Bernd Schütze

Bundestag stimmte dem Digitale-Versorgung-Gesetz zu

Gestern, am 07.11.2019, stimmte der Bundestag dem Digitale-Versorgung-Gesetz (DGV) zu. Das Gesetz enthält diverse Regelungen – aus der Presse ist dem einen oder anderen ist wahrscheinlich noch das Thema „Apps auf Rezept“ bekannt, die Regelung findet sich im neuen § 33a SGB V, – dabei aber nur wenige aus Datenschutzsicht relevante Regelungen. Jedoch werden einige Regelungen vermutlich Datenschutzbeauftragte auf Grund der Anpassung oder Neuorientierung von Prozessabläufen beschäftigen. Insbesondere wird dies voraussichtlich für die folgenden Regelungen gelten:

  • Gemäß § 68a Abs. 5 SGB V dürfen Krankenkassen künftig die nach § 284 Abs. 1 erhobenen und gespeicherten Daten auswerten, um einerseits den Versorgungsbedarf und den möglichen Einfluss digitaler Innovationen auf die Versorgung zu ermitteln, andererseits positive Versorgungseffekte digitaler Anwendungen zu evaluieren. Zielsetzung dieser Datenverarbeitung ist die in Abs. 1 beschriebene Förderung digitaler Innovationen durch Krankenkassen.
  • In gleicher Weise ist es Krankenkassen künftig möglich, versichertenbezogene Daten für die Gewinnung von Versicherten für Versorgungsinnovationen auszuwerten (§ 68b Abs. 1)
  • 75b erteilt der Kassenärztlichen Bundesvereinigung den Auftrag Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung festzulegen. Dies betrifft natürlich sowohl Arztpraxen als auch Krankenhäuser, ausgenommen sind nur die Krankenhäuser, die bereits Maßnahmen nach § 8a Abs. 1 des BSI-Gesetzes ergreifen müssen.
  • 291 Abs. 2c SGB verfügt, dass Leistungserbringer bis zum 30.06.2021 gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung nachweisen müssen, dass sie über die für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Dienste verfügen. D.h., dass Arztpraxen und Krankenhäuser hier ihre IT-Systeme anpassen müssen, dementsprechend auch Berechtigungskonzept, IT-Sicherheitskonzept usw. an die neuen Verarbeitungen angepasst werden müssen.
  • 303a SGB V enthält die Einrichtung einer „Datensammelstelle“, die auch eine Vertrauensstelle und ein Forschungsdatenzentrum beinhaltet, die beide eigenhändig operieren und organisatorisch getrennt sind. Auch unterliegen beide Stellen dem Sozialgeheimnis nach § 35 SGB I.
  • 303b SGB V enthält die Vorgaben, welche Daten Krankenkassen an den Spitzenverband Bund der Krankenkassen als Datensammelstelle für jeden Versicherten übermitteln müssen
  • 303c SGB V regelt das Vorgehen der Vertrauensstelle bzgl. Pseudonymisierung. Dabei muss die Vertrauensstelle die Methode zur Pseudonymisierung der Versicherdaten im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festlegen. Natürlich muss das Verfahren dem jeweils aktuellen Stand der Technik entsprechen.
  • 303d SGB V enthält die Aufgaben des Forschungsdatenzentrums. Das Forschungsdatenzentrum ist u.a. für die Prüfung der Anträge auf Nutzung der in der Datensammelstelle gespeicherten Daten für Forschungszwecke zuständig, d.h. hier wird entschieden, wer auf welche pseudonymisierten Versichertendaten zu welchen zwecken Zugriff erhält.
    Auch sollen die in § 303e Abs. 1 SGB V genannten Nutzungsberechtigten (die grundsätzlich zur Datennutzung für Forschungszwecke berechtigten Organisationen und Vereine) beraten werden.
  • 303e SGB V benennt die Nutzungsberechtigten, d.h. die Organisationen, Institute und Vereine, die auf die in der Datensammelstelle gespeicherten Versichertendaten zu Forschungszwecken zugreifen können. Neben öffentlichen Institutionen wie z.B. Anstalten öffentlichen Rechts haben auch private Organisationen Zugriffsmöglichkeiten wie beispielsweise außeruniversitären Forschungseinrichtungen oder „sonstige“ Einrichtungen, die sich mit der Aufgabe unabhängiger wissenschaftlicher Forschung beschäftigen. § 303e Abs. 2 SGB V enthält die Forschungszwecke, für welche Nutzungsberechtigte Anträge stellen können. Als Beispiele werden u.a. „Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung“ und „Krankenhausplanung“ genannt.

Der Gesetzesentwurf ist unter http://dip21.bundestag.de/dip21/btd/19/134/1913438.pdf abrufbar. Die oben genannten Regelungen treten entsprechend Art. 7 DGV überwiegend nach Verkündung, also nach Veröffentlichung im Bundesgesetzblatt, in Kraft. Einige wenige, i.d.R. abrechnungsrelevante, Regelungen, treten aber auch erst zum 1.1.2020 in Kraft.

Die Aufhebung von § 68 SGB V, d.h. die Finanzierung einer persönlichen elektronischen Gesundheitsalte des Versicherten durch die Krankenkasse, wird am 31. März 2022 ersatzlos gestrichen. Vermutlich hofft der Gesetzgeber, dass bis dahin andere Patientenakten etabliert und einsatzfähig sind. Wenn man die Dauer der Einführung der eGK bedenkt (geplanter Rollout war ja 1.1.2006), darf man gespannt sein, ob bis März 2022 eine den Datenschutzgesetzen genügende elektronische Patientenakte für alle Versicherten nutzbar ist.

Berichterstattung der letzten Tage: Die Nutzung von Versichertendaten für Forschungszwecke

Das DGV wurde in den letzten Tagen überwiegend wegen der Regelung der Bereitstellung von Versicherdaten für medizinische Forschungszwecke in den Medien vertreten (neue §§ 303a bis 303f SGB V im Gesetz). Daher soll an dieser Stelle zu einigen Punkten der Berichterstattung eingegangen werden.

  1. Tatsächlich erfolgt eine Bereitstellung der Versichertendaten ohne Zustimmung der betroffenen Personen und bietet auch keinerlei Widerspruchsmöglichkeit zur Verarbeitung dieser Daten für ein bestimmtes Forschungsprojekt.
  2. Die Tagesschau berichtete gestern dass Daten anonymisiert werden. Hierbei handelt es sich um eine Falschmeldung: Das Gesetz sieht lediglich eine Pseudonymisierung vor, d.h. die Daten sind nach wie vor personenbeziehbar und können einzelnen Versicherten zugeordnet werden. Erfolgt die Pseudonymisierung hinreichend gut, ist dies den Forschern, die nur pseudonymisierte Daten erhalten, jedoch legal nicht möglich.
  3. In der Zeit ist das Zitat „Datenschutz auf höchstem Standard“ von Jens Spahn zu finden (Bericht vom 7.11.2019), zugleich sind Nutzungsberechtigte Anstalten öffentlichen Rechts wie Kassen oder Krankenhausgesellschaften, (private) Forschungseinrichtungen wie Fraunhofer oder Max-Planck Gesellschaft sowie „sonstige Einrichtungen“. Das Gesetz fordert in § 303e Abs. 4 SGB V von den jeweiligen Forschungsgruppen die Einhaltung von zwei Punkten
    1. Personen müssen der Geheimhaltungspflicht nach § 203 StGB unterliegen
    2. toM müssen sicherstellen, dass die Verarbeitung auf das erforderliche Maß beschränkt und ein Kopieren der Daten verhindert wir

Dies ist dann nach Ansicht des BMG wohl „Datenschutz auf höchstem Niveau“. Ob dies den Anforderungen von Art. 89 Abs. 1 DS-GVO genügt? Man erinnere sich: Geeignete Garantien für die Rechte und Freiheiten der betroffenen Person. D.h. neben Privacy by Design, Datenschutz-Folgenabschätzung und Sicherheit der Verarbeitung natürlich auch die Wahrung der Grundsätze nach Art. 5 DS-GVO sowie die Gewährleistung der Betroffenenrechte nach Kapitel III DS-GVO. Es darf bezweifelt werden, ob die Regelungen in § 303e SGB V diesen Ansprüchen genügt.

Ein kurzes Fazit zum Gesetz

Aus Sicht der Patienten: Die in § 33a SGB V angesprochenen digitalen Anwendungen beinhalten sicherlich das Potential, die Gesundheitsversorgung zu verbessern. Sei es, dass Apps an die Einnahme von Medikamenten erinnern, Blinden mitteilen, ob eine Ampel grün oder rot ist oder, oder, oder – die vorstellbare Anzahl nützlicher Anwendungen ist kaum überschaubar. Verschrieben werden dürfen nur Medizinprodukte der Klasse I oder IIa, entsprechend § 139e Abs. 4 SGB V müssen Hersteller positive Versorgungseffekte erst nach 12 Monaten erbringen. Gerade im Bereich von Klasse 1 Medizinprodukten, wo Hersteller keine benannte Stelle einschalten müssen und die Konformität mit den Anforderungen der MDR lediglich selbst bestätigen, kann daraus auch eine Gefährdung des Patienten erwachsen: Keine externe Stelle prüft, ob überhaupt die Vorgaben der MDR eingehalten wird und das Produkt keinen Schaden anrichtet. Man denke z.B. an eine App, die an die Einnahme von Medikamenten erinnert, sich aber nicht merkt, dass eine Erinnerung bereits erfolgte: Gerade bei Patienten mit Gedächtnisstörungen kann dies zur wiederholten Einnahme des Medikaments führen – u.a. bei kardiovaskulär wirkenden Medikamenten kann dies lebensbedrohliche Folgen bedeuten.

Aus Sicht der Datenschutzbeauftragten: Das Gesetz wird Datenschutzbeauftragten in Versorgungseinrichtungen zweifelsfrei neue Arbeit bescheren. Prozesse müssen angepasst und neue Verfahren eingeführt werden – der Datenschutzbeauftragte wird diese Prozesse begleiten und bzgl. der Einhaltung datenschutzrechtlicher Vorgaben bewerten müssen.

Erfreulich ist, dass bzgl. der Regelung der IT-Sicherheit in der vertragsärztlichen Versorgung der Bundesbeauftragte für den Datenschutz einbezogen wird (§ 75b Abs. 3 SGB V). Allerdings muss die Kassenärztliche Versorgung sich nur ins „Einvernehmen“ setzen und was die KBV unter „Einvernehmen“ versteht, hat sie in der Vergangenheit gezeigt: Die KBV fragt die Meinungen anderer ab, nimmt diese zur Kenntnis und ignoriert diese Meinungen, wenn sie ihr nicht gefallen. Aber durch diese Regelung wird der BfDI zumindest über die Vorhaben vorab informiert und kann sich vorbereiten, wie beispielsweise Presseerklärungen herausgeben, Bevölkerung/interessierte Kreise informieren oder ggf. Versuchen, Abhilfebefugnisse durchzusetzen.

Dass gerade bei den an eine Vorratsdatenspeicherung erinnernden Regelungen zur Datensammelstelle sowie den Nutzungen der Versicherdaten auf den sach- und fachkundigen Rat des Bundesbeauftragten verzichtet wird, ist mehr als nur unschön: Es kommt einer Entmündigung der Bürger gleich. Die EU Datenschutz-Grundverordnung sieht derartige Grundrechtseingriffe nur vor, wenn das öffentliche Interesse bzw. der Nutzen für die Allgemeinheit entsprechend hoch ist. Gerade der Nutzen wird von verschiedenen Ärzten aber angezweifelt: Daten bei den Krankenkassen sind „abrechnungsoptimiert“. Viele erinnern sich noch an die Berichterstattung über die Zunahme der chronischen Diagnosen bei Patienten, weil Krankenkassen chronische Patienten besser honorieren als „einfach erkrankte Patienten“. Ist diese Datenbasis überhaupt geeignet, auch nur eine einfache epidemiologische Fragestellung anzugehen? Von der Beantwortung von Fragestellungen hinsichtlich der medizinischen Versorgung einmal völlig abgesehen. Aber wenn der Nutzen der Daten schon zweifelhaft ist, was rechtfertigt dann diesen ungeheuren Eingriff in die verfassungsmäßig garantierten Grundrechte der Bürger? Insbesondere unter der Berücksichtigung, dass bei der Bewertung, wer auf diese Daten zugreifen soll, Betroffenenvertreter, zu denen ja eigentlich auch Datenschutz-Aufsichtsbehörden zählen, komplett außen vor bleiben. Wenn man sich an das Urteil des EuGH erinnert (Urt. v. 8.4.2014, AZ C‑293/12 und C‑594/12), so ist die Wahrung des Grundsatzes der Verhältnismäßigkeit bei einer Vorratsdatenspeicherung zwingend einzuhalten. Analog zur damals vorgesehenen Vorratsdatenspeicherung enthält auch die Regelung der §§ 303aff SGB V einen Zugriff auf die Daten aller Versicherten ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ergebnisse, die die Forschung mit diesen Daten überhaupt ermöglicht. Man könnte ja noch einmal in die Presseerklärung des EuGH blicken, worin ja – in stark verkürzter Form – dargestellt wird, was bei einer Vorratsdatenspeicherung, wie sie zweifelsfrei die Datensammelstelle darstellt, zu beachten ist.

 

Autor:
Bernd Schütze

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert