BMG verteidigt Patientendaten-Schutzgesetz

Kurz vor der parlamentarischen Sommerpause, am 3. Juli 2020, hatte der Deutsche Bundestag das Patientendaten-Schutzgesetz (PDSG) beschlossen. Bevor das Gesetz in Krat treten kann, muss es allerdings noch eine Runde im Bundesrat nehmen. Für die Apotheken von Bedeutung sind vor allem die Regelungen des PDSG zum E-Rezept sowie zum elektronischen Medikationsplan.

Aus Sicht der Politik ist allerdings die elektronische Patientenakte (ePA) Herzstück des Gesetzes. Diese müssen die Krankenkassen ihren Versicherten ab 2021 anbieten. Gefüllt werden soll die ePA ab dem kommenden Jahr zum Beispiel mit Befunden, Arztberichten, Röntgenbildern, dem Impf- und Mutterpass und dem Zahnbonus-Heft. Ab 2022 haben Versicherte ihrerseits einen Anspruch, dass Ärzte die Patientendaten dort eintragen. Es bleibt zugleich ihre freie Entscheidung, ob sie die ePA nutzen wollen oder nicht. Im Jahr 2021 wird es ihnen zunächst aber nur möglich sein, die Akte insgesamt gegenüber Leistungserbringern freizugeben. Erst 2022 sollen Versicherte eine Auswahl treffen können, wem sie in welche Daten Einsicht gewähren. Dies hatte schon die Opposition im Gesetzgebungsverfahren kritisiert – allen voran FDP und Linke.

Bundesdatenschutzbeauftragter warnt Kassen vor Rügen

Mitte August sorgte dann der Bundesdatenschutzbeauftragte (BfDI), Ulrich Kelber, zusammen mit einigen seiner Kollegen aus den Ländern für Wirbel: In einer Pressekonferenz erklärten sie, dass aus ihrer Sicht die Regelungen zum Zugriffsrecht auf die ePA sowie das Authentifizierungsverfahren nicht den Anforderungen des europäischen Datenschutzrechts genügen. Kelber erklärte, es sei „nicht hinnehmbar“, dass Versicherte, die die ePA schon 2021 nutzen wollen, zum „Alles oder Nichts“ gezwungen seien. Die Datenschützer warnten die unter ihrer Aufsicht stehenden Krankenkassen, zum neuen Jahr die ePA nach den Vorgaben des PDSG einzuführen. Sonst liege ein Verstoß gegen die Datenschutzgrundverordnung vor, den sie rügen müssten.

Anlässlich dieser Kritik und des für den 18. September angesetzten zweiten Durchgangs für das PDSG im Bundesrat sah sich das Bundesministerium für Gesundheit (BMG) bemüßigt, nochmals seinen Standpunkt zu datenschutzrechtlichen Fragen deutlich zu machen. In einer diese Woche vorgelegten Stellungnahme betont das Ministerium, dass Datenschutz und Datensicherheit bei der Ausgestaltung der ePA im PDSG „von Beginn an eine herausragende Rolle gespielt“ hätten.

Das zeige sich etwa am differenzierten Zugriffsmanagement, den umfangreich geregelten Informationspflichten der Krankenkassen sowie dem ausdrücklichen Diskriminierungsverbot (§ 335 SGB V). „Die Neuregelung gewährleistet, dass die Rechte der Versicherten bereits mit dem Start der ePA ab dem 1. Januar 2021 den Anforderungen der Datenschutzgrundverordnung (DSGVO) entsprechend datenschutzkonform ausgestaltet sind“, so das BMG. Vor seiner Verabschiedung im Bundestag hätten die Verfassungsressorts das PDSG zudem umfassend geprüft – auch hinsichtlich der Vereinbarkeit mit dem nationalen und europäischen Datenschutzrecht. Auch der BfDI selbst sei fortlaufend in die fachlichen Diskussionen eingebunden gewesen.

Wesentlicher ist aus Sicht des BMG, dass es sich bei der ePA – von Anfang an – um eine freiwillige Anwendung handelt. Hierüber müssten die Krankenkassen ihre Versicherten vorab umfassend informieren. Die Versicherten können demnach stets frei entscheiden, welche Daten in der ePA gespeichert werden und welchem Arzt sie Zugriff erteilen oder aber versagen wollen. Es bestehe gerade kein „Alles-oder-nichts-Prinzip“. Vielmehr könne zum Beispiel der Zugriff ausdrücklich nicht für die durch die Versicherten selbst eingestellten Daten erteilt werden oder – alternativ – ausschließlich hierauf begrenzt werden. „Auch steht es den Versicherten frei, sich erst für die ePA in der zweiten Umsetzungsstufe ab dem 1. Januar 2022 zu entscheiden.“

DSGVO steht der ePA nicht im Weg

Das BMG ist auch ganz und gar nicht der Auffassung, dass die DSGVO zwingend eine bestimmte Form der ePA als einzig europarechtskonform vorgebe – das zeige schon ein in Blick in andere europäische Länder. Hier zeige sich ein „heterogenes Bild“. In Österreich etwa gebe es das sogenannte Opt-out-Verfahren, bei dem die Versicherten widersprechen müssen, wenn sie die elektronische Akte nicht wollen. In Dänemark wiederum existiere kein eigenständiges Löschrecht der Versicherten und in Portugal entschieden die Ärzte, welche Einträge für die Patienten sichtbar sind. Dies verdeutliche, dass die DSGVO den Mitgliedstaaten weitreichende Gestaltungsspielräume eröffne – und davon habe auch die Bundesregierung beim PDSG Gebrauch gemacht – „im Sinne des absoluten Vorrangs der Patientensouveränität“.

Dem Starttermin der ePA steht aus Sicht des BMG letztlich nichts entgegen. Die Krankenkassen könnten gegen etwaige aufsichtsrechtliche Maßnahmen eigene Rechtsmittel mit aufschiebender Wirkung einlegen.

Wie geht es weiter?

Der Bundesrat wird das PDSG am 18. September voraussichtlich nicht verzögern. Auch wenn es sich nicht um ein Zustimmungsgesetz handelt, könnte er Einspruch einlegen, der dann vom Bundestag wiederum zurückgewiesen werden müsste. Der Gesundheitsausschuss des Bundesrats hat dem Plenum allerdings schon die Empfehlung ausgesprochen, das Gesetz durch Verzicht auf ein Vermittlungsverfahren zu billigen.