19. November 2021

Elektronische Patientenakte & Datenschutz: Was Anwendende jetzt beachten sollten

Die ePA muss nach der gesetzlichen Regelung im SGB V – eingeführt durch das Patientendatenschutzgesetz – PDSG – seit dem 01.01.2021 von den gesetzlichen Krankenkassen zur Verfügung gestellt werden. Bei der praktischen Umsetzung müssen sich die Anwender, insbesondere Krankenhäuser, Arztpraxen und Apotheken, mit zahlreichen Fragestellungen auseinandersetzen. Wer die Anwender der ePA und andere Stakeholder sind und was Anwender aus datenschutzrechtlicher Perspektive besonders beachten sollten, haben wir in einem Überblick zusammengestellt.

Überblick über die Stakeholder

An die ePA sind zahlreiche Akteure angebunden, die unterschiedliche Funktionen erfüllen und an die entsprechend unterschiedliche rechtliche Anforderungen gestellt werden. Zudem kommen mit den nächsten Ausbaustufen der ePA ab 01.01.2022 (ePA 2.0) und 01.01.2023 (ePA 3.0) weitere Akteure hinzu. Neben den Krankenkassen, welche die ePA auf Wunsch für ihre Versicherten errichten und betreiben müssen, sowie der Gematik, welche mit der Telematikinfrastruktur (TI) den technischen Rahmen für die ePA vorhält treten weitere wichtige Akteure.

Leistungserbringer

Die Leistungserbringer, d.h. etwa Krankenhäuser und Arztpraxen sind zur Nutzung der ePA verpflichtet, ihnen drohen ansonsten Sanktionen bei der Vergütung. Sie müssen hierfür die ePA über Schnittstellen an ihre Praxisverwaltungssoftware (PVS) bzw. ihr Krankenhausinformationssystem (KIS) anbinden. Im Rahmen der Nutzung der ePA trifft sie eine allgemeine Unterstützungspflicht der Versicherten. Sofern die Versicherten ihnen Zugriff auf die ePA gewähren, haben sie Lese- und Schreibrechte.

Gesetzliche Krankenkassen

Die Gesetzlichen Krankenkassen (GKV) sind zur Bereitstellung der ePA auf Antrag der Versicherten verpflichtet. Auf die ePA haben sie nur schreibenden Zugriff. Gegenüber den Versicherten müssen sie Informationspflichten erfüllen und Informationsmaterial bereitstellen. Für die Datenverarbeitung in der ePA sind sie datenschutzrechtlich verantwortlich.

Private Krankenversicherer

Anders als die GKV trifft die Privaten Krankenversicherer (PKV) keine Pflicht zur Bereitstellung der ePA. Sofern sie diese dennoch bereitstellen, gelten die Regelungen zu den GKV weitgehend entsprechend. Die GKV können ihr ePA-System als Auftragsverarbeiter nach Art. 28 DS-GVO bereitstellen.

Betreiber digitaler Gesundheitsanwendungen

Digitale Gesundheitsanwendungen (DiGA), das sind etwa Gesundheits- oder Medizin-Apps, die Ärzt:innen verordnen und Versicherte direkt bei der Krankenkasse beantragen können, können ab 01.01.23 auch an die ePA angebunden werden. Versicherte können dann Daten aus der DiGA an die ePA übermitteln, sowie Daten aus der ePA an die DiGA übermitteln. Die Ausgabe der Komponenten zur Authentifizierung der DiGA-Hersteller erfolgt nach Bestätigung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) durch die Gesellschaft für Telematik (Gematik).

Forschungseinrichtungen

Zudem haben Versicherte ab dem 01.01.2023 die Möglichkeit, Daten aus der ePA dem Forschungsdatenzentrum für gesetzlich geregelte Forschungsvorhaben zur Verfügung zu stellen, zusätzlich können sie ihre Daten jedem anderen Forschungsprojekt zur Verfügung stellen.

Datenschutzechtliche Verantwortlichkeit der Anwender

Nach Art. 4 Nr. 7 DSGVO ist „diejenige natürliche oder juristische Person verantwortlich, die … über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“ (Alt. 1) oder die vom Unionsrecht oder dem Recht der Mitgliedstaaten dazu bestimmt wird (Alt. 2) (sog. Öffnungsklausel). Der Gesetzgeber hat von Alt. 2 Gebrauch gemacht und die Verantwortlichkeit in § 307 SGB V geregelt. Nach § 307 Abs. 3 SGB V ist der Leistungsträger, d.h. die jeweilige GKV, als Anbieter der ePA, datenschutzrechtlich verantwortlich für die Datenverarbeitung in der sog. zentralen Zone der TI. Diese Verantwortung besteht trotz fehlender Zugriffsmöglichkeiten auf die Daten und für alle Datenverarbeitungen im Zusammenhang mit der ePA, mit Ausnahme von Upload und Download von Dokumenten durch Leistungserbringer, d.h. Ärzte, Apotheken und Krankenhäuser oder sonstige Beteiligte.

Die Leistungserbringer sind verantwortlich für die Datenverarbeitung in der sog. dezentralen Zone der TI, d.h. den Bereich, in dem die ePA über Schnittstellen mit den PVS/KIS verbunden ist. Aus Sicht der Leistungserbringer gibt es zwei Formen der Datenverarbeitungen im Zusammenhang mit der ePA: den Upload von Dokumenten aus den PVS/KIS in die ePA, als „Übermittlung“ von Daten in die TI, und den Download von Dokumenten aus der ePA in die PVS/KIS, als „Erhebung“ von Daten. Die datenschutzrechtliche Verantwortung besteht im Rahmen der ePA nur für diese beiden Verarbeitungsformen in der dezentralen Zone. Nach dem Beschluss der Datenschutzkonferenz vom 12.09.2019 besteht für die dezentrale Zone eine gemeinsame Verantwortung gem. Art. 26 DS-GVO mit der Gematik. Die Gematik bestimmt hier neben den Leistungerbringern über die „Mittel“ der Verarbeitung, indem sie diesen Vorgaben hinsichtlich der technischen Anforderungen und Konfigurationen der Konnektoren, VPN-Zugangsdienste und Kartenterminals macht. Ihr kommt darüber hinaus eine „Auffangverantwortlichkeit“ für die zentrale Infrastruktur zu, d. h. sie ist für Datenverarbeitungen in der zentralen Zone immer dann verantwortlich, wenn keine anderweitige Verantwortlichkeit greift (§ 307 Abs. V SGB V).


Mehr Informationen zum Thema:


Einsatz von Auftragsverarbeitern

An verschiedenen Stellen ist der Einsatz von Auftragsverarbeitern nach Art. 28 DS-GVO denkbar. GKV etwa setzen IT-Dienstleister als Auftragsverarbeiter zum Betrieb der ePA-Systeme ein. Und auch auf der Ebene der Leistungserbringer kommen IT-Dienstleister als Auftragsverarbeiter, etwa für den Betrieb der PVS, Konnektoren und Kartenterminals in Betracht.

Diese Auftragsverarbeiter müssen zahlreiche Anforderungen erfüllen. Wenn die Auftragsverarbeiter „Anbieter von Betriebsleistungen“ der TI sind, wie die Anbieter von ePA-Aktensystemen und zugehörigen Komponenten und Diensten, dann müssen sie zunächst durch die Gematik zugelassen werden (§§ 324, 325 SGB V). Neben den allgemeinen Anforderungen (vgl. Art. 28 DSGVO), müssen alle Auftragsverarbeiter im Zusammenhang mit der ePA die Spezifikationen der Gematik im Hinblick auf die technischen Anforderungen an die Schnittstellen, Komponenten und Dienste erfüllen und Komponenten und Dienste auch regelmäßig updaten. Darüber hinaus müssen Auftragsverarbeiter, sofern sie durch die GKV eingesetzt werden, die Komponenten und Dienste entsprechend den Ausbaustufen der ePA weiterentwickeln. Zu beachten ist weiter, dass Auftragsverarbeiter mit Sitz in nicht-EU-Staaten ohne Angemessenheitsbeschluss nach § 80 Abs. 2 SGB X von den GKV nicht eingesetzt werden dürfen. Die vielfältigen Anforderungen an die Anbieter der ePA bzw. der PVS/KIS sollten vertraglich sauber umgesetzt werden. Hierfür sollten die vorgenannten Anforderungen in den Pflichtenheften sorgfältig dokumentiert werden.

Rechtmäßigkeit der Datenverarbeitungen

Ob die Verarbeitung personenbezogener Daten zulässig ist, bestimmt sich im Dreiecksverhältnis zwischen den Versicherten/Patient:innen, dem Leistungsträger und dem Leistungserbringer. Hierbei sind zwei Phasen der Datenverarbeitung zu unterscheiden, die Einrichtung und die Nutzung der ePA. Im Verhältnis zwischen den Versicherten und den GKV erfolgen die Datenverarbeitungen zur Einrichtung der ePA auf Basis einer Einwilligung der Versicherten. Die Errichtung und Nutzung der ePA ist freiwillig, sie erfolgt nur auf Antrag der Versicherten (§ 341 Abs.1 SGB V) und diese können auch jederzeit deren Löschung verlangen (§ 344 Abs. 3 SGB V). Seitens der GKV dürfen an eine nicht gewünschte Nutzung der ePA keine Nachteile geknüpft werden. In der Phase der Nutzung ist ein Zugriff auf die ePA durch die GKV nur zulässig, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist.

Im Verhältnis zwischen Versicherten und Leistungserbringern kann der Zugriff nur nach freiwilliger Berechtigungsvergabe durch den Versicherten erfolgen (vgl. § 353 SGB V). Als zusätzliche Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung muss der Zugriff im konkreten Behandlungskontext erforderlich sein (vgl. § 352 Nr. 1 SGB V). Die Einwilligung des Patienten ist demnach notwendig, für sich genommen jedoch nicht hinreichend für die Rechtmäßigkeit der Datenverarbeitung. Unklar ist aufgrund dessen, in welchem Verhältnis die beiden angesprochenen Rechtsgrundlagen, Einwilligung und Erfüllung des Behandlungsvertrages, hier zueinanderstehen.

Anforderungen an die Datensicherheit

Gesundheitsdaten haben einen hohen Schutzbedarf. Ein angemessenes Schutzniveau kann von Verantwortlichen daher gewährleistet werden, wenn zahlreiche technische und organisatorische Maßnahmen der Datensicherheit umgesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für den Bereich „eHealth“ Richtlinien und Schutzvorschriften erarbeitet, darunter auch einige, die spezifisch auf die ePA zugeschnitten sind (etwa eine Prüfspezifikation für Konnektoren).

Fazit und Handlungsempfehlung

Die Einführung der ePA bringt neben den zahlreichen Vorteilen einer besseren Verfügbarkeit von behandlungsrelevanten Informationen auch einige neue rechtliche Herausforderungen mit sich. Besondere Sorgfalt sollten die Anwender auf die vertragliche Einbindung ihrer IT-Dienstleister legen. Denn sie sind es, die am Ende für die Umsetzung der ehrgeizigen gesetzgeberischen Ziele zum Ausbau der ePA zuständig sein werden und dabei gleichzeitig ein hohes Schutzniveau für die Gesundheitsdaten umsetzen müssen.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!