key: cord-0837801-9xtn2dno
authors: Dochow, Carsten
title: Das Patienten-Datenschutz-Gesetz (Teil 1): Die elektronische Gesundheitskarte und Telematikinfrastruktur
date: 2020-12-04
journal: Medizinrecht
DOI: 10.1007/s00350-020-5725-6
sha: c7ee2fb16e39e545a954628efdc5ed0bd88d2aaa
doc_id: 837801
cord_uid: 9xtn2dno

nan

Die bisherigen Vorschriften zur Gesundheitstelematik, die vor allem in den § § 291 a bis 291h SGB V a. F. zu finden waren 18 Zentral für die Funktionalitäten der TI ist der 5. Abschnitt zu den Anwendungen der TI ( § § 334-363 SGB V), der neben allgemeinen Vorschriften zu Anwendungen, einem Diskriminierungsverbot und Zugriffsrechten der Versicherten ( § § 334-340 SGB V) unter anderem die maßgeblichen Regelungen für die elektronische Patientenakte (ePA) enthält (341) (342) (343) (344) (345) (346) (347) (348) (349) (350) (351) (352) (353) (354) (355) . Ferner sind in diesem Abschnitt die Zugriffsrechte auf weitere Anwendungen für persönliche Erklärungen ( § § 356 f. SGB V), Bestimmungen zum elektronischen Medikationsplan (eMP) und zu den elektronischen Notfalldaten (NFD) ( § § 358 f. SGB V) sowie Regelungen für elektronische Verordnungen ( § § 360 f. SGB V) enthalten. Zuletzt unterfallen diesem Abschnitt Regelungen zur Nutzung der Anwendungen der TI in der privaten Krankenversicherung ( § 362 SGB V) und zur Verfügbarkeit von Daten aus Anwendungen der TI für Forschungszwecke ( § 363 SGB V) .

In einem 6. Abschnitt werden ohne inhaltliche Änderungen die Vorgaben für Vereinbarungen zu "Telemedizinischen Verfahren" (z. B. Telekonsile oder Videosprechstunden) 23 Die neue Struktur löst die bisherige bloße Aneinanderreihung und bisherige Fortschreibung der § § 291 a ff. SGB V a. F. ab und verleiht eine übersichtlichere Struktur. Die neue Sortierung stellt noch deutlicher die hohe Komplexität heraus, welche das Vorhaben der Gesundheitstelematik mit sich bringt. Der Umfang des Normbestandes wird noch einmal erhöht, was z. B. mit der differenzierten Festlegung der Zugriffsrechte je Anwendung zusammenhängt. Inwieweit künftige Gesetzesänderungen die alte Unübersichtlichkeit wiederherstellen, bleibt abzuwarten.

Das Artikelgesetz mit dem aus Datenschutzsicht vielversprechenden Kurztitel "Patienten-Datenschutz-Gesetz" (PSDG) führt auch nicht zu grundlegenden Neuregelungen des Patientendatenschutzes. Es bleibt bei dem Regelungsgefüge im Bereich des Gesundheitsdatenschutzrechts, das durch die DSGVO, Regelungen im BDSG oder in Landesdatenschutzgesetzen sowie bereichsspezifischen Gesetzen gekennzeichnet ist. Vorschriften, die durch das PDSG erlassen werden und datenschutzrechtlichen Regelungsgehalt aufweisen, gehören überwiegend zu den bereichsspezifischen Datenschutznormen. Soweit Anwendungen der TI als Pflichtanwendungen dezidiert der Verwaltung des Gesundheitssystems dienen und insoweit unabhängig von der Einwilligung des Versicherten eine Datenverarbeitung erlauben, können die Regelungen auf Art. 9 Kritisiert wurde die Bezeichnung als "Datenschutzgesetz" schon bezogen auf den Referentenentwurf, weil datenschutzrechtliche Maßgaben eher außer Acht gelassen werden und das Gesetz der Bezeichnung damit nicht gerecht werde 40 . Ungeachtet dessen bewirkt das PDSG wohl eher ein "Informationsnutzungsrecht" 41 , das dem legitimen Anliegen der Verarbeitung von Gesundheitsdaten zur verbesserten Gesundheitsversorgung dient. Damit steht es in Kontinuität zu vergangenen Änderungen an den § § 291 a ff. SGB V a. F., die seit dem GMG zunehmend zu einer Ausweitung der Verarbeitungsbereiche und -befugnisse führen sollten. Das PDSG will nun z. B. "Spenden" zur Sekundärnutzung von Daten ermöglichen und die Anbindung von neuen Zugriffsberechtigten und Zugriffsverfahren erleichtern.

Die Regelungen der § § 291 ff. werden grundlegend neu strukturiert und die neuen Regelungen zur eGK sind fortan in den § § 291 bis 291c SGB V enthalten. Die neuen Bestimmungen, die viele der bekannten Regelungen enthalten, sind nun übersichtlicher gestaltet, weil insbesondere die Regelungen zur TI herausgelöst worden sind. Überzeugend ist der Standort im 10. Kapitel (Versicherungs-und Leistungsdaten, Datenschutz, Datentransparenz) im ersten Abschnitt (Informationsgrundlagen, § § 284 ff. SGB V), weil die eGK und die darauf enthaltenen und damit verarbeiteten Daten zu den Sozialdaten zählen, welche durch die Krankenkassen als Stellen i. S. v. § 35 SGB I verarbeitet werden.

Durch die Neugestaltung kann dem landläufigen Missverständnis entgegengewirkt werden, die vorgesehenen Anwendungen des § 291 a Abs. 3 S. 1 SGB V a. F. seien "auf der Karte" enthalten. Das 

Hervorzuheben ist nach wie vor die Funktion der eGK als Zugangsschlüssel des Versicherten zur TI, auch wenn künftig alternativ "mittels einer Benutzeroberfläche eines geeigneten Endgeräts" 47 

§ 87 Abs. 1 S. 13 ff

§ 342 Abs. 2 SGB V; zum eRezept § 360 Abs

§ 291 b Abs. 5, § 341 Abs. 6, Abs. 7, § 342 Abs. 5 SGB V

Kap. 5, Rdnrn. 1 f., 4 ff., s. a. Vorwort; Wischmeyer, Die Verwaltung

Zum Begriff s. bei Veil

Bisher § 291 Abs. 2 SGB V a. F.; s. nun § 291 Abs. 4 SGB V

die Anpassung der Normüberschrift und Abs. 1 in § 291 a SGB V a

§ 336 Abs. 2, § 339 Abs. 4 SGB V; zuvor schon wegbereitend in § 291 a Abs. 5 S. 8 SGB V a

Abweichend davon werden gem. § 334 Abs. 2 SGB V nur die Anwendungen gem

Bisher § 291 Abs. 2a SGB V a

Zu § 15 Abs. 2 SGB V s. Dochow, WzS

Krit. zu den "statusergänzenden Merkmalen" Scholz, in: BeckOK SozR, 58. Ed, Stand: 1. 9. 2020, § 291 SGB V, Rdnr. 5 m. w. N

5 SGB V; bisher § 291 a Abs. 2 Nr. 2 SGB V a

§ 291 Abs. 2 Nr. 3 i. V. mit § 358 Abs. 4 SGB V

zum Ablauf zusf. Scholz, in: BeckOK SozR, 58. Ed, Stand: 1. 9. 2020, § 291 SGB V, Rdnrn. 4a.1 ff.; zur Rspr. s. Dochow, WzS 2015, 104, 105 ff. und WzS

2018 -B1 KR 31/17 R = NZS 2019, 670 ff.; zum Lichtbild auf der eGK s. a. Dochow, WzS

Elektronischer Heilberufsausweis (für Ärzte auch "elektronischer Arztausweis"), zur Ausgabe s. § 340, § 312 Abs. 1 Nr. 9 SGB V. Er muss über eine Möglichkeit zur sicheren Authentifizierung und zur Erstellung qualifizierter elektronischer Signaturen verfügen

Komponenten zur Authentifizierung von Leistungserbringerinstitutionen (auch "elektronischer Praxisausweis"), s. a. § 340 SGB V

Künftig soll es weitere (mobile) Zugangsmöglichkeiten geben

Ärzte Zeitung online v. 18. 9

Zu den Pflichten s. zusf. z. B. Conrad, DuD

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) v. 12. 9

Nutzer" findet sich auch in § 313 und § 355 SGB V wieder, wird i. Ü. aber in Bezug auf den Versicherten verstanden, wenn von "nutzerbezogenen Funktionalitäten" und "Nutzerfreundlichkeit

Für diese gelten besondere Anforderungen im Hinblick auf Sorgfalt und notwendige Fachkunde: s. § 332 SGB V (bisher § 291 b Abs. 6a SGB V a

19/18793, S. 100; zu den entspr. Anforderungen s. Petri

Die DSGVO und das nationale Recht

Die DSGVO und das nationale Recht

Pflichtanwendungen Art. 9 Abs. 2 lit. h, i DSGVO; s. a. o. bei I

ErwG 79, vgl. zum Prinzip der Verantwortlichkeit Artikel-29-Datenschutzgruppe

Urt. v. 13. 5. 2014, Rs. C-131/12 -(Google Spain), Rdnr. 34)

ff. (erforderlich ist ein "Eigeninteresse

Artikel-29-Datenschutzgruppe

ZD 2019, 143, 145 m. w. N

Datenschutz in der ärztlichen Praxis

Diese sind keineswegs durch den Gesetzgeber vorgegeben, sondern konkretisieren sich in Abhängigkeit von Indikation und Patientenwillen hin zur Nutzung einer bestimmten Anwendung in einem bestimmten Umfang, ggf. mit bestimmten Akteuren zu z. B. einem bestimmten Therapiezweck. A. A. wohl BT-Dr. 19/18793

Nutzer" der TI zugleich Betroffene i. S. v. Art. 4 Nr. 1 DSGVO. Allg. zum Problem, dass Nutzer in die Verantwortlichkeit gedrängt werden s

1 lit. b und e, Nr. 2 SGB V; vgl. für die ePA auch § 354 SGB V

§ 311 Abs. 1 S. 1 Nr. 4, § 325 SGB V. S. a. das bußgeldbewehrte Verbot: § 326 i. V. mit § 395 Abs. 2a Nr. 1 SGB V

2 S. 2 SGB V; für die ePA s

3 sowie § 355 SGB V, wonach die KBV die Inhalte definiert

1 lit. a SGB V; vgl. ferner § 330 SGB V

Stellungnahme zum PDSG v. 25. 5. 2020, Ausschuss-Dr

19/18793, S. 101; ähnl. wohl Heckmann, Stellungnahme zum PDSG v

Beachte aber die Befugnis zur Sperrung von Komponenten und Diensten gem

Für Leistungserbringer und andere Nutzer der TI, die unabhängig voneinander Daten in Anwendungen dieses Netzwerkes übermitteln, liegt dagegen in der Regel eine getrennte Verantwortlichkeit nahe; vgl. Artikel-29-Datenschutzgruppe

Die DSGVO und das nationale Recht, S. 25 m. w. N

zum Ref E des Lf DI BaWü

die sich isoliert auf die Arztpraxis und nicht auf die (Anwendungen und Dienste der) Infrastruktur konzentrieren, sind für diese Frage nicht weiterführend. Näher zur DSFA s. Dochow, MedR 2019, 646 ff.; Dochow

Analyse und konstruktive Kritik der offiziellen Datenschutzfolgenabschätzung der Corona-Warn-App

Zur verfassungsrechtlichen Rechtfertigung s. nur Schifferdecker, in: KassKomm, 110. EL, Juli 2020, § 291 a SGB V, Rdnrn. 14 ff. m. w. N. aus der Rspr

§ 341 Abs. 2 Nr. 1 lit. d, § 349 SGB V; s. a. § 383 SGB V ( § 291 f SGB V a

Zur bisher offenen Konzeption des § 291 a SGB V s. Dochow

§ 291 a SGB V, Rdnr. 42; Weyd

19/18793, S. 103; s. a. Braun

§ 356 SGB V, bisher nicht so klar in § 291 a Abs. 5a S. 1 SGB V a

S. zu den bisherigen Regelungen Dochow, Telematik im Gesundheitswesen, 2017, S. 1049 ff

19/18793, S. 127, wonach es sich um eine "gesetzliche Befugnisnorm" handeln soll

§ 352 SGB V in BT-Dr. 19/18793

Die eGK wird weiterhin mit einer PIN ausgestattet sein, vgl. § 336 Abs. 5 SGB V

Telematik im Gesundheitswesen

hierzu"), könnte auch vertreten werden, dass die technische Zugriffsfreigabe zusätzlich zur ausdrücklichen Einwilligung erfolgen muss

Rdnr. 150; Dochow, GesR 2016, 401, 407; Dochow, Telematik im Gesundheitswesen

Rdnr. 150. Nach einer anderen Auffassung sind zusätzliche Bedingungen und Formerfordernisse als "Minus" zur Untersagung der Einwilligung durch mitgliedstaatliches Recht nach Art. 9 Abs. 1 lit. a DSGVO zulässig, so Kühling/Martini et al., Die DSGVO und das nationale Recht

§ 291 a SGB V, Rdnrn. 70 ff., dag. allg. zu einer gesetzlichen Verarbeitungsgrundlage mit

Hierunter werden diejenigen Personen und Institutionen verstanden, denen nach den Zugriffsnormen (z. B. § § 352

unter d) ein genereller Zugriff auf Anwendungen eingeräumt wird, auch wenn die Legitimation und Autorisierung im Einzelfall von der Einwilligung des Versicherten abhängt

Für Personen, die nicht über einen eHBA verfügen, ist nach § 339 Abs. 5 SGB V auch ein Zugriff ohne eHBA zulässig

Bisher nicht rechtlich vorgesehen, s. Dochow/Kreitz, ZfmE

Zur ePA s. näher IV

19/18793, S. 110, 128, 130; zur Kritik am Verfahren, weil der Token nicht mehr der Sicherheit der TI unterliegt, s. Mand/Meyer

Zu Ausnahmen s. § 360 Abs. 3 SGB V

Nr. 3 SGB V mit Angehörigen eines Pflegeberufs, die in einer Pflegeeinrichtung, einem Hospiz oder einer Palliativeinrichtung beschäftigt sind

312 Abs. 2, § 357 Abs. 1 Nr. 3 SGB V

19/18793, S. 110; für die ePA s. aber die Regelung zur Dauer des Zugriffsrechts in § 342 Abs. 2 Nr. 1 lit. e und f SGB V

Für Eigeneinrichtungen, ausschließlich privat tätige Ärzte sowie Psychotherapeuten vergibt die KBV diese Nummern, § 313 Abs. 6 SGB V

Zur Verfassungsmäßigkeit s. Dochow, Telematik im Gesundheitswesen

§ 334 Abs. 1 S. 2 Nr. 6 i. V. mit § 86 Abs. 3 SGB V (eVerordnungen)

Patientensouveränität" durch spezifische Betroffenenrechte Durch die im Rahmen der TI implementierten Werkzeuge zur Ausübung informationeller Selbstbestimmung (im PDSG sog

Dem Betroffenen sind viele praktische Möglichkeiten eröffnet, seine Rechte faktisch selbst zu realisieren. Dies wird zum Teil durch eigenständige Zugriffsbefugnisse des Versicherten auf Anwendungen möglich, was Auskünfte gem

Neu sind hingegen die umfangreichen Regelungen zur Realisierung des Einsichtsrechts 230 durch sehr umständlich formulierte Zugriffsregelungen, die aber Klarheit für die Versicherten schaffen sollen 231 : Jeder Versicherte ist gem. § 336 Abs. 1 SGB V berechtigt, auf Daten in einer Anwendung nach § 334 Abs. 1 S. 2 Nr. 1 bis 3 und 6 (ePA, persönliche Erklärungen, eVerordnungen) mittels seiner eGK barrierefrei zuzugreifen, wenn er sich für diesen Zugriff jeweils durch ein geeignetes technisches Verfahren authentifiziert hat. Ein Authentifizierungsmittel ist eine PIN 232 . Ein von der eGK unabhängiger Zugriff soll für die ePA gem. § 336 Abs. 2 SGB V zulässig sein 233 . Für die Anwendungen nach § 334 Abs. 1 S. 2 Nr. 4 und Nr. 5 (eMP, NFD) besteht ein Einsichtsrecht bei einem Leistungserbringer, der unter Einsatz der eGK mittels seines eHBA und SMC-B auf die Daten zugreifen kann ( § 336 Abs. 3 i. V. mit § 339 Abs. 3 SGB V). Der Zugriff in Verbindung mit einem eHBA in den Praxen entfällt ansonsten und muss über eine Benutzeroberfläche eines geeigneten Endgeräts durchgeführt werden

Auch Protokolldaten i. S. v. § 309 SGB V sollen dem Versicherten zur Verfügung gestellt werden 234

Weil der Versicherte ferner durch § 337 Abs. 1 SGB V Möglichkeiten erhält, Daten aus seiner ePA auszulesen und zu übertragen, kann zum Teil auch der Anspruch auf Datenportabilität (Art. 20 DSGVO) erfüllt sein. Außerdem darf der Versicherte gem. § 337 Abs. 1 SGB V Daten, die er selbst zur Verfügung gestellt hat, ebenso wie seine persönlichen Erklärungen (zur Organspende, Patientenverfügung) verarbeiten, also auch ändern

SGB V selbstständig durch den Versicherten ausgeübt werden. Davon ausgenommen sind nur NFD und der eMP. Hierfür besteht, wie auch für alle anderen Anwendungen Dochow

Bisher § 291 a Abs. 8 S. 1 Halbs. 2 SGB V a

Zur Autorisierung nach bisherigem Recht s. Dochow, Telematik im Gesundheitswesen

Für eine Einheitlichkeit der Informationen sollen § 314 S. 2, § 343 Abs. 2, § 358 Abs. 7 SGB V sorgen, vgl. BT-Dr

Davon unabhängig sieht § 305 Abs. 1 S. 6 und 7 SGB V nun einen partiellen Berichtigungsanspruch für Diagnosedaten vor

19/18793, S. 102. Art. 11 Abs. 1 DSGVO benennt den Fall, wenn der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren kann

Kipker, Cybersecurity, Rechtshandbuch

Bisher § 291 a Abs. 6 S. 3-5 SGB V a

§ 309 Abs. 1, Abs. 3 SGB V i. V. mit § 195 BGB

Zur Künstlichen Intelligenz -ein europäisches Konzept für Exzellenz und Vertrauen

COM(2020)64 (nachfolgend Kommissionsbericht); beide v. 19. 2. 2020. Weißbuch und Kommissionsbericht setzen den Einsatz einer hochrangigen Expertengruppe für KI (HEG-KI) fort, die eine Definition der KI entwickelte (s. Definition der Künstlichen Intelligenz: Wichtigste Fähigkeiten und Wissenschaftsgebiete v. 8. 4. 2019, nachfolgend HEG-KI Definition) und einen Bericht zur Haftung für KI verfasste (s. Liability for Artificial Intelligence and other emerging digital tech