06.10.2022

Die elektronische Patientenakte (ePA): Datenschutzrechtliche Aspekte und nächste Entwicklungsstufen

Seit dem 01.01.2021 sind die gesetzlichen Krankenkassen verpflichtet, ihren Versicherten die ePA zur Verfügung zu stellen. Ziel der ePA ist es, dass Versicherte den an der Behandlung Beteiligten relevante medizinische Informationen übergeben können, um dadurch deren Informationslage zu verbessern.

Unverbindliches Erstgespräch vereinbaren

Zentral ist hierbei, dass die ePA durch die Versicherten geführt wird. Diese sollen jederzeit die „Hoheit über ihre Daten“ behalten und entscheiden selbst über deren Errichtung, Nutzung und Löschung. Die ePA ersetzt dabei weder die Pflicht zur Behandlungsdokumentation durch die behandelnden Ärzt:innen, noch ist sie Weg und Mittel der Kommunikation der Ärzt:innen untereinander. Jede:r Ärzt:in hat im Verhältnis zum:r Patient:in einen eigenständigen Behandlungsvertrag nach § 630a BGB. Weitere Ausbaustufen der ePA sind bereits im SGB V gesetzlich geregelt. Auf die Ausbaustufe ePA 1.1. folgte ab dem 01.01.2022 die ePA 2.0 und ab 01.01.2023 wird die ePA 3.0 eingeführt. Welche (datenschutz-) rechtlichen Aspekte zu beachten sind und was in den künftigen Ausbaustufen der ePA hinzukommt, erfahren Sie in diesem Beitrag.

Datenschutzrechtliche Verantwortlichkeit

Verantwortlich ist nach Art. 4 Nr. 7 DSGVO „diejenige natürliche oder juristische Person …, die … über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“ (Alt. 1) oder die vom Unionsrecht oder dem Recht der Mitgliedstaaten dazu bestimmt wird (Alt. 2). Der Gesetzgeber hat für die ePA von dieser sog. Öffnungsklausel Gebrauch gemacht und die Verantwortlichkeit in § 307 SGB V geregelt. Für ein besseres Verständnis der darin getroffenen Regelungen zur datenschutzrechtlichen Verantwortlichkeit ist ein Überblick über den grundlegenden Aufbau der Telematik-Infrastruktur (TI) hilfreich.

Zu unterscheiden sind drei Unterstrukturen: die zentrale Infrastruktur, die dezentrale Infrastruktur sowie die Anwendungsinfrastruktur (§ 306 Abs. 2 SGB V). In der zentralen Infrastruktur liegt der Verzeichnisdienst, in dem die ePA gespeichert ist, sowie weitere zentrale Dienste wie etwa die VPN-Zugangsdienste zur Herstellung einer sicheren Verbindung mit der dezentralen Infrastruktur oder die PKI-Dienste zur zweifelsfreien Zuordnung der Teilnehmer. Die dezentrale Infrastruktur ist der Bereich, in der die Telematik-Infrastruktur über sogenannte Konnektoren (das sind leistungsstarke und sichere Router) mit den einzelnen Leistungserbringern, d. h. insbesondere den Praxisverwaltungssystemen (PVS) der Ärzt:innen bzw. Krankenhausinformationssystemen (KIS) der Krankenhäuser verbunden ist. Und schließlich die Anwendungsinfrastruktur mit den Diensten und Anwendungen wie der ePA oder dem elektronischen Rezept (eRezept), die den Nutzer:innen zur Verfügung gestellt werden. Bei einem Upload oder Download von Daten in bzw. aus der zentralen Infrastruktur werden jeweils Kopien der Daten erstellt.

Verantwortlichkeit der Leistungsträger

Nach § 307 Abs. 4 SGB V ist der Leistungsträger, d. h. die jeweilige gesetzliche Krankenkasse (GKV) als Anbieter der ePA, datenschutzrechtlich verantwortlich für die Datenverarbeitung. Diese Verantwortung besteht trotz fehlender Zugriffsmöglichkeiten auf die Daten umfassend, d.h. für alle Datenverarbeitungen im Zusammenhang mit der ePA, mit Ausnahme von Upload und Download von Dokumenten durch Leistungserbringer, d. h. Ärzte, Apotheken und Krankenhäuser oder sonstige Beteiligte.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte addieren Sie 8 und 1.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Verantwortlichkeit der Leistungserbringer

Die Leistungserbringer sind verantwortlich für die Datenverarbeitung in der dezentralen Infrastruktur. Aus Sicht der Leistungserbringer gibt es zwei Formen der Datenverarbeitungen im Zusammenhang mit der ePA: den Upload von Dokumenten aus den PVS/KIS in die ePA, als „Übermittlung“ von Daten und den Download von Dokumenten aus der ePA in die PVS/KIS, als „Erhebung“ von Daten. Die datenschutzrechtliche Verantwortung besteht im Rahmen der ePA nur für diese beiden Verarbeitungsformen und nur in der dezentralen Infrastruktur.

Einsatz von Auftragsverarbeitern

An verschiedenen Stellen ist der Einsatz von Auftragsverarbeitern nach Art. 28 DS-GVO denkbar. GKV etwa setzen IT-Dienstleister als Auftragsverarbeiter zum Betrieb der ePA-Systeme ein. Und auch auf der Ebene der Leistungserbringer kommen IT-Dienstleister als Auftragsverarbeiter, etwa für den Betrieb der PVS, Konnektoren und Kartenterminals in Betracht.

Diese Auftragsverarbeiter müssen zahlreiche Anforderungen erfüllen. Wenn die Auftragsverarbeiter „Anbieter von Betriebsleistungen“ der TI sind, wie die Anbieter von ePA-Aktensystemen und zugehörigen Komponenten und Diensten, dann müssen sie zunächst durch die Gematik zugelassen werden (§§ 324, 325 SGB V). Neben den allgemeinen Anforderungen (vgl. Art. 28 DSGVO) müssen alle Auftragsverarbeiter im Zusammenhang mit der ePA die Spezifikationen der Gematik im Hinblick auf die technischen Anforderungen an die Schnittstellen, Komponenten und Dienste erfüllen und Komponenten und Dienste auch regelmäßig updaten. Darüber hinaus müssen Auftragsverarbeiter, sofern sie durch die GKV eingesetzt werden, die Komponenten und Dienste entsprechend den Ausbaustufen der ePA weiterentwickeln. Zu beachten ist weiter, dass Auftragsverarbeiter mit Sitz in Nicht-EU-Staaten ohne Angemessenheitsbeschluss nach § 80 Abs. 2 SGB X von den GKV nicht eingesetzt werden dürfen. Die vielfältigen Anforderungen an die Anbieter der ePA bzw. der PVS/KIS sollten vertraglich sauber umgesetzt werden. Hierfür sollten die vorgenannten Anforderungen in den Pflichtenheften sorgfältig dokumentiert werden.

Rechtmäßigkeit der Datenverarbeitung

Ob die Verarbeitung personenbezogener Daten zulässig ist, bestimmt sich im Dreiecksverhältnis zwischen den Versicherten/Patient:innen, dem Leistungsträger und dem Leistungserbringer. Hierbei sind zwei Phasen der Datenverarbeitung zu unterscheiden: die Einrichtung und die Nutzung der ePA. Im Verhältnis zwischen den Versicherten und den GKV erfolgen die Datenverarbeitungen zur Einrichtung der ePA auf Basis einer Einwilligung der Versicherten. Die Errichtung und Nutzung der ePA ist freiwillig, sie erfolgt nur auf Antrag der Versicherten (§ 341 Abs. 1 SGB V) und diese können auch jederzeit deren Löschung verlangen (§ 344 Abs. 3 SGB V). Seitens der GKV dürfen an eine nicht gewünschte Nutzung der ePA keine Nachteile geknüpft werden. In der Phase der Nutzung ist ein Zugriff auf die ePA durch die GKV nur zulässig, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist.

Im Verhältnis zwischen Versicherten und Leistungserbringern kann der Zugriff nur nach freiwilliger Berechtigungsvergabe durch den Versicherten erfolgen (vgl. § 353 SGB V). Als zusätzliche Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung muss der Zugriff im konkreten Behandlungskontext erforderlich sein (vgl. § 352 Nr. 1 SGB V). Die Einwilligung des Patienten ist demnach notwendig, für sich genommen jedoch nicht hinreichend für die Rechtmäßigkeit der Datenverarbeitung. Beispielsweise wird ein:e Zahnärzt:in nicht auf Informationen über psychische Erkrankungen zugreifen dürfen, mangels Erforderlichkeit für die konkrete Behandlung. Die gesetzliche Regelung ist aufgrund dessen unklar, da aus ihr nicht zweifelsfrei hervorgeht, in welchem Verhältnis die beiden angesprochenen Rechtsgrundlagen, Einwilligung und Erfüllung des Behandlungsvertrages hier zueinanderstehen.

Haftungsfragen

Mit der ePA wurden keine neuen zivilrechtlichen Haftungsregeln eingeführt, die Haftungsfragen folgen daher den bekannten Regelungen im BGB. In Zusammenhang mit der Frage, „wann“ Ärzt:innen auf die ePA-Daten zugreifen dürfen, steht die Frage, „ob“ sie zugreifen müssen. Die Kenntnisnahme und Auswertung der Informationen aus der ePA kann haftungsrechtlich relevant werden. Grundsätzlich gilt für die Frage des „Ob“ des Zugriffs, dass Ärzt:innen Informationen aus der ePA nur abrufen und ggf. speichern dürfen, wenn dies für die konkrete Behandlungssituation erforderlich ist (siehe hierzu auch schon oben die Erläuterungen zur Frage der Rechtmäßigkeit). Sofern dies trotz erteilter Zugriffsberechtigung nicht erfolgt, kann dies u. U. als haftungsrelevanter Fehler bei der Anamnese einzustufen sein. Ärzt:innen müssen danach im Rahmen der Anamnese gezielt nach Vorbehandlungen und relevanten Dokumenten fragen. Die erlangten Behandlungsunterlagen müssen sie lesen, wenn es medizinisch-fachlich sachgerecht ist. Während Ärzt:innen in der Regel auf die Richtigkeit fachfremder Informationen vertrauen dürfen, sind solche der eigenen Fachdisziplin kritisch zu würdigen.

Ausblick: Die kommenden Ausbaustufen

IIn § 342 Abs. 2 SGB V sind weitere Ausbaustufen der ePA bereits gesetzlich geregelt. Neuerungen ergeben sich insbesondere im Hinblick auf medizinische Informationsobjekte, Funktionen und Anwendergruppen. Zudem sind über ePA 3.0 hinaus weitere Ausbaustufen geplant, diese wurden bislang aber noch nicht gesetzlich geregelt.

ePA 2.0: feingranulares Zugriffmanagement

Mit der ePA 2.0 ergeben sich seit dem 01.01.2022 im Wesentlichen folgende Neuerungen. Es wird ein sogenannter stationärer Client eingeführt, d.h. die ePA kann nun nicht nur über ein Smartphone/Tablet, sondern auch über einen PC genutzt werden. Darüber hinaus werden weitere Anwendergruppen hinzugenommen, nämlich die Pflegeberufe, Hebammen, Physiotherapeuten, der öffentliche Gesundheitsdienst, die Arbeitsmedizin sowie Reha-Kliniken. Besonders hervorzuheben ist die Einführung einer komplexen Berechtigungsvergabe. Das Berechtigungsmanagement sorgte bereits im Rahmen des Gesetzgebungsverfahrens für das Patienten-Daten-Schutz-Gesetz (PDSG) (welches die gesetzlichen Regelungen zur ePA enthält) für Kritik und mündete nach dessen Inkrafttreten in einer förmlichen Warnung des Bundesbeauftragten für den Datenschutz (BfDI) gegenüber den gesetzlichen Krankenkassen. Bisher konnten Versicherte nur grobgranular Zugriffsrechte, nach dem „Alles oder Nichts-Prinzip“ vergeben. Wurde etwa einem Zahnarzt Zugriff gewährt, so konnte dieser auch die Informationen über die Behandlung beim Psychiater in der ePA einsehen. Dies wurde aus Sicht des BfDI der Patientensouveränität nicht gerecht und stand zudem im Widerspruch mit der DSGVO. Unter anderem war es nicht mit Art. 25 DSGVO vereinbar, weil Datenschutzgrundsätze wie die Datenminimierung nicht wirksam umgesetzt wurden und ein derartiges Zugriffsmanagement nicht dem aktuellen Stand der Technik entspricht. Mit der ePA 2.0 wurde nun ein feingranulares Zugriffsmanagement eingeführt. Versicherte können nun Zugriffsrechte für spezifische Dokumente und Datensätze vergeben.

ePA 3.0: Freigabe von Daten für Forschungszwecke

Mit der ePA 3.0 kommen zahlreiche neue Funktionen hinzu, hervorzuheben ist die automatische Einstellung von Daten aus digitalen Gesundheitsanwendungen (DiGA) und die Freigabe von Daten für Forschungszwecke. DiGAs sind Gesundheits- oder Medizin-Apps oder andere digitale Anwendungen, die Ärzt:innen verordnen oder ein Versicherter direkt bei der Krankenkasse beantragen kann. Derartige Apps und Anwendungen müssen vor einer Anbindung an die ePA von der Gematik zugelassen werden. Zudem können Versicherte mit Einführung der ePA 3.0 ihre Daten auf verschiedene Art und Weise der Forschung zur Verfügung stellen. Die Freigabe erfolgt hierbei auf Basis einer Einwilligung. Es besteht die Option, die ePA-Daten entweder einem Forschungsdatenzentrum nach § 303d SGB V für gesetzlich geregelte Forschungsvorhaben zur Verfügung zu stellen (§ 363 Abs. 1 bis 7 SGB V) oder einem einzelnen Forschungsprojekt (§ 363 Abs. 8 SGB V).

Die Verbände BDI, BIO Deutschland, bitkom, bvitg, BVMed, SVDGV, SPECTARIS, VDGH, vfa und ZVEI forderten am 13.07.2021 in einer gemeinsamen Pressemitteilung leichtere Zugangsmöglichkeiten zu den ePA-Daten zu Forschungszwecken. Sie halten die Freigabe der Daten auf Basis einzelner Einwilligungen für nicht praktikabel und fordern stattdessen die Einführung einer zentralen Einwilligung in die Nutzung von Forschungsdaten, sprich einer einmaligen Einwilligung durch die Versicherten, die an möglichst zentraler Stelle eingeholt wird (etwa beim Öffnen der ePA-App).

Fazit und Handlungsempfehlung

Es ist zu begrüßen, dass die ePA mit der aktuellen Ausbaustufe 2.0 der Patientensouveränität mehr Rechnung trägt. Insbesondere im Hinblick auf das Berechtigungsmanagement ist aber nicht nachvollziehbar, warum nicht bereits mit Version 1.1 Zugriffsrechte auf Ebene einzelner Dokumente erteilt werden konnten. Die Leistungserbringer sehen sich neben den Vorteilen, die die ePA unzweifelhaft bietet, mit neuen Rechtsunsicherheiten und Risiken im Verhältnis zu ihren Patienten konfrontiert. Durch die Stellung der Leistungserbringer als datenschutzrechtlich Verantwortliche für die Datenverarbeitung im Zusammenhang mit der ärztlichen Behandlung werden diesen durch die ePA weitere Pflichten zum Schutz der Patientendaten auferlegt. Sie müssen darauf achten, die Daten aus der ePA nur im Sinne der DSGVO zu verarbeiten. Bei einem Verstoß gegen die Bestimmungen der DSGVO droht beispielsweise eine Schadensersatzpflicht nach Art. 82 DSGVO oder ein Bußgeld nach Art. 83 DSGVO. Im Hinblick auf haftungsrechtliche Fragestellungen sollten Ärzt:innen die ePA unbedingt in ihre Arbeitsabläufe einbinden und als Informationsquelle im Rahmen der Anamnese nutzen. Hinsichtlich Auftragsverarbeitern ist darauf zu achten, dass diese nicht nur die Anforderungen des Art. 28 DSGVO, sondern auch die technischen Voraussetzungen der Gematik erfüllen. Eine datenschutzrechtliche Beratung ist bei Unsicherheiten anzuraten.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten

30.09.2024

Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?

20.09.2024

Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung

12.09.2024

Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen