Eigentlich feierte die elektronische Patientenakte (ePA) bereits 2021 als Kern der Digitalagenda von Gesundheitsminister Karl Lauterbach ihren Start – damals mit eher mäßiger Beteiligung, denn gesetzlich Versicherte mussten sich seither aktiv für die ePA entscheiden.
Nun sollen alle Patient*innen die digitale Akte automatisch erhalten – wer darauf verzichten will, muss der ePA künftig per Opt-out Verfahren aktiv widersprechen. Mit der Erarbeitung eines entsprechenden detaillierten Konzeptes wurde die Gematik GmbH (Nationale Agentur für Digitale Medizin) beauftragt. Bis zur Umsetzung ist es jedoch noch ein weiter Weg – besonders Bundesdatenschutzbeauftragter Ulrich Kelber steht der Umsetzung der ePA kritisch gegenüber. Ein derartiges Opt-out Verfahren sei in der DSGVO „grundsätzlich nicht angelegt“. Öffnungsklauseln gebe es ausnahmsweise nur etwa im Rahmen der Forschung.
Und was ist nun mit dem Datenschutz?
Die Informationen, die im Rahmen der ePA verarbeitet werden, stellen überwiegend Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO dar. Diesen „höchstpersönlichen“ Informationen ist ein besonders hohes Schadens- und Diskriminierungspotenzial immanent mit der Folge, dass die ePA-Daten daher – sowohl bezüglich des „Ob“ als auch des „Wie“ der Verarbeitungsmodalitäten –äußerst strikten Vorgaben unterliegen.
Datenschutzrechtliche Grundlage für das „Ob“ gegeben
Für das „Ob“ der Gestaltung eines Opt-Out-Modells – ohne vorherige Einwilligung der Patient*innen – stehen dem Gesetzgeber grundsätzlich die Verarbeitungstatbestände des Art. 9 Abs. 2 lit. h i. V. m. Abs. 3 DSGVO (individuelle Gesundheitsversorgung) und des Art. 9 Abs. 2 lit. i DSGVO (öffentliche Gesundheit) zur Verfügung. Deren Tatbestandsvoraussetzungen sind auch dem Grunde nach erfüllt.
Datenschutzrechtliche Anforderungen an die Modalitäten, das „Wie“ differenziert zu betrachten
Das „Wie“ der Verarbeitungsmodalitäten, sprich Anlage und Befüllung der Akte, muss jedoch differenzierter betrachtet werden – insbesondere im Hinblick auf die datenschutzrechtlichen Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO.
Der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO spielt vor allem bei denjenigen Gestaltungsoptionen des Opt-out eine Rolle, die von durchschnittlichen Patient*innen nicht absehbar und damit völlig unerwartet sind. Als Beispiel kann hier eine automatisierte einwilligungsunabhängige Anlage und Befüllung der Patientenakte angeführt werden, die keinerlei Registrierung oder dergleichen erfordert.
Unter Beachtung des Grundsatzes der Zweckfestlegung und -bindung nach Art. 5 Abs. 1 lit. b DSGVO stellt eine Befüllung der ePA auch mit bereits vorhandenen Daten eine rechtfertigungsbedürftige Zweckänderung dar – dies gerade auch im Hinblick auf eine unzulässige Vorratsgesundheitsdatenspeicherung. Denn die Befüllung der ePA mit Gesundheitsdaten soll primär eine zukünftig hochwertige Behandlung begünstigen und informatorisch fördern.
Darüber hinaus muss die konkrete Gestaltungsoption bezüglich des Grundsatzes der Datenminimierung nach Art. 5 Abs. lit. c DSGVO sowie der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO den Ansprüchen an Geeignetheit, Erforderlichkeit und Angemessenheit gerecht werden. Gerade das Kriterium der Angemessenheit der Datenverarbeitung spricht für eine differenzierte Datenbefüllung der ePA je nach Sensibilitätsgrad der Daten. Durch den Einsatz und die Einschätzung von Fachpersonal kann beispielsweise eine differenzierte Dateneinspeisung vorgenommen und damit die Datenverarbeitung auf das für den konkreten Zweck notwendige Maß beschränkt werden.
Auch im Hinblick auf den Grundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO dürfte kein Weg an dem Einsatz von Fachpersonal bei der Datenbefüllung vorbeiführen.
Schließlich muss auch der Grundsatz der Vertraulichkeit und Integrität nach Art. 5 Abs. 1 lit. f DSGVO gewahrt werden. Vor allem im Falle eines fehlenden Registrierungserfordernisses muss sichergestellt werden, dass geeignete Mittel zur Identifikation und Authentifizierung der Beteiligten zur Verfügung gestellt werden.
Und wer hat dann Zugriff auf die Daten?
Ein weiterer, bedeutender Aspekt ist die Frage der Zugriffsgestaltung auf die ePA. Wer soll neben Patient*innen Zugriff auf die Daten der ePA nehmen können? Generell muss vorgegeben werden, wie die Erteilung der personellen Zugriffsberechtigungen stattfinden soll – entweder durch eine automatische Berechtigung, durch aktive Freischaltung durch Patient*innen oder ein Konglomerat aus beidem in Form eines differenzierten Berechtigungssystems.
Doch auch der sachliche Rahmen der Berechtigungen ist zu definieren – so können absolute oder konkret beschränkte Berechtigungen gewählt werden.
Letztlich muss auch die Entscheidung über die Beschränkung der Dauer der Zugriffsberechtigungen und ein etwaiger Entzug der Berechtigung konkretisiert werden.
Umsetzung der ePA in vier Stufen geplant
Die Umsetzung der ePA soll in vier Stufen vorgenommen werden:
- Auf der ersten Stufe erhalten Patient*innen automatisch eine ePA.
- In der zweiten Stufe wird die digitale Akte sodann durch die Ärzt*innen mit Informationen bestückt.
- Die dritte Stufe ermöglicht den behandelnden Mediziner*innen, die Akte einzusehen.
- Als letzte und vierte Stufe wird die Möglichkeit eröffnet, persönliche Gesundheitsdaten anonym zu Forschungszwecken zu spenden.
Offen ist allerdings noch, auf welcher Stufe Patient*innen der ePA widersprechen können.
Fazit
Letztlich obliegt es dem Gesetzgeber, u. a. folgende Entscheidungen bezüglich der Gestaltung des Opt-out Modells zu treffen:
Es erfolgt eine automatisierte einwilligungsunabhängige Anlage und Befüllung mit oder ohne Registrierungserfordernis für Patient*innen. Darüber hinaus muss festgelegt werden, ob generell alle Gesundheitsdaten in der ePA gespeichert werden sollen oder eine differenzierte Befüllung vorgenommen werden soll – je nach Sensibilitätsgrad der Daten. Zudem müsste entschieden werden, ob die ePA lediglich mit solchen Daten befüllt werden soll, die nach der Anlage erzeugt werden („ex nunc“) oder bereits vorhandene Daten ebenfalls miteinfließen sollen („ex tunc“). Schließlich muss konkretisiert werden, wie die Zugriffsgestaltung auf die ePA und die darin enthaltenen Daten erfolgen soll.
Inwieweit die informationelle Selbstbestimmung mit der Opt-out Gestaltung der ePa also „out“ ist, bleibt bis zur konkreten Ausgestaltung und Berücksichtigung der datenschutzrechtlichen Grundsätze abzuwarten.
7. Januar 2023 @ 9:46
https://twitter.com/Klavisima/status/1611644627567923200?t=_i828QuMFGvuSc8UW8wBNg&s=19
6. Januar 2023 @ 10:28
Ich habe das Gefühl, dass nichts richtig funktioniert, was die Gematik in die Hand nimmt – siehe der Konnektorentausch. Wenn Datenschutz und Sicherheit nicht als Basis gedacht werden, wird es immer nur ein Flickwerk.
Guter Artikel – das Gendern allerdings stört den Lesefluss und bevormundet den Leser.
6. Januar 2023 @ 8:27
Jede Regelung zum Berechtigungsmanagement wird an der klinischen Praxis scheitern. 1. Notfallzugriffe sollten im Sinne der Patientensicherheit möglich sein 2. Bei kognitiv eingeschränkten Patienten ist eine Einwilligungsfähigkeit anzuzweifeln. Dies betrifft demente Patienten, aber auch temporäre Zustände wie bei einem Delir. 3. Patienten (Laien) können die Relevanz und Querbezüge von medizinischen Daten überhaupt nicht abschätzen. Das wird deutlich bei der Medikation. 5 Eine Regelmedikation mit 5 Präparaten sind keine Seltenheit. Ein Arzt kann daraus Diagnosen ableiten. Entdeckt er ein Psychopharmakum sind die psychiatrischen Daten eben doch relevant, auch wenn die Oma scheinbar „nur“ wegen Flüssigkeitsmangel in die ZNA eingeliefert wurde. Ihr kann tatsächlich nur Volumen fehlen, sie kann aber auch zusätzlich dement sein, oder eine Depression haben. Der durchschnittliche KH-Patient ist knapp 70 Jahre alt, in den Hausarztpraxen dürfte das nicht anders sein. Das Problem ist komplexer als man denkt. Abgesehen davon haben wir in der Informationssicherheit (B3S-Standard) auch noch die Schutzziele „Patientensicherheit“ und „Behandlungseffektivität“ – diese Ziele stehen dem Datenschutz manchmal entgegen.
5. Januar 2023 @ 15:32
Privatshpären- und Datenschutz müsste bereits im Konzept mit gedacht werden. Wurde aber nicht. Ihn jetzt in einer befriedigenden Weise nachträglich dran zu flanschen, dürfte schwierig bis unmöglich werden.