Souveränität der Versicherten bei der elektronischen Patientenakte bewahren und Gesundheitsdaten konsequent schützen – Kugelmann appelliert an Krankenkassen und Gesetzgeber

Die Digitalisierung im Gesundheitswesen schreitet immer schneller voran. Jedoch bestehen gegen einige Punkte datenschutzrechtliche Bedenken.

Die Bundesregierung forciert den zuvor jahrelang nur schleppend vorangekommenen Prozess der digitalen Transformation des deutschen Gesundheitswesens durch zahlreiche Gesetzgebungsvorhaben. Nachdem erst im Oktober 2020 das Patienten-Datenschutzgesetz (PDSG) in Kraft getreten ist, hat das Bundesgesundheitsministerium Mitte November bereits den nächsten Entwurf vorgelegt, diesmal für ein Gesetz zur digitalen Modernisierung von Versorgung und Pflege, kurz DVPMG genannt. Aus der Perspektive des Datenschutzes ist der digitale Umbau des Gesundheitssystems in Deutschland zu begrüßen, sofern auch in der digitalen Versorgung die Souveränität der Versicherten hinsichtlich der Verarbeitung ihrer Daten bewahrt und deren Schutz konsequent sichergestellt wird. Doch daran hapert es immer wieder, wie die zwei aktuellen Beispiele zeigen:

Bei der mit dem Patienten-Datenschutzgesetz zum Jahresanfang 2021 etablierten elektronischen Patientenakte wird den Versicherten ohne geeignetes Endgerät die Wahrnehmung der ihnen zustehenden Rechte in unzumutbarer Weise erschwert. Im Jahr 2021 besteht gar keine Möglichkeit, ohne eigenen PC, Handy oder Tablet in die Inhalte der eigenen Akte Einblick zu nehmen und Zugriffsrechte darauf zu steuern. Ab 2022 kann ein Vertreter benannt werden, über den dies dann möglich sein soll. Eine unmittelbare Rechteausübung ist zu keinem Zeitpunkt vorgesehen. „Damit werden Versicherten ihnen unmittelbar zustehende elementare Datenschutzrechte genommen. Mit der Aufstellung eigener Terminals bei den Krankenkassen oder anderen geeigneten Maßnahmen hätte man dies vermeiden können und müssen“, konstatiert der rheinland-pfälzische Landesdatenschutzbeauftragte Professor Dieter Kugelmann. „ Die gesetzlichen Vorgaben missachten in grober Weise die den Versicherten zustehende Wahrnehmung ihres Grundrechts. Sollten sich Betroffene an mich wenden und Defizite bei der Ausübung ihrer Rechte geltend machen, werde ich von den meiner Aufsicht unterliegenden Krankenkassen verlangen, dass die Versicherten ihre Datenschutzrechte unmittelbar ausüben können.“

Auch in Bezug auf den neuesten Gesetzentwurf aus dem Bundesgesundheitsministerium sieht der Landesdatenschutzbeauftragte Verbesserungsbedarf. Mit dem Entwurf des DVPMG wird die Digitalisierung im Gesundheitswesen vertieft und auf den Bereich der Pflegeversicherung ausgeweitet. Doch es gibt deutliche Defizite: So sollen digitale Gesundheits- und Pflegeanwendungen unter anderem noch bis zum Jahr 2023 erstattungsfähig sein, wenn deren Datenschutz- und Sicherheitstauglichkeit allein von den Herstellern selbst erklärt wird. Erst danach bedarf es im Hinblick auf die Sicherheit der Anwendungen der Vorlage von Zertifikaten; bezüglich des Datenschutzes ist das auch danach nicht vorgesehen. Kugelmann sagt: „Dem Schutz der Gesundheitsdaten, die in den digitalen Anwendungen sowohl in der Krankenversorgung als auch der Pflege verarbeitet werden, muss höchste Priorität beigemessen werden. Allein den eigenen Erklärungen der Hersteller zu vertrauen, darf als Nachweis für die Einhaltung der Anforderungen an den Datenschutz und die Datensicherheit nicht ausreichen. Schon die Zulassung der ersten digitalen Gesundheitsanwendungen hat dies eindrucksvoll gezeigt.“ Kugelmann betont weiter: „Ich appelliere deshalb an den Gesetzgeber, ausschließlich den Einsatz von sicheren und datenschutzgerechten Anwendungen sicherzustellen und dabei die in dem Datenschutzrecht vorhandenen Möglichkeiten der Zertifizierung im besonders sensiblen Gesundheitswesen zu nutzen und dies nicht erst im Jahr 2023, sondern sofort. Datenschutz und IT-Sicherheit dürfen nicht auf die lange Bank geschoben werden.“

In seiner gegenüber der Landesregierung zu dem Gesetzentwurf abgegebenen Stellungnahme fordert Professor Dieter Kugelmann weiter, bei der im Gesetz vorgesehenen Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen die Vorgaben des Datenschutzes für die Nutzung von E-Mail- und Messaging-Diensten zu beachten und insbesondere die Nutzung privater Endgeräte zur Kommunikation im beruflichen Kontext zu verbieten. Die Einrichtung einer Schweigepflicht für Hersteller von digitalen Gesundheits- und Pflegeanwendungen begrüßte er, wobei sich diese auf alle an der Herstellung und den Betrieb mitwirkenden Personen erstrecken sollte. Den Bundesländern wurde vom Bund die Möglichkeit eingeräumt, bis zum 7. Dezember zum neuen Gesetzentwurf Stellung zu nehmen.