14.02.2020
Die Digitalisierung des Gesundheitswesens schreitet voran: Das Bundesgesundheitsministerium (BMG) hat Ende Januar einen Referentenentwurf des Patientendaten-Schutzgesetzes (PDSG) vorgelegt und in die Ressortabstimmung gegeben. Die Kabinettsbefassung soll spätestens im April erfolgen. Das PDSG konkretisiert den Rahmen für die Einführung der durch das DVG (Digitale Versorgung-Gesetz) vorgesehenen elektronischen Patientenakte (ePA), welche seitens der Krankenkassen den Versicherten ab 2021 zu Verfügung gestellt werden muss. Alle Vorgänge sollen dabei über die Telematikinfrastruktur (die „Datenautobahn des Gesundheitswesens“) abgewickelt werden.
Ein Einblick:
Als „versichertengeführte“ elektronische Akte soll die Nutzung der ePA auf freiwilliger Basis erfolgen. Der Referentenentwurf nennt als Kernanspruch die Patientensouveränität. Gegenüber niedergelassenen Ärzten und Krankenhäusern haben Versicherte den gesetzlichen Anspruch auf Übermittlung und Speicherung von Behandlungsdaten in der ePA. Ab dem 1. Januar 2021 gilt zunächst eine pauschale Zustimmungsregelung, bei der Zugriffe entweder erteilt oder nicht erteilt werden à la „ganz oder gar nicht“. Die Dauer der Zugriffsberechtigung soll standardmäßig auf eine Woche begrenzt sein aber auch selbst festgelegt werden können - von einem Tag bis 18 Monaten.
Ab 2022 sollen Versicherte Änderungen am Zugriffs- und Rechtemanagement vornehmen können, z.B. einen separaten Zugriff auf spezifische Dokumente und Datensätze sowie auf Gruppen von Dokumenten und Datensätzen. Zudem kann der Umfang der Zugriffsberechtigung im Hinblick auf zugriffsberechtigte Personen oder Einrichtungen unterschiedlich ausgestaltet werden, z.B. lediglich beschränkt auf Kategorien von Dokumenten oder Datensätzen. Der Umstand, dass dieses abgestufte Zugriffskonzept, welches es den Patienten ermöglicht, ihre personenbezogenen Daten differenziert weiterzugeben, nicht schon ab Beginn zur Verfügung stehen wird, wird bereits datenschutzrechtlich kritisiert.
Das PDSG regelt ferner detailliert den Umfang der Zugriffsrechte für verschiedene Berufsgruppen. Vorgesehen sind u.a. Zugriffsrechte für Ärzte, Zahnärzte, ärztliche Mitarbeiter, Apotheker, pharmazeutisches Personal, Psychotherapeuten, Pflegepersonal, Hebammen und Physiotherapeuten.
Es werden zudem Anreize zur einheitlichen Nutzung von Klassifikationen, Terminologien und Nomenklaturen gegeben, die sich an internationalen Standards orientieren. Dabei nennt der Referentenentwurf insbesondere die seitens des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) bis zum 1. Januar 2021 kostenfrei zur Verfügung zu stellenden Schnittstellen (SNOMED CT und LOINC) sowie den Aufbau eines nationalen Kompetenzzentrums für medizinische Terminologien. Dadurch soll eine einheitliche und somit interoperable Umgebung geschaffen werden. Gemeinsam mit der Kassenärztlichen Bundesvereinigung (KBV) soll die gematik beispielsweise unter Anwendung internationaler Standards wie dem International Patient Summary (IPS) Interoperabilitätsvorgaben zur Dokumentation der Notfalldaten in der ePA vorgeben.
Versicherte sollen darüber hinaus die Möglichkeit bekommen, freiwillig anonymisierte Daten für die wissenschaftliche Forschung zur Verfügung zu stellen (Datenspende).
Anreize für die Nutzung der ePA sollen durch einmalige Zuschläge und Vergütungen für das erstmalige Anlegen und Befüllen der elektronischen Akte geschaffen werden. Diese sehen z.B. für Vertragsärzte, Krankenhäuser sowie Apotheker eine einmalige Vergütung in Höhe von 10 € je Versichertem bei Anlage der ePA vor. Innerhalb des ersten Jahres nach Inkrafttreten des Gesetzes soll die Anlage eines Notfalldatensatzes doppelt vergütet werden. Auf Verlangen müssen Ärzte, Zahnärzte und Psychotherapeuten, die an der vertragsärztlichen Versorgung teilnehmen oder in Krankenhäusern arbeiten, Patienten bei der erstmaligen Befüllung und Nutzung einer ePA unterstützen.
Versicherte können ab 2022 auch ihre Impfdaten, das Zahn-Bonusheft, den Mutterpass oder das gelbe Untersuchungsheft für Kinder in ihrer ePA hinterlegen, die bisher nur papiergebunden zur Verfügung standen.
Der Gesetzgeber nutzt mit dem PDSG seine Kompetenz legal zu definieren, wer zukünftig Verantwortlicher im datenschutzrechtlichen Sinn ist. Dies ist entscheidend, weil der Verantwortliche der erste Adressat der Datenschutz-Grundverordnung (DSGVO) ist: als Berechtigter zur zweckgebundenen Verarbeitung der Daten ebenso wie als Verpflichteter.
Der Entwurf des PDSG legt fest, dass jeder Nutzer der Telematikinfrastruktur (etwa Arzt, Krankenhaus oder Apotheker) für den Schutz der verarbeiteten Patientendaten verantwortlich im datenschutzrechtlichen Sinn ist. Für den sicheren Zugangsdienst in die zentrale Infrastruktur und für die Anwendungsinfrastruktur hingegen ist der jeweilige Diensteanbieter datenschutzrechtlich verantwortlich. Für die Datenverarbeitung im gesicherten Netz ist schließlich der Anbieter verantwortlich, der von der gematik den Auftrag für den alleinverantwortlichen Betrieb erhalten hat. Damit soll klargestellt werden, dass die gematik selbst nicht als Anbieter des gesicherten Netzes tätig wird, sondern nur für die Schaffung verbindlicher Rahmenbedingungen zuständig ist. Die gematik wird jedoch zur Einrichtung einer koordinierende Stelle verpflichtet, die insbesondere für Versicherte als einheitlicher Ansprechpartner zur Verfügung steht.
Die Verantwortlichen müssen mittels entsprechender technischer und organisatorischer Maßnahmen (ein Konzept das ebenfalls in der DSGVO existiert und dort von entscheidender Bedeutung ist) die Sicherheit der Patientendaten gewährleisten. Bei Verstößen drohen hohe Bußgelder. Das PDSG sieht jedoch nicht nur Pflichten vor, sondern legt ebenfalls fest, dass datenschutzrechtliche Betroffenenrechte der Patienten (z.B. Auskunfts- und Löschungsrechte) eingeschränkt werden, damit der Verantwortliche allgemeine Schutzmechanismen wie Verschlüsselung und Pseudonymisierung im ausreichenden Maße sicherstellen kann.
Eine Richtlinie zu Maßnahmen zum Schutz von Sozialdaten in Abstimmung mit dem Bundesbeauftragten für Datenschutz hat der Spitzenverband der gesetzlichen Krankenkassen bis zum 1. Januar 2021 zu erstellen und alle zwei Jahre zu aktualisieren. Die Krankenkassen haben die sich daraus ergebenden Maßnahmen im Rahmen der elektronischen Gesundheitskarte und der ePA umzusetzen.
Der bereits für die elektronische Gesundheitskarte vorgesehene Beschlagnahmeschutz gegenüber Ermittlungsbehörden wird durch eine Änderung der entsprechenden strafprozessualen Norm auf die ePA erweitert.
Ferner werden die technischen Rahmenbedingungen des elektronischen Rezepts (E-Rezept) näher geregelt, welches das Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV) einführte. Die gematik soll verpflichtet werden im Laufe des Jahres 2021 (Frist 1. Januar 2022) eine Standard-App herauszubringen, mit der der Versicherte E-Rezepte in der Apotheke einlösen kann.
Auch Überweisungen zum Facharzt sollen auf diesem Wege übermittelt werden können. Innerhalb von sieben Monaten nach Gesetzesverkündigung haben die KBV und GKV Spitzenverbände die erforderlichen Regelungen für elektronische Überweisungsscheine festzulegen. Bis zum Ende des neunten auf die Gesetzesverkündigung folgenden Monats müssen sich KBV und GKV Spitzenverbände auf die Inhalte für nicht verschreibungspflichtige Medikamente (elektronisches Grünes Rezept) einigen.
Die durch das GSAV bereits vorgegebene Frist (30. Juni 2020) an die gematik, Spezifikationen zum E-Rezept vorzulegen, wird durch eine zusätzliche Frist (30. Juni 2021) ergänzt, die sich zur Festlegung von Spezifikationen für elektronische Rezepte für Betäubungsmittel verhält.
Durch Anreize für Leistungserbringer und mannigfaltige fristenbezogene Aufgabenzuweisungen für die gematik und Selbstverwaltung möchte das BMG einen großen Schritt machen in Richtung der elektronischen Patientenakte nebst einer Realisierung der geeigneten Infrastruktur. Offen bleibt, ob die Versicherten die freiwillige ePA letzten Endes annehmen oder diese ähnlich zu den digitalen Funktionen des elektronischen Personalausweises nahezu keine Nutzung erfährt. Aufgrund der Freiwilligkeit bei der Nutzung wird es zwangsläufig eine Transformationsphase geben, in der alte und neue Strukturen nebeneinander bestehen. Mit Blick auf die hohen Bußgelder bei datenschutzrechtlichen Verstößen wird Aufgabe seitens der Verantwortlichen sein, die Sicherheit der Patientendaten zu gewährleisten und Schutzmechanismen wie Verschlüsselungen und Pseudonymisierungen im ausreichenden Maße sicherzustellen.
Der Nutzen und die Mehrwerte für die Versorgung beim Austausch von medizinischen Informationen etwa hinsichtlich (automatischer) elektronischer Medikationspläne, Datenspenden, Notfalldatensätzen, Vorsorgevollmachten oder Patientenverfügungen, elektronischen Rezepten sowie Überweisungen, Interoperabilität und der elektronischen Patientenakte ist nicht von der Hand zu weisen. Effektivitäts-, Zeit- & Informationsgewinne sowie Vereinfachungen und der Vermeidung von Fehlerquellen wie bei z.B. unmissverständlichen Entlassungsbriefen dürften der Akzeptanz zuträglich sein. Dies gilt auch mit Blick der Datenhoheit durch Versicherte und die dadurch geschaffene Möglichkeit der Datenkontrolle durch einen zunehmend „wissenden“ Patienten.
Cornelia Yzer
Of Counsel
Berlin
cornelia.yzer@luther-lawfirm.com
+49 30 52133 21175
Dr Silvia Hartmann