Mit dem am 20. Oktober 2020 in Kraft getretenen Patientendaten-Schutz-Gesetz (PDSG) soll die Digitalisierung des Gesundheitswesens in Deutschland weiter vorangetrieben werden. Um auf diesem Weg die Sicherheit der Patientendaten weiter sicherzustellen, kommen auf Krankenhäuser, Ärzte, Krankenkassen und andere Akteure des Gesundheitswesens neue Vorgaben in den Bereichen Datenschutz und Datensicherheit zu – einige müssen bereits ab 2022 umgesetzt werden. Dabei geht es vor allem, aber nicht nur, um die Einführung der elektronischen Patientenakte (ePA), die sich seit dem 1. Januar in ihrer Testphase befindet. Genaueres zur ePA und den anderen Regelungen des PDSG finden Sie hier in diesem Beitrag.
Besonders schutzwürdig: Patientendaten
Als Gesundheitsdaten (vgl. Art. 9 Datenschutz-Grundverordnung, DSGVO) unterliegen Patientendaten aufgrund ihrer persönlichen Bedeutung für die Patientendaten einem besonderen rechtlichen Schutz. Zu ihnen gehören alle Informationen über den Gesundheitszustand eines Patienten. Das sind selbstverständlich Merkmale wie das Gewicht und die Körpergröße, Informationen über Vorerkrankungen und die Häufigkeit von Arztbesuchen, aber auch schon die Patienteneigenschaft einer Person selbst. Zum erhöhten rechtlichen Schutz gehören die Vorgaben für ihre Verarbeitung. Die Erhebung, Speicherung, Nutzung oder die Weitergabe an Dritte ist in aller Regel nur mit der Einwilligung der Patienten zulässig. Daneben gibt es gesetzliche Ausnahmen, wenn die Verarbeitung beispielsweise zur Behandlung oder (pseudonymisiert und anonymisiert) für Forschungszwecke notwendig ist und bestimmte weitere, diesbezügliche Voraussetzungen erfüllt sind. Zudem unterliegen Patientendaten dem Arztgeheimnis und sind strafrechtlich geschützt. Aufgrund der Sensibilität von Patientendaten ist es besonders wichtig, dass Unbefugte keinen Zugriff und keine Einsicht in die Daten erhalten können. Krankenhäuser und auch Ärzte sollten daher sicherstellen, dass ausreichende Sicherheitsmaßnahmen zum Schutz dieser Daten getroffen sind.
Höhere Sicherheitsanforderungen für Krankenhäuser
Das Patientendaten-Schutz-Gesetz hält einige Anforderungen an die IT-Sicherheit für Krankenhäuser bereit, die im ersten Entwurf noch nicht enthalten waren. Mit dem Gesetz wurde ein neuer § 75c in das Sozialgesetzbuch (SGB) V eingefügt, nach dem ab dem 1. Januar 2022 Maßnahmen zur IT-Sicherheit in Krankenhäusern verpflichtend umgesetzt werden müssen. Nach dem Wortlaut der Vorschrift handelt es sich dabei um angemessene technisch-organisatorische Maßnahmen nach dem aktuellen Stand der Technik. Sie sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit und die weiteren Sicherheitsziele der IT-Systeme, -Komponenten und -Prozesse von Krankenhäusern vermeiden, die für die Funktionsfähigkeit der Krankenhäuser und der Sicherheit der Patientendaten maßgeblich sind. Der aktuelle Stand der Technik muss alle zwei Jahre überprüft werden.
Für Krankenhäuser mit kritischer Infrastruktur (KRITIS), die diese Vorgaben ohnehin erfüllen, ist diese Verpflichtung explizit ausgeschlossen. Zu den KRITIS-Krankenhäuser zählen alle Einrichtungen, deren IT-Systeme mindestens 30.000 vollstationäre Fälle pro Jahr verwalten (siehe Anhang 5 Teil 3 BSI-KRITIS-Verordnung). Das zeigt im Umkehrschluss, dass sich alle Krankenhäuser unabhängig von ihrer Größe darauf einstellen sollten, ab 2022 die IT-Sicherheitsvorgaben an KRITIS-Krankenhäuser erfüllen zu müssen. Das gilt übrigens nicht nur für an die Telematikinfrastruktur angeschlossenen IT-Systeme, sondern allgemein im Rahmen der Verarbeitung von Patientendaten. § 75c Abs. 2 SGB V empfiehlt, zur Erfüllung der Verpflichtungen, die Anwendung des vom BSI bestätigten branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser. Auch wenn es sich dabei um keine zwingende Verpflichtung handelt, ist dieser Standard zur Umsetzung der Vorgaben des § 75c SGB V künftig zu empfehlen – auch deshalb, da der Aufwand, eigene Sicherheitsstandards zu entwickeln und umzusetzen, in der Regel der größere sein dürfte.
- Datenschutz im Gesundheitswesen: Ein Überblick
- Sprachassistenten im Gesundheitswesen: Datenschutzbedenken?
- Anonymisierung von Gesundheitsdaten – Theorie und Praxis
Die Neuerungen für das digitale Gesundheitswesen
Dazu soll das Gesundheitswesen durch die Verwendung spezieller, im PDSG genannter Anwendungen digitaler werden. Von ganz wesentlicher Bedeutung ist in diesem Zusammenhang die Einführung der ePA. Nach der flächendeckenden Vernetzung im Rahmen der aktuellen Testphase, besteht für Ärzte bereits ab dem 1. Juli 2021 die Pflicht, sich an die ePA anzuschließen. Die ePA bündelt digital die Informationen aus Patientenakten wie Diagnosen, Therapiemaßnahmen, Medikationspläne oder Behandlungsverläufe. Röntgenbilder können ebenso in der ePA abgespeichert werden, wie auch der Impfausweis oder ein Zahn-Zusatzheft. Darüber hinaus können auch eigene Informationen, wie etwa Tagebücher über Messungen, in der ePA hinterlegt werden. Die ePA soll einen schnellen Informationsaustausch im Gesundheitssystem ermöglichen und die Einsicht in die gesamte Krankengeschichte eines Patienten soll Ärzten dabei helfen, die Wahl der Behandlungsmethode leichter zu treffen. Mit der ePA können Mehrfachuntersuchungen bei einem Arztwechsel leichter vermieden werden und im Notfall haben die Behandelnden schnell Einsicht in Informationen über den Patienten, die sie ohne die ePA möglicherweise nicht gehabt hätten.
Die Speicherung erfolgt nur mit dem entsprechenden Wunsch des Patienten, gegen dessen Willen keine ePA erstellt wird. Der Patient kann auch in Bezug auf einzelne Daten in der ePA gesondert entscheiden, ob sie gespeichert oder wieder gelöscht werden sollen und wer wann auf die ePA zugreifen darf – allerdings wird die Einwilligung für jedes einzelne Dokument erst ab 2022 möglich sein. Damit alle Informationen der verschiedenen Akteure – von den einzelnen Arztpraxen bis zu den Krankenhäusern – in der ePA zusammengeführt werden können, müssen sie an die Telematikinfrastruktur (TI) angeschlossen sein. Die TI ist ein geschlossenes Netz verschiedener IT-Systeme, die alle Akteure des Gesundheitswesens im Bereich der Gesetzlichen Krankenversicherung miteinander vernetzt. Dazu gehören die Leistungserbringer genauso wie Kostenträger und Versicherte. Die gematik GmbH steuert die TI, soll sie stetig ausbauen und dient als Anlaufstelle für Verantwortliche.
Darüber hinaus sind mit dem Patientendaten-Schutz-Gesetz digitale Überweisungen oder das E-Rezept ermöglicht worden. Der neue § 360 SGB V legt fest, dass das E-Rezept ab dem 1. Januar 2022 verpflichtend von Kassenärzten bei der Verordnung verschreibungspflichtiger Medikamente verwendet werden muss. Dafür vorgesehen ist eine App, mit der jeder Patient sich beispielsweise sein Rezept auf dem Smartphone anzeigen und es digital an Apotheken übermitteln lassen kann. Ab 2022 soll die Nutzung des E-Rezepts bei der Verordnung verschreibungspflichtiger Arzneimittel verpflichtend sein. Patienten soll es allerdings weiterhin möglich sein, ein ausgedrucktes Rezept zu verwenden. Dazu muss der Aussteller des Rezepts dem Patienten einen Ausdruck der Zugangsdaten geben, die zum Abruf des E-Rezepts benötigt werden. Diese Zugangsdaten kann dann die Apotheke verwenden. Die Übertragung des Rezepts an die Apotheke bleibt so digital, ohne dass zum Beispiel Patienten ohne Smartphone einen Nachteil haben. Schließlich können Patienten nach dem neuen § 363 SGB V die sogenannte „Datenspende“ vornehmen. Mit ihr ist Patienten die freiwillige Freigabe ihrer Daten zu Zwecken der medizinischen Forschung möglich.
Datenschutzrechtliche Kritik am Patientendaten-Schutz-Gesetz
Obwohl das Gesetz ausdrücklich dem Schutz der Patientendaten dient, blieb Kritik von Datenschützern nicht aus. Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der Bundes- und Landesdatenschutzbehörden, übte einige Kritik an den Regelungen des PDSG. Problematisch sei vor allem das zu grob ausgestaltete Zugriffsmanagement, da die ePA bisher nur den Zugriff auf die gesamten Daten zulasse. Daher kann momentan beispielsweise ein Psychiater auch die Informationen über die Behandlung beim Hautarzt in der ePA einsehen. In der Testphase können Patienten ihre Einwilligung nicht in die Einsicht einzelner Informationen abgeben, sondern nur in die ePA insgesamt. Vielfach wird darin ein Verstoß gegen das Gebot der Erforderlichkeit sowie den datenschutzrechtlichen Grundsatz der Zweckbindung gesehen. Zudem sei der Authentifizierungsprozess nach Ansicht der DSK nicht ausreichend und die Vertreterlösung unzulässig, die für Versicherte vorgesehen ist, die kein geeignetes Endgerät besitzen. Nach der Vertreterlösung können diese Patienten ihre Rechte auf dem Endgerät eines Vertreters ausüben. Dem Vertreter müssen sie dafür allerdings den vollständigen Zugriff auf ihre Gesundheitsdaten der ePA erlauben. Kritik wurde auch an der Datenspende laut: Die Anforderungen an die datenschutzrechtliche Einwilligung seien nicht sicher festgelegt und einmal übermittelte Daten müssen nach der Rücknahme der Einwilligung nicht wieder gelöscht werden, sobald sie einmal für konkrete Forschungsvorhaben verwendet wurden.
Neben der Kritik sieht das Patientendaten-Schutz-Gesetz aber auch einige Rahmenbedingungen für einen erhöhten Patientendatenschutz vor. Dazu regelt etwa der neue § 307 SGB V die datenschutzrechtlichen Verantwortlichkeiten der Telematikinfrastruktur. Danach sind Leistungserbringer dann verantwortlich, wenn sie Komponenten ihrer dezentralen Infrastruktur zur Authentifizierung und zur sicheren Übertragung von Daten in die zentrale Infrastruktur der TI nutzen und über Mittel der Datenverarbeitung mitentscheiden. Damit sind sie auch verpflichtet, bei der Nutzung bestimmter Komponenten der TI entsprechende technische und organisatorische Schutzmaßnahmen zu ergreifen. Nach der Gesetzesbegründung zählen dazu beispielsweise der Schutz der TI-Konnektoren gegen unbefugten Zugang Dritter und die Verwendung geeigneter Verschlüsselungsstandards nach dem aktuellen Stand der Technik.
Fazit
Da es sich bei den Ausführungen der DSK und anderen um nicht unberechtigte Kritik handelt, die zudem von den Aufsichtsbehörden stammt, sollten insbesondere Krankenkassen versuchen, im Dialog mit den Behörden die Problemfelder anzugehen. Für die Zukunft ist allerdings zu erwarten, dass die Probleme auch von technischer Seite schnell angegangen werden. Die Einwilligung für einzelne Dokumente etwa ist wie erwähnt für 2022 angekündigt. Neben der datenschutzrechtlichen Kritik an den genannten Punkten lässt sich aber insgesamt festhalten, dass mit dem PDSG wichtige und auch sichere Anwendungen ermöglicht worden sind, die mit Sicherheit wichtige Schritte für die Digitalisierung des Gesundheitswesens darstellen. Beteiligte sollten sich vor allem mit Blick auf die kurzen Fristen bis Anfang 2022 möglichst schnell darauf einstellen, neue Vorgaben umzusetzen und Leistungen wie das E-Rezept zu ermöglichen. So kann eine Verbesserung der medizinischen Versorgung in der Zukunft erreicht werden.
-
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
-
Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?
Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
-
Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit
Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.