Am 30. Januar 2020 legte der Bundesgesundheitsminister Jens Spahn den Referentenentwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur vor: das sogenannte „Patientendaten-Schutzgesetz“ (PDSG). Der Gesetzentwurf war notwendig geworden, weil die ursprünglich im Entwurf des Bundesgesundheitsministeriums (BMG) zum Digitalen Versorgungsgesetz (DGV) vorgesehenen Neuregelungen zur Wiederbelebung des Projektes einer elektronischen Patientenakte (ePA) im Bundesjustizministerium (BMJ) wegen datenschutzrechtlicher Mängel auf Widerstand gestoßen waren. Spahn hatte deswegen beschlossen, die entsprechenden Regelungen aus dem DVG auszugliedern und – überarbeitet – in ein eigenes Datenschutzgesetz zu überführen. Dabei sollen nunmehr gleich weitere Maßnahmen zur Förderung der Digitalisierung im Gesundheitswesen auf den Weg gebracht werden.
Für eine Stellungnahme zu dem 141 Seiten langen Regelungsentwurf, der neben zahlreichen Änderungen allein 87(!) Paragrafen zum Datenschutz zusätzlich in das Fünfte Buch Sozialgesetzbuch aufnimmt, setzte das Bundesgesundheitsministerium (BMG) den Ländern eine kurze Frist bis zum 25. Februar 2020. Dankenswerter Weise holte die Landesregierung unsere Expertise für ihre Stellungnahme ein.
Dabei zeigte sich, dass die an den Tag gelegte Eile des Bundesgesundheitsministeriums dem Patientendatenschutz nicht förderlich ist. Der nunmehr vorgelegte Entwurf wird der Bezeichnung als „Patientendaten-Schutzgesetz“ nicht gerecht und bleibt grundlegend überarbeitungsbedürftig:
- Insbesondere wird die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung von Daten in der Telematikinfrastruktur in unklarer Weise geregelt und zum Nachteil des Patienten derart aufgesplittert, dass ihm die effektive Durchsetzung seiner Betroffenenrechte vielfach unmöglich gemacht wird. Die betroffenenfreundliche Lösung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 12. September 2019, die datenschutzrechtliche Verantwortlichkeit innerhalb der Telematik-Infrastruktur in Überschneidungsbereichen als gemeinsame Verantwortung mehrerer Beteiligter auszugestalten, wird noch nicht einmal in den Gründen des Entwurfs in Erwägung gezogen. Darüber hinaus soll die für den Aufbau der Telematikinfrastruktur verantwortliche Gesellschaft für Telematik – abweichend von der Einschätzung der DSK – von jeder datenschutzrechtlichen Verantwortung freigestellt sein.
- Die Betroffenenrechte aus Artikel 12 bis 22 der Datenschutz-Grundverordnung werden überdies den Bestimmungen der Datenschutz-Grundverordnung zuwider beschränkt.
- Krankenkassen sollen fortan berechtigt sein, „zusätzliche“ Daten Ihrer Versicherten zu verarbeiten. Das bedeutet nichts anderes als einen Freifahrtschein für Krankenkassen, die begehrten Gesundheitsdaten ihrer Kunden z.B. aus Fitnesstrackern oder Wearables zu verarbeiten. Damit wird ein für Versicherte gefährlicher Weg beschritten.
- Entgegen den europäischen Vorgaben werden Versicherte aufgefordert, auf sie bezogene Daten als „Datenspende für die Forschung“ „freizugeben“, ohne dass die Voraussetzungen einer freiwilligen und informierten Einwilligung sichergestellt werden. Auch können die Versicherten ihre einmal freigegebenen Daten nicht – wie von der Datenschutz-Grundverordnung vorgesehen – durch Widerruf ihrer Einwilligung wieder aus dem großen Topf des sog. Forschungsdatenzentrums zurückholen. Obwohl die Datenspende ausdrücklich „zu Forschungszwecken“ erfolgen soll, ermöglicht der Regelungsentwurf die Nutzung dieser Daten auch zu forschungsfremden Zwecken wie der Wahrnehmung von „Steuerungsaufgaben“ oder der Unterstützung politischer Entscheidungsprozesse im Bereich der gesetzlichen Krankenversicherung.
- Daneben weist der Gesetzentwurf noch viele handwerkliche Fehler auf, etwa indem unbestimmte oder unpassende Begriffe verwendet oder neue Regelungen unsystematisch anordnet werden.
„Es ist begrüßenswert, dass die Gesundheitsversorgung durch den Ausbau der telematischen Infrastruktur gefördert wird. Dabei darf allerdings der Datenschutz, namentlich der Schutz der hochsensiblen Gesundheitsdaten, nicht auf der Strecke bleiben“, erklärt der Landesbeauftragte für den Datenschutz, Dr. Stefan Brink. „Das schadet nicht zuletzt der Akzeptanz der Digitalisierung, der im Gesundheitswesen enorme Bedeutung zukommt.“ Es bleibe zu hoffen, dass die für den 27. Februar 2020 angekündigte Ressortabstimmung über den Gesetzesentwurf zu den notwendigen Überarbeitungen führe.
Weiterführende Links:
Mastodon
