Verstoßen die gesetzlichen Vorgaben gegen die DS-GVO?
Das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) ist seit Anfang des Jahres gültig. Es beinhaltet relevante Rahmenbedingungen für eine bundesweite Einführung von digitalen Angeboten wie dem E-Rezept oder der elektronischen Patientenakte (ePA) und wird als bedeutsamer Meilenstein für die Digitalisierung des Gesundheitswesens angesehen.
In den kommenden Jahren soll die technische Infrastruktur geschaffen werden, damit Informationen zur Gesundheit des Patienten je nach Bedarf und Wunsch zwischen den unterschiedlichen Akteuren des Gesundheitswesens (z. B. Leistungserbringer, Kostenträger sowie sonstige Dritte) digital ausgetauscht werden können. In der ersten Phase sind davon medizinische Informationen wie etwa Diagnosen, Therapiemaßnahmen, Medikationen, Befunde oder Notfalldaten betroffen. Die Speicherung der entsprechenden Informationen findet zentral bei den jeweils zuständigen Krankenkassen statt. Allerdings war das Gesetzgebungsvorhaben von Anfang an datenschutzrechtlich äußerst umstritten.
Kritik noch vor Abschluss des Gesetzgebungsverfahrens
So war die den Gesetzgebungsprozess begleitende Kritik des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) und der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) beispiellos. Beide Institutionen äußerten noch vor Abschluss des Gesetzgebungsverfahrens im Rahmen einer Pressemitteilung und einer Entschließung erhebliche Bedenken hinsichtlich der Datenschutzkonformität der Regelungen zur elektronischen Patientenakte. Die Pressemitteilung des BfDI vom 19. August 2020 enthielt die explizite Ankündigung, aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen zu ergreifen, falls die elektronische Patientenakte nach den Vorgaben des PDSG umgesetzt werden sollte. Der Pressemitteilung folgte dann am 6. November 2020 eine formelle Warnung nach Artikel 58 Abs. 2 Buchst. a DS-GVO des BfDI gegenüber den gesetzlichen Krankenkassen.
Zentrale Elemente der Kritik an den Regelungen zur elektronischen Patientenakte im PDSG sind aus Sicht des BfDI und der DSK die zunächst nur grob ausgestalteten Möglichkeiten zur Einstellung der Zugriffsbefugnisse auf die digital gespeicherten Informationen, die datenschutzrechtlich problematische Authentifizierung und die sogenannte Vertreterlösung.
Gesundheitsdaten für alle Beteiligten einsehbar
Die Zugriffsbefugnisse sind mit Einführung der elektronischen Patientenakte zunächst so ausgestaltet, dass der Patient noch nicht darüber entscheiden kann, welche einzelnen Dokumente für welche Beteiligten im Gesundheitswesen einsehbar sein sollen oder nicht. Mit anderen Worten sind die auf der elektronischen Patientenakte gespeicherten Dokumente für alle Beteiligten des Gesundheitswesens einsehbar (d. h. zum Beispiel, dass Dokumente, die für den Psychiater bestimmt sind, auch vom Zahnarzt eingesehen werden können). Die DSK spricht in diesem Zusammenhang von einem der Datenschutz-Grundverordnung (DS-GVO) widersprechenden „Alles-oder-nichts-Prinzip“. Erst mit dem Jahreswechsel 2022 soll es für den Nutzer technisch möglich sein, die Zugriffsrechte individuell zu gestalten. Hierzu muss sich der Nutzer zur Änderung der Zugriffsbefugnisse mit der elektronischen Patientenakte verbinden, was technisch über ein Endgerät mit NFC-Funktion (sogenannte Near Field Communication), also zum Beispiel ein modernes Smartphone oder Tablet, möglich ist.
Auch alternative Zugriffsbefugnisse bedenklich
Alternativ soll die Einstellung der Zugriffsbefugnisse durch Vertreter möglich sein, zum Beispiel Familienangehörige. Dabei soll das Endgerät eines Dritten genutzt werden, um sich mit der elektronischen Patientenakte zu verbinden und die Zugriffbefugnisse für jeden Arzt einzeln einzustellen. Allerdings ist es dabei erforderlich, dem Vertreter den vollständigen Zugriff auf die Gesundheitsdaten einzuräumen. Mit anderen Worten: Um den Zugriff des Zahnarztes auf die Daten des Psychiaters zu verhindern, bekommt der Vertreter erst einmal vollständigen Zugriff auf die Gesundheitsdaten. Das ist datenschutzrechtlich ebenfalls bedenklich. Mittlerweile bieten manche Krankenversicherungen auch andere Login-Optionen an. Ein weiterer Kritikpunkt ist das Authentifizierungsverfahren für die elektronische Patientenakte, das nach der Ansicht der Datenschutzaufsichtsbehörden nicht ausreichend sicher ist und damit ebenfalls nicht den Vorgaben der DS-GVO entspricht.
Dieser fundamentalen Kritik wird im Wesentlichen entgegnet, dass die elektronische Patientenakte ein freiwilliges System sei und der Patient frei entscheiden könne, ob er sie nutzt oder nicht. Es bleibt abzuwarten, wie sich die Kritik und die Warnung des BfDI gegenüber den Krankenkassen auswirken werden.
Praxis-Hinweis zur elektronischen Patientenakte
Die gesetzlichen Vorgaben im PDSG zur elektronischen Patientenakte verstoßen nach Ansicht der deutschen Datenschutzaufsichtsbehörden gegen wichtige Prinzipien der DS-GVO. Dies betrifft die zunächst nur grob gestalteten Zugriffsbefugnisse, die sogenannte Vertreterlösung und das Authentifizierungsverfahren.
Der BfDI hat alle von ihm beaufsichtigten Krankenkassen aufgefordert, bei der Einführung der elektronischen Patientenakte den Datenschutz einzuhalten. Wir empfehlen, den Einsatz der elektronischen Patientenakte und die Einwilligungserklärungen grundlegend datenschutzrechtlich zu prüfen und gegebenenfalls Rücksprache mit den Aufsichtsbehörden zu diesem Themenkomplex zu halten. Von den datenschutzrechtlichen Bedenken nicht betroffen sind indes die Anforderungen des PDSG an die Implementierung eines Managementsystems für Informationssicherheit und Datenschutz. Diese Managementsysteme sind auch weiterhin umzusetzen.
Patientendaten-Schutz-Gesetz – Informationssicherheit
Am 1. Januar 2021 ist das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) in Kraft getreten. Es formuliert wichtige Rahmenbedingungen für eine flächendeckende Etablierung von digitalen Angeboten wie dem E-Rezept und der elektronischen Patientenakte (ePA) und ist damit ein wichtiger Meilenstein für die Digitalisierung des Gesundheitswesens.
Das Kernanliegen des Gesetzes besteht darin, Gesundheitsinformationen zu einem Patienten je nach Bedarf und Patientenwunsch zwischen unterschiedlichen Leistungserbringern, Kostenträgern sowie sonstigen Akteuren des Gesundheitswesens (z. B. Rehabilitation und Pflege) austauschen zu können. Dies betrifft in einer ersten Phase insbesondere medizinische Informationen in Form von Befunden, Diagnosen, Therapiemaßnahmen, Arztberichten sowie Medikationen und Notfalldaten. Eine zentralisierte Speicherung dieser Informationen – vorgesehen bei der jeweils zuständigen Krankenkasse – bildet dabei die Grundlage. Die Nutzung der elektronischen Patientenakte ist für die Patienten freiwillig. Möchte ein Patient sie jedoch nutzen, erhält er einen Rechtsanspruch gegenüber dem Leistungserbringer (§§ 347, 348 SGB V). Dies bedeutet, dass die Leistungserbringer entsprechende Funktionen sowohl zum sicheren Datenempfang als auch zur Datenbereitstellung implementieren müssen und verpflichtet sind, entsprechende Technologien und Infrastrukturen vorzuhalten.
PDSG beinhaltet Verpflichtungen zur Gewährleistung der IT-Sicherheit
Neben den inhaltlichen Anforderungen an die Digitalisierung der Prozesse, des Datenaustauschs und des Datenschutzes beinhalten die Regelungen des PDSG auch Verpflichtungen in Bezug auf die damit einhergehende Gewährleistung der IT-Sicherheit. Und die neuen Regelungen zur IT-Sicherheit haben es teilweise in sich. Insbesondere die Einführung des neuen § 75c SGB V hat aus unserer Sicht erhebliche Auswirkungen für Krankenhäuser: Während bislang bereits besondere Anforderungen an die Betreiber Kritischer Infrastrukturen (derzeit: Krankenhausbetreiber mit jährlich über 30.000 vollstationären Fällen) bestehen, sind mit Inkrafttreten des PDSG nunmehr alle Krankenhäuser ab dem 1. Januar 2022 verpflichtet, bestimmte Anforderungen an die IT-Sicherheit zu erfüllen.
So sind nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele in informationstechnischen Systemen, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhausbetriebs oder der Sicherheit der verarbeiteten Patienteninformationen steht. Darüber hinaus hat spätestens alle zwei Jahre eine Anpassung der informationstechnischen Systeme an den Stand der Technik zu erfolgen. Eine Erfüllung dieser Verpflichtungen durch die Krankenhäuser kann durch die konsequente Umsetzung und Anwendung des branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (kurz B3S) erfolgen (siehe § 75c Abs. 2 SGB V), so dass der B3S für alle Krankenhäuser maßgeblich wird.
Fazit zum Patientendaten-Schutz-Gesetz
Wir empfehlen betroffenen Einrichtungen, noch in diesem Jahr die Implementierung eines Managementsystems für Informationssicherheit und Datenschutz (ISMS und DSMS) sowie die Ernennung eines Informationssicherheits- und eines Datenschutzbeauftragten (ISB und DSB) vorzunehmen. Gerne unterstützen wir Sie bei der Umsetzung der Informationssicherheitsanforderungen und der Anwendung des B3S. Hierzu bieten wir die Durchführung von GAP-Analysen zur Identifikation struktureller Schwachstellen, die konzeptionelle Unterstützung bei der Umsetzung priorisierter Maßnahmen sowie die Gestellung eines ISB/DSB an.
