Gesundheitswesen: Anforderungen an die Datenverarbeitung

Health & Medicine

Die Digitalisierung im Gesundheitswesen schreitet in Deutschland endlich voran: Nunmehr können Gesundheitsdokumente in der elektronischen Patientenakte (ePA) gespeichert und nach Wunsch mit Ärzt:innen geteilt werden, Gesundheits-Apps und Wearables unterstützen bei der Behandlung verschiedenster Erkrankungen und Patient:innen haben die Möglichkeit Rat und Hilfestellung bei Arztpraxen via Internet einzuholen. Voraussetzung für solche Anwendungen ist der digitale Datenaustausch zwischen unter anderem Praxen, Krankenhäusern und Apotheken, was zu einer ubiquitären Verarbeitung von Gesundheitsdaten führt. Doch Daten, die die Gesundheit einer Person betreffen, sind gesetzlich typisiert als besonders sensibel zu betrachten und damit auch besonders schutzbedürftig. Gleichzeitig birgt die automatisierte Verarbeitung von Gesundheitsdaten große Chancen: Ärzt:innen können gezielter handeln und Fehlbehandlungen vermeiden, Forschende können Krankheitsursachen und Wechselwirkungen sowie bessere Behandlungsmethoden entdecken. Entsprechend der Sensibilität der Daten werden hohe Anforderungen an den Datenschutz und die Datensicherheit gestellt.

Im Fokus des Angebotsspektrums der Kanzlei Schürmann Rosenthal Dreyer steht deshalb die umfassende Beratung zu allen erforderlichen Schritten, um den datenschutzkonformen Umgang mit Patienten- und Gesundheitsdaten sicherzustellen und gleichzeitig das große Potential der Verarbeitung von Gesundheitsdaten optimal für sich nutzen zu können.

Wir sorgen für rechtssichere und nachhaltige Lösungen, damit Sie sich um Ihre Kerntätigkeit kümmern können.

Wir beraten:

  • Pharma-Unternehmen
  • Krankenhäuser& Kliniken
  • eHealth-Unternehmen
  • Versicherungen
  • Krankenkassen
  • IT-Dienstleister
  • Forschungseinrichtungen

Gesetzlicher Rahmen

Im Gesundheitswesen finden sich die unterschiedlichsten Akteure: Krankenhäuser, Pharma-Unternehmen, Krankenkassen, Forschungseinrichtungen, aber auch Start-Ups, die auf den Gesundheitsmarkt zugeschnittene Produkte und Dienstleistungen entwickeln. Neben der DSGVO und dem BDSG sind daher diverse Spezialgesetze zu beachten, die die Vorgaben der DSGVO und des BDSG modifizieren bzw. verschärfen. Solche speziellen Regelungen finden sich unter anderem im Sozialgesetzbuch, im Infektionsschutzgesetz und im Gesetz über Medizinprodukte. Hinzu kommt, dass einige Gesetzgebungskompetenzen bei den Bundesländern verblieben sind, so dass auch länderspezifische Vorschriften berücksichtigt werden müssen (zum Beispiel die Landeskrankenhausgesetze).

Forschung mit Gesundheitsdaten

Zur regulativen Vielfalt kommt hinzu, dass in den letzten Jahren zahlreiche gesetzgeberische Initiativen gestartet wurden, um die Digitalisierung des deutschen Gesundheitswesens voranzutreiben. Zu nennen sind das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz), welches 2016 die ersten Weichen für den Aufbau der Telematikinfrastruktur und die Einführung medizinischer Anwendungen schaffte, das Digitale-Versorgungs-Gesetz (DVG), welches Digitale Gesundheitsanwendungen ermöglicht und das Patientendaten-Schutz-Gesetz, welches digitale Angebote wie die elektronische Patientenakte oder das E-Rezept nutzbar macht. Mit dem Krankenhauszukunftsgesetz wird in die digitale Zukunft der Krankenhäuser investiert, um moderne Notfallkapazitäten sowie die Digitalisierung und IT-Sicherheit weiter auszubauen und durch das Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz schließlich werden neue digitale Anwendungen in der Pflege geschaffen, die Telemedizin ausgebaut und eine moderne Vernetzung im Gesundheitswesen gefördert.

Zentrale Herausforderung, insbesondere für neue Akteure, ist daher die Identifizierung der einschlägigen Gesetze und das Wissen, welche konkreten Anforderungen diese jeweils stellen.

Treiber der Digitalisierung im Gesundheitswesen

Alle Anwendungen im Gesundheitssektor benötigen eine Infrastruktur. Diese Aufgabe übernimmt die Telematikinfrastruktur der Gematik – sie ist die Plattform für Gesundheitsanwendungen in Deutschland. Primär soll die TI Ärzte, Zahnärzte, Psychotherapeuten, Apotheker und Krankenhäuser miteinander verbinden, um ihnen die Möglichkeit zu geben, auf abgesichertem elektronischem Weg miteinander zu kommunizieren. Dabei ist die Zielsetzung der medizinischen Anwendungen der Telematikinfrastruktur, patientenbezogene medizinische Informationen zum Zwecke der Versorgung zu übermitteln. Dadurch werden verschiedenste Anwendungen ermöglicht.

Eine Anwendung, die mittels TI realisiert wurde, sind digitale Gesundheitsanwendungen (DiGA bzw. „App auf Rezept“). Ärzt:innen können ihren Patienten DiGA auf Kosten der Krankenkasse verschreiben; auf die Versorgung mit DiGA haben Versicherte gemäß dem neuen § 33 a SGB V sogar einen Anspruch. Unter DiGA fallen nach der in § 33 a Abs. 1 S. 1 SGB V verankerten Legaldefinition auch – medizinisch nützliche – Apps. Solche werden, anders als sogenannte Lifestyleapps (z.B. Fitnesstracker), insbesondere zur Diagnose und Therapie von Krankheiten eingesetzt. Um für Patienten erstattungsfähig zu sein, müssen sich Gesundheitsapps einer Überprüfung durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) unterziehen. Hierbei werden dann auch die Datensicherheit und Datenschutzbestimmungen der Apps überprüft. Hersteller von Gesundheitsapps haben dadurch viele Anforderungen zu erfüllen; diese ergeben sich nicht nur aus der DSGVO, sondern auch aus einschlägigen bereichsspezifischen datenschutzrechtlichen Vorschriften im Gesundheitswesen – insbesondere auch aus Vorgaben der DiGAV in Bezug auf Datenschutz und Datensicherheit. Wegen der komplexen Situation und der einzelfallabhängigen Fragen ist eine individuelle Beratung dringend empfohlen. Erste Informationen haben wir bereits hier für Sie zusammengetragen.

Ein anderes Beispiel ist die elektronische Patientenakte (ePA). Seit dem 01.01.2021 sind die gesetzlichen Krankenkassen verpflichtet, ihren Versicherten die ePA zur Verfügung zu stellen. Ziel der ePA ist es, dass Versicherte relevante medizinische Informationen zur Verfügung stellen können, um dadurch die Informationslage der an der Behandlung beteiligten Akteure zu verbessern. Konkret handelt es sich dabei um einen digitalen Speicher, in dem Krankenversicherte ihre Gesundheitsdaten speichern und verwalten können. Wichtige Dokumente, die zurzeit noch auf Papier geführt werden, wird es bald digital geben: Impfpass, Mutterpass, Kinderuntersuchungsheft, Zahnbonusheft. Diese lassen sich ab 2022 als digitale Versionen in der ePA nutzen. Alle Versicherten bekommen DSGVO-konform eine ePA zur Verfügung gestellt; geplant ist eine freiwillige Nutzung (opt-out). Bisher müssen sich Versicherte aktiv für die ePA entscheiden („opt in“) und dabei auch hohe Hürden überwinden, um eine E-Akte zu bekommen. Es bleibt abzuwarten, wie dieser Widerspruch erfolgen kann.

Mit dem am 20. Oktober 2020 in Kraft getretenen „Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz –PDSG)“ ist die auch Einführung des E-Rezepts bei der Verordnung von verschreibungspflichtigen Arzneimitteln geregelt worden. Ab dem 1. September 2022 werden die Apotheken flächendeckend in ganz Deutschland in der Lage sein, E-Rezepte einzulösen und mit den Krankenkassen abzurechnen. Das E-Rezept kann von Patient:innen über zwei verschiedene Wege genutzt werden: nach persönlicher Präferenz kann das E-Rezept per Smartphone über eine E-Rezept-App verwaltet und digital an die gewünschte Apotheke gesendet werde oder die für die Einlösung des E-Rezepts erforderlichen Zugangsdaten können als Papierausdruck in der Arztpraxis ausgehändigt werden.

Welche rechtlichen Herausforderungen ergeben sich für unsere Mandanten und wie können wir sie erfolgreich lösen?

Weitergabe von Patientendaten an Dritte nur unter strengen Voraussetzungen möglich

Schon die bloße Einsichtnahme-Möglichkeit durch beschäftigte Personen innerhalb einer Organisation ist an strenge Voraussetzungen geknüpft. Wollen oder müssen Akteure des Gesundheitswesens Patientendaten an Dritte wie Forschungspartner, Service-Provider, den Medizinischen Dienst der Krankenkassen (MDK) oder die Staatsanwaltschaft übermitteln, müssen diese die gesetzlichen Anforderungen genauestens kennen. Grundsätzlich ist die Weitergabe von sensiblen Gesundheitsdaten an Dritte nur zulässig, wenn der Patient ausdrücklich eingewilligt hat oder eine gesetzliche Grundlage die Übermittlung gestattet.

Sie sind sich nicht sicher, ob die Voraussetzungen einer gesetzlichen Rechtsgrundlage für eine Datenübermittlung erfüllt sind? Sie wissen nicht, wie Sie im Einzelnen mit den Daten Ihrer Patient:innen umgehen müssen? Was muss bei der Übermittlung von Patientendaten zwischen Hausarzt und Krankenhaus oder Klinik und Forschungseinrichtung berücksichtigt werden?

Wir kennen die Fallstricke und sorgen für juristisch saubere Lösungen im Sinne unserer Mandanten.

IT-Verträge besonders präzise ausgestalten

Sollen einzelne Verarbeitungstätigkeiten, die Gesundheitsdaten umfassen, ausgelagert werden oder ist eine regelmäßige Wartung der Systeme erforderlich, so ist vor allem auch auf Service-Level-Ebene für eine präzise Ausgestaltung der Verträge zu sorgen. Im Gesundheitswesen kommt der Integrität, der Vertraulichkeit und der Verfügbarkeit der Daten eine besonders große Bedeutung zu. Schnelle Reaktionszeiten, geringe Ausfallraten und korrekte Informationen können in diesem Zusammenhang über den Erfolg einer Behandlung entscheiden oder sogar lebenswichtig sein. Nur, wenn adäquate Vereinbarungen getroffen und eingehalten werden, können richtige Diagnosen gestellt und bedarfsgerechte Therapien durchgeführt werden.

Wir stellen für unsere Mandanten und im Sinne betroffener Personen die Grundprinzipien sicherer und zuverlässiger Datenverarbeitung auch auf Service-Level-Ebene vertraglich sicher.

Der Zweckbindungsgrundsatz vor dem Hintergrund des Forschungsprivilegs

Grundsätzlich dürfen personenbezogene Daten nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden (Zweckbindungsgrundsatz). Auch im Bereich der Datenverarbeitung für Forschungszwecke gelten daher trotz des sogenannten Forschungsprivilegs sehr strenge gesetzliche Vorgaben, die sich in Spezialgesetzen und einigen bereichsspezifischen Landesregelungen wiederfinden.

Aus dem Bundesdatenschutzgesetz (BDSG) ergibt sich etwa, dass Gesundheitsdaten, die für wissenschaftliche Forschungszwecke verarbeitet werden sollen, nach Möglichkeit anonymisiert werden müssen. Eine Studie aus dem Jahr 2013 hat jedoch gezeigt, dass 4 bis 5 Blutzucker- oder Cholesterinwerte von rund 60 000 Patienten ausreichen, um eine eindeutige Identifizierung betroffener Personen zu ermöglichen.

Wie ist also damit umzugehen, wenn eine Anonymisierung nicht oder nur mit enormen Qualitätseinbußen möglich ist und das Forschungsvorhaben dennoch durchgeführt werden soll? Unter welchen Bedingungen dürfen Forschungseinrichtungen die erhaltenen Daten mit anderen Wissenschaftlern teilen? Was gilt es bei Drittmittel-Studien zu beachten? Dürfen Krankenhäuser mit den Daten eigener Patienten Forschung betreiben? Wie gelingt die Erstellung rechtssicherer und transparenter Einwilligungserklärungen?

Dies ist nur eine Auswahl aus den Herausforderungen, denen sich unsere Mandanten regelmäßig stellen müssen und bei denen wir sie mit rechtssicheren Lösungen unterstützen.

Die Datenschutz-Folgenabschätzung als kontinuierlicher Prozess

Datenschutz-Folgenabschätzungen (DSFA) bieten die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und angemessene Maßnahmen zur Erhöhung der Datensicherheit umzusetzen.

Hierbei handelt es sich nicht um ein einmaliges Verfahren, sondern um einen kontinuierlichen Prozess. Ändern sich Details eines entsprechenden Datenverarbeitungsvorgangs, kann eine erneute Prüfung erforderlich sein. Wir führen für unsere Mandanten Datenschutz-Folgenabschätzungen durch, dokumentieren diese und entwickeln interne Meldeverfahren und formulieren Templates, damit Sie auch im Ernstfall wissen, was zu tun ist.

Aufgrund der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten im Gesundheitswesen sind Datenschutzvorfälle in der Regel meldepflichtig. Welche Pflichten gilt es im Falle von Datenpannen zu erfüllen? Wie kann das Risiko eines Datenschutzvorfalls wirksam eingedämmt werden?

Patientenanfragen sind Betroffenenanfragen

Im Gesundheitswesen handelt es sich bei dem Großteil der datenschutzrechtlichen Anfragen um Anfragen von Patienten. Die im Rahmen von Behandlungen gebotene Sorgfalt sollte bei der Beantwortung von Betroffenenanfragen vor dem Hintergrund hoher Bußgeldandrohungen unbedingt fortgeführt werden.

Wie verhält es sich mit Anfragen der Eltern oder Familienangehörigen des Patienten? Welche Informationen dürfen, welche müssen erteilt werden? Welche gesetzliche Regelung ist einschlägig?

Wir beantworten Ihre Fragen und helfen Ihnen bei der rechtskonformen Implementierung von Prozessen zur Beantwortung von Betroffenenanfragen.

Weitere rechtliche Problemfelder:

  • KI-Einsatz im Gesundheitssektor, insb. Krankenhäusern (z. B. Amazons Sprachassistent Alexa)
  • Telemedizinische Betreuung von Patienten
  • Recht auf Datenportabilität

Handlungsempfehlungen

Datenschutz und IT-Sicherheit beginnen bereits im Wartesaal mit scheinbar simplen Fragen: Dürfen Patienten überhaupt namentlich aufgerufen werden? Wie stelle ich datenschutzkonform sicher, dass Patienten eines Krankenhauses nicht versehentlich verwechselt werden? Diese und ähnlich, scheinbar simple Fragen können sich im Falle von Datenschutzverletzungen und unrechtmäßigen Datenverarbeitungen gravierende Konsequenzen haben. Dies gilt erst recht für komplexere Sachverhalte.

Folgende erste Handlungsempfehlungen lassen sich formulieren:

  • Weitergabe von Patientendaten kritisch überprüfen
  • Vorgaben für das Outsourcing ernst nehmen
  • Entwicklung neuer Anonymisierungstechniken beobachten
  • Detaillierte, leicht verständliche Prozesse implementieren und Mitarbeiter entsprechend schulen

Die Anwälte der Kanzlei Schürmann Rosenthal Dreyer verfügen über die erforderliche Expertise und Spezialisierung, um die datenschutz- und IT-rechtlichen Anforderungen im Gesundheitssektor gleichermaßen mit Ihnen umzusetzen. Sprechen Sie uns an, und wir erarbeiten gemeinsam mit Ihnen eine für Sie passende Lösung!

Haben Sie rechtliche Fragen zum Gesundheitswesen? Unsere Fachanwälte helfen Ihnen gerne weiter.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.