Das neue Patientendaten-Schutzgesetz ist da; am 1.1.2021 kommt die elektronische Patientenakte (E-Akte). Ab diesem Zeitpunkt müssen sich insbesondere Krankenkassen entscheiden, ob sie datenschutzkonform agieren wollen oder das Patientendaten-Schutzgesetz einhalten möchten, beides zusammen ist vorerst nicht mehr möglich.

Die E-Akte kommt. So viel ist sicher. Immerhin handelt es bei ihr um den wesentlichen Regelungsgehalt des Patientendaten-Schutzgesetzes, welches hauptsächlich zahlreiche Normen des SGB V abändert. Fraglich ist nur, ob ihr Einsatz im Einklang mit bestehenden europäischen Datenschutzgesetzen möglich sein wird.

Insbesondere von Seiten des Bundesdatenschutzbeauftragten, Herrn Ulrich Kelber, kam schon frühzeitig das Signal, nicht mit dem Gesetzentwurf der Bundesregierung einverstanden zu sein. Eine Vereinbarkeit mit den Vorgaben der EU-Datenschutz-Grundverordnung sei, so Kelber, derzeit nicht möglich.

Trotz aller Warnungen passierte der Gesetzentwurf der Bundesregierung weitestgehend unverändert Bundestag und Bundesrat.

Vor diesem Grund hat der Bundesdatenschutzbeauftragte bereits angekündigt, aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen, die in seinen Zuständigkeitsbereich fallen, zu ergreifen. Denkbar ist wohl, dass er mittels Untersagungsverfügung verbieten könnte, die Vorgaben des Patientendaten-Schutzgesetzes tatsächlich in die Praxis umzusetzen. Auch einige Landesdatenschutzbeauftragte haben sich bereits öffentlich der Einschätzung von Herrn Kelber angeschlossen. Es bleibt daher abzuwarten, wie andere Behörden mit dem vorprogrammierten Verstoß gegen das Patientendaten-Schutzgesetz umgehen werden, sofern die gesetzlichen Krankenkassen etwaige Untersagungsverfügungen befolgen und die E-Akte nicht bzw. nicht vollständig bis zum 1.1.2021 einführen.

Doch worin besteht nun eigentlich der Konflikt?

Diese Frage möchte ich nachfolgend an Hand eines Beispiels genauer beleuchten:
In der E-Akte sollen verpflichtend unter anderem Befunde und Behandlungsberichte von Patienten gespeichert werden, sodass die Daten allen behandelnden Ärzten schnell zur Verfügung stehen und somit unnötige Doppelbehandlungen vermieden werden. Das heißt aber auch, dass beispielsweise Daten zur psychischen Gesundheit oder zu einem Schwangerschaftsabbruch auch von Haut- und Zahnärzten eingesehen werden könnten, auch wenn dies für ihre Arbeit überhaupt nicht erforderlich wäre. Insofern fehlt es an einem, von der DSGVO geforderten Zugriffsmanagements, welches den datenschutzrechtlichen Grundprinzipien der Datensparsamkeit, der Erforderlichkeit einer Datenverarbeitung  und der damit eng verbundenen strengen Zweckbindung Rechnung trägt. Ein solches Zugriffsmanagement soll jedoch erst ab dem Jahr 2022 möglich sein. Aber auch dann nur für solche gesetzlich Versicherte, die über geeignete elektronische Endgeräte Zugriff auf die hierfür erforderliche Benutzeroberfläche haben. Dies dürfte vor allem ältere und auch finanziell schwächere Patienten von einer ausreichenden Kontrolle über ihre personenbezogenen Daten in der E-Akte ausschließen.

Das vorstehende Beispiel zeigt das Dilemma deutlich. Gegen eines der beiden Gesetze wird seitens der gesetzlichen Krankenkassen verstoßen werden müssen. Auch die weiteren Akteure im Gesundheitswesen werden zumindest zum Teil von diesem Dilemma betroffen sein; dies ist vor allem in der schwer zu durchschauenden Verteilung der datenschutzrechtlichen Verantwortlichkeit im Zusammenhang mit der E. Akte begründet. Es wird sich noch zeigen müssen, inwieweit beispielsweise Ärzte oder auch Krankenhäuser sowie die beteiligten IT-Provider den Spagat zwischen Patientendaten-Schutz und Datenschutz meistern können.

Sämtlichen von diesem Dilemma betroffenen datenschutzrechtlich Verantwortlichen kann insoweit nur dringend ans Herz gelegt werden, die weitere Entwicklung dieser Angelegenheit bis zum 1.1.2021 und darüber hinaus eng zu verfolgen und/oder frühzeitig professionelle Unterstützung in Anspruch zu nehmen.
In Vorbereitung eines etwaigen behördlichen Verfahrens und vor allem zu dessen erfolgreicher Abwehr sollte stets detailliert dokumentiert werden, welche Maßnahmen unternommen wurden, um (möglichst) gesetzeskonform zu agieren.

Eine Auflösung des Dilemmas wird wohl erst möglich sein, wenn eine Einigung zwischen dem Gesetzgeber und den Datenschutzbeauftragten des Bundes und der Länder stattgefunden hat und die gesetzlichen Grundlagen entsprechend abgeändert werden.

Sven-Erik Holm, Rechtsanwalt
Frankfurt a.M.