Aktuelles:

Aktuelle Gesetzgebung im Gesundheitswesen und der Datenschutz

23. Juli 2020

Robin Schmitt , Rechtsanwalt |

Mitte Juni 2020 hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) seinen Tätigkeitsbericht für das Jahr 2019 vorgelegt. Darin widmet er gleich mehrere Kapitel den im letzten Jahr in Kraft getretenen und debattierten Gesetzen des Bundesministeriums für Gesundheit (BMG). Anlass genug, einen datenschutzrechtlichen Blick auf die Digitalisierung im Gesundheitsrecht zu werfen.

Relevante Gesetzesvorhaben

Im Zentrum der Gesetzespakete steht die Telematikinfrastruktur (TI). Nachdem das E-Health-Gesetz Ende 2015 den Startschuss gegeben hat, sind elektronische Gesundheitskarte und Versichertenstammdatenmanagement mittlerweile Standard. Die Vernetzung der Akteure des Gesundheitswesens soll aber auch in den nächsten Jahren voranschreiten: Das Terminservice- und Versorgungsgesetz verpflichtet die gesetzlichen Krankenkassen zur Bereitstellung der elektronischen Patientenakte bis 2021. Durch weitere Gesetze sollen das E-Rezept und E-Verordnungen etabliert werden.

Auch das Ende 2019 in Kraft getretene Digitale-Versorgung-Gesetz (DVG) soll die Anbindung an die TI fördern. Darüber hinaus ermöglicht es die Einrichtung eines neuen Forschungsdaten-zentrums und erlaubt die Verschreibung sog. Digitaler Gesundheitsanwendungen (DiGA), also Apps auf Rezept.

Anfang dieses Jahres wurde zudem der Grundstein für das neue Implantateregister gelegt. Datenschutzrechtlich besonders ist hieran vor allem die nun bundesweit geltende Pflicht zur Meldung von Implantaten und Prothesen. Damit einher geht die Einschränkung der durch die Datenschutzgrundverordnung (DSGVO) geregelten Rechte von Betroffenen, wie etwa auf Widerspruch oder Löschung. Zudem können die Daten (pseudonymisiert und aggregiert) zu Forschungszwecken genutzt werden.

Ebenfalls aktuell ist das MDK-Reformgesetz, das in Teilen ab 2021 in Kraft treten wird und die Medizinischen Dienste der Krankenversicherung organisatorisch von den Krankenkassen trennen soll. In diesem Bereich gab es in der Vergangenheit einige Undurchsichtigkeiten bei den datenschutzrechtlichen Zuständigkeiten.

Beurteilung durch den BfDI

Der BfDI berichtet von der vermehrt durch Arztpraxen geäußerten Sorge, die datenschutz-rechtlichen Standards durch die Anbindung an die TI nicht einhalten zu können. Datenschutz-rechtlich sind die Ärzte als Leistungserbringer für den sicheren Betrieb der Konnektoren mitverantwortlich. Die Verantwortung für die zentrale Zone der TI, die Datenverarbeitung und die Konfiguration der Konnektoren liegt jedoch bei der gematik GmbH, die ihre diesbezüglichen Aufgaben bisher allerdings zum Ärgernis der Leistungserbringer nur unzureichend wahrnimmt.

Besonderes Augenmerk hat der BfDI auf die neuen Regelungen zur Datenforschung gelegt. Da es sich bei Gesundheitsdaten um besonders sensible Daten handelt, normiert das Datenschutzrecht hohe Anforderungen an deren Verarbeitung. Der BfDI beobachtet daher mit Sorge die Auflösung des Deutschen Instituts für Medizinische Dokumentation und Information (DIMDI) bzw. dessen Integrierung in das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Letzterem mangelt es nach Auffassung des BfDI an Neutralität: das BfArM verwaltet die Gesundheitsdaten nicht nur, es ist auch gleichzeitig zur Nutzung der Daten berechtigt und zuständig für die Prüfung der Anträge auf Datennutzung. Der BfDI sorgte zwischenzeitlich für eine Aussetzung der Fusion der beiden Behörden, woraufhin das BMG einige Anpassungen vornahm.

Auch für das Implantateregister empfiehlt der BfDI die Schaffung einer eigenständigen unabhängigen Registerbehörde anstatt der Verlagerung in das BfArM. Die mit der Meldepflicht verbundene Einschränkung der DSGVO-Rechte hält der BfDI für bedenklich, da es sich nicht um ein bloßes Produkteregister handele, sondern darüber hinaus eine Vielzahl besonders geschützter Gesundheitsdaten erfasst würde.

Ebenfalls Kritik gab es für die Verordnungen zu den DiGA. So wurde der Vorschlag des BfDI, die Apps über die TI und nicht über herkömmliche App-Stores zur Verfügung zu stellen, ignoriert. Darüber hinaus sind die App-Anbieter nicht an konkrete Vorgaben zum Datenschutz gebunden. Immerhin sind Datenschutz und -sicherheit Faktoren, die bei der Zulassung einer App als DiGA zumindest geprüft werden.

Gelobt wurde dafür das MDK-Reformgesetz. So wurde die Unabhängigkeit der Medizinischen Dienste gestärkt und unzulässige Datenverarbeitungsvorgänge aufgrund unklarer Aufgabenabgrenzungen von Krankenkasse und Medizinischem Dienst beseitigt.


Fazit

Ganze 23 Gesetzesentwürfe legte das BMG im Berichtszeitraum vor. Auch wenn der BfDI die voranschreitende Digitalisierung im Gesundheitswesen begrüßt, so sparte er auch nicht mit Kritik. Insbesondere beklagte er die abnehmende Bereitschaft zu einer Zusammenarbeit mit seiner Behörde, obwohl dies in der Geschäftsordnung der Bundesministerien vorgeschrieben ist. Diesbezüglich kann nur auf Besserung gehofft werden. Denn eine Missachtung datenschutzrechtlicher Vorgaben sorgt am Ende immer nur für Verzögerungen bei der Umsetzung von Gesetzen – und das ist gerade im Gesundheitsbereich nicht wünschenswert.