Das neue Patientendaten-Schutz-Gesetz (PDSG) ist nicht ganz unumstritten. Insbesondere das Thema Datenschutz sorgt immer wieder für Diskussionen. Nun hat der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, eine formelle Warnung an die rund 44,5 Millionen Versicherten auszusprechen sowie weitere Maßnahmen seiner Behörde im Zusammenhang mit der Einführung der elektronischen Patientenakte (ePA) wegen erheblichen Verstößen gegen die DSGVO zu ergreifen.[1] Auch auf Seiten der Gesundheitsbranche wird das PDSG und besonders die ePA teilweise kritisch gesehen. Manche Ärzte scheuen sich vor der Umstrukturierung der Praxisabläufe oder äußern Bedenken bezüglich besonders vertraulicher Gespräche oder Diagnosen.
Mangelhafte Zugriffskontrolle und Authentifizierungsverfahren im Frontend
Die hochsensiblen Gesundheitsdaten werden in der DSGVO besonders geschützt. Dem Prinzip der Datenhoheit wurde jedoch im PDSG nicht hinreichend Beachtung geschenkt: Nur bei geeigneten Endgeräten ist die dokumentengenaue Kontrolle möglich, und das auch erst ab 2022 – bis dahin soll das Prinzip „alles oder nichts“ gelten. Noch düsterer sieht es für all diejenigen aus, die über kein geeignetes Endgerät verfügen: ein völliges Fehlen einer eigenständigen Einsichtsmöglichkeit wird ab 2022 von einer Vertretungsregelung abgelöst, bei der jedoch dem Vertreter die volle Kontrolle über Steuerung und Einsicht eingeräumt werden müssen.[2] Ein vernünftiges, „feingranulares“[3] Zugriffsmanagement ist wohl einer der wichtigsten datenschutzrechtlichen Aspekte, auch um das Vertrauen der Patienten zu gewinnen und aufrechtzuerhalten.
Dennoch wird demgegenüber auch der Nutzen unvollständiger Patientenakten für die Ärzte teils in Zweifel gezogen.[4] Hierbei sei vermerkt, dass zwar beispielsweise beim Einholen einer Zweitmeinung zu einer Diagnose die Vollständigkeit der Daten essenziell sein kann – warum hingegen der Zahnarzt die detaillierten Befunde des konsultierten Psychiaters sehen können sollte, lässt sich kaum sinnvoll rechtfertigen.[5]
Auch die Verfahren, mit denen sich Versicherte im Frontend der ePA anmelden, sind aus datenschutzrechtlicher Sicht nicht ausreichend sicher, besonders, wenn die elektronische Gesundheitskarte nicht zur Anmeldung verlangt wird.[6] Eine zuverlässige Zwei-Faktor-Authentisierung etwa ist in verschiedenen Varianten denkbar und wird ganz überwiegend als maßgebliches Element für eine sichere und zumindest schwerer zu umgehende Identifizierung als rechtmäßiger Nutzer eines Dienstes gesehen.[7]
Datenspende unwiderruflich
Wie kürzlich der IT-Branchenverband Bitkom in einer repräsentativen Umfrage herausfand, ist die Bereitschaft der Deutschen, ihre Gesundheitsdaten für Forschungszwecke zu spenden, größer als gedacht: Fast 90% sind bereit, ihre Daten nicht nur staatlichen, sondern sogar privatwirtschaftlichen Forschungseinrichtungen zur Verfügung zu stellen. Knapp die Hälfte der Befragten wäre gar einverstanden, auch privaten Unternehmen den Zugriff auf die Daten zu gewähren. [8] Eine derartige Freigiebigkeit ist zunächst gar nicht vorgesehen, das PDSG spricht lediglich von einer Weitergabe an öffentliche Forschungsstellen ab 2023. Hier zeigt sich allerdings eine weitere Schwäche des Gesetzes: Zum einen ist die Einwilligung zur Datenspende nicht an einen bestimmten Zweck gebunden. Dies ist jedoch gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO erforderlich. Insofern bezweifelt Kelber zu Recht, dass wirklich eine informierte Einwilligung getroffen werden kann.[9] Zum anderen ist zwar in § 363 SGB V (neu) eine Widerrufsmöglichkeit vorgesehen, die jedoch nicht gilt, soweit die betreffenden Daten bereits für ein Forschungsvorhaben verarbeitet werden; die Rechte auf Löschung bzw. auf Vergessenwerden (Art. 17 DSGVO) sowie auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Widerspruchsrecht gemäß Art. 21 DSGVO werden in § 363 Abs. 6 Satz 4 SGB V (neu) insoweit explizit ausgeschlossen. Demgegenüber beklagt die Gegenseite, dass die private Industrieforschung die Daten bis auf weiteres nicht für eigene Forschungsvorhaben nutzen könne und kritisiert die ePA als „Akte mit angezogener Handbremse“. Dabei kommen auch die (verbleibenden) Betroffenenrechte nicht gut weg: der Widerruf einer erteilten Einwilligung soll am besten überhaupt nicht möglich sein, geschweige denn ein Widerspruch gegen die Verarbeitung oder gar die Löschung einmal freigegebener Daten.[10]
Fazit
Die Prozesse im Gesundheitswesen sind oft (und nicht immer zu Unrecht) von bürokratischen Hürden und mitunter auch von Verständigungsproblemen auf infrastruktureller Ebene geprägt. Es ist durchaus zu begrüßen, dass hier Vieles einfacher und besonders für Patientinnen und Patienten transparenter werden soll.
Dass zahlreiche in gesetzlichen Krankenversicherungen Beschäftigte ihrem Arbeitgeber nicht zutrauen, auf die Implementierung speziell der ePA vorbereitet zu sein, gibt jedoch zu denken.[11] Noch zweifelhafter ist, dass ein neues Gesetz, welches zu einem ganz maßgeblichen Teil die zukünftige Verarbeitung extrem sensibler personenbezogener Daten regeln soll, nicht einmal auf dem Papier den Anforderungen der DSGVO genügt. Hier besteht noch einiger Handlungsbedarf. Digitalisierung ist kein Selbstzweck und sollte immer den Menschen ins Zentrum rücken – und nicht nur dessen Daten als Ressource.
[1] BfDI zu Folgen der Gesetzgebung des PDSG, Pressemitteilung des BfDI vom 19.08.2020, letzter Abruf am 26.08.2020.
[2] BfDI zu Folgen der Gesetzgebung des PDSG, Pressemitteilung des BfDI vom 19.08.2020, letzter Abruf am 26.08.2020.
[3] BfDI zu Folgen der Gesetzgebung des PDSG, Pressemitteilung des BfDI vom 19.08.2020, letzter Abruf am 26.08.2020.
[4] Vgl. BfDI zu Folgen der Gesetzgebung des PDSG, Pressemitteilung des BfDI vom 19.08.2020, letzter Abruf am 26.08.2020; Schmedt, Patientendaten-Schutzgesetz: Aktenbefüllung ohne Weitsicht, Deutsches Ärzteblatt 2020, 117(6): A-227.
[5] Vgl zu diesem Beispiel BfDI zu Folgen der Gesetzgebung des PDSG, Pressemitteilung des BfDI vom 19.08.2020, letzter Abruf am 26.08.2020.
[6] Vgl. BfDI zu Folgen der Gesetzgebung des PDSG, Pressemitteilung des BfDI vom 19.08.2020, letzter Abruf am 26.08.2020.
[7] Vgl. hierzu etwa BSI, Zwei-Faktor-Auhentisierung für höhere Sicherheit, BSI für Bürger, letzter Abruf am 26.08.2020.
[8] Bitkom, Große Offenheit für Spende von Patientendaten, Pressemitteilung vom 03.07.2020, letzter Abruf am 25.08.2020.
[9] Vgl. Olk, Bundesdatenschutzbeauftragter: Regierung verstößt mit geplanter Datenspende gegen Datenschutz, Handelsblatt.de, 31.03.2020 (Update vom 01.04.2020), letzter Abruf am 25.08.2020.
[10] Vgl. Fricke, E-Akte mit angezogener Handbremse, Ärztezeitung,de, 31.01.2020, letzter Abruf am 25.08.2020.
[11] Vgl. Maler, VW 2020, 8.