle über Daten und Zugriff: Patientinnen und Patienten können nicht eigenständig entscheiden, wo ihre Daten gespeichert werden und wer auf welche Inhalte zugreift. Eine differenzierte Zugriffskontrolle ist nur eingeschränkt möglich.
Umfangreiche Zugriffsrechte: Neben medizinischen Fachleuten wie Ärztinnen oder Therapeuten hat auch nicht-medizinisches Personal in Praxen, Kliniken und Pflegeeinrichtungen Zugriff auf die Daten. Die Sicherheitsmechanismen zur Verhinderung von Missbrauch sind unzureichend.
Datenweitergabe ohne echte Anonymisierung: Gesundheitsdaten aus der ePA können ohne direkte Zustimmung der Patientin oder des Patienten in ein Forschungsdatenzentrum überführt und mit anderen Datenquellen verknüpft werden. Die zugesagte Pseudonymisierung ist nach aktuellem Stand nicht ausreichend sicher.
Abhängigkeit von Technologieunternehmen: Die notwendigen Apps zur Verwaltung der ePA sind nur über kommerzielle Plattformen von Google oder Apple erhältlich. Dies birgt erhebliche Risiken für die Datensicherheit und Unabhängigkeit der digitalen Gesundheitsversorgung.

Forderungen des Arbeitskreises Datenschutz und Datensicherheit:

Freiwilligkeit statt Zwang: Die Einrichtung der ePA muss an die ausdrückliche Einwilligung der Patientinnen und Patienten gebunden sein (Opt-in statt Opt-out).
Echte Kontrolle: Patientinnen und Patienten müssen selbst über Speicherort und Zugriff entscheiden können, inklusive der Möglichkeit zur Speicherung auf eigenen, gesicherten Endgeräten.
Begrenzung der Zugriffsrechte: Patientinnen und Patienten müssen detailliert steuern können, wer welche Informationen einsehen darf.
Genaue Protokollierung: Es muss nachvollziehbar sein, welche konkreten Personen innerhalb einer Institution auf die ePA zugegriffen haben, nicht nur welche Einrichtung.
Einfache und datenschutzkonforme Einsicht für Patientinnen und Patienten: Es müssen barrierefreie, sichere und einfach nutzbare Wege geschaffen werden, damit Patientinnen und Patienten jederzeit auf ihre eigene ePA zugreifen können.
Datensicherheit und Transparenz: Jede Weitergabe von Gesundheitsdaten an Forschungseinrichtungen muss durch eine explizite Einwilligung der Betroffenen erfolgen.
Unabhängige datenschutzkonforme Infrastruktur: Die ePA darf nicht von den Plattformen großer monopolistischer Tech-Konzerne abhängig sein. Sie darf nur nach EU-Recht betrieben werden. Der Schutz der Daten und die Bereitstellung der Software müssen durch eine vertrauenswürdige, datenschutzrechtlich kontrollierte Infrastruktur erfolgen. Am besten wird dies durch eine dezentrale Speicherung und Verarbeitung gewährleistet.