NewsPolitikRechtsgutachten zur elektronischen Patientenakte: So kann Opt-out funktionieren
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Rechtsgutachten zur elektronischen Patientenakte: So kann Opt-out funktionieren

Dienstag, 26. Juli 2022

/Maybaum

Berlin – Die Umstellung der elektronischen Patientenakte (ePA) auf ein sogenannte Opt-out-Modell ist daten­schutzrechtlich problemlos umsetzbar. Zu diesem Schluss kommt ein aktuelles Rechtgutachten im Auftrag der Stiftung Münch und der Bertelsmann-Stiftung. Der Gesetzgeber hat demnach sogar einen weiten Gestaltungs­spielraum.

Bundesgesundheitsminister Karl Lauterbach (SPD) sieht im Opt-out-Verfahren die einzige Möglichkeit, die ePA noch zu einem Erfolg zu machen. Denn bisher gilt, dass Versicherte von Einrichtung über Befüllung bis Ausle­sung der Akte stets explizit zustimmen müssen.

Das bietet zwar das größtmögliche Maß an datenschutzrechtlicher Kontrolle, verkompliziert die Erstellung und Nutzung der ePA aber enorm. Das Resultat: Gerade einmal rund 500.000 Menschen in Deutschland – 0,7 Prozent der GKV-Versicherten – nutzen die ePA.

Bereits im Koalitionsvertrag haben SPD, Grüne und FDP deshalb festgehalten, dass sie die ePA auf ein Opt-out-Modell umstellen wollen. Doch viele Kritiker zweifeln, dass das mit Blick auf die europäische Datenschutz-Grundverordnung (DSGVO) ohne weiteres möglich oder sinnvoll ist.

Christoph Krönke, Vorstand des Instituts für öffentliches Recht, Nachhaltigkeits- und Technologierecht an der Wirtschaftsuniversität Wien (WU), widerspricht da: In einem Gutachten im Auftrag der Bertelsmann-Stif­tung und der Stiftung Münch führt er aus, dass weder DSGVO noch das deutsche Datenschutzrecht dem Opt-in-Verfahren einen Vorrang geben würden.

Im Gegenteil könne man dem Prinzip der informationellen Selbstbestimmung nicht nur ein Recht gegen, son­dern auch ein Recht auf Datenverarbeitung entnehmen und dieses Recht in Beziehung zum Selbstbestim­mungs­recht des Einzelnen bezüglich seiner körperlichen Unversehrtheit setzen. Dabei ergebe sich aus seiner Sicht sogar sogar ein „verfassungsrechtlicher Impuls zum Verzicht auf Registrierungs- und Einwilligungser­fordernisse, die den Nutzen der ePA für die Gesundheitsversorgung beeinträchtigen“.

Die Akte bleibe auch ohne eine Registrierungserfordernis versichertengeführt – allerdings werde dann die „primäre Steuerungskompetenz der Versicherten“ auf die zweite Stufe verlagert, also die Regelung der Zugrif­fe auf den angelegten Datenbestand.

Das würde allerdings bedeuten, dass als Ausgleich für das ungefragte Anlegen der ePA möglichst weitrei­chen­de Steuerungsmöglichkeiten notwendig wären: das oft diskutierte feingranulare Zugriffsmanagement, bei dem Versicherte selbst entscheiden können, welche Ärztinnen und Ärzte welche Informationen einsehen können.

Das würde zwar maximale Transparenz für die Versicherten herstellen, aber: „Es liegt indes auf der Hand, dass dies nicht zur erhöhten Effizienz und Nutzbarkeit der ePA beitragen würde“, heißt es im Gutachten. „Diesem Anliegen dürften vielmehr automatische Zugriffsberechtigungen entsprechen.“

Bedingung für deren rechtliche Zulässigkeit sei allerdings, dass die Versicherten in einem solchen Modell hin­reichend über das Verfahren und die Verarbeitungen informiert werden, die entsprechenden Möglichkeiten zur Einsicht in die ePA haben und es ein Protokollierungssystem für die Nachvollziehbarkeit der Zugriffe gibt. Außerdem müsse es eine effektive Möglichkeit zum Entzug von Zugriffsberechtigungen geben.

Diese automatischen Zugriffsberechtigungen könnten wiederum auch gruppenspezifisch unterteilt werden, sodass prinzipiell nur jenen Personen der Zugriff auf bestimmte Daten gewährt wird, denen er regelmäßig zusteht, weil sie die betreffenden Informationen typischerweise zum Beispiel für konkrete Behandlungs- bzw. Versorgungszwecke benötigen.

„Das Recht auf informationelle Selbstbestimmung im positiven Sinne dürfte dabei für eine flexible und also dispositive gesetzliche Voreinstellung der Gruppenzugriffsberechtigungen sprechen, die von den betroffenen Personen selbstbestimmt geändert, also erweitert oder auch eingeschränkt werden könnten“, schreibt Krönke.

Für die gesetzliche Vorgabe zeitlicher Beschränkungen der Zugriffsmöglichkeiten dürfte demnach das Gleiche gelten. Auch sie würden übermäßige Verarbeitungen in zeitlicher Hinsicht einschränken, sollten aber flexibel gestaltet sein, damit der Patient nötigenfalls auch verlängerte, verkürzte oder unbegrenzte Zugriffe auf seine ePA gestatten kann.

Bei der Entfernung von Daten wiederum müsse der Gesetzgeber den Versicherten die Wahl lassen zwischen einer kompletten Löschung und einem bloßen Ausblenden. Dabei sei er verpflichtet, einen „gewissen Überei­lungs­schutz“ zu gewährleisten. „Ob dieser Schutz im Ausschluss einer punktuellen Löschung von ePA-Daten besteht oder über entsprechende Warnhinweise vor der endgültigen Löschung erfolgt, liegt im freien Ermes­sen des Gesetzgebers“, heißt es im Gutachten.

Außerdem müsse zur Wahrung der Rechte und Freiheiten im Falle eines Opt-out-Verfahrens ein möglichst niedrigschwelliger Zugang zur ePA geschaffen werden. Dabei erscheine es angemessen, neben Smartphone- und Desktop-Anwendungen einen analogen Zugangsweg zu etablieren, beispielsweise direkt vor Ort beim Leistungserbringer oder aber mit Serviceterminals.

Auf die behandelnden Ärzte dürfen sich die Versicherten dabei Krönke zufolge nicht verlassen. Selbst wenn es in bestimmten Fällen aus therapeutischer Sicht viel­leicht angebrachter wäre, dürfen sie für Patienten keine Änderungen in der ePA vornehmen. Denn eine Berechtigung zu­gunsten von anderen Zugriffsberechtig­ten zur Löschung, Änderung oder Ausblen­dung von ePA-Daten sei selbst zum Zweck der Vermeidung von Versorgungsfehlern infolge einer unrichtigen Datengrundlage daten­schutzrechtlich unzulässig.

Als milderes Mittel komme vielmehr eine Ergänzung und Markierung bestehender, gegebenenfalls unrich­tiger Gesundheitsdaten durch einen Zusatz in Betracht, der deutlich auf die Unrichtigkeit der betreffenden Daten hinweist und die richtigen Informationen enthält – also beispielsweise ein deutlicher roter Warnhin­weis samt Ergänzung des Arztes.

Auf die Ärzte kommen dabei Krönkes Vorschlägen zufolge noch weitere Aufgaben zu. Wenn die ePA eines Ver­sicherten ohne dessen Aufforderung für ihn angelegt wurde, sollen sie in der Praxis oder im Krankenhaus die Identifizierung des Patienten übernehmen und bei der Erstbefüllung Gesundheitsdaten auch rückwir­kend einspeisen.

Hier müsse der Gesetzgeber Augenmaß beweisen und die Arbeit der Leistungserbringer entsprechend berück­sichtigen und in­cen­ti­vie­ren, beispielsweise durch sachliche Unterstützungsleistungen oder finanzielle Anreiz­instrumente – denn wenn sie sich nicht aktiv einbringen, werde die ePA auch bei einem Opt-in-Verfahren kein Erfolg werden. © lau/aerzteblatt.de

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.
LNS
LNS LNS

Fachgebiet

Stellenangebote

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER