Patientendaten-Schutzgesetz

Die Digitalisierung wird in allen Branchen immer weiter vorangetrieben, vor allem im medizinischen Bereich. Insbesondere in der jetzigen Pandemie ist deutlich geworden, wie wichtig die Telematikinfrastruktur (die Verbindung von Telekommunikation und Informatik mit dem Ziel, alle Akteure im Gesundheitswesen zu vernetzen) ist, um das Gesundheitssystem möglichst effizient zu gestalten, und Rezepte oder Facharzt-Überweisungen auch in digitaler Form zu nutzen oder Online-Sprechstunden anbieten zu können. Gesundheitsminister Jens Spahn sagte mit Blick auf die Corona-Krise: “Wir erleben gerade wie digitale Angebote helfen, Patienten besser zu versorgen.” Die digitale Vernetzung bietet somit große Chancen für die medizinische und pflegerische Versorgung in Deutschland. Das Patientendaten-Schutzgesetz (PDSG) soll dazu beitragen die Digitalisierung im Gesundheitswesen voranzubringen und gleichzeitig die datenschutzrechtlichen Anforderungen zum Schutz der Nutzer bzw. Verbraucher zu konkretisieren.

Am 01.01.2021 wurde die elektronische Patientenakte (ePA) offiziell eingefüht. Ab Juli 2021 sollen Ärzte dann die Möglichkeit bekommen, Verordnungen auch digital auszustellen. Ab Januar 2022 ist schließlich vorgesehen, dass Arzneimittelverschreibungen nur noch als Elektronische Rezepte (E-Rezepte) in den Apotheken bearbeitet werden.

Was beabsichtigt das PDSG?

Das Bundesgesundheitsministerium (BMG) formuliert im Referentenentwurf zwei grundsätzliche Ziele: digitale Lösungen schnell an den Patienten zu bringen und dabei sensible Gesundheitsdaten zu schützen.

Hauptbestandteil des PDSG ist dabei die elektronische Patientenakte. Hier sollen Befunde, Arztberichte oder Röntgenbilder gespeichert werden, aber auch der Impfausweis, der Mutterpass, die Vorsorgeuntersuchungen für Kinder (U-Heft) und das Zahn-Bonusheft. E-Rezepte sollen auf ein Smartphone geladen und in einer Apotheke eingelöst werden können. Ärzte werden verpflichtet, die Akte auf Wunsch des Patienten zu befüllen.

Weitere wichtige Regelungen

• Die Nutzung der ePA ist freiwillig. Der Versicherte entscheidet, welche Daten in der ePA gespeichert oder wieder gelöscht werden. Er entscheidet auch in jedem Einzelfall, wer auf die ePA zugreifen darf (ab 01.01.2022).
• Versicherte können ab 2022 bei einem Krankenkassenwechsel ihre Daten aus der ePA übertragen (Datenportabilität) lassen.
• Ab 2023 haben Versicherte die Möglichkeit, die in der ePA abgelegten Daten freiwillig und datenschutzkonform der medizinischen Forschung zur Verfügung zu stellen (sog. „Datenspende“).
• Überweisungen zu Fachärzten sollen auf elektronischem Weg übermittelt werden können.
• Ärzte, Krankenhäuser und Apotheken sind für den Schutz der von ihm in der ePA verarbeiteten Patientendaten verantwortlich.

Datenschutzrechtliche Bedenken

Es gibt aber auch Kritik.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, wies auf die Folgen einer europarechtswidrigen Verarbeitung personenbezogener Gesundheitsdaten als Folge des PDSG hin und kündigte aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen an. Grund dafür sei unter anderem, dass eine genaue Ausgestaltung der Zugriffsrechte erst ab dem 1.1.2022 möglich ist. D.h., dass es vorgesehen ist, dass beispielsweise der Patient seinem Facharzt für Hals-Nasen-Ohren-Heilkunde die Einsicht in die Akte seines Onkologen verwehren kann, indem er über die Zugriffsrechte dies unterbindet. Doch genau das soll das erste Jahr vorerst aus technischen Gründen nicht möglich sein. Folglich haben die Betroffenen nur die Möglichkeit, sämtliche Datensätze für alle Behandler freizugeben oder alle auszuschließen.

Auch die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, schließt sich der Kritik von Prof. Ulrich Kleber an: „Dadurch sind Datenschutzverletzungen in der ersten Umsetzungsphase der elektronischen Patientenakte absehbar, weil gegen die elementaren Prinzipien der Erforderlichkeit und der Zweckbindung verstoßen wird“. Zudem bemängelt Sie, dass im finalen Gesetz die Regelung gestrichen wurde, wonach Patienten, die kein Smartphone oder Tablet besitzen, die Möglichkeit bekommen sollten, die ePA zu nutzen, etwa in der Filiale ihrer Krankenkasse. Die Krankenkassen wären dazu verpflichtet, Ihren Mitgliedern solche Nutzungsmöglichkeiten bereitzustellen. Mit dem Streichen dieses Passus würden dauerhaft ganze Personenkreise von der ePA ausgeschlossen.

Weiterhin wird auch der Authentifizierungsmechanismus für die ePA vom BfDI als nicht ausreichend sicher und nicht den Vorgaben der DSGVO entsprechend eingestuft. Sollten sich keine Verbesserungen ergeben, so könnten die Datenschutzbehörden den Krankenkassen die Verarbeitung der Patientendaten untersagen und bei Verstößen Bußgelder gem. Art. 83 DSGVO (https://webersohnundscholtz.de/millionen-bussgeld-gegen-die-aok/) verhängen. Nach eigenen Angaben des BfDI werden hierzu zurzeit Vorschläge ausgearbeitet, damit die Krankenkassen nur nach Nutzung eines nach Stand der Technik hochsicheren Authentifizierungsverfahrens Zugriffe auf Gesundheitsdaten erlauben, vgl. Art. 25 DSGVO.

Kritik kommt außerdem vom Bundesrat. Momentan sei es für die Versicherten nicht erkennbar, wer bei einem Datenleck oder unbefugter Datenlöschung die Verantwortung trage. Es sei daher sinnvoll, einen Gesamtverantwortlichen zu bestimmen.

Ausblick

Die Telematikinfrastruktur soll dem besonderen Schutzbedarf des Art. 9 DSGVO gerecht werden, und ein entsprechend hohes Schutzniveau beinhalten, sodass der Schutz der Versicherten und ihrer Gesundheitsdaten immer im Vordergrund stehen.

Es muss zudem jederzeit gewährleistet sein, dass Patientinnen und Patienten bei Einführung der ePA die volle Hoheit über ihre Daten besitzen. Das soll auch für solche Personen gelten, die kein smartes Endgerät besitzen und die Vorteile der ePA nutzen wollen, z.B. durch das kostenlose Bereitstellen von Terminals in den Krankenkassen.

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, Dagmar Hartge, sieht die Krankenkassen in der Verantwortung und warnt zudem die Patienten: „…Die gesetzlichen Krankenkassen in Brandenburg sind in der Verantwortung, die elektronische Patientenakte erst einzuführen, wenn die technischen Voraussetzungen dem Datenschutz ausreichend Rechnung tragen. Den Versicherten empfehle ich, im Zweifelsfall lieber noch ein Jahr zu warten, bevor sie die elektronische Patientenakte nutzen.“

Es bleibt somit abzuwarten in wie weit die Krankenkassen auf die Kritikpunkte der Datenschutzbeauftragen eingehen. Wir werden Sie selbstverständlich auf dem Laufenden halten.