Thought Leadership
Zur IT-seitigen Umsetzung: Alle gesetzlichen Krankenkassen müssen ihren Versicherten eine ePA anbieten. Die Vernetzung der verschiedenen Lösungen der Krankenkassen erfolgt in der sogenannten Telematikinfrastruktur, bei der es sich um ein geschlossenes Netzwerk handelt. Um die Gesundheitsdaten der Patienten zu schützen, läuft die Kommunikation im Netzwerk verschlüsselt und ausschließlich zwischen registrierten Nutzern ab. Die Sicherheit des Telematiknetzwerks und der IT-technischen ePA-Umsetzung wird dennoch von verschiedenen Experten angezweifelt. Zweifel bestehen zum Beispiel, weil aus datenschutzrechtlicher Sicht bislang keine hinreichende Transparenz über die verwendeten Datenspeicher der einzelnen Krankenkassen, die Serverstandorte sowie die Art der Datenverschlüsselung gegeben ist.
Das datenschutzrechtliche Dilemma der gesetzlichen Krankenkassen
Nach der aktuellen Rechtslage können sich die gesetzlichen Krankenkassen also nicht vollständig gesetzeskonform verhalten. Denn gemäß § 341 SGB V sind die Kassen verpflichtet, eine geeignete, von der gematik GmbH zertifizierte Datenbanklösung aufzubauen und ihren Versicherten die ePA kostenlos anzubieten. Wenn sie dies aber tun, verstoßen sie damit nach Einschätzung des BfDI bereits gegen die in der europäischen Datenschutzgrundverordnung formulierten Prinzipien der Datenminimierung und Datensparsamkeit.
Datenschutzrechtliche Herausforderungen der ePA für Arztpraxen und Kliniken
Datenschutzrechtlich verantwortlich für die DSGVO-Konformität der ePA sind formal die Anbieter, also die gesetzlichen Krankenkassen. Hinzu kommt, dass die Patienten selbst darüber entscheiden, ob sie einem behandelnden Arzt den Zugriff auf die ePA gewähren. Zumindest im laufenden Jahr 2021 kann die Freigabe jedoch nur pauschal für alle gespeicherten Daten erteilt oder verwehrt werden. Datenschutzrechtlich beginnen spätestens hier auch für niedergelassene Ärzte und Kliniken die Probleme. Denn sobald Ärzte auf die gespeicherten Daten zugreifen möchten, benötigen sie die Einwilligung des Patienten. Nach der DSGVO kann eine Einwilligung nur dann wirksam erteilt werden, wenn sie freiwillig, zweckgebunden sowie für einen Einzelfall erklärt wird. Da Patienten im laufenden Jahr jedoch nur alle oder gar keine Daten freigeben können, ist die Freiwilligkeit der Einwilligung auf Ebene der Einzeldokumente fragwürdig. An einer pauschal erteilten Zugriffsberechtigung bestehen erhebliche datenschutzrechtliche Zweifel. Arztpraxen und Kliniken würden als Datenempfänger im Einzelfall womöglich gegen die Datenschutzgrundverordnung verstoßen und müssten eventuell mit Sanktionen rechnen.
Wichtig: Die Einführung der ePA konterkariert die ärztliche Schweigepflicht nicht im Geringsten. Ärzte und Kliniken müssen sensible Patientendaten nach wie vor in besonderer Weise schützen. Ob und wie dies im Rahmen der ePA-Nutzung in der jeweiligen Organisation gelingen kann, sollte in Rücksprache mit dem Datenschutzbeauftragten überprüft werden. Verstößen gegen die ärztliche Schweigepflicht ziehen straf- und datenschutzrechtliche Sanktionen nach sich.
Das können Ärzte und Kliniken tun, um sich datenschutzrechtlich abzusichern
In Absprache mit ihrem Datenschutzbeauftragten sollten die medizinischen Leistungserbringer ihre technischen und organisatorischen Maßnahmen (TOM) im Hinblick auf die ePA-Nutzung gründlich überprüfen und gegebenenfalls optimieren. Dazu kann beispielsweise die Einführung eines rollenbasierten Berechtigungskonzeptes gehören, um sicherzustellen, dass nach einer ePA-Freigabe durch den Patienten nicht jeder im Praxis- oder Klinikteam vollen Zugriff auf die elektronische Akte besitzt.
Um ihr Haftungsrisiko zu minimieren, sollten Mediziner zudem vor jeder Einsichtnahme in ePA-Dokumente explizit die Einwilligung des Patienten einholen und diese auch dokumentieren – nicht pauschal, sondern spezifisch für das jeweils benötigte ePA-Dokument. Denn die pauschale Zugriffsfreigabe durch den Patienten stellt im Zweifelsfall keine rechtssichere Einwilligung dar.
Anpassung der Datenschutzerklärung im Zuge der ePA-Einführung
Es empfiehlt sich, die eigene Datenschutzerklärung in Abstimmung mit dem Datenschutzbeauftragten zu überprüfen. Gegebenenfalls sollte sie beim ePA-Daten-Handling angepasst und punktuell erweitert werden. Eine gute Sache wäre beispielsweise die Erteilung spezifischer Informationen zu den Zugriffsrechten und -möglichkeiten sowie zum ergänzenden Einwilligungsverfahren im Testjahr 2021.
Fazit: Rechtliche Unsicherheiten erfordern eine proaktive Auseinandersetzung mit datenschutzrechtlichen Anforderungen
Die elektronische Patientenakte ist ein großer Schritt in Richtung Digitalisierung des Gesundheitswesens. Den Vorteilen aus der zentralen Ablage und digitalen Verfügbarkeit aller relevanten medizinischen Daten über eine Person stehen jedoch aktuell noch erhebliche datenschutzrechtliche Bedenken und Unsicherheiten gegenüber. Insbesondere Arztpraxen und Klinken sollten sich deshalb nicht allein auf die Verantwortlichkeit der anbietenden Krankenkassen verlassen, sondern in Abstimmung mit ihrem Datenschutzbeauftragten selbst das Ruder übernehmen. Nur so lassen sich die datenschutzrechtlichen Risiken beherrschen und mögliche Verletzungen der ärztlichen Schweigepflicht verhindern.
