
Das Digitale-Versorgung-Gesetz – Telematikinfrastruktur als Datenschutz Freifahrtschein für Arztpraxen?
Am 19.12.2019 trat das Digitale-Versorgung-Gesetz (DVG) in Kraft. Dieses neue Gesetz dient der Digitalisierung des Gesundheitswesens. Damit hat es große Auswirkungen – nicht nur auf Kassenpatienten sondern auch auf Vertragsärzte. Das neue Gesetz betrifft insbesondere ein Rechtsgebiet, das aus Arztpraxen nicht mehr wegzudenken ist und dennoch nicht immer ausreichend Berücksichtigung findet: den Datenschutz.
Worum geht es in dem neuen Gesetz?
Das DVG bessert die aktuelle Gesetzeslage punktuell an einzelnen Normen aus und ergänzt Regelungen in verschiedenen Gesetzestexten – v. a. die Normen des SGB V.
Es enthält u. a. Regelungen zur Förderung digitaler Innovationen, zum Anspruch auf sog. Gesundheits-Apps, zur Nutzung von Online-Sprechstunden und zur Verwendung elektronischer Patientenakten.
Diese neuen digitalen Angebote werden durch technische Maßnahmen ermöglicht, die selbstverständlich den Ansprüchen der Datenschutz-Grundverordnung (DSGVO) zum Datenschutz genügen müssen. Gerade dem besonders hohen Schutzniveau der sensiblen Gesundheitsdaten der Patienten muss dabei Rechnung getragen werden. Dies soll u. a. die sog. Telematikinfrastruktur (TI) gewährleisten. Die TI umfasst eine interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur und wird durch den Bund insbesondere zur Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen geschaffen[1]. Die Etablierung der TI als die maßgebliche Infrastruktur im deutschen Gesundheitswesen, soll durch das DVG weiter gefördert werden.
Die TI soll den Akteuren des Gesundheitswesens im Bereich der gesetzlichen Krankenversicherung ermöglichen, sich einfach und schnell miteinander zu vernetzen. Es soll ihren Nutzern möglich sein, systemübergreifend auf die Patientendaten verschiedener Quellen zuzugreifen und miteinander zu kommunizieren. Dies kann z. B. durch digitale Patientenanwendungen, durch die Kommunikation zwischen verschiedenen Leistungserbringern oder durch die Migration von Gesundheitsdatendiensten im Rahmen der elektronischen Patientenakte erfolgen.
Dabei ist die TI ein geschlossenes Netz, zu dem nur registrierte Nutzer Zugang erhalten. Der Zugang wird mit einem elektronischen Ausweis hergestellt. Die Kommunikation soll sicher und verschlüsselt erfolgen und der Schutz vor unbefugtem Zugriff auf sensible Patientendaten gewährleistet werden. Die Verfahren, die dabei angewendet werden, durchlaufen regelmäßig eine Überprüfung durch das Bundesamt für Sicherheit und Informationstechnik (BSI).
Dieser TI sollen sich nicht nur Ärzte, sondern auch Apotheken und Krankenhäuser anschließen[2]. Für Hebammen, Physiotherapeuten und Pflege-/Rehabilitationseinrichtungen soll dies ebenfalls möglich sein. So soll ein flächendeckendes digitales Gesundheitsnetz entstehen. Die TI ist im Übrigen von den Arztpraxen schon seit dem 01.07.2018 für bestimmte Anwendungen vorzuhalten[3]. Um die Umsetzung der TI in Arztpraxen weiter zu etablieren, müssen Ärzte mit Honorarabzügen von bis zu 2,5 % rechnen, wenn sie nicht bereit sind, die TI zur technischen Umsetzung und Datenverarbeitung zu nutzen oder diese nicht rechtzeitig bei sich in den Praxen eingerichtet haben.
Eine Neuerung, die ebenfalls das Thema Datenschutz betrifft, ist der Umstand, dass Krankenkassen gem. Art. 1 Nr. 39 DVG i. V. m. § 303b SGB V dazu verpflichtet sind, die von den Ärzten erhaltenen Abrechnungsdaten an den Spitzenverband der Kassen weiterzuleiten und zu pseudonymisieren. Die pseudonymisierten Daten werden dann in einer zentralen Datenbank hochgeladen und für Forschungszwecke zur Verfügung gestellt.
Was wird an dem DVG kritisiert?
Da nicht alle Arztpraxen die gleiche Sorgfalt bei Patientendaten ausüben, ist eine einheitliche TI, die den Anforderungen des BSI und der DSGVO entspricht, sicherlich ein Schritt in die richtige Richtung. Einige Regelungen des DVG, die den Datenschutz betreffen, stoßen jedoch vermehrt auf Kritik.
Kritik wird zum einen an vom Patienten nutzbaren Gesundheits-Apps geübt, die mögliche Sicherheitslücken aufweisen.
Die Regelungen zur Förderung der Entwicklung digitaler Innovationen und Versorgungsinnovationen durch die Krankenkassen stehen auch in der Kritik. Es soll Krankenkassen möglich sein, versichertenbezogene Daten im erforderlichen Umfang auszuwerten, um den konkreten Versorgungsbedarf und den möglichen Einfluss digitaler Innovationen auf die Versorgung zu ermitteln und um positive Versorgungseffekte digitaler Anwendungen zu evaluieren[4]. Kritiker befürchten, dass die sensiblen Gesundheitsdaten von den Krankenkassen durch zentrale Sammlung und Auswertung für die Erstellung von individuellen Gesundheitsprofilen genutzt werden können. Dies würde die Gefahr von Diskriminierung und Datenmissbrauch nach sich ziehen.
Eine ähnliche Sorge besteht dahingehend, dass Forschungseinrichtungen auf Abrechnungsdaten von über 70 Millionen Kassenpatienten zugreifen können. Kritiker argumentieren mit den Gefahren von Sicherheitslücken, die mit einer zentralen Datenspeicherung einhergehen und suchen vergeblich ein Widerspruchsrecht der Patienten, während sich Unterstützer des Vorhabens auf die Chancen für das Gesundheitswesen durch die Forschung berufen, die Daten seien ja pseudonymisiert.
Was verändert sich für Patienten und Arztpraxen?
Bisher konnten Arztpraxen in vielen Bereichen noch selber bestimmen, wie sie Patientendaten verarbeiten. Mit der flächendeckenden Umstellung auf die elektronische Patientenakte und die Nutzung weiterer digitaler Anwendungen im Zusammenhang mit der elektronischen Gesundheitskarte, soll diese Datenverarbeitung gem. §§ 291 ff. SGB V über die TI erfolgen. Damit werden die Arztpraxen in ihrer internen IT-Organisation weiter eingeschränkt. Gleichzeitig wird ein einheitliches Datenschutzkonzept weiter ausgebaut, das für Arztpraxen und oft auch für Patienten mit einer größeren Rechtssicherheit einhergeht.
Es sollen weiterführende Datenschutzgesetze erarbeitet werden, die den Patientendatenschutz im Rahmen digitaler Maßnahmen gewährleisten sollen, z. B. im Bereich der elektronischen Patientenakte. Außerdem werden die Kassenärztliche und die Kassenzahnärztliche Bundesvereinigung (KBV und KZBV) damit beauftragt, Anforderungen zur Gewährung der IT-Sicherheit für Arzt- und Zahnarztpraxen verbindlich in einer Richtlinie bis zum 30.06.2020 festzulegen.[5]
Warum die TI Arztpraxen nicht aus ihrer Verantwortung zum Datenschutz entlässt ...
Die TI ermöglicht eine „Verarbeitung“ im Sinne der DSGVO von Patientendaten, deren Ausgestaltung die Ärztinnen/Ärzte als „Verantwortliche“ bisher zu großen Teilen eigenständig organisiert haben. Damit fällt ein großer Verantwortungsbereich in Bezug auf die Auswahl eines Systems zur Datenverarbeitung von Patientendaten für die Arztpraxen weg.
Darüber hinaus wird durch die KBV/KZBV eine Richtlinie mit verbindlichen Anforderungen zur Gewährleistung der IT-Sicherheit entwickelt, die den Arztpraxen genau vorgibt, welche technisch-organisatorischen Standards insoweit hinsichtlich des Datenschutzes zu erfüllen sind. Diese Richtlinie wird im Einvernehmen mit dem BSI erstellt.
Es reicht jedoch für Arztpraxen nicht aus, blind ein System zur Verarbeitung der sensiblen Patientendaten zu nutzen und bei der Haftung auf die Verantwortung der KBV/KZBV und des BSI zu verweisen.
In Zukunft wird zwar die Auswahl bestimmter IT-Strukturen nach Maßgabe des DVG und aufgrund der Richtlinie der KBV/KZBV erfolgen, dieser Umstand entlässt Ärzte jedoch nicht aus ihrer Verantwortung für den Schutz ihrer Patientendaten. Tatsächlich dürften durch die Vereinheitlichung vieler IT-Strukturen, gerade im Hinblick auf eine flächendeckende Anbindung an die TI, neue Haftungsfragen entstehen. Für welchen technischen Ablauf in der Datenverarbeitung sind die Ärzte haftbar? Und für welchen die Gesellschaft für Telematik? Welche Anforderungen können an die technischen Kenntnisse von Ärzten gestellt werden? aussetzungen für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden – muss sie aber nicht6. Bei dem Einsatz von IT-Strukturen über die TI hinaus, müssen Arztpraxen also weiterhin selbstständig auf die Einhaltung des Datenschutzes achten.
Es könnten IT-Dienstleister außerhalb der TI beauftragt werden. Auch diese Beauftragung muss den Vorgaben der DSGVO, des BDSG und dem DVG gerecht werden. Falls ein Fehler in der Datenverarbeitung auftritt müssen Arztpraxen weiterhin ihrer Meldepflicht nachkommen.
Außerdem ist Vorsicht beim Umstieg auf die elektronische Patientenakte geboten. Alte Patientenakten müssen sicher vernichtet werden, was eine Form der Auftragsverarbeitung darstellt.7 Der Zugang zu den elektronischen Patientenakten muss ausreichend gesichert werden.
Sicherheit herrscht zumindest darüber, dass die Arztpraxen sich an einen ordnungsgemäßen Umgang mit der TI halten und die Richtlinie der KBV/KZBV ordnungsgemäß umsetzen müssen. Dies kann z. B. die Auswahl der korrekten und erforderlichen Patientendaten betreffen, die in dem System hochgeladen und übertragen werden sollen. Darüber hinaus muss beachtet werden, welche Person auf welche Patientendaten zugreifen darf. Um dies zu gewährleisten kann die Mitwirkung eines Datenschutzbeauftragten erforderlich sein.
Die neue Gesetzeslage verdeutlicht, dass sich Ärzte über ihre Pflicht zum Datenschutz und ihre Schweigepflicht bewusst werden müssen. Sie müssen die Frage, ob durch ihr Verhalten und ihre interne Organisation der Schutz ihrer Patientendaten gewahrt wird, immer im Hinterkopf behalten. Denn nicht jeder Datenverarbeitungsschritt wird vorher durch die Bereitsteller der TI im Einvernehmen mit dem BSI organisiert.
Für Anwendungen über die elektronische Gesundheitskarte hinaus kann die TI unter bestimmten Voraussetzungen für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden – muss sie aber nicht[6]. Bei dem Einsatz von IT-Strukturen über den TI hinaus, müssen Arztpraxen also weiterhin selbständig auf die Einhaltung des Datenschutzes achten.
Es können IT-Dienstleister außerhalb des TI beauftragt werden. Auch diese Beauftragung muss den Vorgaben der DSGVO, des BSDSG und dem DVG gerecht werden. Falls ein Fehler in der Datenverarbeitung auftritt müssen Arztpraxen weiterhin ihrer Meldepflicht nachkommen.
Außerdem ist Vorsicht beim Umstieg auf die elektronische Patientenakte geboten. Alte Patientenakten müssen sicher vernichtet werden, was eine Form der Auftragsverarbeitung darstellt[7]. Der Zugang zu den elektronische Patientenakten muss ausreichend gesichert werden.
Die neuen gesetzlichen Regelungen helfen, dem Datenschutz für die Patienten gerecht zu werden. Sie entbinden Ärzte jedoch nicht aus ihrer persönlichen Verantwortung für den Schutz ihrer Patientendaten.
Die mit dem DVG zusammenhängenden Maßnahmen bedeuten also keinen Freifahrtschein hinsichtlich des Datenschutzes für Arztpraxen. Die bekannten datenschutzrechtlichen Standards müssen weiterhin gewährleistet werden. Bis zur Ausgestaltung im Rahmen der weiteren Richtlinien empfiehlt es sich dringend, die „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ von der Bundesärztekammer als Ansatzpunkt für die interne Organisation zu beachten.
Erstmals erschienen in: Infodienst Datenschutz für Praktiker 04/20, S. 12–14.
URL: https://www.datenschutz-fuer-praktiker.de/
Karlsruhe, den 01.04.2020
Cornelius Weiß
Rechtsanwalt
Fachanwalt für Bank- und Kapitalmarktrecht
[1] Vgl. § 291a Abs. 7 SGB V.
[2] Vgl. Art. 1 Nr. 2 DVG i. V. m. § 31a Abs. 3 Satz 4 SGB V und Art. 1 Nr. 32 DVG i. V. m. § 291 Abs. 2c Satz 4 SGB V.
[3] Vgl. § 291 Abs. 2b Satz 14 a. F.
[4] Vgl. Art. 1 Nr. 8 DVG i. V. m. § 68a Abs. 5 SGB V.
[5] Vgl. Art. 1 Nr. 10 DVG i. V. m. § 75b SGB V.
[6] Vgl. § 291a Abs. 7 Satz 3 SGB V.
[7] Vgl. Art. 4 Nr. 8 i. V. m. Art. 28 DSGVO.
Tätigkeitsfelder von Cornelius Weiß
- Banken, Kapitalmarkt und Versicherungen
- IP, IT und Datenschutz
- Prozessführung und Schiedsgerichtsbarkeit