Das Bundeskabinett hat mit dem digitalen Versorgungsgesetz (DVG) noch kurz vor der Sommerpause Beschleunigung in die Digitalisierung des Gesundheitswesens gebracht. Apps auf Rezept und Online-Sprechstunden werden den Alltag in Kliniken und Arztpraxen verändern. Dabei gibt es einiges zu beachten, um Patientendaten bestmöglich zu schützen.
Der Inhalt im Überblick
Digitale Gesundheitsversorgung: wie geht das?
Ein zentraler Motor der Digitalisierung sind Gesundheits-Apps. Sie sollen vermehrt als Medizinprodukte anerkannt und von Ärzten zur Behandlungsunterstützung verschrieben werden. Die Kosten dafür tragen die Krankenkassen. Besonders bei chronischen Krankheiten haben sich Gesundheits-Apps teilweise jetzt schon bewährt: Diabetiker können etwa durch einen Sensor unter der Haut ihre Werte messen und jederzeit auch ohne den schmerzhaften Stich in den Finger die richtige Dosis Insulin ermitteln. Seelisch Erkrankten sollen Apps helfen ihren Krankheitsverlauf besser zu dokumentieren. Genauso wie Rheumapatienten können sie ihr Befinden täglich in eine App eintragen und so selbst zur Optimierung ihrer Behandlung beitragen.
Neben Gesundheits-Apps werden auch Online-Sprechstunden zu großen Veränderungen des medizinischen Alltags führen. Noch ist nicht abschließend geklärt, für welche Patienten und Behandlungen der virtuelle Gang zum Arzt überhaupt in Frage kommt. Klar ist aber, dass die Software nicht vom Arzt, sondern von einem IT-Dienstleister bereitgestellt wird.
Innovative Technologien im Gesundheitswesen bedeuten neben den vielen Vorteilen für Patienten, Ärzte und Kliniken, dass sensible Daten für immer mehr Akteure sichtbar werden können. Der Digitalisierungsplan des Bundesgesundheitsministers wird sich jedoch nicht bis zum Jahr 2020 umsetzen lassen, ohne die IT-Dienstleister als neue Akteure im Gesundheitsmarkt zu integrieren. Dabei gilt es Patientendaten weiterhin bestmöglich zu schützen.
Datenschutz im digitalen Gesundheitswesen
Gesundheitsdaten gehören zu den in Art. 9 DSGVO aufgezählten sensiblen Daten, die durch das Datenschutzrecht besonders geschützt sind. Die Verarbeitung solcher Daten ist zulässig nach Art. 9 Abs. 2 DSGVO und § 22 Abs. 1 BDSG aufgrund
- der Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO),
- seiner mutmaßlichen Einwilligung (lit. c),
- zur Abwehr von Gefahren auf seine körperliche Unversehrtheit (lit. f) oder
- zur medizinischen Behandlung und Diagnostik (lit. h).
In der Regel erfolgt der Umgang mit Gesundheitsdaten durch besonders verpflichtete Berufsgeheimnisträger. Das sind Ärzte und medizinisches Pflegepersonal. Die Verarbeitung von Patientendaten zum Zwecke der Gesundheitsvorsorge, medizinischen Diagnostik und Behandlung darf nach Art. 9 Abs. 3 DSGVO, § 22 Abs. 1 Nr. 1 b BDSG nur von medizinischem Fachpersonal vorgenommen werden. IT-Dienstleister gehören nicht zu dieser privilegierten Gruppe. Sie sind regelmäßig weder medizinisch geschult noch unterliegen sie der Schweigepflicht (§ 203 StGB). Für sie kommt daher nur die Einwilligung des Patienten als mögliche Rechtsgrundlage zur Verarbeitung von sensiblen Gesundheitsdaten in Betracht.
App-Dienste als Auftragsverarbeitung
Denkbare Konstellationen der Datenverarbeitung bei Gesundheits-Apps sind solche, bei denen der IT-Dienstleister als Auftragsverarbeiter des Arztes oder der Klinik auftritt. Die Auftragsverarbeitung nach Art. 28 DSGVO ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber) auf Grundlage eines schriftlichen Vertrags. Da nur Berufsgeheimnisträger und medizinisches Fachpersonal Patientendaten im Rahmen der medizinischen Diagnostik und Behandlung verarbeiten dürfen, ist bei der Auftragsverarbeitung besonderes Augenmerk auf die Wahrung des Patientendatenschutzes zu legen. Gewährleistet wird das zum einen durch Art. 28 Abs. 1 DSGVO. Hiernach verbleibt die Verantwortung der Datenverarbeitung bei dem Arzt oder der Klinik. Es dürfte aber darüber hinaus angezeigt sein, den Auftragsverarbeiter im Sinne des § 203 Abs. 4 StGB zur besonderen Verschwiegenheit zu verpflichten.
Verarbeitung von Nutzerdaten
Die Datenverarbeitung durch den IT-Dienstleister kann grundsätzlich auch zulässig sein, wenn er lediglich Nutzerdaten verarbeitet, die keine Gesundheitsdaten sind. Nach Art. 6 Abs. 1 lit. b DSGVO dürfen solche Daten etwa verarbeitet werden, wenn die Verarbeitung der Erfüllung eines Vertrags dient. Zur Durchführung eines Vertrages werden regelmäßig Namen und Zahlungsdaten benötigt. Wird allerdings eine App verschrieben und von der Krankenkasse bezahlt, kann auch die Zuordnung von Patient zu Krankenkasse eine für die Vertragserfüllung relevante Datenverarbeitung sein. Dann dürfte sich die Datenverarbeitung aber nach den speziellen Regelungen über die Verarbeitung von Sozialdaten richten. Die Verarbeitung von reinen Nutzerdaten kann außerdem grundsätzlich zulässig sein, wenn nach Art. 6 Abs. 1 lit. f DSGVO ein berechtigtes Interesse an der Verarbeitung besteht.
Datenschutzgesetz für die elektronische Patientenakte
Bis zum Jahr 2021 will der Bundesgesundheitsminister die elektronische Patientenakte etablieren. Dafür erarbeitet er derzeit ein spezielles Datenschutzgesetz, das die Vorschriften des SGB V reformieren soll.
„Wir legen zeitnah eine umfassende Lösung vor. Deshalb kommen die weiteren Regelungen zur Patientenakte nicht im Digitalisierungsgesetz, sondern in einem eigenen Datenschutzgesetz.“
Der Referentenentwurf für das Datenschutzgesetz zur elektronischen Patientenakte wird im Herbst im Kabinett erwartet.
Liebe Kolleginnen und Kollegen,
ich bin euch grundsätzlich sehr dankbar für eure sehr hochwertigen Artikel und den damit einhergehenden Newsletter.
Aber heute muss ich kurz mal nachhaken, ob ihr zwei Punkte wirklich so meint:
Nennt ihr Art. 9 Abs. 2 lit. c wirklich einfach „eine mutmaßliche Einwilligung“? Das finde ich eine arg verkürzte Wiedergabe der Norm, da ja der „Schutz lebenswichtiger Interessen“ als zentrale Voraussetzung ausgeblendet bleibt.
Wieso beschreibt ihr Art. 9 Abs. 2 lit f als „zur Abwehr von Gefahren auf seine körperliche Unversertheit“? Davon steht in der Norm doch gar nichts drin. Da geht es um Gerichtsverfahren.
Art. 9 Abs. 1 DSGVO bezieht sich neben Gesundheitsdaten auch auf Daten, aus denen die rassische und ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen sowie auf genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und auf Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Absatz 2 ist ebenso allgemein gefasst und für all diese Datentypen einschlägig. Da es in diesem Blogbeitrag ausschließlich um Patientendaten (Gesundheitsdaten) geht, wurde die Vorschrift nicht lediglich widergegeben, sondern mit Hilfe der juristischen Auslegungstechnik hineingelesen, welche konkreten Voraussetzungen bei der Verarbeitung von Patientendaten gegeben sein müssen. Wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist ihre Einwilligung zu geben (Wortlaut des Art. 9 Abs. 2 lit. c DSGVO), dann ist regelmäßig auf die mutmaßliche Einwilligung abzustellen. Die Verteidigung von Rechtsansprüchen nach lit. f bezieht sich im Patientenverhältnis maßgeblich auf die Abwehr von Gefahren auf die körperliche Unversehrtheit. Die hier gewählten Auslegungen sind anerkannt und nachzulesen etwa bei Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Art. 9 Rn 12; KVB Datenschutz in der Arzt-/Psychotherapeutenpraxis, Hinweise und Antworten der Kassenärztlichen Vereinigung Bayerns zum Umgang mit Patientendaten im Praxisalltag S. 6.
Einen schönen guten Tag,
die Frage des Kollegen Heimburger war doch, wieso Art. 9 Abs. 2 lit. f DSGVO als „zur Abwehr von Gefahren auf seine körperliche Unversertheit“ bezeichnet wurde, während die Norm schon dem Wortlaut nach in eine andere Zielrichtung stößt. Was bedeutet in diesem Zusammenhang dann Ihre Antwort auf Herrn Heimburgers Frage: „Die Verteidigung von Rechtsansprüchen nach lit. f bezieht sich im Patientenverhältnis maßgeblich auf die Abwehr von Gefahren auf die körperliche Unversehrtheit.“?
Die Antwort bedeutet, dass sich der Blogbeitrag auf die in Art. 9 Abs. 2 lit. f DSGVO genannte Voraussetzung „zur Verteidigung von Rechtsansprüchen“ bezieht. Ein solcher Rechtsanspruch ist die körperliche Unversehrtheit aus Art. 2 Abs. 2 GG.
Hallo, danke für den interessanten Beitrag. Natürlich sind die Rechtsansprüche und die Sicherheit ein großes Thema, was allerdings auch zu bedenken ist, wen erreicht man mit einer App? Zu einem Großteil die Technik-Affinen, die älteren stehen stehen wieder außen vor, da die Hemmschwelle in diesem Bereich besonders groß ist.