Der BDP e.V. begrüßt gesetzliche Regelungen zur Sicherheit des Datenschutzes im besonders sensiblen Bereich des Gesundheitswesens. Leider bleibt der Kabinettsentwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur vom 31.03.2020 hinter dem Erforderlichen zurück und muss abgelehnt werden. Tatsächliches Interesse des Gesetzgebers ist nicht der echte Schutz der sensiblen Gesundheitsdaten, sondern die Präzisierung und Erweiterung digitaler Gesundheitsanwendungen im Rahmen der Telematik Infrastruktur (TI): Festgelegt werden z.B. Spezifizierungen zur zukünftigen elektronischen Patientenakte (ePA), die Verantwortlichkeiten und Zuständigkeiten im Rahmen der TI oder digitale Anwendungen, wie elektronische ärztliche Verordnungen. Der Grundansatz der ePA ist nicht schlecht: Medikamentenplan oder Notfalldaten ergeben zusätzlichen Nutzen. Informationen zur Behandlung können schneller und allgemeiner zu Verfügung gestellt werden. Nirgends konkretisiert werden aber Maßgaben zur Reduzierung des Datenrisikos der Versicherten z.B. durch die zentrale Speicherung persönlicher angehäufter Gesundheitsdaten, durch Anwendungen auf mobilen Endgeräten oder die zahlreichen möglichen Zugriffberechtigungen. Aller Voraussicht nach entstehen viele „Datenberge“ in den ePAs. Welche Erkrankte haben Zeit, sich mit differenziertem Zugriffsberechtigungs-management für einzelne Dokumente zu beschäftigen? Rechtlich massiv verletzt wird der wichtige Grundsatz der Datensparsamkeit. Zur Förderung eines echten Datenschutzes sollte der Gesetzgeber hierüber aufklären und klare Anreize schaffen, Daten wirklich zu schützen (z.B. durch kritische Aufklärung, Kultivierung differenzierter Zugriffsberechtigungen und regelmäßigen Überprüfens und etwaiges „Aufräumens“ der ePA – am besten in Absprache mit den Behandlerinnen und Behandlern).
Änderungsvorschläge
Zur Stärkung der Versichertenrechte fordern wir folgende Änderungen:
- Versicherte sind in Bezug auf die ePA vollständig und transparent zu informieren: über Vorteile der ePA UND deren Datenschutzrisiken sowie Möglichkeiten zur Minimierung von Risiken. Diese Basisinformation sollte unter Nutzung der Expertise entsprechender Fachstellen (z.B. Bundesbeauftragtem für Datenschutz) gestaltet werden. Informiert werden sollte z.B. über Risiken durch die dauerhafte, zentrale, kumulierte Speicherung von Gesundheitsdaten, etwaige Widersprüche zum im DSGVO geforderten Grundsatz der Datensparsamkeit, Risiken durch die vielfache Nutzung auf mobilen Endgeräten, Information zu z.B. bisheriger Häufigkeit und Folgen illegaler Datenabgriffe)
- Die elektronische Patientenakte soll erst eingeführt werden, wenn die vorgesehenen Rechte zur feingranularen Differenzierung möglich sind. Es ist dabei nicht akzeptabel, dass Versicherte ohne mobile ePA-Anwendungen (Nicht Frontend-Nutzer) nur mittelgranulare Zugriffsberechtigungen erhalten! Explizit vor Diskriminierung sollten auch Versicherte geschützt werden, die keine ePA wünschen (§335).
- Ermöglicht werden sollte nicht nur eine feingranulare, sondern sogar eine „feinstgranulare“ Differenzierung: Auch die Schwärzung einzelner Passagen in einem Dokument bzw. Löschung/Sperrung einzelner Daten in einem einzelnen Datensatz sollte möglich sein.
- Eine lebendige Kultur des Datenschutzes muss gefördert werden: Alle Leistungserbringenden sollten optional in der Praxis Endgeräte/Terminals bereithalten dürfen, auf welchen Versicherte ihre ePA einsehen und bearbeiten können. Leistungserbringende sollten angeregt werden, die ePA auf Wunsch der Versicherten zu „pflegen“. Hierfür müssen im EBM Leistungsziffern geschaffen werden.
- Krankenkassen dürfen nicht in Form von Ausnahmeregelungen Möglichkeiten bekommen, auf sensible Daten der ePA zugreifen zu können. Diese Möglichkeit wurde im Kabinettsentwurf geschaffen und auch vom Bundesdatenschutzbeauftragten als „Einfallstor“ deutlich kritisiert!
- Die Bundespsychotherapeutenkammer (BPtK) soll in den Gesellschafterkreis der gematik aufgenommen werden. Im vorliegenden Entwurf ist die BPtK noch nicht einmal im Beirat der gematik vorgesehen (§ 350 Abs.2). Die Expertise der berufsständigen Vertretung heilkundlicher Psychotherapie ist z.B. bei den zukünftigen Schnittstellendefinitionen ePA und Praxisverwaltungssystem (PVS-Systeme) wichtig.
- Leistungserbringende dürfen nicht voll verantwortlich für dezentrale genutzte TI-Komponenten (z.B. Konnektoren) gemacht werden. Hier schließen wir uns der Position des bayr. Datenschutzbeauftragten Petri vom 24.04.2020 an: „Die Zielsetzung des Gesetzgebers ist es nach meinen Erkenntnissen, mit den Regelungen des § 307 Abs. 1, 4 und 5 SGB V-E eine Mitverantwortung der gematik für die dezentrale Zone der Telematik-Infrastruktur dem Grunde nach auszuschließen“.
- Die in die ePA eingefügten Daten sollen automatisch nach vorgegebem Fristablauf von z.B. drei oder fünf Jahren eine Sperrung erhalten, um Anhäufungen von Daten zu verhindern (eine Entsperrung einzelner Daten bleibt möglich – aber nur bei expliziter aktueller Entscheidung der Betroffenen). Für Diagnostik und Behandlung nicht mehr relevante Daten sollen in Absprache mit den Leistungserbringenden gelöscht werden.
- Bzgl. der Forschungsdatenfreigabe fordern wir eine Freigabe nur für wissenschaftliche Forschungszwecke zu erlauben. Wir schließen wir uns den Kritikpunkten der Bundesdatenschutzbeauftragten an. Im aktuellen Entwurf werden die Daten z.B. auch zum Zwecke der Vorbereitung politische Entscheidungen verfügbar gemacht.
- Der gesetzlich vorgesehenen Schlichtungsstelle muss eine neutrale Aufsichtsbehörde zugeordnet werden. Im Entwurf steht diese unter der Aufsicht des BMG. Dieses ist aber gleichzeitig der Mehrheitsgesellschafter der gematik, die beaufsichtigt werden soll.
- Bei allen relevanten TI-Prozessen sollen sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der Bundesbeauftragte für Datenschutz und Informationsfreiheit in Form von Einvernehmen beteiligt werden.
- Versicherte sollen bzgl. der Zugangsberechtigung von Betriebsärzlichen Strukturen zur TI gesonderte Informationen erhalten, da es sich hierbei um einen datenschutzrechtlich besonders kritischen Punkt handelt.
- Als Ombudsstelle zur ePA sollte eine neutrale Stelle eingerichtet werden (z.B. bei Landesdatenschutzbeauftrage, unabhängige Patientenberatung). Gemäß §342 Abs. 3 ist diese von den Krankenkassen einzurichten, was abzulehnen ist.
- Für Kinder und Jugendliche sind ePA-Anwendungen gesondert auszugestalten und sind bis dahin auszusetzten. Hierzu sollen medizinische als auch psychotherapeutische Fachverbände eine Konzeption entwickeln. Besonders zu beachten sind dabei die Zugriffsberechtigungen auf die ePA von Jugendlichen und deren Sorgeberechtigter sowie die besonderen Datenschutzaspekte bzgl. einer lebenslangen Speicherung sensibler Gesundheitsdaten.
Ansprechpartner:
Susanne Berwanger, Vorstand VPP im BDP e.V.