Der Starttermin für die elektronischen Patientenakte (ePA) steht fest: Am 1. Januar 2021 muss jede gesetzliche Krankenkasse (GKV) eine solche Akte den Versicherten zur Verfügung stellen.

Der rechtliche Rahmen wurde zuletzt am 11. Mai 2019 erweitert und sieht Folgendes vor:

• Pflicht zur Bereitstellung: Ab 2021 müssen alle GKVen eine ePA zur Verfügung stellen.

• Berechtigung zur Datenverarbeitung: Berechtigt sind neben den Versicherten folgende Gruppen: Ärzte; Zahnärzte; Apotheker; Apothekerassistenten; Pharmazieingenieure (sowie jeweils deren Auszubildende und Gehilfen) sowie Psychotherapeuten. Jeder weitere Zugriffsberechtigte muss für sich eine weitere eigene Einwilligung des Patienten einholen und muss diesen über die Details der Datenverarbeitung informieren.

• Zusätzliche Inhalte: Die GKVen können ihren Versicherten zusätzliche Inhalte und Anwendungen zur Verfügung stellen, sofern diese die ePA nicht beeinträchtigen

Datenschutz- und IT-sicherheitsrechtliche Hürden

Zur Umsetzung sind noch viele Rechtsfragen offen. Dieser Beitrag richtet den Blick auf die folgenden Themen: Wer ist datenschutzrechtlich für die Daten innerhalb von ePAs verantwortlich? Sind die weitgehenden Zugriffsrechte auf Daten innerhalb der ePA datenschutzkonform? Welche IT-Sicherheitsvorgaben sind zu beachten?

Neben der Frage danach, wer Adressat datenschutzrechtlicher Vorgaben ist, wird nachstehend auch dargestellt wieso die in der Anfangsphase nicht geplante Möglichkeit, Zugriffsrechte für Dokumente zu vergeben oder zu entziehen, datenschutzrechtlich problematisch ist.

Datenschutzrechtliche Verantwortlichkeit

Angesichts der Vielzahl der Beteiligten an der ePA und der Datenverarbeitung ist ein Abgrenzung der Verantwortlichkeiten und damit auch der Haftung wesentlich:

• Anbieter der ePA sind die GKVen. Diese sind zwar grundsätzlich nicht berechtigt, auf die dort gespeicherten Daten zuzugreifen. Dennoch sind sie auch für die Daten verantwortlich.
• Behandelnde Ärzte und andere Gesundheitsfachkräfte, denen gegenüber der Patient zugestimmt hat, dürfen auf die Daten zugreifen und diese verarbeiten.

Da das Datenschutzrecht auch die Möglichkeit kennt, dass mehrere Akteure für einen Vorgang gemeinsam Verantwortliche sind (und damit auch gemeinsam haften), stellt sich die Frage, ob dies bei der ePA auch der Fall ist.

Die DSGVO regelt für die Haftung: Jeder, der an der Verarbeitung der Daten „beteiligt" ist, haftet gegenüber dem Patienten für den gesamten Schaden und zwar unabhängig vom Umfang seines Verschuldens. „Beteiligung“ ist in diesem Kontext weit zu interpretieren, denn Ziel der Regelung ist, den Betroffenen (hier Patienten) einen umfassenden Schadenersatzanspruch zu garantieren. Die Haftung ist nur für diejenigen ausgeschlossen, die nachweisen können, dass sie in keinerlei Hinsicht für die unrechtmäßige Verarbeitung verantwortlich sind.

Beispiel: Ein Apotheker lädt Informationen auf Verlangen und erteilter Einwilligung eines Patienten in die ePA hoch. Ein Arzt verwendet die vom Apotheker hochgeladenen Daten einen Tag später in unerlaubter Weise. In einem solchen Fall haftet der Apotheker nicht für die rechtswidrige Datenverarbeitung durch den Arzt. Die GKV haftet dann nicht, wenn sie nachweisen kann, dass sie den Vorfall nicht hätte verhindern können.

Zugriffsrechte

Vielfach kritisiert wird, dass Patienten zu Anfang 2021 nicht selber darüber entscheiden können, wem sie Zugriff auf welche Inhalte ihrer ePA geben. Zunächst wird es so sein, dass bspw. ein Augenarzt theoretisch auch die Möglichkeit hat die Befunde eines Psychotherapeuten einzusehen, auch wenn dies für seine Behandlung überhaupt nicht dienlich oder gar erforderlich ist. Dass dies auch nicht dem Ziel des Gesetzgebers entspricht, wird auch in § 291a SGB V deutlich: Danach sind Datenverarbeitungen mit der ePA auf das „erforderliche“ Maß zu beschränken.

Zudem widersprechen die nicht vorhandenen Möglichkeiten zur Verwaltung von Zugriffsbeschränkungen auch datenschutzrechtlichen Prinzipien. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen aus Art. 25 Datenschutzgrundverordnung (DSGVO) stehen in einem fundamentalen Widerspruch zu einer ePA, die es nicht erlaubt, dass Patienten einzelnen Personen oder Personengruppen unterschiedliche Zugriffsrechte verleihen. Eine Abweichung hiervon ist aufgrund von nationalen Kompetenzen zur Rechtsetzung im Bereich des Sozialdatenschutzes allerdings wohl möglich.

IT-Sicherheit

Aktuell wird auch bezweifelt, ob zu Anfang 2021 auch eine technisch sichere Lösung für die ePA vorhanden sein wird. Einige Ärzte sollen laut Berichten aufgrund von Sicherheitsbedenken in Erwägung ziehen, das für den Anschluss an die ePA erforderliche Geräte (Connector) nicht zu verwenden und stattdessen lieber Sanktionen zu erhalten. Es wird auch darüber berichtet, dass aufgrund von Konflikten mit der Windows-Firewall diese bei Installation häufig einfach abgeschaltet wird. Aus Perspektive der IT-Sicherheit ergeben sich im Wesentlichen zwei Haftungsszenarien:

• Sicherheit bei der ePA: Leistungserbringer sind gesetzlich dazu verpflichtet, die ePA zu verwenden, wenn ein Patient dies wünscht. Wenn die gesetzlich vorgeschriebene ePA nicht sicher genug ist, besteht keine Möglichkeit der gesetzlichen Verpflichtung ohne Sicherheitsrisiko nachzukommen. Deshalb haften Leistungserbringer dann nicht, wenn sie eine ggf. unsichere ePA verwenden und die Patienten darauf hingewiesen haben, dass Sicherheitsrisiken bekannt sind.

• Sicherheit bei übrigen Systemen: Wenn eine Firewall abgeschaltet wird, besteht nicht nur ein Sicherheitsrisiko für die Datenverarbeitung in der ePA. In diesem Fall kommt es für die Frage nach einer möglichen Haftung darauf an, ob das Sicherheitsproblem vermeidbar gewesen wäre, was für viele Akteure nicht ohne externe und ggf. kostspielige Unterstützung kaum erkennbar.

Für die GKVen gilt es andere Herausforderungen zu meistern: Die ePAs müssen so entwickelt werden, dass einerseits die Vorgaben der Gesellschaft für Telematik erfüllt sind und andererseits muss die Anwendung auch durch Leistungserbringer einfach und sicher verwendet werden können. Die GKVen sollten ihrerseits darauf bestehen, dass in Zusammenarbeit mit der Gesellschaft für Telematik Lösungen entwickelt werden, die für die Anwender kein Sicherheitsrisiko darstellen und Patienten eine Verwaltung von Zugriffsrechten ermöglicht.

Akzeptanz und Vertrauen nötig

Auch wenn die Digitalisierung im Gesundheitsbereich schnell(er) voranschreiten sollte – rechtliche Probleme und Unklarheiten sind Hemmschuhe, welche die Akzeptanz der Lösungen insgesamt gefährden. Daher ist der langfristige Gewinn zweifelhaft, wenn aus Zeitgründen zunächst Lösungen angeboten werden, deren Sicherheit und zeitgemäße datenschutzkonforme Ausgestaltung Zweifeln unterliegt.

Selbst wenn viele der rechtlichen Risiken bei genauerer Betrachtung beseitigt werden können oder die Risiken geringer sind als sie auf den ersten Blick erscheinen: Die Akzeptanz und das Vertrauen von Patienten und Leistungserbringern wird so nicht gefördert, doch ist diese zwingend erforderlich, um der ePA zu dem Erfolg zu verhelfen, der einer digitalisierten Patientenakte eigentlich gebühren kann.