Vereinbarkeit der elektronischen Patientenakte mit Datenschutz

Vereinbarkeit der elektronischen Patientenakte mit Datenschutz

Jens Spahn – Bundesgesundheitsminister Deutschlands – treibt die Einführung der elektronischen Patientenakte (ePA) euphorisch voran. Das Gesetz dazu wurde am 3. Juli 2020 beschlossen und soll voraussichtlich im Herbst 2020 in Kraft treten (zum Gesetzesentwurf). Am 1. Januar 2021 soll die elektronische Patientenakte allen Versicherten auf freiwilliger Basis angeboten werden. Dabei ist eine umfassend sichere und fortschrittliche Infrastruktur unumgänglich. Aber auch die jeweiligen Einrichtungsinhaber – im Folgenden werden wir uns auf die Praxisinhaber fokussieren (wobei diese Thematik alle involvierten Parteien betrifft) – müssen sich darüber bewusst sein, welche Pflichten sie dabei treffen. Wir gehen näher auf die datenschutzrechtlichen Belange der elektronischen Patientenakte und die Anforderungen an die Arztpraxis in diesem Zusammenhang ein.

Die elektronische Patientenakte (ePA)

Unter der elektronischen Patientenakte kann man sich eine App auf dem Smartphone oder Tablet vorstellen. In diese loggt sich der Patient ein, um seine Daten einsehen zu können. Anfänglich haben sogar alle behandelnden Parteien Einblick in all diese Daten, da es dem Patienten erst ab 2022 möglich sein soll, Zugriffe einschränken zu können. Ab 2022 soll die elektronische Patientenakte auch den Impfausweis, den Mutterpass, das gelbe U-Heft für Kinder und das Zahn-Bonusheft ersetzen können. Ausgeführt werden soll dies über die Telematikinfrastruktur der gematik GmbH (Gesellschaft für Telematik) – diese kommt übrigens auch bei der elektronischen Gesundheitskarte zum Einsatz (unseren Beitrag zu diesem Thema finden Sie hier ).

Art der gespeicherten Daten

Es soll dem Patienten ermöglicht werden, folgende Daten in der elektronischen Patientenakte speichern zu können (es ist allerdings zu bemerken, dass die Möglichkeit der Speicherung bestimmter Daten nach und nach eingerichtet werden wird):

1)    Befunde,

2)    Diagnosen,

3)    Therapiemaßnahmen,

4)    Behandlungsberichte,

5)    Impfungen,

6)    elektronische Medikationspläne,

7)    elektronische Arztbriefe,

8)    Notfalldatensätze,

9)    Tagebuch über Blutdruckmessungen u. m.

Verarbeitung personenbezogener Daten besonderer Kategorien

Bei der elektronischen Patientenakte werden nach Definition gemäß Art. 9 Abs. 1 DSGVO personenbezogene Daten besonderer Kategorien verarbeitet. Solche personenbezogenen Daten besonderer Kategorien sind Daten zu

1)    der rassischen und ethnischen Herkunft,

2)    der politischen Meinung,

3)    den religiösen oder weltanschaulichen Überzeugungen,

4)    der Gewerkschaftszugehörigkeit,

5)    den genetischen Daten,

6)    den biometrischen Daten,

7)    dem Sexualleben oder der sexuellen Orientierung und auch

8)    der Gesundheit.

Bei der Verarbeitung involvierte Parteien

Während der Patient Hoheit an den auf der Patientenakte gespeicherten Daten hat, werden diese – je nachdem, ob es sich um einen Arzt-, Therapiebesuch, Krankenhausaufenthalt o. a. handelt – von verschiedenen Parteien verarbeitet. Diese sind unter anderem folgende:

1)    Krankenkassen,

2)    Krankenhäuser,

3)    Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen (Ärzte, Psychotherapeuten etc.),

4)    Vorsorgeeinrichtungen,

5)    Rehabilitationseinrichtungen,

6)    Apotheken,

7)    berufsmäßige Gehilfen und

8)    Personen, deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist (z. B. IT-(Wartungs-)Dienstleister).

Mängel in der Telematikinfrastruktur

Aufgrund der Verarbeitung personenbezogener Daten besonderer Kategorien ist es bei der elektronischen Patientenakte besonders wichtig, darauf zu achten, dass der Schutz dieser Daten gewährleistet ist. Einerseits erwarten Patienten als auch Ärzte, dass die Telematikinfrastruktur selbst vor Angriffen unbefugter Personen sicher ist. Andererseits geht ein Patient  davon aus, dass die Arztpraxen über die Funktionsweise der elektronischen Patientenakte als auch über die Telematikinfrastruktur und die Anwendung der Geräte in der Praxis genauestens geschult sind.

Mögliche Gefahren der Verletzung der ärztlichen Schweigepflicht

Gleichzeitig ist es unabdingbar, dass in den Arztpraxen selbst Maßnahmen implementiert worden sind, die den Schutz der Patientendaten gewähren (mehr dazu in unserem Beitrag „Technische und organisatorische Maßnahmen in Arztpraxen“). Leider ist dies aber nicht immer der Fall, da nicht alle Ärzte die nötigen IT-Kenntnisse haben.

Verantwortung bei der Verarbeitung

Jens Spahn sagt, die Verantwortung des Datenschutzes für die IT-Infrastruktur liege beim Praxisinhaber, sobald dieser beginnt, die Daten zu verarbeiten (bis Ende der Verjährungsfrist nach Ende der letzten Behandlung), und das, obwohl sich viele Praxisinhaber nicht für die Telematikinfrastruktur aussprachen und sie als gefährlich in Anbetracht der verarbeiteten Daten und den damit verbundenen Risiken erachten. So auch, weil sie ggf. bei unzureichendem Datenschutz, der auf mangelhaft umgesetzte Maßnahmen in ihrer Praxis zurückzuführen wäre, gegen die ärztliche Schweigepflicht verstoßen. Herrn Spahns Behauptung steht übrigens § 291b Abs. 1 SGB V entgegen, welcher besagt, dass die Gesellschaft für Telematik unter anderem Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen hat. Als die Konnektoren aber durch IT-Dienstleister angeschlossen worden sind – nach Bericht des NDR: den Link finden Sie unter diesem Beitrag – scheint die Gesellschaft für Telematik schon zu diesem Zeitpunkt dieser Pflicht nicht nachgekommen zu sein.

Sicherheitslücken und -risiken

Ende 2019 stellte der Chaos Computer Club noch schwerwiegende Sicherheitslücken im System der elektronischen Patientenakte fest (mehr dazu hier). Es war eruiert worden, dass das System extrem anfällig für Hacker-Angriffe sei. Ob diese Mängel inzwischen tatsächlich behoben worden sind, wurde bisher nicht geprüft. Auch wurde Kritik am Schutz der Zugangsdaten geübt, der aber inzwischen verbessert worden sein soll.

Mangelnde Zugriffsbeschränkungen

Des Weiteren bestehen Beanstandungen darin, dass anfänglich alle Personen mit Zugriff auf diese Patientenakte alle darauf befindlichen Daten einsehen können. Der Orthopäde könnte bspw. einen Befund vom Urologen einsehen, obwohl der diese Information für sein Behandlungsgebiet nicht benötigt. Es soll wohl erst ab 2022 für den Patienten möglich sein, die Zugriffsrechte einzuschränken, die Daten zu löschen und sie bei einem Krankenkassenwechsel übertragen lassen zu können. Hinzukommt, dass das Bundesministerium für Gesundheit plant, die elektronische Patientenakte als App zu gestalten.

Smartphones und Internet nicht in jedem Haushalt Deutschlands

Ein nicht unbeachtlicher Teil der Bevölkerung besitzt kein mobiles Endgerät oder Internet. Demzufolge könnten diese Personen nicht auf ihre elektronische Patientenakte zugreifen, wie es ihnen zusteht. Natürlich sollen sie ihre Patientenakte bei der Krankenkasse einsehen können. Stellt man sich dies jedoch bildlich vor, wäre die wohl einzige Möglichkeit, dass Krankenkassen den anfragenden Computer zur Verfügung stellen. Viele anfragende Menschen wissen wiederum oft gar nicht, wie sie mit einem Computer, geschweige denn mit dem Internet umgehen sollen. Hingegen wäre die Öffnung der Patientenakte durch Mitarbeiter an deren PC datenschutzrechtlich nicht ohne Weiteres zulässig. Diese würden wiederum Einblicke in Daten, die sie für ihren Arbeitsbereich nicht benötigen und daher nicht verarbeiten dürfen, erhalten.

Die Frage der Freiwilligkeit

Gemäß dem zukünftigen § 341 SGB V, der durch das Patienten-Datenschutzgesetz (PDSG) eingeführt werden soll, ist die Nutzung der elektronischen Patientenakte freiwillig. Krankenkassen, Ärzte und Apotheken dürfen die Nutzung dieser anbieten, aber nicht vorschreiben. Allerdings soll das e-Rezept gemäß Punkt B. des PDSG-Entwurfs ab 1. Januar 2022 verpflichtend vorgeschrieben sein. Dies ist Teil der elektronischen Patientenakte. Demzufolge stellt man dahingehend die Freiwilligkeit wiederum in Frage. Auch, weil den Ärzten, Krankenhäusern etc. eine Prämie von EUR 10,00 von der Krankenkasse des Versicherten bei Erstbefüllung der elektronischen Patientenakte zugesichert wird. Weiterhin sollen sie eine Vergütung erhalten, wenn sie bei der Verwaltung der elektronischen Patientenakte unterstützend mitwirken.

Es muss also darauf geachtet werden, dass sie die elektronische Patientenakte nicht ohne Einwilligung des Patienten mit Dokumenten befüllen. Ärzte müssen in ihrer Praxisorganisation entsprechende Prozesse festlegen und schriftlich dokumentieren, da alle Datenverarbeitungsprozesse aufgrund des Nachweiserfordernisses der Datenschutzgrundverordnung (Art. 5 Abs. 2 DSGVO) am besten schriftlich festgehalten werden (z. B. in Dienstanweisungen oder SOPs [SOP = Standard Operational Procedure]).

Fazit

Von Praxisinhabern wird nicht erwartet, dass sie Spezialisten auf dem Gebiet des Datenschutzes sind. Das sind wir aber. (Im Bereich der IT kann unser Mutterunternehmen, die PBIT Systeme GmbH & Co. KG, unterstützend mitwirken) Wenn Sie eine Gesundheitseinrichtung leiten und bei der Umsetzung des Datenschutzes Hilfe wünschen, kontaktieren Sie uns. Wir erstellen gerne ein unverbindliches Angebot für Sie.

 

Link: https://www.ndr.de/fernsehen/sendungen/panorama3/Sensible-Patientendaten-in-Gefahr,patientendaten110.html

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.