Seit Anfang des Jahres besteht nunmehr endgültig die Pflicht für Patienten, bei Arztbesuchen ihre elektronische Gesundheitskarte (nachfolgend: eGK) vorzulegen. Zeit, um eine erste Bilanz zu ziehen.

Die Umstellung von der alten Krankenversichertenkarte auf die eGK verlief überwiegend reibungslos. Bereits drei Wochen vor dem Jahreswechsel 2013/2014 sollen allein in Thüringen bis zu 99 Prozent der Versicherten mit einer entsprechenden Karte ausgestattet gewesen sein. Zur Erinnerung: Anders als bei der Krankenversichertenkarte ist auf der eGK ein Lichtbild des jeweils Versicherten abgebildet und die Karte verfügt über einen mit verschiedenen Funktionen ausgestatteten Mikroprozessor. Dieser Chip ermöglicht beispielsweise, Rezepte zu speichern oder diese grundsätzlich auch Dritten zugänglich zu machen. Hierüber berichteten wir.

Rechtsgrundlage

Die Rechtsgrundlage für die eGK bildet § 291 a SGB V. Danach muss die eGK die gleichen Angaben enthalten wie die alte Krankenversichertenkarte gemäß § 291 Abs. 2 SGB V. Zudem soll die eGK neben der Übermittlung ärztlicher Verordnungen in elektronischer und maschinell verwertbarer Form (§ 291 a Abs. 2 Satz 1 Nr. 1 SGB V) sowie des Nachweises einer Berechtigung zur Inanspruchnahme von Leistungen in einem Mitgliedsstaat der EU, einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder der Schweiz (§ 291 a Abs. 2 Satz 1 Nr. 2 SGB V) nach Abs. 3 nun auch geeignet sein, eine Vielzahl von Funktion zu erfüllen, wie insbesondere das Erheben, Verarbeiten und Nutzen von

  1. Medizinischen Notfallversorgungsdaten;
  2. Daten im Zusammenhang mit dem elektronischen Arztbrief (Befunde, Diagnosen, Therapieempfehlungen, Behandlungsberichte in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation);
  3. Daten zur Arzneimitteltherapiedokumentation;
  4. Daten im Zusammenhang mit der elektronischen Patientenakte (ebenfalls Befunde, Diagnosen, Therapieempfehlungen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über den Patienten);
  5. freiwilligen bzw. durch die Versicherten selbst oder für sie zur Verfügung gestellten Daten;
  6. Daten über in Anspruch genommene Leistungen und deren vorläufige Kosten (§ 305 Abs. 2 SGB V);
  7. Erklärungen der Versicherten zur Organ- und Gewebespende einschließlich Hinweise auf das Vorhandensein sowie den Aufbewahrungsort einer derartigen Erklärung sowie
  8. Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen nach § 1901 a BGB (Patientenverfügungen).

Die Versicherten müssen spätestens bei Versendung der eGK umfassend über die Funktionsweise einschließlich der Art der auf ihr oder durch sie zu verarbeitenden personenbezogenen Daten informiert worden sein und ihre Einwilligung erteilen. Dies soll auf der Karte vermerkt werden. Bevor keine Einwilligung vorliegt, dürfen die gemäß Abs. 2 und Abs. 3 neu gewährten Datenverarbeitungen auch nicht in die Tat umgesetzt werden.

Von entscheidender Bedeutung ist darüber hinaus ebenso Abs. 4, wonach die gewährten Datenverarbeitungen, für den Fall dass diese durchgeführt werden, nach dem alt bekannten datenschutzrechtlichen Grundsatz auf das zur Versorgung der Versicherten Erforderlichste (gemessen an dem Zweck der jeweiligen Datenverarbeitung) zu beschränken sind.

Zusätzlich zu der notwendigen Einwilligung der Versicherten in die Datenverarbeitungen nach Abs. 2 und Abs. 3 wird den Versicherten als Betroffene in Abs. 6 ein weiteres „Recht“ eingeräumt. Danach müssen gespeicherte Daten auf ihr Verlangen gelöscht werden, wobei die Versicherten einen Teil der Daten sogar auch selbstständig löschen können. Ob diese Rechte auf Seiten der Betroffenen sowie die ebenfalls in Abs. 6 angeordnete Protokollierungspflicht der letzten 50 Zugriffe auf die verarbeiteten Daten einen hinreichenden Schutz vor einer zweckfremden Datenverwendung oder sogar vor einem Datenmissbrauch darstellt, darf jedoch nicht zuletzt unter dem Gesichtspunkt, dass sich die gewährten Datenverarbeitungen auf sensible und damit besonders schützenswerte Daten (§ 3 Abs. 9 BDSG) beziehen, deutlich bezweifelt werden.

Rechtsprechung

Als bislang höchste Instanz hat sich das Hessische Landessozialgericht mit der Datenschutzkonformität der eGK beschäftigt und diese bejaht (Az.: L 1 KR 50/13). Diese Auffassung wurde nun auch von Seiten des Bundessozialgerichts bestätigt. Mit Urteil vom 18.11.2014 (Az.: B 1 KR 35/13 – Terminbericht) wies der 1. Senat die Revision des Klägers zurück und stellte klar, dass der Kläger keinen Anspruch darauf hat, anstelle der eGK eine Nachweisberechtigung entsprechend der bisher gültigen Krankenversichertenkarten ohne Lichtbild und Mikroprozessor zu nutzen. Die eGK sei in ihrer gegenwärtigen Gestalt durch ein überwiegendes Allgemeininteresse klar gerechtfertigt und verbessere den Schutz vor einer missbräuchlichen Inanspruchnahme von Krankenkassenleistungen und fördere die Wirtschaftlichkeit der Leistungserbringung, so die Begründung des Gerichts. Das Grundrecht des Klägers auf informationelle Selbstbestimmung, also das Recht eines jeden selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen, sei somit nicht verletzt.

Datenschutzrechtliche Bedenken

Dieses Urteil des Bundessozialgerichts erweckt auf den ersten Blick den Eindruck, dass eine Verhinderung des Missbrauchs von Kassenleistungen sowie die wirtschaftlichen Interessen generell „über“ dem Recht des Bürgers auf informationelle Selbstbestimmung stehen bzw. Vorrang finden. Nicht nur für Datenschützer dürfte dieses Ergebnis mehr als fragwürdig sein. Denn nicht grundlos bildet das Recht auf informationelle Selbstbestimmung iSd. Art 2 Abs. 1 iVm. Art 1 Abs. 1 GG ein schlechthin konstituierendes Grundrecht.

Bedenken im Zusammenhang mit den auf der eGK gespeicherten sensiblen Patienteninformationen äußerte aktuell auch der Landesdatenschutzbeauftragte Thüringens, Herr Lutz Hasse. So seien seiner Ansicht nach unter anderem strenge Regeln notwendig, um zu gewährleisten, dass Ärzte nur die Daten verwenden, welche tatsächlich benötigt werden. Zwar sei die eGK mit ihren derzeitig aktiven Funktionen bislang nur ein Art Schlüssel, mit welchem Daten von einem externen Server abrufbar sind. Dies könnte sich jedoch schnell ändern, sodass zukünftig beispielsweise die komplette Patientenakte auf der eGK gespeichert ist und von einem beliebig behandelnden Arzt eingesehen werden könnte.

Einen weiterern kritischen Punkt der eGK stellt die Tatsache dar, dass das Unternehmen, welches die sensiblen Daten auf ihren Servern speichert, für den Fall dass die Versicherten ihre Zugangsdaten verlieren, über einen sogenannten „Zweitschlüssel“ verfügen. Damit kann das Unternehmen theoretisch jederzeit auf die Gesundheitsdaten der Versicherten zugreifen, ohne dass gesonderte technische Schutzvorkehrungen überwunden werden müssen. Datenschutzrechtlich kann dies nicht richtig sein.

Insgesamt ist die erste Bilanz also alles andere als euphorisch. Es bleibt aber abzuwarten, ob bei steigender Funktionszahl der eGK nicht doch noch ergänzende Regelungen für einen optimalen Schutz der sensiblen Patientendaten getroffen werden.