Das Bundesministerium für Gesundheit hat mit dem Digitalgesetz (DiGiG) und dem Gesetz zur verbesserten Nutzung von Gesundheitsdaten Beschleunigung in die Digitalisierung des Gesundheitswesens gebracht. Die elektronische Patientenakte (ePA), Gesundheits-Apps auf Rezept und Online-Sprechstunden verändern den Alltag in Kliniken und Arztpraxen. Bei dieser digitalen Transformation gibt es einiges zu beachten, um Patientendaten bestmöglich zu schützen.
Der Inhalt im Überblick
Digitale Gesundheitsversorgung: Definition und Fortschritt
Die Digitalisierung im Gesundheitswesen schreitet rasant voran. Ein zentraler Treiber sind Gesundheits-Apps, die immer häufiger als Medizinprodukte anerkannt und von Ärzten zur Unterstützung der Behandlung verschrieben werden. Die Kosten für diese digitalen Gesundheitsanwendungen übernehmen in der Regel die Krankenkassen. Besonders bei chronischen Erkrankungen wie Diabetes oder Rheuma haben sich Gesundheits-Apps bereits bewährt: Diabetiker können mithilfe von Sensoren unter der Haut ihre Blutzuckerwerte kontinuierlich messen und so die Insulindosierung optimieren – ganz ohne den schmerzhaften Stich in den Finger. Auch Patienten mit psychischen Erkrankungen oder Rheuma profitieren, indem sie ihren Gesundheitszustand täglich in einer App dokumentieren und so aktiv zur Verbesserung ihrer Therapie beitragen.
Neben Gesundheits-Apps revolutionieren Online-Sprechstunden die medizinische Versorgung. Patienten können ärztliche Beratung bequem von zu Hause aus in Anspruch nehmen oder sich sogar beim Hausarzt eine Krankschreibung erstellen lassen. Und auch Apotheken dürfen zu ambulanten telemedizinischen Leistungen beraten und bei der Inanspruchnahme angeleitet werden. Auf diese Weise wird ein niedrigschwelliger Zugang zur Versorgung geschaffen. Insbesondere für psychotherapeutische Sprechstunden kann dieses Format eine Chance darstellen, die Versorgung zu verbessern. Fest steht jedoch auch: Die technische Infrastruktur für Telemedizin wird von spezialisierten IT-Dienstleistern bereitgestellt, nicht von den Ärzten selbst.
Der Datenschutz im digitalen Gesundheitswesen
Mit der zunehmenden Digitalisierung im Gesundheitswesen steigt auch die Bedeutung von Datenschutz und IT-Sicherheit. Gesundheitsdaten zählen gemäß Art. 9 DSGVO zu den besonders schützenswerten personenbezogenen Daten. Die Verarbeitung dieser sensiblen Daten ist nur unter bestimmten Voraussetzungen zulässig:
- mit der Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO),
- mit seiner mutmaßlichen Einwilligung (lit. c),
- zur Abwehr von Gefahren auf seine körperliche Unversehrtheit (lit. f) oder
- zur medizinischen Behandlung und Diagnostik (lit. h).
In der Regel dürfen nur Ärzte und medizinisches Fachpersonal Gesundheitsdaten im Rahmen der Diagnostik und Behandlung verarbeiten. IT-Dienstleister, die beispielsweise Gesundheits-Apps betreiben, gehören nicht zu dieser privilegierten Berufsgruppe und benötigen daher eine ausdrückliche Einwilligung der Patienten zur Verarbeitung sensibler Gesundheitsdaten. Denn: Sie sind weder regelmäßig medizinisch geschult noch unterliegen sie der Schweigepflicht (§ 203 StGB). Für sie kommt daher im Umkehrschluss nur die Einwilligung des Patienten als mögliche Rechtsgrundlage zur Verarbeitung von sensiblen Gesundheitsdaten in Betracht.
App-Dienste als Auftragsverarbeitung
Häufig agieren IT-Dienstleister als Auftragsverarbeiter für Ärzte oder Kliniken. Die Auftragsverarbeitung nach Art. 28 DSGVO regelt, dass personenbezogene Daten nur auf Weisung und unter Verantwortung der medizinischen Einrichtung verarbeitet werden dürfen. Um den Schutz der Patientendaten zu gewährleisten, sollten IT-Dienstleister zusätzlich zur gesetzlichen Verschwiegenheit verpflichtet werden.
Verarbeitung von Nutzerdaten
Verarbeitet ein IT-Dienstleister lediglich Nutzerdaten, die keine Gesundheitsdaten sind, gelten die allgemeinen Datenschutzregeln der DSGVO. Die Verarbeitung ist beispielsweise zulässig, wenn sie zur Vertragserfüllung notwendig ist (Art. 6 Abs. 1 lit. b DSGVO ) oder ein berechtigtes Interesse besteht (Art. 6 Abs. 1 lit. f DSGVO).
Wird allerdings eine App verschrieben und von der Krankenkasse bezahlt, kann auch die Zuordnung von Patient zu Krankenkasse eine für die Vertragserfüllung relevante Datenverarbeitung sein. Dann dürfte sich die Datenverarbeitung aber nach den speziellen Regelungen über die Verarbeitung von Sozialdaten richten. Die Verarbeitung von reinen Nutzerdaten kann außerdem grundsätzlich zulässig sein, wenn nach Art. 6 Abs. 1 lit. f DSGVO ein berechtigtes Interesse an der Verarbeitung besteht.
Die elektronische Patientenakte (ePA)
Ein Meilenstein der digitalen Gesundheitsversorgung ist die Einführung der elektronischen Patientenakte. Die elektronische Patientenakte wurde im Januar 2025 für alle gesetzlich Versicherten eingeführt, es sei denn der Patient widerspricht aktiv. Sie speichert medizinische Unterlagen wie Arztbriefe, Diagnosen, Medikationspläne etc., auf welche der Patient damit vollen Zugriff hat.
Vorteile der ePA
Folgende Vorteile soll die ePA haben:
- Gesundheitsdaten können jederzeit und von überall durch den Patienten eingesehen werden.
- Alle beteiligten Leistungserbringer können, auf die in der ePA gespeicherten Daten schnell zugreifen, was den Behandlungsprozess beschleunigt.
- Patienten entscheiden selbst, ob auch andere Menschen Einblick in die ePA haben dürfen.
ePA – alles datenschutzkonform?
Das Bundesministerium für Gesundheit bescheinigt der ePA Datenschutzkonformität. So sei die Kommunikation zwischen den Komponenten der ePA Ende-zu-Ende verschlüsselt.
Die Server, auf denen die Daten in der ePA der Versicherten gespeichert werden, stehen in Rechenzentren in Deutschland. E-Rezepte oder deren Zugangsdaten dürfen nur auf geregelten Kanälen der Telematikinfrastruktur übermittelt werden, das heißt SMS oder E-Mail sind in diesem Sinne verboten.
Kritische Stimmen wie die der IT-Sicherheitsforscherin Bianca Kastl warnen vor erheblichen Sicherheitslücken der ePA. So habe die elektronische Gesundheitskarte keine sogenannte kryptografische Signatur, womit auch gefälschte Gesundheitskarten eingesetzt werden könnten – somit könnten kriminelle Hacker sensible Gesundheitsdaten abgreifen. So sollten laut Ansicht der Kritikerin Menschen mit sensiblen Erkrankungen wie HIV oder einer psychischen Dianose die ePA nicht nutzen.
Bei Identitäts- und Vertrauensdiensteanbietern, wie D‑Trust und Medisign, kam es beispielsweise zu Versandpannen bzw. Produktionsengpässen bei den elektronischen Heilberufsausweisen. Grund für die Ausstellung neuer Heilberufsausweise ist die Umstellung der bisherigen Verschlüsselung mit RSA 2048 auf ECC 256 (Elliptic Curve Cryptography). Gemäß Vorgaben des Bundesamts für Sicherheit in der Informationstechnik biete ECC 256 bei gleicher Sicherheitsstufe deutlich kürzere Schlüssellängen und damit schnellere Verarbeitungszeiten. Das Unternehmen D-Trust ordnete elektronische Heilberufsausweise falsch zu und verschickte sie an andere Ärzte.
Besser wieder alles mit Papier regeln?
Die Digitalisierung des Gesundheitswesens ist ein anspruchsvoller Prozess, der stetige Evaluierung und Nachbesserung erfordert. Fachkräftemangel und der demographische Wandel erfordern effiziente Abläufe in Arztpraxen und Krankenhäusern. Zurück zu Zeiten vor ePA und e-Rezept zu gehen ist keine Option. Trotz allen Fortschritts darf der Datenschutz jedoch nicht auf der Strecke bleiben! Eine frühzeitige Kommunikation mit allen Beteiligten im Sinne der Informationspflichten aus Art. 13 / Art. 14 DSGVO, eine stabile Telematikinfrastruktur sowie umfangreiche technische, organisatorische Maßnahmen haben das Potenzial das Gesundheitswesen langfristig und erfolgreich zu digitalisieren.
Liebe Kolleginnen und Kollegen,
ich bin euch grundsätzlich sehr dankbar für eure sehr hochwertigen Artikel und den damit einhergehenden Newsletter.
Aber heute muss ich kurz mal nachhaken, ob ihr zwei Punkte wirklich so meint:
Nennt ihr Art. 9 Abs. 2 lit. c wirklich einfach „eine mutmaßliche Einwilligung“? Das finde ich eine arg verkürzte Wiedergabe der Norm, da ja der „Schutz lebenswichtiger Interessen“ als zentrale Voraussetzung ausgeblendet bleibt.
Wieso beschreibt ihr Art. 9 Abs. 2 lit f als „zur Abwehr von Gefahren auf seine körperliche Unversertheit“? Davon steht in der Norm doch gar nichts drin. Da geht es um Gerichtsverfahren.
Art. 9 Abs. 1 DSGVO bezieht sich neben Gesundheitsdaten auch auf Daten, aus denen die rassische und ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen sowie auf genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und auf Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Absatz 2 ist ebenso allgemein gefasst und für all diese Datentypen einschlägig. Da es in diesem Blogbeitrag ausschließlich um Patientendaten (Gesundheitsdaten) geht, wurde die Vorschrift nicht lediglich widergegeben, sondern mit Hilfe der juristischen Auslegungstechnik hineingelesen, welche konkreten Voraussetzungen bei der Verarbeitung von Patientendaten gegeben sein müssen. Wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist ihre Einwilligung zu geben (Wortlaut des Art. 9 Abs. 2 lit. c DSGVO), dann ist regelmäßig auf die mutmaßliche Einwilligung abzustellen. Die Verteidigung von Rechtsansprüchen nach lit. f bezieht sich im Patientenverhältnis maßgeblich auf die Abwehr von Gefahren auf die körperliche Unversehrtheit. Die hier gewählten Auslegungen sind anerkannt und nachzulesen etwa bei Spindler/Dalby in Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Art. 9 Rn 12; KVB Datenschutz in der Arzt-/Psychotherapeutenpraxis, Hinweise und Antworten der Kassenärztlichen Vereinigung Bayerns zum Umgang mit Patientendaten im Praxisalltag S. 6.
Einen schönen guten Tag,
die Frage des Kollegen Heimburger war doch, wieso Art. 9 Abs. 2 lit. f DSGVO als „zur Abwehr von Gefahren auf seine körperliche Unversertheit“ bezeichnet wurde, während die Norm schon dem Wortlaut nach in eine andere Zielrichtung stößt. Was bedeutet in diesem Zusammenhang dann Ihre Antwort auf Herrn Heimburgers Frage: „Die Verteidigung von Rechtsansprüchen nach lit. f bezieht sich im Patientenverhältnis maßgeblich auf die Abwehr von Gefahren auf die körperliche Unversehrtheit.“?
Die Antwort bedeutet, dass sich der Blogbeitrag auf die in Art. 9 Abs. 2 lit. f DSGVO genannte Voraussetzung „zur Verteidigung von Rechtsansprüchen“ bezieht. Ein solcher Rechtsanspruch ist die körperliche Unversehrtheit aus Art. 2 Abs. 2 GG.
Hallo, danke für den interessanten Beitrag. Natürlich sind die Rechtsansprüche und die Sicherheit ein großes Thema, was allerdings auch zu bedenken ist, wen erreicht man mit einer App? Zu einem Großteil die Technik-Affinen, die älteren stehen stehen wieder außen vor, da die Hemmschwelle in diesem Bereich besonders groß ist.