Hier eine Röntgenaufnahme, dort ein Blutbild und beim nächsten Arzt beginnt alles von vorn: Viele Untersuchungen wären vermeidbar, wenn Patienten ihre Krankengeschichte mit allen Befunden stets bereithalten könnten. Ermöglichen soll dies die elektronische Patientenakte (ePA). Sie gilt als Meilenstein in der Digitalisierung des Gesundheitswesens, wirft bei Patienten, Arztpraxen und Kliniken aber noch zahlreiche datenschutzrechtliche Fragen auf. EineEinordung.
Das Wichtigste in Kürze
- Seit 1. Januar 2021 bieten gesetzliche Krankenkassen ihren Versicherten die kostenlose elektronische Patientenakte (ePA) an.
- Die Testphase läuft bis Ende dieses Jahres. In dieser Zeit können Patienten ihren behandelnden Ärzten nur pauschal Zugriff auf die Dokumente in der ePA gewähren.
- Diese Form des Zugriffsmanagements sowie weitere Aspekte der Umsetzung verstoßen gegen die DS-GVO – bemängelt der Bundesdatenschutzbeauftrage.
- Für Krankenkassen, Arztpraxen und Kliniken ergeben sich daraus datenschutzrechtliche Risiken.
- Diesen Risiken sollten die Akteure in Zusammenarbeit mit ihrem Datenschutzbeauftragten proaktiv begegnen.
In diesem Beitrag
- Was ist die elektronische Patientenakte, was soll sie leisten?
- Ist die Nutzung der ePA verpflichtend?
- Wer darf auf die in der ePA gespeicherten Daten zugreifen?
- Warum gibt es in Zusammenhang mit der Einführung der ePA erhebliche datenschutzrechtliche Bedenken?
- Wie wird die ePA denn umgesetzt, handelt es sich um eine klassische App?
- Worin besteht das datenschutzrechtliche Dilemma für die gesetzlichen Krankenkassen?
- Welche datenschutzrechtlichen Herausforderungen birgt die ePA für Arztpraxen und Kliniken?
- Was können Ärzte und Kliniken tun, um sich datenschutzrechtlich abzusichern?
- Sollten Praxen und Kliniken ihre Datenschutzerklärungen im Zuge der ePA-Einführung anpassen?
- Fazit: rechtliche Unsicherheiten erfordern proaktive Auseinandersetzung mit datenschutzrechtlichen Anforderungen
Was ist die elektronische Patientenakte, was soll sie leisten?
Seit Januar 2021 müssen gesetzliche Krankenkassen ihren Versicherten die neue elektronische Patientenakte anbieten. Dies schreibt das neue Patientendaten-Schutz-Gesetz (PDSG ), verabschiedet am 20.10.2020, vor. Die zivilrechtlichen Grundlagen finden sich im Bürgerlichen Gesetzbuch. Hier ist in § 630 f BGB die Dokumentation der Behandlung durch Leistungserbringer im Gesundheitswesen geregelt. Die Vorschrift verlangt, dass jeder Behandelnde den Grund der medizinischen Behandlung und die getroffenen Maßnahmen in unmittelbarem zeitlichem Zusammenhang mit der Behandlung dokumentiert. Zu diesem Zweck ist eine Patientenakte in Papierform oder elektronisch zu führen. Dies gilt weiterhin.
Es existiert demnach bei allen Ärzten und in jeder Klinik, die ein Patient besucht hat, in irgendeiner Form eine personenbezogene Patientenakte. Was bisher vollständig gefehlt hat, war eine behandlungsfall- und einrichtungsübergreifende Dokumentation, die alle Gesundheitsinformationen über einen Patienten zusammenfasst. Dies soll die elektronische Patientenakte leisten. In der ePA können alle Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte, Arztbriefe und Impfungen zentral gespeichert werden.
Ist die Nutzung der ePA verpflichtend?
Nein, es gibt für Versicherte keine Verpflichtung, die ePA zu verwenden. Das in Vorbereitung der ePA verabschiedete Patientendaten-Schutzgesetz formuliert ausdrücklich die Freiwilligkeit der Nutzung durch gesetzlich Versicherte. Anders verhältsieht es für Arztpraxen, Kliniken und andere Gesundheitsdienstleister. Diese müssen gemäß § 341 SGB V zur Elektronischen Patientenakte (Sozialgesetzbuch V) im Laufe dieses Jahres die für eine ePA-Nutzung nötigen technischen Komponenten und Schnittstellen einrichten. Für die an der vertragsärztlichen Versorgung beteiligten Leistungserbringer gilt eine Umsetzungspflicht bis zum 30. Juni 2021. Für Krankenhäuser ist die Umsetzungsfrist bereits im Januar 2021 abgelaufen.
Wer darf auf die in der ePA gespeicherten Daten zugreifen?
Eines der Ziele des Patientendaten-Schutzgesetzes ist es, gesetzlich Versicherten mehr Kontrolle und Hoheit über die eigenen Gesundheitsdaten einzuräumen. Deshalb entscheidet allein der Patient, welche Daten gespeichert und auch welche wieder gelöscht werden. Der Patient soll zudem in jedem Einzelfall bestimmen, wer auf die ePA zugreifen darf. Entsprechende Erlaubnisse setzen eine dokumentierte Einwilligung des Patienten und eine Zugriffsfreigabe voraus – letztere soll per PIN erfolgen. Freigaben können entweder für die aktuelle Behandlung oder für einen längeren Zeitraum erteilt werden.
Gut zu wissen: Die gesetzlichen Krankenkassen müssen die ePA entsprechend der gesetzgeberischen Vorstellung zur Verfügung stellen, erhalten aber keinerlei Zugriff auf die darin gespeicherten Daten. Ausgenommen davon ist allenfalls der medizinische Dienst der Krankenkassen (MDK) - jedoch darf auch der MDK nur unter bestimmten Voraussetzungen und in engen Grenzen Einsicht in die Patientenakte enthalten.
Warum gibt es bei der ePA erhebliche daten-schutzrechtliche Bedenken?
Geplant ist eine etappenweise Einführung im Laufe dieses Jahres. 2021 wird damit zu einer Art Übergangs- und Testjahr für die ePA – mit zum Teil eingeschränkter Funktionalität. So sollen Versicherte erst ab 2022 die Möglichkeit bekommen, für jedes in der ePA gespeicherte Dokument einzeln festzulegen, wer darauf zugreifen darf. Bis dahin können Versicherte die ePA für einen behandelnden Arzt entweder freigeben oder nicht freigeben. Beispiel Zahnarzt: Willigt der Patient ein, dass dieser auf die ePA zugreifen und Dokumente lesen und speichern darf, kann der Zahnarzt alle Dokumente einsehen – auch Befunde aus einer etwaigen psychotherapeutischen Behandlung.
Bei Datenschützern stößt diese Übergangsregelung zum Zugriffsmanagement auf massive Kritik. Oberster Kritiker ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber. Er warnt davor, dass die Versicherten bei Einführung der ePA keine echte Hoheit über ihre Daten besitzen werden. Auch nach 2022 sei eine volle Zugriffskontrolle wohl nur für Patienten mit eigenem Smartphone oder Tablet möglich. Zudem verstoße die ePA schon deshalb gegen die DS-GVO, weil sie den dort gesetzlich vorgeschriebenen Prinzipien der Datenminimierung und Datensparsamkeit zuwiderlaufe. Ebenfalls nicht DS-GVO-konform sei nach Einschätzung des BfDI das Authentifizierungsverfahren mithilfe der Gesundheitskarte und einer einfachen PIN. Ein solches Verfahren werde dem hohen Schutzbedarf sensibler Gesundheitsdaten nicht gerecht. Wenig Transparenz und kritische Fragen gibt es auch hinsichtlich der Verschlüsselung dieser Daten. Wie sicher ist sie und wer hat den Schlüssel?
Wie wird die ePA denn umgesetzt, handelt es sich um eine klassische App?
Ja, das Frontend für gesetzlich Versicherte ist eine App für Smartphone oder Tablet. Ursprünglich vorgesehen waren auch Bedienterminals bei den Krankenkassen, in Kliniken und Praxen, deren Einführung liegt aktuell aber auf Eis. Dies bedeutet: Wer über kein eigenes Tablet oder Smartphone verfügt, besitzt nur eingeschränkt Zugriff auf seine ePA und muss einen technisch ausgestatteten Vertreter benennen oder einen behandelnden Arzt um Mithilfe bitten. Informationsfreiheit und Datenhoheit sind in diesen Fällen nicht wirklich gegeben.
Zur IT-technischen Umsetzung: Alle gesetzlichen Krankenkassen müssen ihren Versicherten eine ePA anbieten. Vernetzt werden die verschiedenen Lösungen der Krankenkassen in der sogenannten Telematikinfrastruktur. Diese wird von der gematik GmbH verantwortet, die mehrheitlich dem Bund gehört. Die Telematikinfrastruktur ist ein geschlossenes Netzwerk. Um die Gesundheitsdaten der Patienten zu schützen, läuft die Kommunikation im Netzwerk verschlüsselt und ausschließlich zwischen registrierten Nutzern ab.
Die Sicherheit des Telematiknetzwerks und der IT-technischen ePA-Umsetzung wird dennoch von verschiedenen Experten angezweifelt. Auch, weil aus datenschutzrechtlicher Sicht bislang keine hinreichende Transparenz über die verwendeten Datenspeicher der einzelnen Krankenkassen, die Serverstandorte sowie die Art der Datenverschlüsselung gegeben ist.
Worin besteht das datenschutzrechtliche Dilemma für die gesetzlichen Krankenkassen?
Nach der aktuellen Rechtslage können sich die gesetzlichen Krankenkassen so oder so nicht vollständig gesetzeskonform verhalten. Denn gemäß § 341 SGB V sind die Kassen verpflichtet, eine geeignete, von der gematik zertifizierte Datenbanklösung aufzubauen und ihren Versicherten die ePA kostenlos anzubieten. Wenn sie dies aber tun, verstoßen sie damit nach Einschätzung des BfDI bereits gegen die in der europäischen Datenschutzgrundverordnung formulierten Prinzipien der Datenminimierung und Datensparsamkeit.
Welche datenschutzrechtlichen Herausforderungen bringt die ePA für Arztpraxen und Kliniken?
Datenschutzrechtlich verantwortlich für die DS-GVO-Konformität der ePA sind formal die Anbieter, d.h. die gesetzlichen Krankenkassen. Hinzu kommt, dass die Patienten selbst darüber entscheiden, ob sie einem behandelnden Arzt den Zugriff auf die ePA gewähren. Zumindest im laufenden Jahr 2021 kann die Freigabe jedoch nur pauschal für alle gespeicherten Daten erteilt oder verwehrt werden. Datenschutzrechtlich beginnen spätestens hier auch für niedergelassene Ärzte und Kliniken die Probleme:
Sobald Ärzte auf die gespeicherten Daten lesend zugreifen möchten, benötigen sie die Einwilligung des Patienten. Nach der DS-GVO kann eine Einwilligung nur dann wirksam erteilt werden, wenn sie freiwillig, zweckgebunden sowie für einen Einzelfall erklärt wird . Da Patienten im laufenden Jahr jedoch nur alle oder gar keine Daten freigeben können, ist die Freiwilligkeit der Einwilligung auf Ebene der Einzeldokumente fragwürdig. An einer pauschal erteilten Zugriffsberechtigung bestehen erhebliche datenschutzrechtliche Zweifel. Arztpraxen und Kliniken würden als Datenempfänger im Einzelfall womöglich gegen die Datenschutzgrundverordnung verstoßen und könnten mit Sanktionen zu rechnen haben.
Wichtig: Die ärztliche Schweigepflicht wird durch die Einführung der ePA in keiner Weise konterkariert. Ärzte und Kliniken müssen sensible Patientendaten nach wie vor in besonderer Weise schützen. Ob und wie dies im Rahmen der ePA-Nutzung in der jeweiligen Organisation gewährleistet werden kann, sollte in Rücksprache mit dem Datenschutzbeauftragten genauestens überprüft werden. Bei Verstößen gegen die ärztliche Schweigepflicht ist mit straf- und datenschutzrechtlichen Sanktionen zu rechnen. |
Was können Ärzte und Kliniken tun, um sich datenschutzrechtlich abzusichern?
In Absprache mit ihrem Datenschutzbeauftragten sollten die medizinischen Leistungserbringer ihre technischen und organisatorischen Maßnahmen (TOM) im Hinblick auf die ePA-Nutzung gründlich überprüfen und gegebenenfalls optimieren. Dazu kann beispielsweise die Einführung eines rollenbasierten Berechtigungskonzeptes gehören, um sicherzustellen, dass nach einer ePA-Freigabe durch den Patienten nicht jeder im Praxis- oder Klinikteam vollen Zugriff auf die elektronische Akte besitzt.
Um ihr Haftungsrisiko zu minimieren, sollten Mediziner zudem vor jeder Einsichtnahme in ePA-Dokumente explizit die Einwilligung des Patienten einholen und diese auch dokumentieren – nicht pauschal, sondern spezifisch für das jeweils benötigte einzelne ePA-Dokument. Denn die pauschale Zugriffsfreigabe durch den Patienten stellt im Zweifelsfall keine rechtssichere Einwilligung dar.
Sollten Arztpraxen und Kliniken ihre Datenschut-zerklärungen im Zuge der ePA-Einführung anpassen?
Es ist zu empfehlen, die eigene Datenschutzerklärung in Abstimmung mit dem Datenschutzbeauftragten zu überprüfen. Gegebenenfalls sollte sie im Hinblick auf das ePA-Daten-Handling angepasst und punktuell erweitert werden. Zu empfehlen wäre beispielsweise wäre zum Beispiel die Erteilung spezifischer Informationen zu den Zugriffsrechten und -möglichkeiten sowie zum ergänzenden Einwilligungsverfahren im Testjahr 2021.
Fazit: rechtliche Unsicherheiten erfordern eine proaktive Auseinandersetzung mit datenschutz-rechtlichen Anforderungen
Die elektronische Patientenakte ist ein großer Schritt in Richtung Digitalisierung des Gesundheitswesens. Den Vorteilen aus der zentralen Ablage und digitalen Verfügbarkeit aller relevanten medizinischen Daten über eine Person stehen jedoch aktuell noch erhebliche datenschutzrechtliche Bedenken und Unsicherheiten gegenüber. Insbesondere Arztpraxen und Klinken sollten sich daher nicht allein auf die Verantwortlichkeit der anbietenden Krankenkassen verlassen, sondern in Abstimmung mit ihrem Datenschutzbeauftragten selbst tätig werden. Nur so lassen sich die datenschutzrechtlichen Risiken beherrschen und dadurch mögliche Verletzungen der ärztlichen Schweigepflicht verhindern.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:Kostenlose Erstberatung vereinbaren