DA+

Die elektronische Patientenakte – Anforderungen aus Sicht des Datenschutzes

Lesezeit 22 Min.

I. Vorbemerkung

Die elektronische Patientenakte (ePA) soll eines der zentralen Elemente der vernetzten Gesundheitsversorgung und eine wichtige Zäsur bei der Entwicklung einer umfassenden Telematikinfrastruktur im Gesundheitswesen darstellen. Aktuell ist das Vorhaben abermals in die Kritik und damit ins Stocken geraten, da in dem bisher vorliegenden Gesetzentwurf zur konkreten Ausgestaltung notwendiger Bestimmungen zur Bereitstellung und Nutzung der ePA datenschutzrechtliche Mindestanforderungen nicht hinreichend abgebildet werden konnten. An einem Gesetzentwurf, mit dem insbesondere die datenschutzrechtlichen Fragen rechtssicher gelöst werden sollen, wird aktuell gearbeitet. Welche Handlungsoptionen sich insoweit für den Gesetzgeber anbieten oder sogar aufdrängen, soll nachfolgend diskutiert werden.

II. Rechtsgrundlagen

Um beurteilen zu können, welche – weiteren – legislativen Maßnahmen für eine datenschutzrechtlich „saubere“ Ausgestaltung der ePA notwendig und – vor dem Hintergrund der DS-GVO – zulässig sind, soll zunächst die gegenwärtige Sach- und Rechtlage beschrieben werden:
Stand 8/2019 findet sich die zentrale Rechtsgrundlage für die Zurverfügungstellung und Nutzung der ePA in § 291 a Abs. 3 S. 1 Nr. 4 SGB V.
Danach ist die elektronische Patientenakte eine von mehreren Anwendungen der elektronischen Gesundheitskarte (eGK). Die ePA soll eine fall- und einrichtungsübergreifende Dokumentation über den Versicherten darstellen. Spätestens ab dem 01.01.2021 sind die gesetzlichen Krankenkassen verpflichtet, ihren Versicherten gemäß §§ 291a, 291b SGB V eine von der Gesellschaft für Telematik nach § 291b Abs. 1a S. 1 zugelassene ePA zur Verfügung zu stellen (vgl. § 291a Abs. 5c S. 4 SGB V). Die ePA ist als freiwillige versichertengeführte Akte angelegt. Deren Inhalte sind Leistungserbringern nur mit Einwilligung des Versicherten zugänglich. Inhalte kann der Versicherte eigenständig löschen und auf sein ausdrückliches Verlangen kann er Inhalte von Leistungserbringern und seiner Krankenkasse einstellen lassen und/oder eigene Inhalte einstellen.
Die ePA ist kein Abbild der ärztlichen Dokumentation. Ziel ist es eher, ein von den Informationssystemen der Leistungserbringer unabhängiges Aktensystem des Patienten an die Primärsysteme der Leistungserbringer anzuschließen. Gesetzlich Versicherte haben einen Rechtsanspruch auf die Nutzung ihrer ePA; alle Leistungserbringer sind verpflichtet, ihren Patienten die Daten, die über diese erhoben wurden, in deren ePA bereitzustellen – wenn der Patient es wünscht.

  1. Inhalte der ePA
    In die ePA sollen gemäß § 291a Abs. 3 S. 1 Nr. 4 SGB V Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen aufgenommen werden können. Gemäß § 291a Abs. 5c S. 2 SGB V soll die ePA ferner geeignet sein, weitere medizinische Daten der Versicherten für deren Behandlung verfügbar zu machen, z.B. Daten aus fallbezogenen, einrichtungsübergreifenden Behandlungsdokumentationen, eines elektronischen Impf- oder Mutterpasses, Labor- oder radiologische Befunde und Daten aus Früherkennungsuntersuchungen. In die ePA werden lediglich ausgewählte „Kopien“ der in der Sphäre des jeweiligen Leistungserbringers verbleibenden Originale eingespeist, so dass keine Garantie auf Vollständigkeit besteht.
    Aktuell gilt das „Alles-oder-Nichts-Prinzip“: Eine differenzierte Freigabe einzelner Dokumente aus der ePA an den Leistungserbringer ist bis auf Weiteres nicht möglich. Sofern der Versicherte seine Einwilligung erteilt, kann der Leistungserbringer alle Daten des Versicherten sehen. Erst in der Weiterentwicklung der ePA-Spezifikationen sollen technischen Vorgaben und Details für ein differenziertes Berechtigungskonzept, nach dem auch einzelne ePA-Daten mit Leistungserbringern geteilt werden können, zur Verfügung gestellt werden.
  2. Kreis der Zugriffsberechtigten
    Zum Zwecke des Erhebens, Verarbeitens oder Nutzens mittels elektronischer Gesundheitskarte dürfen, soweit es zur Versorgung der Versicherten erforderlich ist, ausschließlich
  • Ärzte
  • Zahnärzte
  • Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten
  • Berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf bei den zuvor genannten o. in einem Krankenhaus
  • Psychotherapeuten

auf Daten zugreifen (vgl. § 291a Abs.4 S.1 Nr.2 SGB V).
Nach dem Entwurf zum DVG sollen zukünftig auch Angehörige der Pflegeberufe, Hebammen und Physiotherapeuten zugriffsberechtigt sein.

  1. Datenfluss – Kette der Datenverarbeitung
    Nach dem Wortlaut des § 291a Abs. 5c S.4 SGB V sind die Krankenkassen verpflichtet, ihren Versicherten bis spätestens 01. Januar 2021 eine elektronische Patientenakte zur Verfügung zu stellen. Unklar bleibt, wie das „zur Verfügung stellen“ in rechtlicher Hinsicht umgesetzt werden soll, insbesondere, wenn man die beiden Varianten der ePA (mit und ohne eGK) betrachtet. Welche sozial-, zivil- und datenschutzrechtlichen (Leistungs-)beziehungen hier zwischen Versicherten – Krankenkassen – ePA-Anbieter (Betreiber) und Leistungserbringer entstehen, hängt von mehreren Umständen ab, insbesondere davon, ob die Krankenkasse selbst Anbieter der ePA ist oder hierfür ein externes Unternehmen beauftragt. Rechtlich unklar bleibt auch die Rolle der gematik. Letzteres wird der Regelfall sein.
    So hat die gematik Ende 2018 die Vorgaben und Zulassungsverfahren zur ePA bereitgestellt. Anhand dieser können Anbieter ihre Aktenlösungen nach § 291a SGB V implementieren und eine Zulassung durch die gematik beantragen. Dafür müssen sie nachweisen, dass ihre ePA die Anforderungen an Funktionalität und Sicherheit erfüllt. Das gewährleistet, dass die verschiedenen zugelassenen Aktenlösungen untereinander interoperabel sind, sodass Versicherte ihren Anbieter wechseln können, ohne bereits in ihrer ePA gespeicherte Daten zu verlieren.
    Die Wahl der Technologie, also die Frage, ob eine zentrale Speicherung erfolgt (zumeist auf nicht einem, sondern auf verteilten Servern) oder dezentrale Speichertechnologien zum Einsatz kommen, ist vom Gesetz her grundsätzlich offen. Nach dem aktuellen Stand werden die Daten der Versicherten patientenindividuell verschlüsselt auf dem Server des jeweiligen Betreibers gespeichert. Die entsprechenden Server müssen sich auf dem Gebiet eines Mitgliedstaates der Europäischen Union bzw. des Europäischen Wirtschaftsraums befinden. Für die Akte selbst, die Benutzerschnittstelle zu den Versicherten und den Konnektor, werden darüber hinaus Sicherheitsnachweise gefordert. Aufgrund der patientenindividuellen Verschlüsselung und weiterer Sicherheitsmaßnahmen wie einer vertrauenswürdigen Ausführungsumgebung für die Suche innerhalb der Metadaten und einer chipkartenbasierten Public-Key-Infrastruktur sollen die Daten vor Einsichtnahme sowohl durch den Anbieter bzw. Betreiber der elektronischen Patientenakte als auch durch Angreifer auf den Server und die Kommunikationswege geschützt werden.

Für die Datenhaltung in der ePA selbst sind drei „Quellen“ vorgesehen:

a) Der Versicherte und seine Einwilligung in die Datenverarbeitung
Gesetzlich Versicherte können – auf freiwilliger Basis – ihre gesundheitsbezogenen Dokumente mit einer ePA lebenslang verwalten. Die darin enthaltenen Informationen stehen ihnen selbst sowie ihren behandelnden Ärzten, Zahnärzten, Psychotherapeuten und Apothekern sowie weiteren Leistungserbringern zur Verfügung – sofern der Versicherte zuvor die jeweilige Praxis bzw. Apotheke bzw. anderweitigen Leistungserbringer dafür berechtigt hat. Der gesetzlich Versicherte selbst kann Daten einstellen, diese ansehen, löschen und Rechte vergeben. Je Versichertem kann maximal ein ePA-Aktenkonto existieren. Dem Versicherten soll ein einfacher Anbieterwechsel jederzeit möglich sein, und zwar bei vollem Datenerhalt.
Gemäß § 291a Abs. 5 S. 7, 8 SGB V können Versicherte auf Daten der ePA auch zugreifen, wenn sie sich für den Zugriff durch ein geeignetes technisches Verfahren authentifizieren. Ein solcher Zugriff kann auch ohne Einsatz der elektronischen Gesundheitskarte erfolgen, wenn der Versicherte nach umfassender Information durch seine Krankenkasse gegenüber derselben schriftlich oder elektronisch erklärt hat, dieses Zugriffsverfahren zu nutzen. Entsprechend den Regelungen aus dem TSVG wird für die ePA somit zusätzlich ein alternatives Authentisierungsverfahren für die Versicherten ohne Einsatz der eGK am „ePA-Frontend des Versicherten“ ermöglicht. Dies vereinfacht den Zugriff auf die ePA mit mobilen Endgeräten (Smartphone und Tablets).

b) Der Leistungserbringer – Zugriff nur aufgrund der Einwilligung und mit HBA
Der Zugriff auf Daten mittels der elektronischen Gesundheitskarte darf nur in Verbindung mit einem elektronischen Heilberufsausweis bzw. einem entsprechenden Berufsausweis erfolgen (Vgl. § 291a Abs. 5, 5a SGB V). Leistungserbringer verwenden – wie gehabt – ihre bestehenden Informationssysteme. Nach Freigabe durch den Versicherten (Einwilligung) können sie von dort direkt auf die Dokumente des Versicherten zugreifen – unabhängig davon, welchen ePA-Anbieter der Versicherte gewählt hat. Unterstützt wird – neben eArztbrief, Notfalldatensatz und elektronischem Medikationsplan – eine Vielzahl der gängigen Dokumentformate, wie sie heute in der medizinischen Dokumentation zum Einsatz kommen (PDF, JPG, CDA etc.). Wie hier – zukünftig – mit dem Rechtsinstitut der Einwilligung umzugehen ist und wie die datenschutzrechtlichen Anforderungen hinreichend berücksichtigt werden können, wird unter III. behandelt.
Wenn der Patient es will, lädt der Arzt bestimmte Daten aus seinem Praxisverwaltungssystem (PVS) in die ePA hoch. Die Daten in der ePA sind nur Kopien der Daten aus dem PVS; die Primärdokumentation des Arztes in seinem PVS bleibt davon unberührt. Der Arzt stößt diesen Prozess bewusst selbst an; Daten werden nicht automatisch ohne Wissen des Arztes übertragen. Die Betreiber der Patientenakten können nicht auf das PVS der Arztpraxis zugreifen. Ebenso soll es keiner zusätzlichen Hardware bedürfen (Konnektor wird nachgenutzt).
Damit Leistungserbringern ein einfacher Umgang mit der ePA möglich ist, müssen einheitliche Schnittstellen existieren, sodass Praxen unproblematisch mit Akten unterschiedlicher Anbieter arbeiten können. Diese Schnittstellen werden von der gematik spezifiziert. Ebenso bedarf es der Standardisierung der medizinischen Daten für die ePA, damit ein strukturierter Datentransfer der Niedergelassenen untereinander sowie zu Kliniken, zu Apotheken oder zu anderen medizinischen Fachberufen sinnvoll möglich ist.
Unter der Bezeichnung medizinische Informationsobjekte (MIOs) werden bis Herbst 2020 erste Standards definiert, zum Beispiel für Labordaten, bestimmte medizinische Befunde oder den Impfpass.

c) Die Krankenkasse
Die Krankenkasse kann Daten nur einstellen, wenn sie hierzu durch den Versicherten berechtigt wird. Sie hat ihre Versicherten gemäß § 291a Abs. 5c) S. 5 SGB V spätestens bei der Zurverfügungstellung der ePA in allgemein verständlicher Form über deren Funktionsweise, einschließlich der Art der in ihr zu verarbeitenden Daten und über die Zugriffsrechte, zu informieren.

III. Legislative Handlungsoptionen – Anforderungen an eine rechtssichere ePA
Will der Gesetzgeber die ePA in datenschutzrechtlicher Hinsicht rechtssicher gestalten, muss zunächst betrachtet werden, welcher gesetzgeberische Rahmen sich hierfür anbietet und welche datenschutzrechtlichen Anforderungen in einem komplexen Zusammenwirken mehrerer Beteiligter zwingend geregelt werden müssen. Einer unbedingten Klärung bedarf aus datenschutzrechtlicher Sicht die Frage nach der Rollenzuordnung der Beteiligten im engeren Sinne – Versicherter, Leistungserbringer und Leistungsträger – und im erweiterten Kreis auch der beteiligten ePA-Anbieter.
Legislative Handlungsmöglichkeiten bestehen innerhalb des nationalen und unionsrechtlich vorgegebenen Rahmens. Der Sozialdatenschutz und das allgemeine Datenschutzrecht – welches Gesundheitsdaten als besonders sensible Daten einstuft – sind hier gleichermaßen von Bedeutung: Die Neufassung des § 35 SGB I in der seit dem 25.05.2018 geltenden Fassung statuiert eine abschließende Geltung der datenschutzrechtlichen Regelungen des Sozialdatenschutzes. Dies gilt gemäß § 35 Abs. 2 S. 1 SGB I jedoch nicht gegenüber den Bestimmungen der DS-GVO, die Anwendungsvorrang genießen.
Welche der nachfolgend beschriebenen Handlungsoptionen der Gesetzgeber im Rahmen der Umsetzung des datenschutzrechtlichen Rahmens für die ePA nutzt, soll nachstehend offenbleiben:
Gesetzgeberischer Gestaltungsspielraum eröffnet sich zum einen dort, wo die Aufgaben der Krankenkassen neu definiert werden, denn Voraussetzung für die Anwendbarkeit des Sozialdatenschutzes ist die Verarbeitung von Sozialdaten.
Gemäß § 284 Abs. 1 SGB V dürfen die Krankenkassen Sozialdaten für Zwecke der Krankenversicherung nur erheben und speichern, soweit […]. Laut der in § 67 Abs. 2 Satz 1 SGB X befindlichen Begriffsdefinition der Sozialdaten handelt es sich hierbei um personenbezogene Daten, die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben in diesem Gesetzbuch verarbeitet werden. Es muss sich also zwingend um Aufgaben der Krankenkassen handeln, die sich aus dem Sozialgesetzbuch selbst ergeben und von den Krankenkassen erfüllt werden.
Einen weiteren Anknüpfungspunkt für gesetzgeberischen Gestaltungsspielraum bietet sich in den seitens der DS-GVO bereitgehaltenen Öffnungsklauseln bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO, worunter auch Gesundheitsdaten als besonders sensible Daten fallen:
Nach der Legaldefinition von Gesundheitsdaten in Art. 4 Nr. 15 DS-GVO sind hierunter personenbezogene Daten zu verstehen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer natürlichen Person, einschließlich der Erbringung von Gesundheitsleistungen, beziehen, und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Zentraler Anknüpfungspunkt stellt hierbei die Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO als eine Rechtfertigungsmöglichkeit der Verarbeitung von Gesundheitsdaten als besonders sensible Daten dar. Art. 9 Abs. 2 lit. a) DSGVO eröffnet den Mitgliedsstaaten hierbei konkret die Möglichkeit, im Rahmen einer „Rückausnahme“ die Verarbeitung von Daten trotz Vorliegens einer ausdrücklichen Einwilligung durch Gesetz zu untersagen.

Unter Beachtung grundrechtlicher Grenzen, insbesondere des Rechts auf informationelle Selbstbestimmung, sind die Mitgliedsstaaten insofern frei darin, von dieser Regelungsmöglichkeit Gebrauch zu machen, ebenso darin, das Anforderungsprofil der Einwilligung zu konkretisieren, so zum Beispiel nicht nur eine ausdrückliche, sondern eine schriftliche Einwilligung zu fordern.
Lediglich angerissen werden kann in diesem Zusammenhang die Fragestellung, ob die Rechtsprechung des sechsten Senats des BSG unter den aktuell geltenden Rechtsnormen – weiterhin – Anwendung finden kann. Das BSG hatte – unter Anwendung der damaligen Normen – die Ansicht vertreten, dass im Geltungsbereich des SGB V die Weitergabe von Patientendaten durch Leistungserbringer nur dann und in dem Umfang erlaubt sei, in dem bereichsspezifische Regelungen über die Datenverarbeitung im SGB V dies gestatten; die allgemeinen Regelungen des Datenschutzes, die die Datenübermittlung bei Vorliegen einer Einwilligungserklärung gestatten, finden insoweit keine Anwendung. Das BSG wies in diesem Zusammenhang bei dem Punkt der Freiwilligkeit der Einwilligung im Verhältnis zwischen Versichertem und Leistungserbringer darauf hin, dass nicht anzunehmen sei, dass die Einwilligung freiwillig abgegeben werden könne. Mit Blick auf den Wortlaut des Art. 7 Abs. 1 DSGVO, wonach Einwilligungen freiwillig sein müssen, und unter Heranziehung des Erwägungsgrundes 43 der DSGVO, wird sich die Frage stellen, ob sich der Anwendungsbereich für Einwilligungen im Hoheitsgebiet des SGB V möglicherweise entsprechend der BSG-Rechtsprechung reduziert.
Der Grad der Freiwilligkeit der Einwilligung der Versicherten bei Erteilung von Zugriffsberechtigungen auf die in seiner ePA hinterlegten Gesundheits- und ggf. Sozialdaten dürfte hier jedenfalls gänzlich anders zu bestimmen sein als bei der Einwilligung des Versicherten (Patienten) in die Weitergabe seiner Daten zum Zwecke der Leistungsabrechnung. Nachteile, die der Patient in dem zuletzt genannten Fall zu befürchten hat, also wenn er die Einwilligung nicht erteilt, werden bei der Verweigerung der Zugriffsberechtigung auf die ePA weniger schwerwiegend sein, was im Ergebnis für eine einwilligungsbasierte Lösung spricht; gleichzeitig wird dem Recht auf informationelle Selbstbestimmung Rechnung getragen.

Weitere umfassende Öffnungsklauseln für das Gesundheitswesen finden sich in Art. 9 Abs. 2 DSGVO, wobei Art. 9 DSGVO sogenannte fakultative Öffnungsklauseln gibt – es wird keine Konkretisierung vorgenommen, es werden lediglich Abweichungsmöglichkeiten eröffnet. Diese erlauben die Verarbeitung von Gesundheitsdaten im Rahmen ihrer gesetzlich umschriebenen Voraussetzungen, enthalten Tatbestandsmerkmale wie etwa die Beschreibung des Zwecks (z.B. Diagnostik), zum Teil zusätzliche personelle Voraussetzungen (Art. 9 Abs. 3 DSGVO) und das Merkmal der „Erforderlichkeit“ als Grenze für die Verarbeitungstätigkeit.
Art. 9 Abs. 2 DSGVO ist hierbei nicht bei allen dort aufgeführten Erlaubnisgründen die unmittelbar anwendbare Rechtsgrundlage. Die Vorschrift schafft vielmehr sogenannte Öffnungsklauseln für eine Gesetzgebung der EU-Mitgliedstaaten und damit gesetzgeberischen Handlungsspielraum:
Dem nationalen Gesetzgeber ist es möglich, Rechtsgrundlagen zu schaffen, die dann die eigentliche Erlaubnisnorm sind, so im Rahmen des Art. 9 Abs. 2 Buchstabe h DSGVO (insbesondere Gesundheitsvorsorge, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich), bei Art. 9 Abs. 2 Buchstabe i DSGVO (z.B. zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten), im Rahmen des Art. 9 Abs. 2 Buchstabe j DSGVO (für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke) oder im Rahmen des Art. 9 Abs. 2 Buchstabe g DSGVO (aus Gründen eines erheblichen öffentlichen Interesses).
Da das bisherige Konzept der ePA die freiwillige Einwilligung des Versicherten in den Fokus des Datenschutzkonzepts stellt, sind neben der Einwilligungserklärung als solcher, die inhaltliche und zeitliche Reichweite der Einwilligung (Umfang des Datenzugriffs und Dauer dieser Möglichkeit) und weitere datenschutzrechtlich relevante Punkte zu klären.

  1. Informationspflichten gegenüber dem betroffenen Versicherten
    Die Pflicht, den einzelnen Betroffenen über Art und Umfang der Verarbeitung seiner Daten zu informieren, ergibt sich unmittelbar aus Art. 13 bzw. Art. 14 DSGVO. Dies soll eine faire und transparente Datenverarbeitung gewährleisten. Zu erteilen hat diese Information der datenschutzrechtlich Verantwortliche, also grundsätzlich bspw. auch der leistungserbringende Vertragsarzt. Ein nicht zu unterschätzendes Problem stellt sich derzeit aufgrund der Tatsache ein, dass keine allgemeingültige Aussage getroffen werden kann, wer für die ePA verantwortlich ist. Dies hängt entscheidend von der Frage ab, welche Stellen bei der jeweiligen ePA im Einzelfall zugriffsberechtigt sind. Hier ist der Gesetzgeber gefragt, eine Ausgestaltung zu wählen, die eine Zuordnung von Verarbeitungsvorgängen zu den Verantwortlichen ermöglicht. Andernfalls würde dies zu einer nicht hinnehmbaren Rechtsunsicherheit führen.
    Zu überlegen ist, ob die Haltung der Bundesregierung etwas an dieser Einschätzung ändert, hat diese doch auf eine Anfrage erklärt, dass beabsichtigt sei, Informationspflichten der Krankenkassen über die ePA gesetzlich zu regeln. Intention scheint es hierbei jedoch in erster Linie zu sein, das Bewusstsein der Versicherten für die ePA zu schärfen. Dies wird nicht zuletzt daran deutlich, dass die Beantwortung der Fragestellung mehr im Kontext einer etwaigen Informations- und Aufklärungskampagne zu stehen scheint.
    Ohnehin ist die jeweilige Krankenkasse verpflichtet, über die ePA – einschließlich der Art der in ihr zu verarbeitenden Daten – zu informieren; dies gilt auch hinsichtlich der verschiedenen Zugriffsrechte und -wege. Die Verpflichtung folgt aus der datenschutzrechtlichen Verantwortlichkeit der Krankenkassen gegenüber den Versicherten. Die Versicherten können nur dann von den ihnen zustehenden Rechten Gebrauch machen, wenn sie wissen, dass personenbezogenen Daten überhaupt, bzw. welche Daten zu welchen Zwecken, verarbeitet werden. Nur so kann das Recht auf informationelle Selbstbestimmung bei der Datenerhebung und -verarbeitung sichergestellt werden. An diesem Grundsatz ist auch im Zusammenhang mit der ePA festzuhalten. Der Umfang der Informationspflicht kann sich dabei nicht lediglich auf die freiwilligen Anwendungen der ePA beschränken, da nicht von vornherein feststeht, welche Anwendungen der Versicherte zu nutzen beabsichtigt. Mit anderen Worten: Um eine vollumfängliche Information zu erteilen, welche letztlich Grundlage der freiwilligen Einwilligung des Versicherten sein soll, muss sowohl über die Pflichtanwendungen als auch über freiwillige Anwendungen im Zusammenhang mit der eGK informiert werden.
    Beachtlich ist, dass die Regelung des § 291a Abs. 2 S. 2 SGB V – immer noch – einen Verweis auf § 6c BDSG a.F. enthält, welcher im Zusammenhang mit der Novellierung des BDSG weggefallen ist. Der hinter der Regelung stehende Grundgedanke sollte indes weiter Anwendung finden können. Hiernach waren sowohl derjenige, der ein mobiles Speichermedium (also die eGK) ausgibt, als auch derjenige, der personenbezogene Daten auf ein solches Medium aufbringt oder ändert, einer umfangreichen Informations- und Transparenzpflicht unterworfen.
  2. Rechtsansprüche des Versicherten
    Eine besondere Relevanz im Zusammenhang mit der ePA liegt darin, die Datenhoheit der Versicherten nachhaltig zu gewährleisten. Dies gilt insbesondere für den datenschutzrechtlichen Anspruch, bestimmen zu können, wer Zugriff auf den Inhalt der ePA nehmen bzw. bereitgestellte Inhalte im Sinne einer Berichtigung ändern darf. Neben der Berichtigung wird den Versicherten zudem auch der Anspruch zugestanden, Inhalte der ePA (partiell) zu löschen bzw. löschen zu lassen. Die sich hieraus unter Umständen ergebende Unvollständigkeit der ePA ist dem derzeitigen Konzept immanent, will man die datenschutzrechtlichen Ansprüche der Versicherten realisieren.
    Sich zwingend ergebende haftungsrechtliche Fragestellungen, die sich aufgrund dieser – bewusst oder unbewusst – herbeigeführten Unvollständigkeit ergeben können, sollen nicht Gegenstand dieses Artikels sein. Dabei soll allerdings nicht unerwähnt bleiben, dass eine namhafte Stelle sich bereits dahingehend positioniert hat, dass die ePA nicht die Kommunikation unter den Ärzten oder mit anderen Einrichtungen des Gesundheitswesens ersetze. Dies bedeutet im Umkehrschluss, der behandelnde Arzt darf sich nicht darauf verlassen, dass die ePA die vollständige Behandlungshistorie der Versicherten umfasst.

Besondere Bedeutung kommt auch der Datentransportabilität, also dem Recht der Versicherten auf Datenübertragbarkeit zu (Art. 20 DSGVO), da die Datenverarbeitung im Zusammenhang mit der ePA regelmäßig aufgrund der Einwilligung der Versicherten erfolgen wird (Art. 20 Abs. 1 lit. a in Verbindung mit Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO). Der Verantwortliche muss also sicherstellen, dass die ePA-Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stehen. Auch hier stellt sich wiederum das Problem der bisweilen ungeklärten Verantwortlichkeiten im Zusammenhang mit der ePA. Die Datentransportabilität soll gewährleisten, dass es jederzeit möglich ist, Daten auf eine andere (neue) ePA zu übertragen. Es kann somit zu einem „Zusammenspiel“ eines „alten“ mit einem „neuen“ Verantwortlichen kommen, soweit bspw. der Versicherte seine Krankenkasse wechselt.

In diesem Zusammenhang bleibt abzuwarten, in welche Richtung sich die ePA-Architektur entwickeln wird und ob der derzeitige Konsens zwischen GKV-SV, KZBV und KBV Bestand haben wird. Die Genannten einigten sich zuletzt darauf, dass das sogenannte „Gematik-Modell“ Grundlage der gemeinsamen Perspektive der ePA-Architektur sein soll. Dieses Modell umfasst unter anderem eine Datenübermittlung an eine zentrale ePA-Umgebung aus den Primärsystemen der verschiedenen Leistungserbringer. Die Datenhaltung hingegen soll dezentral stattfinden und den ePA-Anbietern – also den Krankenkassen – obliegen.

  1. Gewährleistung der allgemeinen Grundsätze: Zweckbindung, Datensparsamkeit etc.
    Von nicht zu unterschätzender Bedeutung für eine rechtssichere Handhabe der ePA sind die in Art. 5 Abs. 1 DSGVO aufgeführten Grundprinzipien der Datenverarbeitung, insbesondere der Zweckbindungsgrundsatz und der Grundsatz der Datenminimierung. Als bedeutsamstes Grundprinzip bei der Datenverarbeitung verlangt der Zweckbindungsgrundsatz in Art. 5 Abs. 1 lit. b DSGVO, dass Gesundheitsdaten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden dürfen. Um dem Recht auf informationelle Selbstbestimmung Ausdruck zu verleihen, ist der verfolgte Zweck maßgeblich für die Frage der Rechtmäßigkeit der Datenverarbeitung. Insofern ist es unverzichtbar, bei der gesetzlichen Ausgestaltung der Bestimmungen zur ePA festzulegen, wer wie lange zu welchem Zweck auf welche Daten und in welchem Umfang – lesen, herunterladen, schreiben, verändern oder löschen – zugreifen darf. Letztlich wird hieran die freiverantwortliche Einwilligung des Versicherten zu messen sein.

Entsprechend dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), wonach die Verarbeitung personenbezogener Daten auf das für den Zweck erforderliche Maß beschränkt sein muss, ist zu fordern, dass die digitale Information über den Gesundheitszustand des Versicherten sowohl einzeln als auch zeitlich befristet zur Verfügung gestellt werden kann. Auch mit Blick auf die Gesundheitskompetenz des Versicherten wird man fordern müssen, den Zugriff auf die digitale Information in ihrem Umfang zu minimieren, damit auch der Versicherte abschätzen kann, welche Information er konkret mit welchen Folgen zur Verfügung stellt.

Entgegen dem aktuell verankerten „Alles-oder-Nichts-Prinzip“ muss dem Versicherten eine differenzierte Freigabe einzelner Dokumente aus der ePA ermöglicht werden. Ebenso muss der Kreis der Zugriffsberechtigten für den Versicherten frei bestimm- und einschränkbar sein.

  1. Rechte der Zugriffsberechtigten – differenziert nach Inhalten
    Um sich die Notwendigkeit differenzierter Zugriffsberechtigungen auf die in der ePA enthaltenen Daten zu vergegenwärtigen, bedarf es sowohl eines Blicks auf den Umfang der Daten, die der Versicherte per Einwilligung preisgibt, als auch auf den Kreis derjenigen, die per Gesetz Zugriff auf diese nehmen können. In Erweiterung des aktuell in § 291a Abs. 4 S. 1 SGB V aufgeführten Kreises – Ärzte, Zahnärzte, Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten, berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf bei den zuvor genannten oder in einem Krankenhaus sowie Psychotherapeuten – sollen nach dem aktuellen Gesetzesentwurf zum DVG auch Angehörige der Pflegeberufe, Hebammen und Physiotherapeuten mit Einwilligung des Patienten auf Daten zugreifen können.

Daten in einer ePA nach dem im Gesetzesentwurf geplanten § 291h SGB V sollen Befunddaten, vom Versicherten selbst zur Verfügung gestellte Daten, für den Versicherten zur Verfügung gestellte Daten sowie weitere Daten, die sich nicht ohne weiteres in die drei Alternativen des § 291a Abs. 2 Nr. 4 SGB V einordnen lassen, sein. Aus datenschutzrechtlicher und auch verbraucherpolitischer Sicht ist es gerade vor dem Hintergrund des „Alles-oder-Nichts-Prinzips“ bei der per Einwilligung freigegebenen Datenmenge unerlässlich, eine – nach Inhalten – differenzierte Zugriffsberechtigung gesetzlich zu verankern. Als Minimum dürfte eine Unterscheidung zwischen Leistungserbringerdaten, Krankenkassendaten und vom Versicherten selbst zur Verfügung gestellten Daten zu treffen sein.

In einem zweiten Schritt wäre ein gesetzliches Konzept von Zugriffsberechtigungen zu verankern, welches den Kreis derjenigen konkret zeichnet, die auf bestimmte Datenbereiche zugreifen dürfen und wie konkret sich der Zugriff gestaltet. Dies gilt gleichermaßen für Behandlungsdaten wie auch für Leistungsdaten. Der Versicherte muss hier jederzeit Herr seiner Daten sein und ausdifferenziert Berechtigungen erteilen und widerrufen können. Der Gesetzgeber wird dieses Recht nicht einschränken können.

  1. Beschreibung der Rollen der Beteiligten (Versicherter, Krankenkasse, Betreiber, LE) – Datenverantwortliche
    Wie bereits an anderer Stelle angesprochen, werden die „Datenverantwortlichen“ (Betroffener, Verantwortlicher, gemeinsame Verantwortliche, Auftragsdatenverarbeiter etc.) in Bezug auf die ePA im SGB V bislang nicht ausdrücklich benannt und lassen sich mangels ausdrücklicher gesetzlicher Beschreibung aus den §§ 291a ff. SGB V nicht rechtssicher identifizieren.

Im engeren, organisatorischen Kern wird man im Gesundheitsdatenschutz grundsätzlich von einer Akteurstrias „Versicherter – Leistungserbringer – Leistungsträger bzw. Krankenkasse“ ausgehen können, wobei der von der Krankenkasse beauftragte Anbieter einer ePA hinzutreten kann. Der Versicherte als Empfänger gesundheitsbezogener Leistungen kann zweifelsohne als von der Datenverarbeitung Betroffener qualifiziert werden. Nach der Definition des Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO ist hierunter jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle zu verstehen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Hierunter könnten zum einen die Leistungsträger bzw. Krankenkassen zu fassen sein, die per gesetzlichen Auftrag in § 291a Abs. 5c SGB V dazu verpflichtet sind, ihren Versicherten ab dem 01.01.2021 eine von der Gematik nach § 291b Abs. 1a S. 1 SGB V zugelassene ePA zur Verfügung zu stellen, und/oder die Gematik selbst, die konkret dafür zuständig ist, die erforderlichen Voraussetzungen dafür zu schaffen, dass den Versicherten Daten in einer ePA bereitgestellt werden können. Bei der Gematik dürfte die Qualifikation als Verantwortliche im Ergebnis wohl zu verneinen sein, da sie selbst nicht konkret über die Zwecke und Mittel der Verarbeitung entscheidet, sondern lediglich den „Rahmen“ für die Struktur der ePA „liefert“.

Gesetzlich unklar ist ferner die Rolle der ePA-Anbieter bzw. ePA-Betreiber, die die von der Gematik aufgestellten Anforderungen zwecks Zulassung erfüllen müssen und seitens der Krankenkasse ausgewählt werden, um ihren Versicherten eine ePA-Lösung anzubieten: Handelt es sich bei den ePA-Anbietern um „Auftragsverarbeiter“ im Sinne des Art. 4 Nr. 8 DSGVO – also um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet?

Nicht ausgeschlossen erscheint es an dieser Stelle auch, die Krankenkasse und den von dieser beauftragten ePA-Anbieter als gemeinsame Verantwortliche im Sinne des Art. 26 Abs. 1 DSGVO, die als Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, zu qualifizieren.

Die bisherige Rechtslage rund um die ePA wirft eine Vielzahl von Fragen nach Rollen und Verantwortlichkeiten auf und zeichnet ein komplexes datenschutzrechtliches Zusammenspiel der Akteure. Die Vielzahl und das Nebeneinander unterschiedlicher gesetzlicher Normierungen tragen nicht zur Rechtssicherheit bei; eine Vereinfachung der Normenstruktur und mehr Transparenz bleiben wünschenswert. Notwendig ist eine gesetzgeberische Klärung bzw. Klarstellung der Rechtsverhältnisse der unterschiedlichen Akteure im Zusammenhang mit der ePA, von der ausgehend sich die Fragen rund um die Einwilligung des Versicherten als Ausdruck der Datensouveränität sowie die Rollenverhältnisse und die Beachtung des Zweckbindungsgrundsatzes klären lassen dürften.

IV. Ausblick
Wesentlich für eine rechtssichere Ausgestaltung der (bereichsspezifischen) Regelungen zum Angebot und zur Nutzung der ePA wird es sein, dass der Gesetzgeber in einer Art „Rollen-Rechte-Konzept“ die Zuständigkeiten und Verantwortlichkeiten der Beteiligten klar und möglichst abschließend regelt. Gemeint ist hier (noch) nicht das Datenschutzrecht, sondern zunächst die eindeutige Beschreibung und Festlegung der sozial- und zivilrechtlichen Leistungsbeziehungen. Erst im Anschluss daran kann die Entscheidung getroffen werden, ob und wenn ja, welche bereichsspezifischen Datenschutzregelungen notwendig sind, um die erforderliche Rechtssicherheit zu erreichen.

Klar ist, dass jede – formal zulässige – Abweichung von den Vorgaben der DSGVO das Risiko in sich birgt, dass Kollisionen zwischen nationalem Recht und Gemeinschaftsrecht die Folge sind, und sei es, dass diese Kollisionen erst aufgrund von nachgelagerten Entscheidungen des EuGH zutage treten.