Zum Inhalt springen Zur Navigation springen
Elektronischer Heilberufsausweis und die Datenverarbeitung

Elektronischer Heilberufsausweis und die Datenverarbeitung

„Sicher ist sicher – die Telematikinfrastruktur“ (TI) – so lautet der Slogan im Webauftritt der CompuGroup Medical. Abgesehen von Meldungen zu Datenschutzverstößen oder peripherer Bedenken im Abschlussbericht Projekt CyberPraxMed, wird der Sicherheit ein hoher Stellenwert eingeräumt. Um aber als Heilberufler:In an der TI partizipieren zu können, wird ein elektronischer Heilberufsausweis benötigt. Dieser Beitrag gibt einen Überblick über den Beantragungsprozess und welche personenbezogenen Daten an welche Stellen herausgegeben werden müssen.

Fortschreitende Digitalisierung im Gesundheitswesen

Die TI stellt eine einrichtungsübergreifende, digitale Vernetzung im nationalen Gesundheitswesen dar. Dies ermöglicht einen schnellen Austausch von sensiblen personenbezogenen Daten (den Gesundheitsdaten i. S. v. Art. 9 Abs. 1 DSGVO) und zielt gleichzeitig auf die Erfüllung europäischer (insb. der DSGVO) als auch nationaler (z. B. § 305 SGB V) Datenschutzregelungen ab.

Hierfür setzt die TI auf qualifizierte Verschlüsselungsverfahren, der Einstufung der Gesundheitsdaten im TI-System auf die Höchststufe E gemäß dem Schutzstufenkonzept des Landesbeauftragten für Datenschutz in Niedersachen und strenge Zugriffsregelungen, damit jede Interaktion und Kommunikation in diesem Kanal sicher ist. In diesem Zusammenhang ist der ausschließliche Zugriff von autorisiertem Personal von entscheidender Wichtigkeit.

Der elektronische Heilberufsausweis (eHBA)

Zur Erfüllung der strengen Vorgaben im TI-System spielt der eHBA eine wichtige Rolle. Dieser ist quasi der digitale Identitätsnachweis für Heilberufler:Innen, wie etwa Ärzt:Innen oder Pflegefachfrauen/-männer. Mit diesem Erhalten nur berechtigte Personen Zugang zu den TI-Anwendungen und können Gesundheitsdaten einsehen und bearbeiten. Des Weiteren ermöglicht dieser eine qualifizierte elektronische Signatur.

Beantragungsverfahren, Datenschutz- und Nutzungshinweise

Der eHBA kann auf Antrag beim elektronischen Gesundheitsberuferegister des Regierungsbezirks Münster erteilt werden. Um die hohen Authentifizierungshürden zu bewältigen und da der Ausweis auf eine Person und nicht auf die Gesundheitseinrichtung ausgestellt wird, für die die Person arbeitet, muss zunächst eine Authentifizierung erfolgen. Dies ist mit einer BundID möglich, mit der sich Bürger:Innen für Verwaltungsdienstleistungen im Internet identifizieren können. Im Laufe des Prozesses wird dann auf die Nutzungsbedingungen und die Datenschutzerklärung aufmerksam gemacht.

Hinsichtlich der Umsetzung der Sicherheit ist in der Datenschutzerklärung für die Website „meineverwaltung.nrw“ positiv hervorzuheben, dass als Auftragsverarbeiter i. R. d. Serviceportals.NRW ein Landesbetrieb, als unselbständiger Teil der Landesverwaltung NRW, als Dienstleister für die Verarbeitung angewiesen wird. Hierbei handelt es sich um den Landesbetrieb Information und Technik Nordrhein-Westfalen.

Positiv an den Nutzungsbedingungen ist ihre Überschaubarkeit, wobei eine gewisse Ähnlichkeit zur Datenschutzerklärung besteht. Zusammen mit dem hierin enthaltenen Link zur Datenschutzerklärung, der allerdings wiederum zu den Nutzungsbedingungen führt, bieten diese Hinweise allerdings keinen nennenswerten Mehrwert.

Kontoerstellung BundID mit Einwilligungserklärung

Wer noch kein BundID-Konto besitzt, hat sich durch das Prozedere zu bemühen, wobei aufgrund jüngster Meldungen zu Sicherheitslücken nicht ohne Weiteres von einem gänzlich sicheren System gesprochen werden kann.

Das Verfahren verlangt sehr viele personenbezogenen Daten in Form von Pflichtfeldern. Die dabei angezeigte datenschutzrechtliche Einwilligungserklärung sieht zwar an sich mit einer Verlinkung zur Datenschutzerklärung für weitere Informationen zur Verarbeitung, in Ordnung aus, jedoch könnte gerade im weisungsgebundenen Arbeitsverhältnis (vgl. § 106 GewO) an der Freiwilligkeit der Einwilligung gemäß Art. 4 Nr. 11 in Verbindung mit Art. 7 Abs. 3 DSGVO gezweifelt werden.

Weitere (berufs-)personenbezogene Daten

Zu diesen Daten gehören insbesondere der Beruf, das Jahr der Erteilung der Berufserlaubnis und die Berufsurkunde.

Zusätzlich muss ein Vertrauensdiensteanbieter als Kartenproduzent ausgewählt werden. Nach positiver (E-Mail-)Rückmeldung seitens der Behörde, wird der Antrag an diesen Vertrauensdiensteanbieter weitergeleitet. Hierin wird eine nachvollziehbare Speicherfrist des Antrages von 90 Tagen angegeben.

Da der Antrag nicht kostenfrei ist, werden abschließend noch Zahlungsinformationen abgefragt.

Bestellung des elektronischen Heilberufsausweises

Zu guter Letzt ist es beim Vertrauensdiensteanbieter nochmals nötig einen Account für den Bestellprozess des eHBA zu erstellen, d. h. wiederum seine Identität bestätigen zu müssen (z. B. über das Post-Ident-Verfahren).

Endlich mehr Datenschutz mit dem elektronischen Heilberufsausweis

Nachdem dieser, mitunter mehrere Wochen in Anspruch nehmende Prozess, bei denen sehr viele personenbezogene Daten preisgegeben wurden, abgeschlossen ist, ist es nun möglich, die Datenschutzfrüchte zu ernten.

Mit autorisiertem Zugriff auf die TI kann nun an der Ende-zu-Ende-Verschlüsselung partizipiert werden. Dies sorgt dafür, dass nur noch die berechtigten Empfänger entsprechende Daten lesen können. Zudem können der Zugriff und eine Datenverarbeitung protokolliert werden, um Missbrauch vorzubeugen oder zumindest nachvollziehbar zu machen.

Neben dem Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO, ist weiterhin insbesondere der Grundsatz der Richtigkeit der Daten, die Speicherbegrenzung und der Datensparsamkeit gemäß Art. 5 Abs. 1 c) DSGVO zu achten, wonach sich der Umfang der Daten weiterhin auf das für Datenverarbeitung notwendige Maß zu beschränken hat.

Viel technisches, viel rechtliches, aber auch viele Dateninhaber

Die Umsetzung der TI und dessen Versuch den rechtlichen (Datenschutz-)Rahmenbedingungen gerecht zu werden, sind ein wichtiger Schritt Vertrauen in einer immer digitalaffiner werdenden Bevölkerung zu schaffen. Aus Sicht der beantragenden Heilberufler:Innen wäre es aufgrund des Aufwands zumindest sinnvoll bei der Beantragung eines eHBA über das One-stop-shop-Prinzip zukünftig nachzudenken, um die personenbezogenen Daten stärker auf eine Stelle konzentrieren zu können.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.