Das Bundeskabinett hat kürzlich den von Bundesgesundheitsminister Jens Spahn vorgelegten Entwurf zum Patientendaten-Schutzgesetz (PDSG) beschlossen. Nach parlamentarischen Beratungen soll dieses voraussichtlich im Herbst in Kraft treten. Wir berichteten bereits hier über den Referentenentwurf. Welche Änderungen bringt der Gesetzesentwurf gegenüber dem Referentenentwurf? Eine Übersicht wesentlicher Neuerungen:
- Das E-Rezept für verschreibungspflichtige Arzneimittel soll ab dem 1. Januar 2022 verpflichtend als Anwendung der sicheren Telematikinfrastruktur (TI) eingeführt werden. Das BMG stellt im neu formulierten § 360 SGB V klar, dass Ärzte und Zahnärzte, die an der vertragsärztlichen Versorgung teilnehmen oder aus Kliniken heraus verordnen, dazu verpflichtet sind, Verordnungen nur noch in digitaler Form auszustellen. Dies gelte nicht, sofern eine Ausstellung in elektronischer Form nicht möglich ist (etwa im Rahmen ärztlicher Hausbesuche) oder die dafür erforderlichen technischen Dienste nicht zur Verfügung stehen. Per App können dann Versicherte in einer Apotheke ihrer Wahl die Verordnung (online oder vor Ort) einlösen. Die ebenfalls Teil der TI werdende App soll bereits im Laufe des Jahres 2021 verfügbar sein. Über eine Schnittstelle können Rezepte auch in einer anderen Anwendung gespeichert werden.
- Entwickler und Anbieter einer solchen App für elektronische Verordnungen soll nun die gematik sein. Damit erhält die gematik die Kompetenz, ihre eigenen Entwicklungen zu prüfen und zuzulassen.
- Die Option zur Spende eigener Daten unmittelbar aus der elektronischen Patientenakte (ePA) heraus zu Forschungszwecken, die spätestens ab 2023 bestehen soll, wurde nach Kritik an den datenschutzrechtlichen Regelungen im Referentenentwurf präzisiert. Im Sinne des Datentransparenzverfahrens nach §§ 303a ff. SGB V werden für die Verarbeitung die mit einer informierten Einwilligung versehenen freigegebenen Daten pseudonymisiert, verschlüsselt und mit Arbeitsnummer gekennzeichnet an ein Forschungsdatenzentrum und gleichzeitig dazu das Lieferpseudonym samt Arbeitsnummer an die Vertrauensstellen übermittelt. Bisher ist noch nicht geregelt, welche Stelle das Forschungsdatenzentrum betreiben soll. Der neue § 363 Abs. 8 SGB V sieht unabhängig davon aber auch die Möglichkeit vor, für ein bestimmtes Forschungsvorhaben oder für bestimmte Bereiche der Forschung im Wege einer ausdrücklichen Einwilligung Daten unmittelbar für die Verarbeitung zu Forschungszwecken zur Verfügung zu stellen. Der Begriff der „Datenspende“ wurde vollständig aus dem PDSG entfernt. Weiterhin kritisch betrachtet wird, dass Details zur Freigabe von Forschungsdaten in einer Rechtsverordnung geregelt werden sollen. Es ist davon auszugehen, dass dieser Punkt im Gesetzgebungsverfahren noch einmal aufgerufen wird. Immerhin werden dem Bundesbeauftragten für Datenschutz nun Mitwirkungsrechte eingeräumt.
- Der Gesetzentwurf intendiert eine lückenlose datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitungen in der TI, sodass nun auf jeden Fall die gemaitk datenschutzrechtlich verantwortlich ist, soweit sie die Mittel der Verarbeitung personenbezogener Daten bestimmt. Zudem ist nun die Einrichtung einer koordinierenden Stelle zur Erteilung von Informationen und Auskünften an die Betroffenen vorgesehen.
- In der Gesetzesbegründung wird zudem klargestellt, dass es bei den allermeisten Arztpraxen nicht zu einer umfangreichen Datenverarbeitung kommt, sodass regelmäßig kein Datenschutzbeauftragter berufen und keine Datenschutz-Folgenabschätzung vorgenommen werden muss. Die Arztpraxen sind also dahingehend datenschutzrechtlich entlastet.
- Es erfolgt eine Verschärfung der Nachweise der Sicherheit von Komponenten und Diensten der TI. Die Nutzung der TI ist ohne die erforderliche Zulassung oder Bestätigung ausdrücklich untersagt (neuer § 326 SGB V). Anbieter müssen sich vorab zertifizieren lassen, andernfalls drohen hohe Bußgelder. Störungen und Sicherheitsmängel müssen unverzüglich an die gematik seitens der Betreiber von Diensten und Komponenten innerhalb der TI gemeldet werden. Es drohen Bußgelder von bis zu 300.000 Euro.
- Nach § 311 Abs. 2 SGB V sollen alle Vorgaben der gematik, die den Datenschutz berühren, nunmehr nicht nur im Benehmen sondern im Einvernehmen mit dem Bundesbeauftragen für den Datenschutz zu treffen. Damit wird dem Bundesbeauftragen quasi ein Vetorecht anheimgestellt.
- Nach dem neuen Abs. 5 im § 336 SGB V wird die elektronische Gesundheitskarte zu einem sicheren elektronischen Identitätsnachweis, sofern diese oder der dazugehörige PIN-Brief persönlich übergeben wurde oder die Versichertenadresse mit dem Melderegistereintrag übereinstimmt.
- Künftig soll die Kassenärztliche Bundesvereinigung nach § 355 SGB V nicht nur die notwendigen Festlegungen für die Inhalte der ePA treffen, sondern ebenfalls für den elektronischen Medikationsplan und die elektronischen Notfalldaten, um deren semantische und syntaktische Interoperabilität zu gewährleisten.
- Für Gesundheitsdaten in der elektronischen Patientenakte gilt der Beschlagnahmeschutz des § 97 Abs. 1 StPO. Dieser gilt ebenfalls für die aktenführende Krankenkasse. Dies stellt der Gesetzesentwurf klar und sieht damit ab von einer ursprünglich vorgesehenen zusätzlichen Regelung in der Strafprozessordnung.
- Das granulare Berechtigungsmanagement wird nach jetzigem Stand erst ab 2022 zur Verfügung stehen.
Für weitergehende Fragen stehen wir jederzeit gern zur Verfügung.