Bundesrat fordert mehr Patientendatenschutz

Der Bundesrat sieht umfangreichen Änderungsbedarf an dem von der Bundesregierung geplanten Patientendaten-Schutz-Gesetz, mit dem das Gesundheitswesen weiter digitalisiert werden soll. In seiner am 15. Mai 2020 beschlossenen Stellungnahme äußert der Bundesrat insbesondere datenschutzrechtliche Bedenken.

Verantwortung für die Datenverarbeitung klären

Damit der Patientendatenschutz im digitalisierten Gesundheitswesen tatsächlich erreicht werden kann, sollte die Gesellschaft für Telematik nach Ansicht des Bundesrates mehr in die Verantwortung für die Verarbeitung der personenbezogenen Daten genommen werden. Der Gesetzentwurf wälze diese Verantwortung zu sehr auf die Diensteanbieter ab. Weiter bemängelt der Bundesrat, dass für die Versicherten nicht erkennbar ist, wer im Falle eines Datenlecks oder unbefugten Datenlöschung die Verantwortung trägt.

Betroffenenrechte nicht einschränken

Ausdrücklich kritisierten die Länder, dass technische Schutzmaßnahmen im Zweifel Betroffenenrechte gegenüber dem Verantwortlichen ausschließen können. Es sei nicht ersichtlich, welche Ausnahmen eine solche Einschränkung der Betroffenenrechte rechtfertige. Die Regelung sei als unionsrechtswidrig zu streichen.

Sicheres Verfahren erforderlich

Mit Blick auf in der Vergangenheit aufgedeckte Sicherheitslücken bei der Authentifizierung drängt der Bundesrat darauf, dass die Gesellschaft für Telematik verpflichtet wird, sichere Verfahren zu bestimmen. Zudem warnt er vor einem Interessenkonflikt bei der Zulassung von Komponenten und Diensten und plädiert deshalb dafür, diese Aufgabe anstelle der Gesellschaft für Telematik dem Bundesamt für Sicherheit in der Informationstechnik zu übertragen.

Nachbesserungen erforderlich

Regelungsbedarf sehen die Länder auch bei der Datenschutzsicherheit von Apps und Smartphones, über die Patienten auf die ePA zugreifen. Für notwendig halten sie ferner Regelungen, die es den Versicherten ermöglichen, die Verarbeitung ihrer Daten durch die Krankenkassen zu beschränken. Deutlich hebt der Bundesrat hervor, dass die Datensouveränität jederzeit beim Patienten liegen müsse. Eine weitere Forderung betrifft die Information der Patienten über die ePA: Sie müsse auch für Menschen zugänglich sein, die keinen Zugang zum Internet haben.

Rezept auch weiterhin auf Papier

Darüber hinaus möchte der Bundesrat, dass auch häusliche Krankenpflege elektronisch verordnet werden kann. Im Übrigen spricht er sich dafür aus, dass Versicherte weiterhin die Wahl zwischen einem eRezept und einer Verordnung in Papierform haben sollten. Andernfalls werde ein faktischer Zwang zur Nutzung eines Smartphones geschaffen, der schon aus Datensicherheitsgründen nicht zumutbar sei. Zudem gebe es Situationen, in denen ein Smartphone schlicht nicht vorhanden sei, beispielsweise nach einem Unfall.

Eckpunkte des Gesetzentwurfes: eRezept

Der Regierungsentwurf für das Patientendatenschutz-Gesetz sieht unter anderem vor, dass ärztliche Verordnungen ab 2022 nur noch per eRezept erfolgen. Versicherte können dann per App eRezepte in einer Apotheke ihrer Wahl – entweder vor Ort oder auch online – einlösen. Das grüne Rezept für nicht verschreibungspflichtige Arzneimittel gibt es laut Gesetzentwurf künftig ebenfalls elektronisch. Auch Facharzt-Überweisungen lassen sich danach digital übermitteln.

Befüllen der elektronischen Patientenakte

Außerdem erhalten Patienten ein Recht darauf, dass der Arzt ihre elektronische Patientenakte (ePA) befüllt, die die Krankenkassen ab 2021 anbieten müssen. Für diese ersten Einträge erhalten Ärzte eine Vergütung – ebenso, wenn sie ihre Patienten bei der weiteren Verwaltung der ePA unterstützen.

Versicherte entscheiden

Weiter soll das geplante Gesetz ermöglichen auch, dass neben Befunden und Arztberichten oder Röntgenbilder ab 2022 auch der Impfausweis, der Mutterpass, das gelbe U-Heft für Kinder und das Zahn-Bonusheft in der ePA gespeichert wird. Welche Daten in der ePA aufgenommen und wieder gelöscht werden, entscheidet der oder die Versicherte. Ab 2022 sollen sie die Möglichkeit bekommen, über Smartphone oder Tablet für jedes einzelne gespeicherte Dokument entscheiden zu können, wer darauf zugreifen darf.

Einsicht bei den Krankenkassen

Versicherte, die kein entsprechendes Handy besitzen, sollen ihre ePA in ihrer Krankenkassen-Filiale einsehen können. Ab 2022 müssen Krankenkassen hierfür geeignete Geräte zur Verfügung stellen.

Bußgelder zum Datenschutz

Darüber hinaus regelt der Gesetzentwurf den Schutz der Patientendaten durch Ärzte, Krankenhäuser und Apotheker. Anbieter von Telematikdiensten müssen sich zertifizieren lassen, andernfalls drohen ihnen Bußgelder. Betreiber von Diensten und Komponenten innerhalb der Telematikinfrastruktur sind zudem verpflichtet, Störungen und Sicherheitsmängel unverzüglich an die Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) zu melden. Tun sie das nicht, müssen sie mit Bußgeldern bis zu 250.000 Euro rechnen.

Nächste Stationen: Bundesregierung, Bundestag

Die Stellungnahme wurde der Bundesregierung zugeleitet, die in den nächsten Wochen dazu eine Gegenäußerung verfasst und dann alle Dokumente dem Bundestag zur Entscheidung vorlegt.

Quelle: Bundesrat, 15.05.2020