Die elektronische Patientenakte – eine datenschutzrechtliche Herausforderung!

Die Digitalisierung des Gesundheitswesens schreitet voran. Die gesetzlichen Versicherten haben ab 01.01.2021 Anspruch auf die Zurverfügungstellung einer elektronischen Patientenakte (nachfolgend nur „ePA“). Der Bundesgesetzgeber hat per Eilverfahren mit dem Patientendaten-Schutz-Gesetz (nachfolgend nur „PDSG“) die gesetzlichen Voraussetzungen für deren Einführung geschaffen. Datenschützer erheben gegen die ePA jedoch beachtliche Kritik.

Gegenstand der ePA

Befunde, Diagnosen, Röntgenbilder, Behandlungsberichte, Arztbriefe, Impfungen und weitere Gesundheitsdaten können in der ePA gespeichert werden. Dem Patienten wird es auch möglich sein, eigene Daten abzuspeichern, wie zum Beispiel Gesundheitstagebücher. Bei diesen Daten handelt es sich nicht nur um „personenbezogene Daten“, sie zählen aufgrund ihres sensiblen Inhalts zu einer besonders geschützten Kategorie von Daten. Für Gesundheitsdaten und deren Verarbeitung gelten nach Art. 9 der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen. Deshalb ist im PDSG vorgesehen, dass der Patient über das Anlegen der ePA und die Verwendung der darüber abrufbaren Daten selbst entscheiden kann. Gleiches gilt für den Transport in der hierfür außerhalb des Internets geschaffenen Telematikinfrastruktur zwischen den beteiligten Versicherungen, Ärzten, Apotheken und Krankenhäusern.

Digitale Ausbauphasen der ePA

Die ePA wird in der ersten Ausbauphase ab 01.01.2021 die digitale Kommunikation zwischen dem Arzt und dem Patienten unterstützen sowie sektoren- und einrichtungsübergreifend Behandlungsdaten verfügbar machen. Im Laufe des Jahres sollen weitere Funktionalitäten hinzukommen, wie die Hinterlegung des E-Rezepts zur erleichterten Einreichung zum Beispiel bei Versandapotheken. Im Jahr 2022 soll die zweite Ausbauphase der ePA starten und weiteren Berufsgruppen Zugriff auf die ePA gewährt werden, z.B. Physiotherapeuten, Hebammen und Pflegekräften. Über die ePA könnten dann auch digitale Impf- und Mutterpässe sowie Überweisungen abrufbar sein. Ab dem Jahr 2023 steht die ePA zudem zu Forschungszwecken zur Verfügung, vorausgesetzt der Patient stimmt zu. Bei der vierten Ausbauphase geht es dann um einen EU-weiten Austausch von Patientendaten.

Datenschutzrechtliche Kritik

Datenschützer erheben gegen die ePA erhebliche Kritik. So wird moniert, dass es in der ersten Ausbauphase der ePA seitens der Patienten technisch noch nicht möglich ist, konkrete Zugriffsrechte für einzelne Inhalte zu vergeben. Es besteht somit die Gefahr, dass Ärzte von Sachverhalten erfahren, die für ihre Behandlung nicht relevant sind, etwa wenn der behandelnde Zahnarzt von psychischen Problemen seines Patienten Kenntnis erlangt. Die Beschränkung des Zugriffs auf die zur Behandlung erforderlichen Inhalte ist jedoch aufgrund des Grundsatzes der Vertraulichkeit zwingend erforderlich. Erst in der zweiten Ausbauphase der ePA, mithin im Jahr 2022, soll Patienten ein Werkzeug für die Beschränkung von Zugriffsrechten via Smartphone und Tablet zur Verfügung stehen. Eine Alternative zur Rechtevergabe via Smartphone und Tablet, zum Beispiel über bereitgestellte Terminals ist nicht vorgesehen. Datenschützer kritisieren in diesem Zusammenhang die fehlende Transparenz der Datenverarbeitung, da nur Patienten, die über mobile Endgeräte verfügen, Kontroll- und Einsichtsmöglichkeiten über ihre in der ePA erfassten Daten erhalten. Es komme infolgedessen zu einer Ungleichbehandlung der betroffenen Patienten sowie zu einem Eingriff in das verfassungsrechtlich garantierte Recht auf informationelle Selbstbestimmung.

Aufsichtsrechtliche Verfolgung von Verstößen

Nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, verstoßen die gesetzlichen Krankenkassen mit Einführung der ePA aufgrund der aufgezeigten datenschutzrechtlichen Probleme gegen die DSGVO. Deshalb seien aufsichtsrechtliche Maßnahmen gegen die Einführung der ePA nicht ausgeschlossen. Die Bundesregierung hält dieser Kritik entgegen, dass das Anlegen und Führen der ePA der Entscheidung der Patienten obliege und diese jederzeit die Möglichkeit hätten, die in der ePA erfassten Daten zu löschen.

Datenschutzrechtliche Herausforderungen für die Leistungsträger- und -erbringer

Die Einführung der ePA wird somit Leistungsträger, z.B. die Krankenkassen, und Leistungserbringer, insbesondere die behandelnden Ärzte, vor erhebliche organisatorische und rechtliche Herausforderungen stellen. Zumindest die gesetzlichen Krankenkassen sind gesetzlich verpflichtet, ihren Versicherten die ePA datenschutzkonform bis zum 01.01.2021 bereitzustellen. Ab dem 30.06.2021 müssen Vertragsärzte über die erforderlichen Komponenten für die ePA verfügen. Jede Stelle, die Patientendaten dann digital über die ePA verarbeitet, z.B. Arztpraxen, Krankenhäuser und Apotheken, ist gehalten, im Rahmen der Datenverarbeitung die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen. Die Leistungserbringer müssen die Patienten z.B. umfassend über Art, Zweck und Umfang der Datenverarbeitung in der ePA informieren und sich im Vorfeld der Datenverarbeitung mit dem in der ersten Ausbauphase der ePA fehlenden Zugriffsmanagement beschäftigen. Zudem wird es für die verantwortlichen Stellen erforderlich sein, Mitarbeiter im Umgang mit der ePA und insbesondere auch für die Einhaltung der datenschutzrechtlichen Belange der Patienten zu schulen. Bereits jetzt werden bei unberechtigtem digitalen Versand von Gesundheitsdaten nicht unwesentliche Schadensersatzansprüche ausgeurteilt (allein 1.500,00 Euro Schmerzensgeld für die unerlaubte Weitergabe eines Gesundheitsdatums vom Arbeitgeber an Behörden, vgl. hierzu die aktuelle Entscheidung des Arbeitsgerichts Dresden vom 26.08.2020, Az.13 Ca 1046/20).

esb Rechtsanwälte stehen sowohl Leistungsträgern als auch Leistungserbringern für sämtliche Fragen im Zusammenhang mit der Einführung der ePA unterstützend zur Seite.

Zu unserem Leistungsspektrum zählen unter anderem die Vornahme und Bewertung von datenschutzrechtlichen Soll-Ist-Vergleichen und Datenschutz-Folgenabschätzungen, die Durchführung und Begleitung von Schulungen, die Erstellung von Regelwerken, z.B. Datenschutzerklärungen, Auftragsverarbeitungsverträgen und Verträgen zur gemeinsamen Verarbeitung sowie eine allgemeine fachanwaltliche und zertifizierte Beratung zum Aufbau eines Datenschutzmanagementsystems.

Ihre Ansprechpartner in unserem Büro Dresden für diesen Bereich sind:

Heike Nikolov

Rechtsanwältin und Fachanwältin für IT-Recht, Fachanwältin für Urheber- und Medienrecht, TÜV SÜD zertifizierte Datenschutzbeauftragte, Partnerin esb Dresden

Wiebke Dammann, LL.M. (IP Law)

Rechtsanwältin, Associate esb Dresden