ArchivDeutsches Ärzteblatt15/2019Gesundheitsdatenschutz: Die Komplexität nimmt zu

THEMEN DER ZEIT

Gesundheitsdatenschutz: Die Komplexität nimmt zu

Dtsch Arztebl 2019; 116(15): A-725 / B-596 / C-584

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Die Europäische Datenschutz-Grundverordnung hat wegen der Fülle nationaler Öffnungsklauseln im Gesundheitswesen in vielen Bereichen keine Vereinfachung gebracht.

Foto: mattjeacock/iStock
Foto: mattjeacock/iStock

Einfacher ist der Datenschutz im Gesundheitswesen durch die im letzten Jahr in Kraft getretene Europäische Datenschutz-Grundverordnung (EU-DSGVO) nicht geworden. Darüber waren sich die Experten beim Frühjahrssymposium zum Gesundheitsdatenschutz, veranstaltet von der Deutschen Gesellschaft für Kassenarztrecht am 26. März in Berlin, weitgehend einig. Im Unterschied zu anderen Bereichen sei die DSGVO für das Gesundheitswesen nicht das wesentliche Rechtsinstrument, meinte Prof. Dr. iur. Jürgen Kühling LL. M., Universität Regensburg. „Anders als von der Europäischen Kommission geplant, ist die Reform des Datenschutzrechts auf ,halber Strecke‘ stecken geblieben“, so Kühling. Der Grund: Die Verordnung enthalte – nicht zuletzt aufgrund der Intervention der Bundesregierung – eine Fülle nationaler Öffnungsklauseln, sodass die Komplexität des Zusammenspiels von nationalem Recht und Unionsrecht eher gestiegen und die ursprünglich angestrebte Harmonisierung in vielen Teilbereichen im Gesundheitswesen nicht erreicht worden sei. „Wir haben keine Vereinfachung und keine Harmonisierung“, kritisierte er.

Anzeige

Viele Vorgaben der vorherigen Datenschutzrichtlinie sind ihm zufolge in der DSGVO erhalten geblieben, damit aber auch die Unklarheiten bei der Anwendung zentraler datenschutzrechtlicher Konzepte wie dem der Einwilligung oder der Anonymität. „Wann haben wir beispielsweise personenbezogene Daten, wann liegen anonyme Daten vor? Darüber streiten wir seit zwanzig Jahren“, so der Jurist. „Das ist in der DSGVO nur sehr minimal geklärt worden.“

Auch nach der Reform gelte das alte, durch viele bereichsspezifische Regelungen geprägte Datenschutzrecht im Gesundheitswesen fort. Durch die weit gefassten Öffnungsklauseln besteht ihm zufolge weiterhin ein Nebeneinander von allgemeinem Datenschutzrecht – also dem Bundesdatenschutzgesetz und den Landesdatenschutzgesetzen – und dem speziellen Sozialdatenschutzrecht im Sozialgesetzbuch (SGB) I, V und X. Hinzu kommen Sonderregelungen, etwa aus den Landeskrankenhausgesetzen oder dem Kirchenrecht.

Kollision unterschiedlicher Rechtsnormen

Auch wenn die DSGVO gegenüber der bisherigen Rechtslage nur wenige Änderungen enthalte, seien diese aber in ihrer Wirkung erheblich, meinte Jürgen Schröder, Kassenärztliche Bundesvereinigung (KBV). Er verwies ebenfalls auf Unsicherheiten in der Rechtsauslegung. „Viele Fragen konnten erst kurz vor beziehungsweise nach Inkrafttreten der DSGVO gelöst werden“, berichtete er.

Schröder ging unter anderem auf Probleme bei den Auskunfts- und Informationspflichten im Zusammenhang mit der Datenschutzreform ein. Ein Auskunftsrecht gibt es beispielsweise auch in § 630 g Bürgerliches Gesetzbuch (BGB), die Einsichtnahme in die Patientenakte betreffend. Diese Regelungen dort unterscheiden sich jedoch teilweise von Art. 15 DSGVO, etwa bei der Kostenübernahme: Während die DSGVO eine unentgeltliche Regelung und nur für „weitere Kopien“ ein angemessenes Entgelt vorsieht, sind laut BGB die entstandenen Kosten hierbei grundsätzlich zu ersetzen. Nach dem BGB darf ein Auskunftsrecht zudem nicht gewährt werden, wenn „erhebliche therapeutische Gründe“ dagegen sprechen. „Diese Ausnahme kennt die DSGVO nicht“, erläuterte Schröder. Es sei aber davon auszugehen, dass der entsprechende BGB-Paragraf im Rahmen der Öffnungsklausel dann zulässigerweise die Besonderheiten des Auskunftsrechts im Kontext mit Patientenakten regelt.

Neu geregelt und schwierig umzusetzen sind zudem die Informationspflichten zum Datenschutz in den Art. 13 und 14 DSGVO. Danach müssen Praxen die Patienten zum Zeitpunkt der Datenerhebung darüber informieren, was mit ihren Daten passiert. Die Information muss beispielsweise Angaben zum Zweck der Datenverarbeitung und zum Empfänger der Daten enthalten. Die Empfehlung der KBV lautet, diese Information als Aushang in der Praxis oder als Informationsblatt, das im Wartezimmer ausgelegt wird, an die Patienten weiterzugeben. Zusätzlich kann die Patienteninformation auch auf der Praxiswebseite veröffentlicht werden. Die KBV stellt ein Muster zu den Informationspflichten bereit (www.kbv.de/datenschutz).

Herausforderungen durch die Telemedizin

Mit haftungsrechtlichen Fragen bei der Anwendung telemedizinischer Verfahren befasste sich Prof. Dr. iur. Christian Katzenmeier, Universität zu Köln. Mit der Lockerung des Verbots der ausschließlichen Fernbehandlung habe der Deutsche Ärztetag im Mai 2018 auf den Wandel der Gesundheitsversorgung durch die fortschreitende Digitalisierung reagiert. Die Novellierung des Berufsrechts werfe jedoch viele Fragen auf, etwa zu Qualitätssicherung, Dokumentation, Datensicherheit und Datenschutz. „Unklar sind insbesondere die haftungsrechtlichen Grenzen der ausschließlichen Fernbehandlung“, sagte Katzenmeier. Ihm zufolge müssen auch telemedizinische Anwendungen die drei Grundvoraussetzungen für ärztliches Handeln erfüllen: Erforderlich sind die medizinische Indikation, das Einverständnis des aufgeklärten Patienten und das fachgerechte Handeln lege artis.

Bei der Fernbehandlung kann jedoch die Einhaltung der fachlichen Standards, auf die der Arzt verpflichtet ist, Probleme bereiten, meinte der Rechtsexperte. Die Beratung und Behandlung unter der physischen Präsenz des Arztes gelte weiterhin als Goldstandard. „Ein neuer Fernbehandlungsstandard existiert noch nicht“, so Katzenmeier. Es sei fraglich, ob die Rechtsprechung einen solchen Standard akzeptieren werde, etwa wenn es zu einem Schadensfall komme. „Kann der Arzt auf die Einhaltung des Goldstandards verzichten, ohne für mögliche Folgen einstehen zu müssen?“

Laut Katzenmeier bedeutet die Inanspruchnahme einer Fernbehandlung auch keine stillschweigende Vereinbarung eines abweichenden Standards. „Die Wirksamkeit einer solchen Vereinbarung ist zweifelhaft“, betonte er. Haftungsbeschränkungen erklären Gerichte regelmäßig als nichtig. Zivilgerichte zögen privatautonomen Abreden zum Schutz des Patienten in der Regel enge Grenzen. Daher sei nicht auszuschließen, dass die Zivilgerichte dem Arzt, der seine Entscheidung allein auf telemedizinischer Grundlage trifft, das Prognoserisiko zuweisen, das heißt, ihn haftbar für den Schaden machen, den der Patient bei einer persönlichen Behandlung möglicherweise nicht erlitten hätte. Eine wichtige Rolle für die Haftung spielen dabei vor allem Befunderhebungsfehler, die gegebenenfalls zu einer Beweislastumkehr führen. Ebenso ist eine fernmündliche Aufklärung eines Patienten nur in „einfach gelagerten Fällen“ ausreichend, nicht jedoch bei komplizierteren Eingriffen.

Katzenmeiers Fazit: Mit der Lockerung des Fernbehandlungsverbots sind große Chancen, aber auch Risiken sowohl für Patienten wie für Ärzte verbunden. „Die Rechtsprechung hat bei der Beurteilung telemedizinischer Anwendungen Innovationsoffenheit und Innovationsverantwortung zu justieren.“

Wer ist für die Datenverarbeitung verantwortlich, die per telemedizinischer Behandlung am Patienten erbracht wird? Der höhere Grad an Vernetzung, die Vielzahl involvierter Player und das arbeitsteilige Zusammenwirken im Rahmen telemedizinischer Verfahren können zu einer „Disruption der datenschutzrechtlichen Verantwortung“ führen, erklärte Dr. jur. Carsten Dochow, Bundes­ärzte­kammer. Neben Ärzten und Angehörigen von Gesundheitsfachberufen werden oft auch weitere telemedizinische Dienstleister in die Versorgung eingebunden. Nach der DSGVO trage dabei die Person, die über Zweck und Mittel der Datenverarbeitung entscheidet, auch die datenschutzrechtliche Verantwortung, erläuterte Dochow. Komplizierter sei dies jedoch, wenn bei solchen Kooperationen auch Plattformbetreiber einbezogen sind. Je nach Geschäftsmodell kann hierbei gegebenenfalls das Konzept der „gemeinsamen Verantwortlichkeit“ (Art. 26 DSGVO) herangezogen werden, das auch eine transparente vertragliche Vereinbarung im Hinblick auf die datenschutzrechtlichen Pflichten erfordert.

Für telemedizinische Verfahren ist zudem nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung insbesondere beim Einsatz neuer Technologien erforderlich, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben. In Abs. 3 wird dies laut Dochow präzisiert: Die Folgenabschätzung ist vor allem dann nötig, wenn im Rahmen innovativer Formen der Telemedizin mehrere Akteure beteiligt sind, ein höherer Vernetzungsgrad vorliegt, Patienten systematisch überwacht werden (Telemonitoring) und eine umfassende Verarbeitung von Gesundheitsdaten erfolgt.

„Datenschutz ist kein Hemmnis für die Telemedizin“, betonte der Rechtsexperte. Vielmehr könne Datenschutz ein Qualitätsmerkmal sein. Daher sollte er von vornherein bei der Entwicklung telemedizinischer Dienste berücksichtigt werden. Und: „Auch Kranke haben ein Interesse daran, dass ihre Daten unter Wahrung ihres Persönlichkeitsrechts verarbeitet werden. Die Selbstbestimmungsfähigkeit sollte gerade in Zuständen von Krankheit und Hilfebedürftigkeit erhalten bleiben.“ Heike E. Krüger-Brand

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.