Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können und die Zugriffe auf unsere Website zu analysieren. Dafür setzen wir Google Analytics ein. Weitere Informationen finden Sie in unserer DATENSCHUTZERKLÄRUNG.
Aktuelles:

Verstößt das neue Patientendaten-Schutz-Gesetz gegen EU-Datenschutzrecht?

23. September 2020

Der Bundesrat hat am 18.09.2020 - der Empfehlung des Gesundheitsausschusses folgend - das vom Bundestag beschlossene Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) gebilligt. Damit kann es in Kürze in Kraft treten.

Jedoch gibt es datenschutzrechtliche Bedenken gegen das Gesetz: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichte am 19.08.2020 seine Ansicht, dass das neue PDSG in Konflikt zum EU-Datenschutzrecht stehe. Er kündigte aufsichtsrechtliche Maßnahmen gegen gesetzliche Krankenkassen an, die das PDSG in seiner verabschiedeten Fassung durch die Eröffnung des Zugangs zur elektronischen Patientenakte umsetzen. Die Konferenz der unabhängigen deutschen Datenschutz­aufsichts­behörden des Bundes und der Länder folgt seiner Einschätzung. Die Landesbeauftragten für den Datenschutz im Lande Brandenburg und Niedersachsen veröffentlichten entsprechende Warnungen.

Damit könnte die Einführung der elektronischen Patientenakte zum 1. Januar 2021 für gesetzliche Krankenkassen problematisch werden.

Hintergrund des PDSG

Bereits nach geltendem Recht müssen die Krankenkassen den Versicherten ab 01.01.2021 eine elektronische Patientenakte anbieten (siehe § 291a Abs. 5c S. 4 SGB V in der derzeit geltenden Fassung). Das PDSG regelt die elektronische Patientenakte im Detail und ändert insbesondere die Vorschriften des SGB V umfassend (s. BDO LEGAL NEWS GESUNDHEITSWIRTSCHAFT 3/2020).

Datenschutz-Grundverordnung

Die europäische Datenschutz-Grundverordnung (DSGVO) ist am 25.05.2018 in Kraft getreten und enthält unmittelbar geltende Datenschutzregeln für Deutschland und den Rest der EU. Gesundheitsdaten genießen in der Verordnung als besondere personenbezogenen Daten einen sehr strengen Schutz (vgl. Art. 9 DSGVO). Art. 9 DSGVO enthält in seinem Abs. 1 deshalb auch ein generelles Verbot der Verarbeitung von Gesundheitsdaten und nimmt im Abs. 2 von diesem Verbot nur wenige konkret bestimmte Datenverarbeitungen aus.

Für die alltägliche Verarbeitung von Gesundheitsdaten im Rahmen einer elektronischen Patientenakte kommen gemäß Art. 9 Abs. 2 DSGVO nur drei Verbotsausnahmen in Betracht. Hervorzuheben ist dabei Art. 9 Abs. 2 lit. a) DSGVO, der eine ausdrückliche Einwilligung des Patienten in die Datenverarbeitung für einen oder mehrere festgelegte Zwecke vorsieht. Zwei weitere Ausnahmen sind in Art. 9 Abs. 2 lit. g) und lit. h) geregelt.

Warnung des BfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber äußerte sich am 19.08.2020 öffentlich wie folgt: „Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte. Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte (ePA) ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO).“

Den Rechtsverstoß macht der BfDI vor allem daran fest, dass die Versicherten bis Ende 2021 bei einer Einwilligung zur Dateneinsicht zu einem „Alles oder Nichts“ gezwungen werden und sie keine Möglichkeit haben, einzelne Dokumente oder Datensätze bzw. Kategorien davon von ihrer Einwilligung auszunehmen (vgl. § 342 Abs. 2 Nr. 1 SGB V n.F.). Diese Möglichkeit soll erst ab dem 01.01.2022 verpflichtend für die ePA sein (vgl. § 342 Abs. 2 Nr. 2 SGB V n.F.). Bei einer Umsetzung der ePA gemäß § 342 Abs. 2 Nr. 1 SGB V n.F. durch die Krankenkassen hieße das, dass ein Arzt nach der Einwilligung des Patienten in der ePA die Befunde aller anderen behandelnden Ärzte (auch der fachfremden) sehen könnte. Die Patienten würden zwar vorher darauf hingewiesen (vgl. §§ 342 Abs. 1 Nr. 1 h), 343 Abs. 1 Nr. 12, 13 SGB V n.F.), eine Möglichkeit, den Datenzugriff zu beschränken, besteht aber (zumindest im Jahr 2021) nicht.

Der BfDI beendete seine Warnung mit: „Als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenkassen werde ich deshalb mit den mir zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass diese Krankenkassen mit der von ihnen angebotenen ePA nicht gegen europäisches Recht verstoßen.“

Warnung der LfD Niedersachsen

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel schloss sich am 19.08.2020 der Ansicht des BfDI an und schlussfolgerte, dass sich die Krankenkassen in dem Dilemma befinden werden, entweder die Vorgaben des PDSG zu erfüllen, indem sie die ePA ab Anfang 2021 anbieten, oder die Vorgaben der DSGVO einzuhalten, indem sie dies nicht tun.

Empfehlung der LfD Brandenburg

Dagmar Hartge, die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, teilt ebenfalls die Ansicht ihrer Kollegen und empfahl den Versicherten, „im Zweifelsfall lieber noch ein Jahr zu warten, bevor sie die elektronische Patientenakte nutzen“.

Entschließung der Datenschutzkonferenz

Am 01.09.2020 forderte die Datenschutzkonferenz – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - den Bundesrat auf, den Vermittlungsausschuss anzurufen, um datenschutzrechtliche Verbesserungen im PDSG zu erwirken. Der Bundesrat tat dies nicht und billigte den Gesetzentwurf am 18.09.2020.

Unsere Analyse

Die o.g. Argumentation des BfDI ist rechtlich vertretbar. Selbst wenn man eine wirksame Einwilligung des Patienten bejaht, könnten die Regelungen des PDSG einen Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO darstellen, da die Übermittlung der kompletten ePA nicht notwendig ist, um die damit verfolgten Zwecke zu erreichen (es gäbe „datenschutzschonendere Alternativen“ der Übermittlung der ePA). Art. 23 DSGVO, der Beschränkungen des Art. 5 DSGVO durch innerstaatliches Recht wie das PDSG erlaubt, erscheint uns nicht einschlägig. Andererseits könnten technische Schwierigkeiten bei der Einführung der ePA einen Verstoß gegen den Grundsatz der Datenminimierung rechtfertigen.


Fazit

Nach alledem erscheint es derzeit tatsächlich möglich, dass die Krankenkassen aufgrund des Anwendungsvorrangs der DSGVO verpflichtet sind, die problematischen Regelungen des neuen PDSG bzw. SGB V n.F. nicht anzuwenden. Krankenkassen sollten die Problematik frühzeitig mit ihren Datenschutzbeauftragten und den zuständigen Aufsichtsbehörden besprechen, um Lösungsmöglichkeiten zu eruieren. Jedenfalls sind Anordnungen der Aufsichtsbehörden (wie z.B. die Aussetzung der Nutzung der ePA) zu befolgen.