Die elektronische Patientenakte (ePA): Datenschutzrechtliche Aspekte und nächste Entwicklungsstufen

Seit dem 01.01.2021 sind die gesetzlichen Krankenkassen verpflichtet, ihren Versicherten die ePA zur Verfügung zu stellen. Ziel der ePA ist es, dass Versicherte relevante medizinische Informationen zur Verfügung stellen können, um dadurch die Informationslage der an der Behandlung beteiligten Akteure zu verbessern. Zentral ist hierbei, dass die ePA durch die Versicherten geführt wird, diese sollen jederzeit die „Hoheit über ihre Daten“ behalten und entscheiden selbst über deren Errichtung, Nutzung und Löschung. Die ePA ersetzt dabei weder die Pflicht zur Behandlungsdokumentation durch die behandelnden Ärzt:innen (§ 630f BGB), noch ist sie Weg und Mittel der Kommunikation der Ärzt:innen untereinander. Weitere Ausbaustufen der ePA sind bereits im SGB V gesetzlich geregelt. Auf die aktuelle Ausbaustufe ePA 1.1. folgt ab 01.01.2022 die ePA 2.0 und ab 01.01.2023 die ePA 3.0. Welche (datenschutz-) rechtlichen Aspekte zu beachten sind und was in den künftigen Ausbaustufen der ePA hinzukommt, erfahren Sie in diesem Beitrag.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Datenschutzrechtliche Verantwortlichkeit

Verantwortlich ist nach Art. 4 Nr. 7 DS-GVO „diejenige natürliche oder juristische Person …, die … über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“ (Alt. 1) oder die vom Unionsrecht oder dem Recht der Mitgliedstaaten dazu bestimmt wird (Alt. 2). Der Gesetzgeber hat für die ePA von dieser sog. Öffnungsklausel Gebrauch gemacht und die Verantwortlichkeit in § 307 SGB V geregelt. Für ein besseres Verständnis der darin getroffenen Regelungen zur datenschutzrechtlichen Verantwortlichkeit ist ein Überblick über den grundlegenden Aufbau der Telematik-Infrastruktur hilfreich.

Zu unterscheiden sind drei Unterstrukturen, die zentrale Zone, die dezentrale Zone sowie die Anwendungsinfrastruktur (§ 306 Abs. 2 SGB V). In der zentralen Zone liegt der Verzeichnisdienst, in dem die ePA gespeichert ist, sowie weitere zentrale Dienste wie etwa die VPN-Zugangsdienste, zur Herstellung einer sicheren Verbindung mit der dezentralen Zone, oder die PKI-Dienste, zur zweifelfreien Zuordnung der Teilnehmer. Die dezentrale Zone ist der Bereich, in der die Telematik-Infrastruktur über sogenannte Konnektoren (das sind leistungsstarke und sichere Router) mit den einzelnen Leistungserbringern d.h. insbesondere den Praxisverwaltungssystemen (PVS) der Ärzt:innen bzw. Krankenhausinformationssystemen (KIS) der Krankenhäuser verbunden ist. Und schließlich die Anwendungsinfrastruktur, mit den Diensten und Anwendungen wie der ePA-App oder dem elektronischen Rezept (eRezept), die den Nutzer:innen zur Verfügung gestellt werden. Bei einem Upload oder Download von Daten in bzw. aus der zentralen Zone werden jeweils Kopien der Daten erstellt.

Verantwortlichkeit der Leistungsträger

Nach § 307 Abs. 4 SGB V ist der Leistungsträger, d.h. die jeweilige gesetzliche Krankenkasse (GKV), als Anbieter der ePA, datenschutzrechtlich verantwortlich für die Datenverarbeitung. Diese Verantwortung besteht trotz fehlender Zugriffsmöglichkeiten auf die Daten umfassend, d.h. für alle Datenverarbeitungen im Zusammenhang mit der ePA, mit Ausnahme von Upload und Download von Dokumenten durch Leistungserbringer, d.h. Ärzte, Apotheken und Krankenhäuser oder sonstige Beteiligte.

Verantwortlichkeit der Leistungserbringer

Die Leistungserbringer sind verantwortlich für die dezentrale Zone. Aus Sicht der Leistungserbringer gibt es zwei Formen der Datenverarbeitungen im Zusammenhang mit der ePA, den Upload von Dokumenten aus den PVS/KIS in die ePA, als „Übermittlung“ von Daten, und den Download von Dokumenten aus der ePA in die PVS/KIS, als „Erhebung“ von Daten. Die datenschutzrechtliche Verantwortung besteht im Rahmen der ePA nur für diese beiden Verarbeitungsformen und nur in der dezentralen Zone. Nach dem Beschluss der Datenschutzkonferenz vom 12.09.2019 besteht für die dezentrale Zone eine gemeinsame Verantwortung gem. Art. 26 DS-GVO mit der Gesellschaft für Telematik (Gematik).

„Auffangverantwortlichkeit“ der Gematik

Die Gematik ist mit den Leistungserbringern für die dezentrale Zone gemeinsam nach Art. 26 DSGVO verantwortlich. Sie bestimmt über die „Mittel“ der Verarbeitung, indem Sie den Leistungserbringern Vorgaben hinsichtlich der technischen Anforderungen und Konfigurationen der Konnektoren, VPN-Zugangsdienste und Kartenterminals macht. Ihr kommt darüber hinaus eine „Auffangverantwortlichkeit“ für die zentrale Infrastruktur zu, d.h. sie ist für Datenverarbeitungen in der zentralen Zone immer dann verantwortlich, wenn keine anderweitige Verantwortlichkeit greift (§ 307 Abs. V SGB V).


Mehr zum Thema

Health-Apps und Datenschutz – Eine Win-win-Konstellation?
Gesundheitsapps – Anforderungen an Datenschutz und Datensicherheit
Klinische Studien: Welche Anforderungen stellt das Datenschutzrecht?


Einsatz von Auftragsverarbeitern

An verschiedenen Stellen ist der Einsatz von Auftragsverarbeitern nach Art. 28 DS-GVO denkbar. GKV etwa setzen IT-Dienstleister als Auftragsverarbeiter zum Betrieb der ePA-Systeme ein. Und auch auf der Ebene der Leistungserbringer kommen IT-Dienstleister als Auftragsverarbeiter, etwa für den Betrieb der PVS, Konnektoren und Kartenterminals in Betracht.

Diese Auftragsverarbeiter müssen zahlreiche Anforderungen erfüllen. Wenn die Auftragsverarbeiter „Anbieter von Betriebsleistungen“ der TI sind, wie die Anbieter von ePA-Aktensystemen und zugehörigen Komponenten und Diensten, dann müssen sie zunächst durch die Gematik zugelassen werden (§§ 324, 325 SGB V). Neben den allgemeinen Anforderungen (vgl. Art. 28 DSGVO), müssen alle Auftragsverarbeiter im Zusammenhang mit der ePA die Spezifikationen der Gematik im Hinblick auf die technischen Anforderungen an die Schnittstellen, Komponenten und Dienste erfüllen und Komponenten und Dienste auch regelmäßig updaten. Darüber hinaus müssen Auftragsverarbeiter, sofern sie durch die GKV eingesetzt werden, die Komponenten und Dienste entsprechend den Ausbaustufen der ePA weiterentwickeln. Zu beachten ist weiter, dass Auftragsverarbeiter mit Sitz in nicht-EU-Staaten ohne Angemessenheitsbeschluss nach § 80 Abs. 2 SGB X von den GKV nicht eingesetzt werden dürfen. Die vielfältigen Anforderungen an die Anbieter der ePA bzw. der PVS/KIS sollten vertraglich sauber umgesetzt werden. Hierfür sollten die vorgenannten Anforderungen in den Pflichtenheften sorgfältig dokumentiert werden.

Rechtmäßigkeit der Datenverarbeitung

Ob die Verarbeitung personenbezogener Daten zulässig ist, bestimmt sich im Dreiecksverhältnis zwischen den Versicherten/Patient:innen, dem Leistungsträger und dem Leistungserbringer. Hierbei sind zwei Phasen der Datenverarbeitung zu unterscheiden, die Einrichtung und die Nutzung der ePA. Im Verhältnis zwischen den Versicherten und den GKV erfolgen die Datenverarbeitungen zur Einrichtung der ePA auf Basis einer Einwilligung der Versicherten. Die Errichtung und Nutzung der ePA ist freiwillig, sie erfolgt nur auf Antrag der Versicherten (§ 341 Abs.1 SGB V) und diese können auch jederzeit deren Löschung verlangen (§ 344 Abs. 3 SGB V). Seitens der GKV dürfen an eine nicht gewünschte Nutzung der ePA keine Nachteile geknüpft werden. In der Phase der Nutzung ist ein Zugriff auf die ePA durch die GKV nur zulässig, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist.

Im Verhältnis zwischen Versicherten und Leistungserbringern kann der Zugriff nur nach freiwilliger Berechtigungsvergabe durch den Versicherten erfolgen (vgl. § 353 SGB V). Als zusätzliche Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung muss der Zugriff im konkreten Behandlungskontext erforderlich sein (vgl. § 352 Nr. 1 SGB V). Die Einwilligung des Patienten ist demnach notwendig, für sich genommen jedoch nicht hinreichend für die Rechtmäßigkeit der Datenverarbeitung. Unklar ist aufgrund dessen, in welchem Verhältnis die beiden angesprochenen Rechtsgrundlagen, Einwilligung und Erfüllung des Behandlungsvertrages, hier zueinanderstehen.

Haftungsfragen

In Zusammenhang mit der Frage, „wann“ Ärzt:innen auf die ePA-Daten zugreifen dürfen, steht die Frage „ob“ sie zugreifen müssen. Die Kenntnisnahme und Auswertung der Informationen aus der ePA kann haftungsrechtlich relevant werden. Grundsätzlich gilt die Frage des „ob“ des Zugriffs, dass Ärzt:innen Informationen aus der ePA nur abrufen und ggf. speichern müssen, wenn dies für die konkrete Behandlungssituation erforderlich ist (siehe hierzu auch schon oben die Erläuterungen zur Frage der Rechtmäßigkeit). Sofern dies trotz erteilter Zugriffsberechtigung nicht erfolgt, kann dies u. U. als haftungsrelevanter Fehler bei der Anamnese einzustufen sein. Mit der ePA wurden keine neuen zivilrechtlichen Haftungsregeln eingeführt, die Haftungsfragen folgen daher den bekannten Regelungen im BGB. Ärzt:innen müssen danach im Rahmen der Anamnese gezielt nach Vorbehandlungen und relevanten Dokumenten fragen. Die erlangten Behandlungsunterlagen müssen sie lesen, wenn es medizinisch-fachlich sachgerecht ist. Während Ärzt:innen in der Regel auf die Richtigkeit fachfremder Informationen vertrauen dürfen, sind solche der eigenen Fachdisziplin kritisch zu würdigen.

Ausblick: Die kommenden Ausbaustufen

In § 342 Abs. 2 SGB V sind weitere Ausbaustufen der ePA bereits gesetzlich geregelt. Neuerungen ergeben sich insbesondere im Hinblick auf medizinische Informationsobjekte, Funktionen und Anwendergruppen. Zudem sind über ePA 3.0 hinaus weitere Ausbaustufen geplant, diese wurden bislang aber noch nicht gesetzlich geregelt.

ePA 2.0: feingranulares Zugriffmanagement

Mit der ePA 2.0 ergeben sich ab dem 01.01.2022 im Wesentlichen folgende Neuerungen. Es wird ein sogenannter stationärer Client eingeführt, d.h. die ePA kann nun nur über ein Smartphone/Tablet, sondern auch über einen PC genutzt werden. Darüber hinaus werden weitere Anwendergruppen hinzugenommen, dies sind die Pflegeberufe, Hebammen, Physiotherapeuten, der Öffentliche Gesundheitsdienst, die Arbeitsmedizin, sowie Reha-Kliniken. Besonders hervorzuheben ist die Einführung einer komplexen Berechtigungsvergabe. Das Berechtigungsmanagement sorgte bereits im Rahmen des Gesetzgebungsverfahrens für das Patienten-Daten-Schutz-Gesetz (PDSG) (welches die gesetzlichen Regelungen zur ePA enthält) für Kritik und mündete nach dessen Inkrafttreten in einer förmlichen Warnung des Bundesbeauftragten für den Datenschutz (BfDI) gegenüber den gesetzlichen Krankenkassen. Aktuell können Versicherte nur grobgranular Zugriffsrechte, nach dem „Alles oder Nichts-Prinzip“ vergeben. Wird etwa einem Zahnarzt Zugriff gewährt, so kann dieser auch die Informationen über die Behandlung beim Psychiater in der ePA einsehen. Dies wird aus Sicht des BfDI der Patientensouveränität nicht gerecht und steht zudem im Widerspruch mit der DS-GVO. Unter anderem ist es nicht mit Art. 25 DS-GVO vereinbar, weil Datenschutzgrundsätze wie die Datenminimierung nicht wirksam umgesetzt wurden und ein derartiges Zugriffmanagement nicht dem aktuellen Stand der Technik entspricht. Mit der ePA 2.0 wird nun ein feingranulares Zugriffsmanagement eingeführt. Versicherte können dann Zugriffsrechte für spezifische Dokumente und Datensätze vergeben.

ePA 3.0: Freigabe von Daten für Forschungszwecke

Mit der ePA 3.0 kommen zahlreiche neue Funktionen hinzu, hervorzuheben ist die automatische Einstellung von Daten aus digitalen Gesundheitsanwendungen (DiGA) und die Freigabe von Daten für Forschungszwecke. DiGAs sind Gesundheits- oder Medizin-Apps oder andere digitale Anwendung, die Ärzt:innen verordnen oder ein Versicherter direkt bei der Krankenkasse beantragen kann. Derartige Apps und Anwendungen müssen vor einer Anbindung an die ePA von der Gematik authentifiziert werden. Zudem können Versicherte mit Einführung der ePA 3.0 ihre Daten auf verschiedene Art und Weise der Forschung zur Verfügung stellen. Die Freigabe erfolgt hierbei auf Basis einer Einwilligung. Es besteht die Option die ePA-Daten entweder einem Forschungsdatenzentrum nach § 303d SGB V für gesetzlich geregelte Forschungsvorhaben zur Verfügung zu stellen (§ 363 Abs. 1 bis 7 SGB V), oder einem einzelnen Forschungsprojekt (§ 363 Abs. 8 SGB V).

Die Verbände BDI, BIO Deutschland, bitkom, bvitg, BVMed, SVDGV, SPECTARIS, VDGH, vfa und ZVEI forderten am 13.07.2021 in einer gemeinsamen Pressemitteilung leichtere Zugangsmöglichkeiten zu den ePA-Daten zu Forschungszwecken. Sie halten die Freigabe der Daten auf Basis einzelner Einwilligungen für nicht praktikabel und fordern stattdessen die Einführung einer zentralen Einwilligung in die Nutzung von Forschungsdaten, sprich einer einmaligen Einwilligung durch die Versicherten, die an möglichst zentraler Stelle eingeholt wird (etwa beim Öffnen der ePA-App).

Fazit und Handlungsempfehlung

Wie sich zeigt, wird die ePA in ihrer aktuellen Ausbaustufe dem Anspruch der „Patientensouveränität“ noch nicht vollends gerecht. Insbesondere im Hinblick auf das Berechtigungsmanagement ist nicht nachvollziehbar, warum nicht bereits mit Version 1.1 Zugriffsrechte auf Ebene einzelner Dokumente erteilt werden können. Die Leistungserbringer sehen sich neben den Vorteilen, die die ePA unzweifelhaft bietet, mit neuen Rechtsunsicherheiten und Risiken im Verhältnis zu ihren Patienten konfrontiert. Im Hinblick auf haftungsrechtliche Fragestellungen sollten Ärzt:innen die ePA unbedingt in ihre Arbeitsabläufe einbinden und als Informationsquelle im Rahmen der Anamnese nutzen.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.