Am 19.12.2019 trat das Digitale-Versorgung-Gesetz (DVG) in Kraft. Dieses neue Gesetz dient der Digitalisierung des Gesundheitswesens. Damit hat es große Auswirkungen – nicht nur auf Kassenpatienten sondern auch auf Vertragsärzte. Das neue Gesetz betrifft insbesondere ein Rechtsgebiet, das aus Arztpraxen nicht mehr wegzudenken ist und dennoch nicht immer ausreichend Berücksichtigung findet: den Datenschutz.

Worum geht es in dem neuen Gesetz?

Das DVG bessert die aktuelle Gesetzeslage punktuell an einzelnen Normen aus und ergänzt Regelungen in verschiedenen Gesetzestexten – v. a. die Normen des SGB V.

Es enthält u. a. Regelungen zur Förderung digita­ler Innovationen, zum Anspruch auf sog. Gesundheits-Apps, zur Nutzung von Online-Sprechstunden und zur Verwendung elektronischer Patientenakten.

Diese neuen digitalen Angebote werden durch tech­nische Maßnahmen ermöglicht, die selbstverständ­lich den Ansprüchen der Datenschutz-Grundverord­nung (DSGVO) zum Datenschutz genügen müssen. Gerade dem besonders hohen Schutzniveau der sen­siblen Gesundheitsdaten der Patienten muss dabei Rechnung getragen werden. Dies soll u. a. die sog. Telematikinfrastruktur (TI) gewährleisten. Die TI umfasst eine interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur und wird durch den Bund insbesondere zur Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen geschaffen[1]. Die Etablierung der TI als die maßgebliche Infrastruktur im deut­schen Gesundheitswesen, soll durch das DVG weiter gefördert werden.

Die TI soll den Akteuren des Gesundheitswesens im Bereich der gesetzlichen Krankenversicherung er­möglichen, sich einfach und schnell miteinander zu vernetzen. Es soll ihren Nutzern möglich sein, sys­temübergreifend auf die Patientendaten verschiedener Quellen zuzugreifen und miteinander zu kommuni­zieren. Dies kann z. B. durch digitale Patientenan­wendungen, durch die Kommunikation zwischen ver­schiedenen Leistungserbringern oder durch die Migration von Gesundheitsdatendiensten im Rahmen der elektronischen Patientenakte erfolgen.

Dabei ist die TI ein geschlossenes Netz, zu dem nur registrierte Nutzer Zugang erhalten. Der Zugang wird mit einem elektronischen Ausweis hergestellt. Die Kommunikation soll sicher und verschlüsselt erfol­gen und der Schutz vor unbefugtem Zugriff auf sen­sible Patientendaten gewährleistet werden. Die Ver­fahren, die dabei angewendet werden, durchlaufen regelmäßig eine Überprüfung durch das Bundesamt für Sicherheit und Informationstechnik (BSI).

Dieser TI sollen sich nicht nur Ärzte, sondern auch Apotheken und Krankenhäuser anschließen[2]. Für Hebammen, Physiotherapeuten und Pflege-/Rehabili­tationseinrichtungen soll dies ebenfalls möglich sein. So soll ein flächendeckendes digitales Gesundheits­netz entstehen. Die TI ist im Übrigen von den Arzt­praxen schon seit dem 01.07.2018 für bestimmte An­wendungen vorzuhalten[3]. Um die Umsetzung der TI in Arztpraxen weiter zu etablieren, müssen Ärzte mit Honorarabzügen von bis zu 2,5 % rechnen, wenn sie nicht bereit sind, die TI zur technischen Umsetzung und Datenverarbeitung zu nutzen oder diese nicht rechtzeitig bei sich in den Praxen eingerichtet haben.

Eine Neuerung, die ebenfalls das Thema Datenschutz betrifft, ist der Umstand, dass Krankenkassen gem. Art. 1 Nr. 39 DVG i. V. m. § 303b SGB V dazu ver­pflichtet sind, die von den Ärzten erhaltenen Ab­rechnungsdaten an den Spitzenverband der Kassen weiterzuleiten und zu pseudonymisieren. Die pseudonymisierten Daten werden dann in einer zentralen Datenbank hochgeladen und für Forschungszwecke zur Verfügung gestellt.

Was wird an dem DVG kritisiert?

Da nicht alle Arztpraxen die gleiche Sorgfalt bei Pa­tientendaten ausüben, ist eine einheitliche TI, die den Anforderungen des BSI und der DSGVO entspricht, sicherlich ein Schritt in die richtige Richtung. Einige Regelungen des DVG, die den Datenschutz betreffen, stoßen jedoch vermehrt auf Kritik.

Kritik wird zum einen an vom Patienten nutzbaren Gesundheits-Apps geübt, die mögliche Sicherheits­lücken aufweisen.

Die Regelungen zur Förderung der Entwicklung di­gitaler Innovationen und Versorgungsinnovationen durch die Krankenkassen stehen auch in der Kritik. Es soll Krankenkassen möglich sein, versicherten­bezogene Daten im erforderlichen Umfang auszu­werten, um den konkreten Versorgungsbedarf und den möglichen Einfluss digitaler Innovationen auf die Versorgung zu ermitteln und um positive Ver­sorgungseffekte digitaler Anwendungen zu evaluieren[4]. Kritiker befürchten, dass die sensiblen Gesundheitsdaten von den Krankenkassen durch zentrale Sammlung und Auswertung für die Er­stellung von individuellen Gesundheitsprofilen ge­nutzt werden können. Dies würde die Gefahr von Diskriminierung und Datenmissbrauch nach sich ziehen.

Eine ähnliche Sorge besteht dahingehend, dass For­schungseinrichtungen auf Abrechnungsdaten von über 70 Millionen Kassenpatienten zugreifen kön­nen. Kritiker argumentieren mit den Gefahren von Sicherheitslücken, die mit einer zentralen Daten­speicherung einhergehen und suchen vergeblich ein Widerspruchsrecht der Patienten, während sich Unterstützer des Vorhabens auf die Chancen für das Gesundheitswesen durch die Forschung berufen, die Daten seien ja pseudonymisiert.

Was verändert sich für Patienten und Arztpraxen?

Bisher konnten Arztpraxen in vielen Bereichen noch selber bestimmen, wie sie Patientendaten verarbei­ten. Mit der flächendeckenden Umstellung auf die elektronische Patientenakte und die Nutzung wei­terer digitaler Anwendungen im Zusammenhang mit der elektronischen Gesundheitskarte, soll diese Datenverarbeitung gem. §§ 291 ff. SGB V über die TI erfolgen. Damit werden die Arztpraxen in ihrer inter­nen IT-Organisation weiter eingeschränkt. Gleich­zeitig wird ein einheitliches Datenschutzkonzept weiter ausgebaut, das für Arztpraxen und oft auch für Patienten mit einer größeren Rechtssicherheit einhergeht.

Es sollen weiterführende Datenschutzgesetze er­arbeitet werden, die den Patientendatenschutz im Rahmen digitaler Maßnahmen gewährleisten sol­len, z. B. im Bereich der elektronischen Patienten­akte. Außerdem werden die Kassenärztliche und die Kassenzahnärztliche Bundesvereinigung (KBV und KZBV) damit beauftragt, Anforderungen zur Gewäh­rung der IT-Sicherheit für Arzt- und Zahnarztpraxen verbindlich in einer Richtlinie bis zum 30.06.2020 festzulegen.[5]

Warum die TI Arztpraxen nicht aus ihrer Verantwortung zum Datenschutz entlässt ...

Die TI ermöglicht eine „Verarbeitung“ im Sinne der DSGVO von Patientendaten, deren Ausgestaltung die Ärztinnen/Ärzte als „Verantwortliche“ bisher zu großen Teilen eigenständig organisiert haben. Damit fällt ein großer Verantwortungsbereich in Bezug auf die Auswahl eines Systems zur Datenverarbeitung von Patientendaten für die Arztpraxen weg.

Darüber hinaus wird durch die KBV/KZBV eine Richt­linie mit verbindlichen Anforderungen zur Gewähr­leistung der IT-Sicherheit entwickelt, die den Arztpraxen genau vorgibt, welche technisch-orga­nisatorischen Standards insoweit hinsichtlich des Datenschutzes zu erfüllen sind. Diese Richtlinie wird im Einvernehmen mit dem BSI erstellt.

Es reicht jedoch für Arztpraxen nicht aus, blind ein System zur Verarbeitung der sensiblen Patienten­daten zu nutzen und bei der Haftung auf die Verant­wortung der KBV/KZBV und des BSI zu verweisen.

In Zukunft wird zwar die Auswahl bestimmter IT-Strukturen nach Maßgabe des DVG und aufgrund der Richtlinie der KBV/KZBV erfolgen, dieser Umstand entlässt Ärzte jedoch nicht aus ihrer Verantwortung für den Schutz ihrer Patientendaten. Tatsächlich dürften durch die Vereinheitlichung vieler IT-Strukturen, ge­rade im Hinblick auf eine flächendeckende Anbindung an die TI, neue Haftungsfragen entstehen. Für wel­chen technischen Ablauf in der Datenverarbeitung sind die Ärzte haftbar? Und für welchen die Gesellschaft für Telematik? Welche Anforderungen können an die technischen Kenntnisse von Ärzten gestellt werden? aussetzungen für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheits­forschung verwendet werden – muss sie aber nicht⁶. Bei dem Einsatz von IT-Strukturen über die TI hinaus, müssen Arztpraxen also weiterhin selbstständig auf die Einhaltung des Datenschutzes achten.

Es könnten IT-Dienstleister außerhalb der TI be­auftragt werden. Auch diese Beauftragung muss den Vorgaben der DSGVO, des BDSG und dem DVG gerecht werden. Falls ein Fehler in der Datenverarbeitung auftritt müssen Arztpraxen weiterhin ihrer Melde­pflicht nachkommen.

Außerdem ist Vorsicht beim Umstieg auf die elekt­ronische Patientenakte geboten. Alte Patientenakten müssen sicher vernichtet werden, was eine Form der Auftragsverarbeitung darstellt.⁷ Der Zugang zu den elektronischen Patientenakten muss ausreichend ge­sichert werden.

Sicherheit herrscht zumindest darüber, dass die Arzt­praxen sich an einen ordnungsgemäßen Umgang mit der TI halten und die Richtlinie der KBV/KZBV ord­nungsgemäß umsetzen müssen. Dies kann z. B. die Auswahl der korrekten und erforderlichen Patien­tendaten betreffen, die in dem System hochgeladen und übertragen werden sollen. Darüber hinaus muss beachtet werden, welche Person auf welche Patien­tendaten zugreifen darf. Um dies zu gewährleisten kann die Mitwirkung eines Datenschutzbeauftragten erforderlich sein.

Die neue Gesetzeslage verdeutlicht, dass sich Ärzte über ihre Pflicht zum Datenschutz und ihre Schweige­pflicht bewusst werden müssen. Sie müssen die Frage, ob durch ihr Verhalten und ihre interne Organisation der Schutz ihrer Patientendaten gewahrt wird, immer im Hinterkopf behalten. Denn nicht jeder Datenver­arbeitungsschritt wird vorher durch die Bereitsteller der TI im Einvernehmen mit dem BSI organisiert.

Für Anwendungen über die elektronische Gesund­heitskarte hinaus kann die TI unter bestimmten Voraussetzungen für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden – muss sie aber nicht[6]. Bei dem Einsatz von IT-Strukturen über den TI hinaus, müssen Arztpraxen also weiterhin selbständig auf die Einhaltung des Datenschutzes achten.

Es können IT-Dienstleister außerhalb des TI beauftragt werden. Auch diese Beauftragung muss den Vorgaben der DSGVO, des BSDSG und dem DVG gerecht werden. Falls ein Fehler in der Datenverarbeitung auftritt müssen Arztpraxen weiterhin ihrer Meldepflicht nachkommen.

Außerdem ist Vorsicht beim Umstieg auf die elektronische Patientenakte geboten. Alte Patientenakten müssen sicher vernichtet werden, was eine Form der Auftragsverarbeitung darstellt[7]. Der Zugang zu den elektronische Patientenakten muss ausreichend gesichert werden.

Die neuen gesetzlichen Regelungen helfen, dem Datenschutz für die Patienten gerecht zu wer­den. Sie entbinden Ärzte jedoch nicht aus ihrer persönlichen Verantwortung für den Schutz ihrer Patientendaten.

Die mit dem DVG zusammenhängenden Maß­nahmen bedeuten also keinen Freifahrtschein hinsichtlich des Datenschutzes für Arztpraxen. Die bekannten datenschutzrechtlichen Standards müssen weiterhin gewährleistet werden. Bis zur Ausgestaltung im Rahmen der weiteren Richt­linien empfiehlt es sich dringend, die „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ von der Bundesärztekammer als Ansatzpunkt für die interne Organisation zu be­achten.

Erstmals erschienen in: Infodienst Datenschutz für Praktiker 04/20, S. 12–14.

URL: https://www.datenschutz-fuer-praktiker.de/

Karlsruhe, den 01.04.2020

Cornelius Weiß
Rechtsanwalt
Fachanwalt für Bank- und Kapitalmarktrecht

[1] Vgl. § 291a Abs. 7 SGB V.

[2] Vgl. Art. 1 Nr. 2 DVG i. V. m. § 31a Abs. 3 Satz 4 SGB V und Art. 1 Nr. 32 DVG i. V. m. § 291 Abs. 2c Satz 4 SGB V.

[3] Vgl. § 291 Abs. 2b Satz 14 a. F.

[4] Vgl. Art. 1 Nr. 8 DVG i. V. m. § 68a Abs. 5 SGB V.

[5] Vgl. Art. 1 Nr. 10 DVG i. V. m. § 75b SGB V.

[6] Vgl. § 291a Abs. 7 Satz 3 SGB V.

[7] Vgl. Art. 4 Nr. 8 i. V. m. Art. 28 DSGVO.