Icon Datenschutzbeauftragter
Datenschutz

Patientendaten-Schutzgesetz

Simon Lang
Verfasst von: Simon Lang
Produktmanager

Was lange währt, wird endlich gut! Doch ist dem so? Anfang Juli hat der Bundestag das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur verabschiedet.

 Damit endet, zumindest vorerst, ein 15 Jahre andauernder Prozess zur Digitalisierung des Gesundheitswesens.

Was ist das Patientendaten-Schutzgesetz?

Das Patientendaten-Schutzgesetz soll digitale Angebote, wie das E-Rezept oder die elektronische Patientenakte (ePA) nutzbar machen. Letztere müssen Krankenkassen ab 2021 ihren insgesamt 72 Millionen Mitgliedern anbieten. Zeitgleich erhalten die Versicherten einen Anspruch darauf, dass ihre behandelnden Ärzte Daten in die ePA eintragen – schrittweise soll der Umfang der ePA erweitert werden. Aktuell können sich alle Vertragsärztinnen und Vertragsärzte sowie Vertragszahnärztinnen und Vertragszahnärzte, Psychotherapeutinnen und Psychotherapeuten, Apotheken, Krankenhäuser und Krankenkassen an die TI anschließen. Weitere Leistungserbringergruppen wie Pflegeeinrichtungen werden folgen.

Ob eine ePA erstellt wird, entscheidet der Versicherte selbst. Wer keine ePA wünscht, kann hierzu auch nicht gezwungen werden. Und selbst wenn eine ePA existiert, entscheidet der Versicherte, wer die ePA einsehen und darauf zugreifen darf. Dritte dürfen den Versicherten hierzu nicht zwingen.

Das Patientendaten-Schutzgesetz ist ein wichtiger Schritt für die Digitalisierung im Gesundheitswesen. Um den ambitionierten Plan der Bundesregierung umsetzen zu können, bedarf es zwingend einer umfangreichen und gut funktionierenden Infrastruktur. Die gematik GmbH soll dies steuern und den kontinuierlichen Ausbau vorantreiben. Jedoch bleibt jeder Nutzer der Telematikinfrastruktur (TI), ob Arzt, Krankenhaus oder Apotheker, selbst für den Schutz der von ihm verarbeiteten Patientendaten verantwortlich. Die gematik GmbH dient den Verantwortlichen als Anlaufstelle zwecks der Erteilung von Auskünften über die Zuständigkeiten innerhalb der TI.

Das klingt zunächst – aus Sicht des Datenschutzes und der Versicherten– gut! Die Versicherten bleibt Herr über Ihre Daten, das Angebot ist freiwillig, die verantwortlichen Stellen sind zur Herstellung eines ausreichenden Schutzniveaus verpflichtet und Fehlverhalten soll sanktioniert werden. Dann kann es 2021 endlich losgehen… müsste man annehmen. Doch der Bundesbeauftragte für den Datenschutz hat den Prozess genaustens beobachtet und genügend Kritikpunkte gefunden, die einen Einsatz (in der geplanten Form) unzulässig erscheinen lässt. Sollte z.B. die ePA auf Grundlage des Gesetzesentwurfs Anfang 2021 eingeführt werden, droht der Bundesbeauftragte, die Verarbeitungen in der ePA zu unterbinden oder Veränderungen anzuweisen. Wie kommt er zu dieser drastischen Einschätzung? Anfang August wurde u.a. bekannt, dass die festgeschriebene Einwilligungserfordernis zur individualisierten Datenauswertung durch die Krankenkassen nachträglich beseitigt wurde – der Gesetzesentwurf demnach nicht mehr mit der aktuellen Fassung übereinstimme. 

Der Bundesbeauftragte sieht den Wegfall der Einwilligungserfordernis kritisch. Die pseudonymisierte Auswertung von Versichertendaten, die teilweise aus besonderen Kategorien personenbezogener Daten im Sinne des Artikel 9 Abs. 1 DSGVO bestehen, stelle für den BfDI einen empfindlichen Eingriff in das Recht auf informationelle Selbstbestimmung der Versicherten dar. Es bestünde, seiner Meinung nach die Gefahr, dass solch eine Datenrasterung einen weiteren Baustein zur künftigen Komplettierung des gläsernen Versicherten liefere. Er kündigte deshalb an, den Sachverhalt zu prüfen – insbesondere ob das in Kraft befindliche Gesetz gegen die DSGVO verstößt. Gut möglich also, dass sich demnächst Bundesministerium und Bundesbeauftragter vor Gericht gegenüberstehen.

Und bis dahin?

Das Patientendaten-Schutzgesetz soll (notwendige) Veränderungen im Gesundheitswesen herbeiführen. Verantwortliche Stellen wie Arztpraxen, Krankenhäuser und Pflegedienste müssen sich auf kurz oder lang der Telematikinfrastruktur anschließen. Umso wichtiger, die Digitalisierung bereits jetzt in die Hand zu nehmen. Neben technischen und rechtlichen Fragestellungen sind insbesondere auch die an den Verarbeitungsprozessen beteiligten Mitarbeitenden mit einzubeziehen. Welche Chancen und Risiken ergeben sich durch die Digitalisierung? Welche Anforderungen ergeben sich aus dem neuen Patientendaten-Schutzgesetz? Was ist erlaubt, was verboten? Verantwortliche Stellen sollten frühzeitige Aufklärungsarbeit leisten, um 2021 gut gerüstet ins neue Jahr zu starten.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.