Die datenschutzrechtliche Verantwortlichkeit der Leistungserbringer nach dem Entwurf des Patientendaten-Schutz-Gesetzes

​veröffentlicht am 23. Juni 2020; Autoren: Christoph Naucke, Maximilian S. Dachlauer

Am 1.4.2020 hat das Bundeskabinett den Entwurf des Patientendaten-Schutz-Gesetzes (PDSG-E) beschlossen. Durch dieses Gesetz sollen digitale Lösungen schnell zum Patienten gebracht und dabei sensible Gesundheitsdaten bestmöglich geschützt werden. Neben dem E-Rezept und digital übermittelbaren Facharzt-Überweisungen bekommen die Patienten auch ein Recht darauf, dass der Arzt ihre elektronische Patientenakte (ePA) befüllt. Die ePA soll ab 1.1.2021 auch genutzt werden und ihren Mehrwert für die Versorgung der Patienten entfalten können. Neben Befunden, Arztberichten oder Röntgenbildern sollen dann ab 2022 auch der Impfausweis, der Mutterpass, das gelbe U-Heft für Kinder und das Zahn-Bonusheft in der elektronischen Patientenakte gespeichert werden. Der Gesetzesentwurf regelt aber auch die schon seit Längerem in Anwendung befindliche elektronische Gesundheitskarte teilweise neu und gibt ihr neue Funktionen.

„Dieses Gesetz nutzt und schützt Patienten gleichermaßen”, erklärt Bundesgesundheitsminister Jens Spahn. Was sich für den Patienten hochmodern und komfortabel anhört, kann sich für die Leistungserbringer, d. h. für Ärzte, Krankenhäuser oder Apotheken zu einem datenschutzrechtlichen Problem entwickeln. Denn: Jeder Arzt, jedes Krankenhaus oder jeder Apotheker ist für den Schutz der von ihm in diesem Zusammenhang verarbeiteten Patientendaten selbst verantwortlich. Was nach einer Selbstverständlichkeit aussieht, erhält rechtliches Zündpotenzial, sobald man sich vergegenwärtigt, dass der einzelne Leistungserbringer, so zum Beispiel der niedergelassene Vertragsarzt, von Gesetzes wegen verpflichtet ist, die elektronische Gesundheitskarte beziehungsweise die elektronische Patientenakte zu verwenden, sein Einfluss auf die damit korrelierenden Datenverarbeitungsvorgänge aber sehr beschränkt ist.

DIE TELEMATIKINFRASTRUKTUR ALS GRUNDLAGE

Grundlage dafür ist die extra geschaffene „Datenautobahn des Gesundheitswesens”, die sogenannte „Telematikinfrastruktur”. Die Telematikinfrastruktur vernetzt Leistungserbringer, Kostenträger und Versicherte (siehe auch § 306 Abs. 1 SGB V-E, Artikel 1 PDSG-E). Über 70 Millionen gesetzlich Versicherte, alle Vertragsärzte sowie Vertragszahnärzte, Psychotherapeuten, Apotheken, Krankenhäuser und Krankenkassen können sich an die Telematikinfrastruktur anschließen.

Die Telematikinfrastruktur umfasst sowohl eine dezentrale Infrastruktur als auch eine zentrale Infrastruktur sowie verschiedene Anwendungen (§ 306 Abs. 2 Nr. 1 –3 SGB V-E, Artikel 1 PDSG-E).

Die dezentrale Infrastruktur (Nr. 1) besteht aus Komponenten zur Authentifizierung und sicheren Übermittlung von Daten in die zentrale Infrastruktur. Nach der Gesetzesbegründung sind Komponenten der dezentralen Infrastruktur beispielsweise die elektronische Gesundheitskarte, die Heilberufs- und Berufsausweise sowie die Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, die die Authentifizierung, Verschlüsselung und elektronische Signatur gewährleisten. Auch zählen die Konnektoren dazu, die die sichere Verbindung zur Telematikinfrastruktur herstellen und sicherheitskritische Funktionalitäten anbieten, ebenso wie die E-Health-Kartenterminals zum Lesen der Karten und Ausweise.

Die zentrale Infrastruktur (Nr. 2) enthält sichere Zugangsdienste (z. B. über ein virtuelles privates Netzwerk, sog. „VPN”) als Schnittstelle zur dezentralen Infrastruktur und ein gesichertes Kommunikationsnetz. Die Anwendungsinfrastruktur als dritter Baustein der Telematikinfrastruktur (Nr. 3) hingegen besteht aus verschiedenen technischen Diensten und Systemen, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen und überhaupt nutzbar machen (z. B. das sog. Versichertenstammdatenmanagement oder auch die elektronische Patientenakte als Software).

UNKLARHEITEN BEI DER VERTEILUNG DER DATENSCHUTZRECHTLICHEN VERANTWORTLICHKEITEN INNERHALB DER TELEMATIKINFRASTRUKTUR

In der Telematikinfrastruktur werden Gesundheitsdaten verarbeitet. Diese müssen nach der Datenschutz-Grundverordnung besonders geschützt werden. Folgerichtig sieht auch der Gesetzesentwurf für deren Verarbeitung in der Telematikinfrastruktur ein dem besonderen Schutzbedarf entsprechend hohes Schutzniveau vor, dem durch entsprechende technische und organisatorische Maßnahmen Rechnung zu tragen ist (§ 306 Abs. 3 SGB V-E, Artikel 1 PDSG-E). Die erforderlichen technischen und organisatorischen Maßnahmen für die Telematikinfrastruktur legt die Gesellschaft für Telematik im Rahmen ihrer gesetzlichen Aufgabenwahrnehmung fest. Die Telematikinfrastruktur muss durch die dem hohen Schutzniveau angemessenen und verhältnismäßigen technischen und organisatorischen Maßnahmen nach dem Stand der Technik die besonders schutzwürdigen personenbezogenen Daten gegen unbefugte Kenntnisnahme und Verwendung schützen und die Gewährleistungsziele Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit einhalten.

Die Verteilung der datenschutzrechtlichen Verantwortlichkeit erfolgt nach dem Gesetzesentwurf zunächst anbieterbezogen. Die Anbieter der zentralen Infrastruktur sind für die Datenverarbeitung im Rahmen der Zugangsdienste und des Kommunikationsnetzes verantwortlich. Die Anbieter der Anwendungsinfrastruktur sind für die Datenverarbeitung zum Zweck der Nutzung des jeweiligen Dienstes verantwortlich.

Diese Verteilung begegnet insoweit keinen Bedenken, als dass sie vom Verursachungsprinzip ausgeht und denjenigen Verantwortung zuweist, die maßgeblichen Einfluss auf die Ausgestaltung der jeweiligen Infrastrukturkomponenten haben.

Im Bereich der dezentralen Infrastruktur erfolgt die Zuweisung der datenschutzrechtlichen Verantwortung im Gegensatz dazu nicht anbieter-, sondern anwenderbezogen. So sind die einzelnen Leistungserbringer, d. h. die einzelnen Vertragsärzte, für diejenigen Komponenten verantwortlich, die notwendig sind, um Daten in die zentrale Infrastruktur einzuspielen. Welche Komponenten notwendig sind und wie diese ausgestaltet und beschaffen sind, entscheidet jedoch nicht der einzelne Leistungserbringer. Auf die Wahl der Mittel hat er keinen Einfluss. Die Komponenten werden vielmehr von der Gesellschaft für Telematik vorgegeben (siehe § 311 SGB V-E, Artikel 1 PDSG-E).

Trotzdem sieht § 307 SGB V-E vor, dass der einzelne Leistungserbringer für die Verarbeitung der Gesundheitsdaten der Patienten mittels der in seiner Umgebung genutzten Komponenten der dezentralen Infrastruktur (voll) verantwortlich ist. Nach dem Gesetzeswortlaut betrifft dies die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung dieser Komponenten.

Problematisch ist hier insbesondere, dass unklar bleibt, was jeweils unter „Inbetriebnahme”, „Wartung” und „Verwendung” zu verstehen ist. So bleibt insbesondere offen, wie weit die Wartungspflichten reichen und was letztendlich alles unter „Verwendung” fällt. Auf die Datenverarbeitung innerhalb der dezentralen Komponenten bei der Verwendung hat der einzelne Leistungserbringer schließlich keinen Einfluss. Ebenfalls bleibt unklar, ob die Aufzählung des Verantwortungsbereichs abschließend ist.

Allein in der Gesetzesbegründung findet sich schließlich eine klarstellende Einschränkung, wie dieser Passus zu verstehen ist. So erstrecke sich die Verantwortlichkeit schwerpunktmäßig auf die Sicherstellung der bestimmungsgemäßen Nutzung der Komponenten, deren ordnungsgemäßen Anschluss und die Durchführung der erforderlichen fortlaufenden Software-Updates.

UNSCHÄRFE IM GESETZESTEXT BEDEUTET RISIKO FÜR ANWENDER

Der Gesetzeswortlaut des § 307 SGB V-E enthält in Bezug auf die Übertragung der datenschutzrechtlichen Verantwortlichkeiten auf die einzelnen Leistungserbringer keine Einschränkung. Zwar wird für die Verantwortlichkeit in der Gesetzesbegründung ein Schwerpunkt bestimmt. Da es jedoch sowohl bei der Anwendung als auch bei der Auslegung von Gesetzen in erster Linie auf den eigentlichen Gesetzeswortlaut ankommt und der einzelne Leistungserbringer meist keine Kenntnis von der Gesetzesbegründung haben wird, bedeutet der aktuelle Gesetzesentwurf ein Auseinanderfallen der datenschutzrechtlichen Verantwortung einerseits, die beim anwendenden Leistungserbringer liegt, und der Entscheidungsmöglichkeit über die einzusetzenden Mittel andererseits, die dem Leistungserbringer faktisch genommen ist, da schließlich die Gesellschaft für Telematik die Komponenten der Infrastruktur sowohl entwickelt und zulässt (neu geplanter § 311 Abs. 1 Nr. 4 und Nr. 10 SGB V-E, Artikel 1 PDSG-E).

Ohne eine Nachbesserung birgt § 307 SGB V-E für den einzelnen Leistungserbringer groß Unsicherheit. Zudem wird mit entsprechenden rechtlichen Auseinandersetzungen zwischen Leistungserbringern und den für sie zuständigen Datenschutzaufsichtsbehörden zu rechnen sein.