Bundeskabinett beschließt umstrittenes Patientendaten-Schutzgesetz

​veröffentlicht am 30. April 2020

Das Bundeskabinett hat am 01.04.2020 den Entwurf eines Patientendaten-Schutzgesetzes beschlossen. Es enthält u.a. das Recht des Patienten, vom Arzt die Befüllung seiner elektronischen Patientenakte zu verlangen, die bei der Krankenkasse geführt wird. Der Bundesbeauftragte für den Datenschutz und die KBV melden datenschutzrechtliche Bedenken an.

Der bereits seit einigen Monaten vorliegende Referentenentwurf eines Patientendaten-Schutzgesetzes (PDSG) ist am 01.04.2020 vom Bundeskabinett verabschiedet worden. In dem Entwurf werden die Krankenkassen verpflichtet, ihren Versicherten ab 2021 eine elektronische Patientenakte (ePA) anzubieten. Die in dieser Akte speicherbaren Daten sollen sukzessive erweitert werden. Für 2022 sind für die ePA neben Befunden, Arztberichten oder Röntgenbildern beispielsweise auch der Impfpass, der Mutterpass, das Heft über die Kindervorsorgeuntersuchungen und das Zahn-Bonusheft vorgesehen.

Die Nutzung der ePA ist freiwillig. Der Patient entscheidet fallweise über die Übertragung von Daten in die ePA und deren Löschung. Die Freigabe zur Verwendung erfolgt durch den Patienten und differenziert pro Dokument. Der Patient soll seine ePA ab 2022 über sein Smartphone oder Tablet selbst einsehen können. Alternativ sind Einsichtsmöglichkeit in der Filiale der Krankenkasse vorgesehen.

Durch den im SGB V neu vorgesehenen § 306 wird festgelegt (Abs. 2), dass die Telematikinfrastruktur u.a. eine dezentrale Infrastruktur umfasst, die aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur besteht. Der neu geplante § 311 SGB V sieht in Abs. 1 Nr. 4 vor, dass die Zulassung von Komponenten der Telematikinfrastruktur durch die Gematik erfolgt sowie in Abs. 1 Nr. 10, dass die Gematik solche Komponenten entwickelt und zur Verfügung stellt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) beanstandet in seiner Stellungnahme zu dem Gesetz, dass durch diesen Ansatz Komponentenentwicklung und Komponentenprüfung in einer Hand zusammengeführt würden, mithin eine Selbstprüfungskonstellation entsteht. Er sieht ein externes Sicherheitsgutachten nicht als ausreichendes Korrektiv hierfür an. Den zeitlichen Abstand zwischen der Einführung der ePA zum 01.01.2021 und der Möglichkeit für den Versicherten, diese selbst einzusehen (ab dem 01.01.2022), bewertet der BfDI äußerst kritisch und droht ausdrücklich an, den Krankenkassen die Einführung einer solchen, aus seiner Sicht datenschutzwidrigen ePA zu untersagen.

In ihrer Stellungnahme zu dem Referentenentwurf beanstandet die Kassenärztliche Bundesvereinigung (KBV), dass die datenschutzrechtliche Verantwortung für die Verarbeitung der Patientendaten mit den Komponenten der dezentralen Infrastruktur nach dem derzeitigen Gesetzestext bei den Leistungserbringern, also insbesondere der niedergelassenen Ärzte liegen wird, obwohl diese keinen Einfluss auf die Entwicklung der betreffenden Komponenten und die darin stattfindenden Datenverarbeitungsprozesse haben.