Die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS) und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) haben in Kooperation ein Positionspapier zum Gesundheitsdatenschutz in der Datenschutz-Grundverordnung (DSGVO) veröffentlicht.
Der Inhalt im Überblick
Gesundheitsdatenschutz – Heute und zukünftig
Mit der Einführung der DSGVO soll das europäische Datenschutzrecht harmonisiert werden, die bereits bestehenden nationalen Gesetze müssen folglich entsprechend angepasst werden. Beim Gesundheitsdatenschutz existieren jedoch eine Vielzahl von teilweise auch länderspezifischen Spezialregelungen. Da die Patientenversorgung heute institutions- und länderübergreifend erfolgt, sollte die zu erfolgende Änderung der Gesundheitsdatenschutzgesetzgebung laut den Verfassern des Positionspapiers dazu genutzt werden, diese zu modernisieren und gleichzeitig in Bund und Ländern zu harmonisieren.
Datenweitergabe
In diesem Zusammenhang sei es besonders wichtig, dass der Gesetzgeber klare Erlaubnistatbestände zur Datenweitergabe an mitbehandelnde oder weiterbehandelnde Personen schafft. Diese sollten nach Ansicht der Verfasser jedoch nicht zwingend die Einwilligung der Patienten erfordern, da es oft zweifelhaft sei, ob Patienten unter dem Eindruck ihrer Erkrankung überhaupt rechtsgültige Einwilligungen abgeben können, etwa im Hinblick auf die Freiwilligkeit der Einwilligung. Die Transparenz gegenüber den Patienten müsse dabei aber durch die Erfüllung der Informationspflichten in jedem Fall gewährleistet bleiben.
Medizinische Forschung
Da die medizinische Forschung in der DSGVO nur ein Randthema sei, müsse der Gesetzgeber in diesem Bereich Sorge dafür tragen, dass der Anschluss an die internationale medizinische Forschung nicht verloren wird. Erforderlich seien insbesondere klare Regelungen für den Umgang mit Biomaterial und die einrichtungsübergreifende Forschung und die Qualitätssicherung mit den Daten der Patientenversorgung.
Qualitätssicherung der medizinischen Versorgung
Ein weiterer Schwerpunkt müsse auf die Qualitätssicherung der medizinischen Versorgung gelegt werden. Hier sollten mindestens die aktuellen Regelungen beibehalten werden, die eine Nutzung von Daten der Routineversorgung zu Zwecken der Qualitätssicherung erlaubt.
Externe Dienstleister
Da Krankenhäuser oder Arztpraxen die mittlerweile sehr komplexe elektronische Datenverarbeitung nicht alleine bewältigen könnten, müsse sichergestellt werden, dass Daten außerhalb der verantwortlichen Stelle verarbeitet werden dürfen. Gleichzeitig müsse aber bei der externen Stelle derselbe gesetzlichen Schutz dieser Daten wie bei der versorgenden Einheit gewährleistet sein.
Datenschutzbeauftragter und Betroffenenrechte
Die derzeitige Regelung des Bundesdatenschutzgesetztes zur Bestellung eines DSB sollte laut dem Papier beibehalten werden. Obwohl die umfangreichen Betroffenenrechte der Datenschutz-Grundverordnung grundsätzlich begrüßenswert seien, sollten einige wenige dieser Rechte eingeschränkt werden, bis nationale Umsetzungsvorgaben eine nutzbare Gestaltung dieser Betroffenenrechte erlauben.
Geheimhaltungspflicht
In Art. 9 Abs. 3 DSGVO wird eine Geheimhaltungspflicht für Personen gefordert, welche besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 h DSGVO verarbeiten. Eine solche Geheimhaltungspflicht wird derzeit durch § 203 Strafgesetzbuch umgesetzt. Dieser wird in der Literatur jedoch uneinheitlich bezüglich des Kreises der Verpflichteten ausgelegt, so dass der Gesetzgeber an dieser Stelle nachbessern sollte, um Rechtssicherheit zu schaffen und den Anforderungen der DSGVO zu genügen.
Wer sich ausführlicher mit dem Thema beschäftigen möchte, dem sei das vollständige Positionspapier empfohlen.