Tanja Altmaier
Datenschutzbeauftragte
Nicht erst seit Einführung der DSGVO gilt besonderes Augenmerk dem Schutz von Gesundheitsdaten. Gerade weil es sich im medizinischen Bereich häufig um sensible und besonders schützenswerte Daten handelt, muss hier der Datenschutz mit Sorgfalt bedacht und umgesetzt werden. Durch die zunehmende Digitalisierung ergeben sich immer neue Herausforderungen, welchen sich alle Leistungsträger und Leistungserbringer im Gesundheitswesen stellen müssen.
Ein Thema, das derzeit zunehmend an Bedeutung gewinnt, ist die Einführung der elektronischen Patientenakte zum 01.01.2021. Der Artikel soll einen grundlegenden Blick auf das Thema geben und auch eine Verbindung zum Datenschutz herzustellen.
Wer früher zu seinem Hausarzt gegangen ist, bei dem er vielleicht von klein auf war, der kann sich noch an die Patientenkarteiakte in Papierform erinnern. Je älter man wurde und je mehr Befunde und Laborergebnisse vorhanden waren, desto dicker wurde die Karteikarte.
Ein Hausarzt, der einen Patienten über Jahre, vielleicht Jahrzehnte kannte, der wusste meist genau über Vorerkrankungen, Patientengeschichte etc. Bescheid. Er war für seine Patienten die zentrale Anlaufstelle, wenn es um medizinische Fragen ging.
Inzwischen hat sich viel getan. Häufig ist der Hausarzt nicht mehr die erste Anlaufstelle bei gesundheitlichen Fragen oder Problemen, sondern direkt der Facharzt. Andererseits gibt es auch Krankheitsbilder, die es erforderlich machen, den Patienten zum Facharzt zu überweisen.
Vielfach wird der Patient nach der Zustimmung gefragt, einen Brief an den Hausarzt zu übermitteln, oder man erhält direkt einen Befund, einen Konsilschein, oder Bildgebung mit, um diese dem weiterbehandelnden Arzt zu übermitteln.
Und dann?
Der Befund geht verloren, die CD-ROM mit der MRT-Aufnahme wird zu Hause vergessen und obendrein ist der Medikamentenplan gerade nicht zur Hand. Für jeden Arzt eine echte Herausforderung.
Um die medizinische Versorgung transparenter zu machen und sowohl Leistungserbringer als auch für Patienten nachvollziehbar zu gestalten, wurde die Einführung neuer digitaler Lösungen für das Gesundheitswesen gesucht. Das Ergebnis ist die elektronische Patientenakte.
Digitalisierung ist in vielen Bereichen nicht mehr wegzudenken. Auch im Gesundheitswesen halten neue Technologien Einzug, und ist so manches alt-eingefahrene System im Umbruch. Insbesondere die digitale Kommunikation wird immer wichtiger – und das inzwischen nicht mehr nur bei der interdisziplinären Zusammenarbeit von Ärzten oder Krankenhäusern. Digitaler Wandel soll künftig auch beim Patienten ankommen.
Um aber bei aller Digitalisierung und Einführung neuer Medien den Schutz sensibler Gesundheitsdaten sicherzustellen, wurden neue Gesetze ins Leben gerufen: Das Terminservice- und Versorgungsgesetz im Jahr 2019 und 2020 nun noch das „Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur“ (Patientendaten-Schutz-Gesetz, PDSG).
Die elementaren Bausteine sind hierbei zum einen, Patienten in die Umsetzung digitaler Lösungen einzubinden, um ein mehr an Transparenz und Effizienz in der Versorgung zu schaffen, gleichzeitig aber auch den Schutz von Gesundheitsdaten zu gewährleisten.
Bereits im Frühjahr 2020 wurde im Bundeskabinett der Entwurf zum neuen Gesetz beschlossen mit dem Ziel, digitale Angebote schnellstmöglich in die Patientenversorgung zu bringen.
Der Bundesrat forderte jedoch im Nachgang, eine deutliche Optimierung des Entwurfs, besonders im Hinblick auf datenschutzrelevante Aspekte. So galt es die Verantwortlichkeit für die Datenverarbeitung nachzubessern, sowie die Transparenz für Versicherte. Vom Bundestag wurde das Patientendaten-Schutz-Gesetz (PDSG) im Juli 2020 beschlossen und mit der Sitzung des Bundesrates vom 18. September 2020 gab es endgültig grünes Licht.
Das neue Gesetz sieht im Detail unter anderem vor, dass Krankenkassen ab 2021 ihren Versicherten eine ePA (elektronische Patientenakte) anbieten und zur Verfügung stellen müssen. Deren Nutzung wird freiwillig sein, so dass jeder Versicherte individuell entscheiden kann, ob er dieses digitale Angebot nutzen möchte.
Um grundlegend die Voraussetzungen für die Einführung der ePA zu schaffen, wurde die gematik GmbH beauftragt, die entsprechende Telematikinfrastruktur aufzubauen – ein sicheres digitales Gesundheitsnetz. Grundlage dafür ist §291a des Sozialgesetzbuches V. Ergänzt werden die Regelungen für die Telematikinfrastruktur (TI) durch die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG n. F.) sowie das Sozialgesetzbuch (SGB) X.
Die Vorteile einer solchen ePA wurden im Groben schon etwas aufgezeigt. Da in die ePA alle relevanten Gesundheitsdokumente hochgeladen werden können, fällt es leichter, ein ganzheitliches Bild vom jeweiligen Patienten zu bekommen. Die interdisziplinäre Zusammenarbeit wird dadurch deutlich verbessert. So soll also jeder Leistungserbringer vom Wissen des anderen profitieren können, was sich schlussendlich nachhaltig positiv auf die Qualität der Patientenversorgung auswirken wird.
Natürlich steht außer Frage, dass die Einführung dieser elektronischen Patientenakte und dem damit einhergehenden Anschluss an die entsprechende Telematikinfrastruktur für die Leistungserbringer im Gesundheitswesen erst einmal Aufwand und Kosten verursacht.
Aus diesem Grund haben sich die KBV und der GKV darauf geeinigt zum Teil finanziell zu unterstützen. So ist inzwischen klar, dass Ärzte für das erstmalige Befüllen der ePA mit aktuellen, wichtigen Informationen ein Honorar erhalten werden. Aber auch für die weitere Verwaltung und Aktualisierung von Gesundheitsdokumenten werden Ärzte ein Honorar erhalten.
Nutzt ein Patient die ePA, profitiert er im Prinzip direkt davon. Es braucht kein mühseliges Anfordern von Befundkopien für den eigenen Ordner zu Hause, es ist nicht mehr wichtig, vor dem Arzttermin daran zu denken sämtliche Vorbefunde, Röntgenbilder etc. einzupacken, oder auf die Frage nach eingenommenen Medikamenten nur vage zu antworten „irgendwas für den Blutdruck“.
In der ePA kann künftig alles hinterlegt werden, was mit Behandlung, Medikation und Ähnlichem zu tun hat. Über ein mobiles Endgerät wie Smartphone oder Tablet kann jederzeit und überall auf wichtige Gesundheitsdaten und -dokumente zugegriffen werden.
Voller Zugriff auf alle relevanten Gesundheitsdokumente immer und überall – nun ganz so einfach ist es nicht, zumindest nicht für alle Beteiligten. Der Versicherte selbst hat jederzeit Zugriff auf seine komplette ePA. Er alleine hat die grundsätzliche „Hoheit“ seine elektronische Akte anzuschauen, zu befüllen und sogar Inhalte zu löschen.
Ansonsten gibt es einen strengen Zugriffsschutz auf die Gesundheitsdaten. So dürfen nur „Berechtigte“ die ePA einsehen. Gemäß §291 SGB V zählen hierzu Ärzte, Zahnärzte, Psychotherapeuten, Apotheker oder Heilberufler. Außer der Zugehörigkeit zu einer der genannten Berufsgruppen muss eine Praxis die technischen Voraussetzungen schaffen und sich eine eigenen Praxiskarte besorgen, über die sie eindeutig identifizierbar ist.
Berufsgruppen, die keinen medizinischen Heilberuf ausüben und auch nicht als berufsmäßige Gehilfen gelten, dürfen nicht auf die Gesundheitsdaten der ePA zugreifen.
Doch wie kommt nun der behandelnde Arzt an die Daten der ePA? Er erhält lediglich dann Zugriffsmöglichkeit auf die ePA seines Patienten, wenn dieser ihm den Zugriff aktiv gewährt. Bedeutet, dass ausschließlich im Patientengespräch und gemeinsam von Arzt und Patient auf die ePA zugegriffen wird. Über das PVS (Praxisverwaltungssystem) wird die Akte eingesehen und verwaltet.
Darüber hinaus ist möglich, dass der Versicherte einen zeitweiligen, sprich temporären Zugang, zur ePA ermöglicht, so dass nach dem Termin noch entsprechende Dokumente hochgeladen werden können.
Fakt ist auf alle Fälle – wer Einsicht in die ePA erhält, entscheidet der Patient stets selbst. Ein Zugriff ohne Einverständnis ist nicht möglich.
So mancher, der zum ersten Mal von der ePA hört, hat mitunter Bauchschmerzen, wenn es um die Sicherheit und den Schutz der sensiblen Patientendaten geht.
Deshalb hat der Gesetzgeber strenge Richtlinien erlassen, die die Telematikinfrastruktur in Bezug auf Datenschutz und Informationssicherheit absichern sollen. 291 a und §291 b SGB V liefern die Rahmenbedingungen. Auch das Patientendaten-Schutz-Gesetz (PDSG) nimmt auf den Schutz sensibler Daten Bezug.
Die gematik Gmbh, die mit dem Aufbau des sicheren Gesundheitsnetzes betraut wurde, arbeitet eng mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) zusammen.
Sämtliche Anwendungen, die in der Telematikinfrastruktur etabliert werden sollen, werden von den jeweiligen Aufsichtsbehörden für Datenschutz und anderen Sicherheitsprüfstellen genau unter die Lupe genommen und bewertet.
Anbieter von einzelnen Komponenten oder auch Diensten im Bereich TI müssen sich außerdem zertifizieren lassen. So soll sichergestellt werden, dass ein hohes Sicherheitsniveau vorliegt, und die Betreiber auch in der Lage sind eventuelle Störungen oder Sicherheitsmängel unverzüglich bei der gematik anzuzeigen.
Zum momentanen Zeitpunkt steht der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) der Einführung der ePA aus datenschutzrechtlicher Sicht trotzdem skeptisch gegenüber. Aus einer Presseerklärung vom August 2020 ist ersichtlich, dass ernsthafte Bedenken vorliegen, sollte die elektronische Patientenakte so umgesetzt werden, wie es im PDSG verlangt wird. Der Bundesbeauftragte sieht in der Umsetzung einen Verstoß gegen die DSGVO.
Warum diese Einschätzung?
Das hat derzeit mehrere Gründe.
Das Fazit?
Zum momentanen Zeitpunkt gibt es noch einiges an Handlungsbedarf, um die die ePA DSGVO-konform zu machen. Zwar gibt auch das Patientendaten-Schutz-Gesetz schon wesentliche Vorgaben, doch in einigen Teilbereichen muss nachgearbeitet werden, um die sensiblen Gesundheitsdaten wirklich adäquat zu schützen. Hierzu gibt es mit Sicherheit in den nächsten Wochen und Monaten immer wieder Updates und Nachbesserungen.
Die ePA ist, so wie sie zum 01. Januar 2021 eingeführt wird, noch längst nicht in der endgültigen Gestaltung. Es wird voraussichtlich insgesamt vier große Schritte im Bereich der ePA geben.
Wie sich die Entwicklung der ePA im Detail gestalten wird bleibt zum momentanen Zeitpunkt abzuwarten. Jedoch steht fest, dass dieses Thema noch viele spannende Fragen in der Zukunft aufwerfen wird und dass sich gerade in Bezug auf die datenschutzrechtliche Umsetzung noch einiges tun wird.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen oder Arztpraxis alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!