Das Patientendaten-Schutzgesetz: Datenschutz für die elektronische Patientenakte
Ein Gesetz für die elektronische Patientenakte (ePA) wurde bereits verabschiedet, sodass sie ab 2021 verfügbar sein wird. Im Fokus steht nun aber das Patientendaten-Schutzgesetz (PDSG). Wozu das zusätzlich notwendig ist und was für Neuerungen es beinhalten soll, erfahren Sie in diesem Beitrag.
Für das PDSG bildet die ePA den Ausgangspunkt, in der, sofern der Patient dies wünscht, Patientendaten wie Diagnoseergebnisse, Therapiemaßnahmen und Medikationspläne gespeichert und ärzteübergreifend zusammengeführt werden, um eine bessere Behandlung zu erreichen. Untersuchungen und Behandlungen werden nicht mehr doppelt durchgeführt, nachdem der Arzt gewechselt wurde, und in Notfällen stehen wichtige Daten sofort zur Verfügung. Zudem wird das e-Rezept eingeführt. Nachdem aber Kritik unter anderem vom Bundesjustizministerium aufgrund von Mängeln im Bereich Datenschutz laut geworden war, sollte ein eigens für die ePA konzipiertes Datenschutzgesetz entstehen – das Patientendaten-Schutzgesetz, dessen Entwurf nun vorgelegt wurde. Es beinhaltet zu diesen Zweck einige Änderungen an bestehenden Gesetzen, insbesondere dem Sozialgesetzbuch V (SGB V).
Neue Kritik nach neuem Entwurf
Mit diesem Entwurf ist die Kritik am Datenschutzkonzept der elektronischen Patientenakte allerdings nicht verstummt. Im Gegenteil, der Landesdatenschutzbeauftragte Baden-Württemberg beispielsweise hält in seiner Stellungnahme aufgrund der unzulänglichen Datenschutzregeln bereits den Begriff Patientendaten-Schutzgesetz für fehl am Platz und den Entwurf für „grundlegend überarbeitungsbedürftig“. Beanstandet werden insbesondere Regelungen, die im Zusammenhang mit den datenschutzrechtlichen Betroffenenrechten nach der Datenschutz-Grundverordnung (DSGVO) stehen.
Unklare Verantwortlichkeiten zu Lasten der Patienten?
Zum ersten sind die Verantwortlichkeiten beim Aufbau der sogenannten Telematikinfrastruktur unklar geregelt. Die Telematikinfrastruktur ist ein geschlossenes Netz verschiedener IT-Systeme, die alle Akteure des Gesundheitswesens im Bereich der Gesetzlichen Krankenversicherung miteinander vernetzt. Denn die jeweiligen Verantwortlichkeiten werden nach dem geplanten neuen § 307 SGB V aufgeteilt, anstatt eine gemeinsame Verantwortlichkeit der Beteiligten festzulegen, wie es etwa die Datenschutzkonferenz (DSK) fordert. Im neu geschaffenen Kapitel 11 des SGB V über die Telematikinfrastruktur soll es in § 307 heißen, dass die datenschutzrechtliche Verantwortlichkeit bei den Akteuren liegt, die die Komponenten der Infrastruktur „für die Zwecke der Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur nutzen“. Für Betroffene dürfte mit dieser etwas umständlich formulierten Regelung oft unklar sein, an wen sie sich im Einzelfall richten müssen, was die Durchsetzung ihrer Rechte erschwert. Auf den zweiten Blick erscheint dies aber weniger problematisch. Denn die Gesellschaft für Telematik soll nach § 307 Abs. 5 SGB V eine „koordinierende Stelle“ für allgemeine Informationen, die Auskunft über Zuständigkeiten und auch der datenschutzrechtlichen Verantwortlichkeiten einrichten, an die auch Betroffene sich wenden können.
Beschränkungen der DSGVO-Betroffenenrechte
Diesen datenschutzrechtlich Verantwortlichen gegenüber würden darüber hinaus die Betroffenenrechte aus den Art. 12 bis 22 DSGVO durch den neuen § 308 SGB V ausdrücklich beschränkt. Diese Beschränkung wird teilweise als rechtswidrig angesehen, da die DSGVO eine solche gar nicht hergebe. Der Entwurf des Patientendaten-Schutzgesetzes sieht eine entsprechende Legitimation in Art. 23 DSGVO, auf den die neue Regelung gestützt werden soll. Dieser lässt Beschränkungen der Art. 12 bis 22 DSGVO durch den nationalen Gesetzgeber unter anderem aus Gründen eines allgemeinen öffentlichen Interesse zu, insbesondere wirtschaftlicher und finanzieller Interessen etwa im Bereich der öffentlichen Gesundheit. Die im Rahmen der Digitalisierung des Gesundheitswesens im Allgemeinen und mit der ePA im Besonderen verbundenen Effizienzgewinne erfüllten demnach genau diese Voraussetzungen, da im Gesundheitsbereich großen Herausforderungen zu begegnen sei. Die Begründung des Entwurfs nennt dazu Beispiele wie die Zunahme der Anzahl chronisch Kranker, die demographische Entwicklung und die zunehmend schwierige medizinische Versorgung strukturschwacher Regionen, die mit der ePA angegangen würden.
Zudem: Nur, wenn die technische Erfüllung eines Betroffenenrechts nicht möglich oder nur mit einem hohen Risiko für die Sicherheit der Verarbeitungssysteme verbunden ist, soll der Anspruch des Betroffenen entfallen. § 308 Abs. 2 SGB V sieht zudem Ausnahmen vor, falls Anhaltspunkte für die Unrechtmäßigkeit der Verarbeitung oder eine rechtsmissbräuchliche Berufung auf die Beschränkungsmöglichkeit vorliegen.
Die Datenspende
Weiterhin ist das System einer „Datenspende“ vorgesehen. Patienten können freiwillig Daten, die über sie erhoben wurden, der medizinischen Forschung zur Verfügung stellen. Der neue § 363 SGB V soll dafür die entsprechende Rechtsgrundlage sein. Nach Abs. 1 können versicherte Daten ihrer ePA freiwillig für Zwecke der wissenschaftlichen Forschung zur Verfügung stellen. Kritisiert wird an dieser Stelle, dass die Anforderungen an eine datenschutzrechtliche Einwilligung nach der DSGVO hier nicht festgelegt sind und dass nach einer Rücknahme der Freigabe zwar keine weitere Datenübermittlung mehr stattfindet, die bereits übermittelnden Daten aber auch nicht wieder gelöscht werden müssen, soweit die Daten bereits für konkrete Forschungsvorhaben verwendet wurden.
In der Begründung des Entwurfs heißt es, dass die Einwilligung nach DSGVO gar nicht die Rechtsgrundlage für diese Verarbeitung ist, sondern die Erforderlichkeit von Aufgaben im öffentlichen Interesse zu wissenschaftlichen Forschungszwecken (vgl. Art. 6 Abs. 1 lit. e, 9 Abs. 2 lit. j, Abs. 4, 89 DSGVO). Die Freiwilligkeit wäre demnach als Zusatz des Gesetzgebers zu verstehen, um der Sensibilität von Gesundheitsdaten in erhöhtem Maße Rechnung zu tragen. Der Entwurf begründet weiter, dass auch gemäß Art. 17 Abs. (3) lit. d) DSGVO das Recht der betroffenen Personen auf Löschung nicht besteht, soweit die Verarbeitung der betreffenden Daten für wissenschaftliche Forschungszwecke gemäß Art. 89 Abs. (1) DSGVO erforderlich ist und soweit das Recht auf Löschung voraussichtlich die Verwirklichung des Ziels dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.
Unbegrenzter Datenzugriff für Krankenkassen?
Schließlich wird die Möglichkeit der Krankenkassen, auf die Informationen der ePA zum Zwecke ihrer eigenen Anwendungen zuzugreifen (vgl. geplanter § 345 SGB V), aus datenschutzrechtlicher Sicht als problematisch angesehen. Denn darunter fallen wohl Kassen-Angebote wie Health-Apps, Wearables und Fitnesstracker – viele sehen hier nicht zuletzt die Gefahr, dass diese zur Erstellung von Gesundheitsprofilen der Versicherten genutzt werden und zu Diskriminierungen führen könnten. Hier wäre eine Erläuterung des Begriffs der „zusätzlichen Anwendungen“ wünschenswert, um die Risiken besser einschätzen zu können. Jedenfalls ist zu sagen, dass die Übermittlung an die Krankenkassen nach dem Entwurf des Patientendaten-Schutzgesetzes nicht nur freiwillig ist (da es sich um freiwillige Angebote der Krankenkassen handelt), sondern sie soll nach § 345 SGB V auch durch folgende Voraussetzungen geschützt sein: Die Krankenkassen müssen die hohen Anforderungen an Datenschutz und Datensicherheit sicherstellen, insbesondere die Daten nur für den Zweck der Anwendung verarbeiten. Zudem müssen sie die Versicherten über Funktionsweise, die verarbeiteten Daten und die Zugriffsrechte informieren.
Das könnte Sie auch interessieren:
- Einwilligungen in die Verarbeitung von Gesundheitsdaten: rechtssicher und verständlich gestalten
- Datenschutzkonformes Outsourcing im Gesundheitswesen
- Betroffenenrechte nach der DSGVO: Die Reichweite im Gesundheitswesen
Fazit
Dass die Digitalisierung im Gesundheitswesen wichtig und die elektronische Patientenakte dafür ein zentraler Bestandteil ist, darüber besteht weitgehend Einigkeit. Die geplanten Regelungen im Entwurf des Patientendaten-Schutzgesetzes haben nun neben anderen Kritikpunkten etwa aus der Wirtschaft die genannten Forderungen nach Verbesserungen im Bereich Datenschutz hervorgerufen. Sie betreffen eindeutig wichtige Fragen, bei welchen Konkretisierungen und Nachjustierungen wünschenswert sind. Insgesamt muss allerdings festgehalten werden, dass der Entwurf im Grundsatz zu Recht begrüßt wird. Den unterschiedlichen Interessen wie aus der Wirtschaft und schließlich auch der Patienten wird Rechnung getragen, während gleichzeitig der Schutz der Patientendaten eine zentrale Stellung einnimmt. An allen kritischen Stellen hebt der Entwurf die Notwendigkeit eines hohen Datenschutzniveaus hervor und erlässt entsprechende Voraussetzungen. Daher ist der Entwurf ein wichtiger Schritt, während zu hoffen bleibt, dass die geforderten Nachbesserungen noch erfolgen.
Sie haben Fragen zum IT- oder Datenschutzrecht im Gesundheitswesen?