Interview mit Herrn Prof. Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Interviewfragen von Dr. med Catherina Stauch

Bonn, den 17.08.2021

Themenbereich I
Geplante, politisch gewollte Weiterentwicklung der TI

1. Der Sachverständigenrat im Gesundheitswesen (SVR) spricht in seinem Gutachten vom 24. März 2021 davon, dass „Daten teilen besser heilen heißt“. Er führt aus: „ Von der Lebenswirklichkeit längst überholte Konzepte wie Datensparsamkeit helfen nicht weiter. Der SVR knüpft hier an den Deutschen Ethikrat an, der in seiner Stellungnahme zu „Big Data und Gesundheit“ feststellte, einem Datenmissbrauch könne „ mit Handlungsformen und Schutzmechanismen des traditionellen Datenschutzrechts nur unzureichend begegnet werden.

Wie bewerten Sie oder Ihre Behörde diese Behauptungen als Bundesdatenschützer?

„Der Begriff der Datensparsamkeit war im früheren Bundesdatenschutzgesetz geregelt. Die Datenschutz-Grundverordnung (DSGVO) hat dies zum Grundsatz der Datenminimierung weiterentwickelt. Der SVR übersieht diese Weiterentwicklung des Datenschutzrechts. Dies zeigt sich leider auch in anderen Bereichen des Gutachtens. Ich hätte es begrüßt, wenn der SVR während der Erstellung des Gutachtens Kontakt zu den Expertinnen und Experten der Datenschutzaufsichtsbehörden gesucht hätte.“

2. Der SVR formuliert weiter konkrete Empfehlungen zur patientenwohldienlichen Ausgestaltung der elektronischen Patientenakte ebenso wie zur treuhänderisch kontrollierten Nutzung von Gesundheitsdaten für die Forschung. Hierbei führt er aus (Punkt 6), dass „Der Datenschutz im Sinne eines umfassenden Patientenschutzes neu gedacht werden muss. Die alte Maxime der unbedingten Datensparsamkeit und strengen Zweckbindung ist von der Realität überholt worden.
Datensicherheit muss die vorrangige Norm werden. Dieser Verantwortung müssen sich auch die Datenschutzpolitiker in der Gesetzgebung und die Datenschutzbeauftragen in der Umsetzung stellen.“

Was bedeutet dies aus Sicht der Datenschutzbeauftragten?

„Der Datenschutz schützt nicht Daten, sondern Individuen und ihre Privatsphäre. Dieser Schutz ist seit dem Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983 ein Grundrecht, nämlich das Recht auf informationelle Selbstbestimmung. Die im Hippokratischen Eid enthaltene ärztliche Schweigepflicht ist die erste schriftlich fixierte Datenschutznorm überhaupt. Sie wurde im Genfer Gelöbnis, das vom Weltärztebund 2017 neugefasst wurde, weiterentwickelt. Dies scheint der SVR nicht berücksichtigt zu haben.“

3. Bisher sind die Beantragung und das Führen der elektronischen Patientenakte freiwillig.
In Punkt 11 seines Gutachtens fordert der SVR, dass die ePaper Opt-out-Verfahren (also Widerspruchsmöglichkeit) gestaltet werden soll. Bei diesem angestrebten Prinzip, soll zunächst der Patient verdatet werden, dann ggf. ein Widerspruchsrecht eingeräumt werden. Wie ist dieses Prinzip auch im Hinblick zu einer nachträglichen Gesetzesänderung einzuordnen?

„Über mögliche künftige Gesetzesänderungen lässt sich nur spekulieren. Bisher ist die elektronische Patientenakte, die eigentlich eine elektronische Gesundheitsakte ist, freiwillig. Und das sollte auch so bleiben. Wer jetzt über Zwang zur Nutzung oder Datenfreigabe schwadroniert, wird nur viele davon abhalten, die ePA freiwillig zu nutzen und Daten freiwillig zu teilen.“

4. In Absatz 15 wird verlangt zu prüfen, ob Artikel 9 Abs.2 der DSGVO eine gesetzliche Befugnisnorm zur Verarbeitung ohne Zustimmungserfordernis geschaffen werden kann. Die Daten sollen pseudonymisiert an eine zentral „Sammelstelle“ (Forschungsdatenzentrum (FDZ) weitergeleitet werden...“
Sind der Aufbau von Datenbergen für die Forschung sinnvoll? Gibt es Alternativen wie zum Beispiel gezielte Datenbankabfragen bei der Kassenärzteschaft und mit deren Mitwirkung zum Beispiel bei der Einwilligungserklärung?

„Weil es sich bei Gesundheitsdaten um besonders sensible und deshalb besonders schützenswerte Daten handelt, hat die DSGVO hier eine eigene Systematik gewählt. Die automatisierte Verarbeitung von Gesundheitsdaten ist grundsätzlich verboten und nur in besonderen, klar definierten Ausnahmefällen erlaubt.
Die DSGVO privilegiert aber die wissenschaftliche Forschung. Forschungsdatenzentren, von denen es in Deutschland bereits etliche gibt, sind eine Möglichkeit, der Wissenschaft datenschutzgerecht – nämlich in anonymisierter oder pseudonymisierter Form – Daten zur Verfügung zu stellen. Gezielte Datenbankabfragen bei der Kassenärzteschaft sind hierzu keine Alternative.
Der Bundesdatenschutzbeauftragte ist Datenschutzaufsichtsbehörde für wichtige Forschungsdatenzentren. Dazu zählt neben den Forschungsdatenzentren des Statistischen Bundesamtes, der Deutschen Rentenversicherung und der Bundesanstalt für Arbeit auch das Forschungsdatenzentrum beim Bundesinstitut für Arzneimittel und Medizinprodukte, das vom DIMDI übernommen wurde. In dieses Forschungsdatenzentrum sollen neben den Sozialdaten der gesetzlichen Krankenkassen auch – auf freiwilliger Basis – Daten aus den elektronischen Patientenakten gespeichert werden. Hier gibt es allerdings noch einige datenschutzrechtliche Fragen zu klären.“

Themenbereich II
Digitalisierung im Arzt-Patientenverhältnis, Digitalisierung im ärztlichen Alltag?
Elektronische Identität der Ärzteschaft / Psychotherapeutenschaft und Patientenschaft

1. Die ausdrückliche und konkludente Willenserklärung ist Basis jeden Rechtsgeschäftes zwischen zwei Personen. Patientenbegleitende Dokumente wie die Übergabe dieser Dokumente (Versicherungsnachweis, Rezept, stationäre Einweisung, Überweisung) führen zu einem klaren, analogen Rechtsverhältnis zwischen Arzt und Patient.
Ist diese juristische Klarheit in den Vorgaben der digitalisierten Kassenmedizin noch möglich und auch praktikabel für Arzt und Patient? Ist dieses Rechtsverhältnis in der Telematikinfrastruktur abbildbar?

„Im Jahr 2021 wäre das Beharren auf einer analogen Welt in meinen Augen nicht sinnvoll. Zudem wäre eine gut gemachte, datenschutzkonforme elektronische Patientenakte auch der Papierlösung überlegen. Die elektronische Gesundheitskarte, deren Entwicklung die Datenschutzbeauftragten des Bundes und der Länder jahrzehntelang kritisch begleitet haben, das eRezept, das gerade eingeführt wird, die Übermittlung von elektronischen Arztbriefen sind Beispiele für Digitalisierung im Gesundheitswesen. Die Telematikinfrastruktur wird von den Datenschutzbeauftragten des Bundes und der Länder daher nicht grundsätzlich abgelehnt. Allerdings sind hier die datenschutzrechtlichen Grundsätze zu beachten.“

2. Wie ist die doppelte Identität der Ärzteschaft und Psychotherapeutenschaft, die analoge und elektronische Identität zu bewerten (Beispiel rechtsverbindliche Zuordnung einer Rezeptfälschungen, Abrechnungsbetrug, Manipulation von Krankenakten)?

„Wenn eine elektronische Identität geschaffen wird, bedarf es entsprechender Sicherungen, um Rezeptfälschung, Abrechnungsbetrug und Manipulationen an Krankenakten zu verhindern. Derartige Vergehen gab und gibt es auch in der analogen Welt. Vieles ist auch nicht neu. Elektronische Krankenakten gibt es beispielsweise schon seit 25 Jahren.“

3. Wie ist die elektronische Patientenidentität (rechtsverbindlich zugeordnete Inanspruchnahme von Leistungen mit falscher Datenlage in der ePa oder Leistungsmissbrauch seitens der Patienten) geschützt bzw. zu werten?

„Eine elektronische Patientenidentität gibt es noch nicht. Seitens des Gesetzgebers gibt es bislang nur erste Überlegungen, eine solche elektronische Patientenidentität einzuführen. Sobald die Planungen des Bundesgesundheitsministeriums hierzu konkreter würden, würde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hierzu Stellung zu nehmen.“

Verhalten bei Datenhavarie im SGB 5 Raum:

1. Was müssen Patienten und Patientinnen im Fall einer Havarie (Stromausfall, Cyberangriff, Katastrophenfall, höhere Gewalt) langfristig befürchten (zum Beispiel bei Generation übergreifende Daten im Netz, bei unterschriebenen Organspendeausweisen, bei Verbindung mit Personenkennziffern, Handynummern etc.)?

„Mit Ihrem Szenario sprechen Sie Fragen der Datensicherheit an. Derartige Systeme müssen mehrfach abgesichert sein. Das wird auch in der Regel beachtet. Leider gibt es Ausnahmen, wie einige Vorfälle in Krankenhäusern – auch aus diesem Jahr – zeigen. Viele Krankenhäuser gehören zu so genannten kritischen Infrastrukturen, bei denen durch das IT-Sicherheitsgesetz und die Kritis-Verordnung bestimmte Pflichten hinsichtlich der Datensicherheit vorgeschrieben sind. Dies sollte in allen Bereichen des Gesundheitswesens beachtet werden.“

2. Welche Handlungsmöglichkeiten haben Patienten und Patientinnen, wenn ihre Daten aus der sog. Elektronischen Patientenakte beispielsweise durch einen Katastrophenfall nicht für sie und ihre behandelnden Ärzte verfügbar sind? Wozu würden Sie raten? Würden sie den Patienten und Patientinnen zu einer analogen Exitstrategie raten?

„Nein, eine analoge Exitstrategie ist nicht erforderlich. Die Speicherung der Daten in der elektronischen Patientenakte entbindet die behandelnden Ärztinnen und Ärzte nicht von ihrer standesrechtlichen Dokumentationspflicht.“