Das Patientendaten-Schutz-Gesetz wird von Zahnärzten und Ärzten, aber auch von Computerexperten weiter kritisch gesehen. Es wird zwar klargestellt, dass die Verantwortung der Ärzte und Zahnärzte für die TI-Sicherheit vor dem Konnektor endet. Aber in vielen anderen Punkten sind weiter Fragen offen oder Regelungen verschlechtert worden.
Das machten die Stellungnahmen zur Anhörung im Gesundheitsausschuss des Deutschen Bundestags zum „Entwurf des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG)“ am 27. Mai 2020 deutlich. Für die Zahnärzteschaft haben Kassenzahnärztliche Bundesvereinigung (KZBV) und Bundeszahnärztekammer (BZÄK) eine gemeinsame Stellungnahme abgegeben und diese kommentiert. (Die gemeinsame Stellungnahme von KZBV und BZÄK zum PDSG kann unter www.kzbv.de/pdsg abgerufen werden, ebenso wie weitere Informationen zu den Themen Digitalisierung und TI.)
Kritik an Mehrbelastung für die Praxen
Die KZBV hat erneut Änderungsbedarf angemahnt, der bei zentralen Regelungselementen weiterhin besteht. Dazu zählen insbesondere – noch einmal erweiterte – Protokollierungspflichten der Zahnärzte für Zugriffe auf personenbezogene Daten der Versicherten in Anwendungen der Telematikinfrastruktur (TI) sowie Unterstützungspflichten der Praxen bei datenschutzrechtlichen Ansprüchen der Versicherten gegenüber Krankenkassen und im Zusammenhang mit der elektronischen Patientenakte (ePA), sowie Informationspflichten der Zahnärzte bei der Übertragung von Daten in die ePA. Dr. Karl-Georg Pochhammer, stellvertretender Vorstandsvorsitzender der KZBV, erklärte, die KZBV unterstütze „weiterhin aus Überzeugung das Ziel des Gesetzgebers, die Digitalisierung im Gesundheitswesen voranzubringen und Datenschutz und Datensicherheit zu stärken“. Viele der mit dem PDSG einhergehenden Änderungen und Neuerungen seien grundsätzlich richtig und wichtig. Allerdings dürfe Digitalisierung nie Selbstzweck sein. „Sie muss immer konsequent daran gemessen werden, ob sie die Patientenversorgung verbessert, Praxen von administrativen Aufgaben entlastet und keine Mehrkosten verursacht“ so Pochhammer. „Das PDSG birgt an einigen Stellen immer noch das Risiko, dass Vertrauen im Berufsstand in Digitalisierung verloren geht, statt dringend nötige Akzeptanz zu schaffen.“
Vorgaben für Protokollierungspflichten verschärft
So seien Vorgaben für Protokollierungspflichten für Zahnärzte im Vergleich zum Referentenentwurf sogar noch einmal verschärft: Nun sollen Praxen nicht nur zwei, sondern drei Jahre rückwirkend Auskunft geben können, wer in welcher Weise auf personenbezogenen Daten bei TI-Anwendungen zugegriffen hat. „Für Zahnärztinnen und Zahnärzte sind solche Archiv-Aufgaben eine zusätzliche Belastung, die in keinem Verhältnis zum Nutzen der Regelung steht und die wir deshalb ablehnen. Gerade durch solche überbordende Bürokratie leidet letztlich die Patientenversorgung. Wir fordern eine praxistaugliche Ausgestaltung der Vorgabe ohne Mehraufwand“, sagte Pochhammer.
Patienten sollen in der Praxis auf ePA und TI zugreifen können
Weiterhin sieht das PDSG vor, dass Versicherte in Praxen das Recht haben, Funktionalitäten der elektronischen Gesundheitskarte (eGK) oder der TI zu nutzen. Dazu erklärt Pochhammer: „Hier werten wir positiv, dass der Gesetzgeber einigen unserer Forderungen entsprochen hat, wie die Konkretisierung der Regelungen zum Zugriff auf TI-Anwendungsdaten und zum ePA-Zugriffsmanagement in der Praxis. Dies wird jedoch durch geplante Regelungen wieder konterkariert, wonach Zahnärzte auf Verlangen des Versicherten zur Löschung der Daten in allen Anwendungen verpflichtet werden können. Diese Inkongruenz muss beseitigt werden!“
Nach wie vor lehne man auch ab, dass Zahnärzte den Versicherten bei der Durchsetzung datenschutzrechtlicher Ansprüche gegenüber ihrer Kasse unterstützen oder sie über die Kategorisierung ihrer Daten und ihren Anspruch auf Übermittlung in die ePA informieren sollen. „Solche Aufgaben haben mit der Ausübung unseres Heilberufes nichts zu tun“, betonte Pochhammer. Die damit einhergehende Bürokratie belaste Behandlungsabläufe und sei angesichts der ohnehin schon erheblichen Arbeitsverdichtung kontraproduktiv.
Verantwortung endet vor dem Konnektor
Pochhammer begrüßte hingegen, dass die Politik die Forderung der Zahnärzte nach einer konkreten Regelung weitgehend aufgegriffen hat, die Verantwortlichkeiten der Praxen beim Thema Datenschutz definiert: „Unsere Position war immer: Die Verantwortlichkeit des Zahnarztes endet ‚vor dem Konnektor‘. Zahnärzte sind demnach weder für die zentrale TI noch für die Anwendungsinfrastruktur entsprechender Dienste verantwortlich. Und ihre Verantwortlichkeit für die Komponenten der dezentralen Infrastruktur ist nunmehr sachgerecht und entsprechend unserer Forderung auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung begrenzt. Das PDSG schafft in diesem Punkt somit die nötige Klarheit. Es entbindet Praxen von einem zunächst vorgesehenen Umfang an Verantwortlichkeit, den sie gar nicht hätten wahrnehmen können.“
BZÄK begüßt Klärung zur Verantwortung
Auf dieses Thema hebt auch die Bundeszahnärztekammer in ihrer Stellungnahme ab. Zahnärztinnen und Zahnärzte seien nur für ihre Praxis datenschutzrechtlich verantwortlich. Denn nur das sei beherrschbar, was sich tatsächlich innerhalb der Praxis beeinflussen lässt. Auch die BZÄK begrüßt, dass sich der Gesetzgeber ihrer Forderung weitestgehend angenähert hat, die datenschutzrechtliche Verantwortung der Leistungserbringer vor dem Konnektor enden zu lassen. „Für die Akzeptanz der Telematikinfrastruktur innerhalb der Zahnärzteschaft ist dies ein wichtiges und richtiges Signal“, so BZÄK-Vizepräsident Prof. Dr. Dietmar Oesterreich. „Es wird unter anderem klargestellt, dass die Praxisverantwortung lediglich für die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten gilt. Ebenso ist die Klarstellung des Gesetzgebers zu begrüßen, dass Praxen mit weniger als 20 mit der Datenverarbeitung beschäftigten Personen auch nach dem Anschluss an die Telematikinfrastruktur regelmäßig keinen Datenschutzbeauftragten benennen müssen.“
Gleichwohl setze sich die BZÄK weiter dafür ein, den Zahnärztinnen und Zahnärzten keine weitergehenden technischen und organisatorischen Maßnahmen aufzuerlegen, als sie der Datenschutz selbst vorschreibt. Die ausgeweiteten Pflichten im Gesetzentwurf lehne man ab.
Chaos Computer Club sieht weiter schwere Sicherheitsprobleme
Scharfe Kritik kam vom Chaos Computer Club (CCC). Er hatte schon nach Vorlage des Gesetzentwurfs die Sicherheit infrage gestellt. Bei gemeinsamen Recherchen mit Journalisten war herausgekommen, dass die für den Zugang und zur Nutzung der TI und der Anwendungen erforderlichen elektronischen Heilberufeausweise bei Ärzten quasi ohne Identitätsprüfung verschickt wurden. Bundesgesundheitsminister Jens Spahn (CDU) hatte den CCC danach öffentlich eingeladen, die TI herauszufordern.
„Mit dem geplanten Patientendaten-Schutz-Gesetz sollten auch Schwachstellen beseitigt werden, auf die der Chaos Computer Club (CCC) im Dezember zum 36C3 öffentlich hinwies. Leider misslingt dem Bundesgesundheitsministerium auch dieser erneute Anlauf“, so der CCC zur Anhörung. Der CCC hat eine eigene Stellungnahme abgegeben und einen Sachverständigen in der Anhörung gestellt. „Doch statt die Mängel, wie vom CCC gefordert, abzustellen, werden diese nunmehr gesetzlich festgeschrieben. Mit den neuen Regelungen soll die Verpflichtung zur sicheren Identifikation des Versicherten bei Kartenbeantragung vollständig entfallen. Die Ausgabe der Gesundheitskarte wird nur noch auf niedrigem Sicherheitsniveau vorgeschrieben“, so der CCC.
Auch Kassen sollten Sanktionen nach DSGVO treffen
Krankenkassen als Herausgeber der Gesundheitskarte, dem Zugangsschlüssel zur kommenden elektronischen Patientenakte und damit Deutschlands größtem Gesundheitsdatenschatz, sollen mit dem Gesetzentwurf zudem von den Sanktionen der Datenschutzgrundverordnung (DSGVO) ausgenommen bleiben, so der CCC. „Dabei kommen sie ihren datenschutzrechtlichen Verpflichtungen regelmäßig nicht nach, wie die spätestens seit 2014 wiederholt ausgenutzten Mängel bei der Beantragung und Ausgabe der Gesundheitskarte zeigen.“ Die im Gesetzentwurf vorgesehenen und im Verhältnis zum Ausgabevolumen der Krankenkassen von mehr als 25 Milliarden Euro völlig unzureichenden Bußgeldvorschriften entstammten dem zahnlosen alten Bundesdatenschutzgesetz (BDSG) und setzten keinen dringend notwendigen Anreiz zur Behebung dieser langjährigen Versäumnisse.
„Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist einfach fahrlässig“, sagte Martin Tschirsich, der als Sachverständiger des CCC im Gesundheitsausschuss am 27. Mai Auskunft gab.
FVDZ: „Vertragszahnärzte nicht die Bürokratie-Handlanger der Kassen“
Auch der Freie Verband Deutscher Zahnärzte (FVDZ) unterstützt das Ziel einer sukzessiven und sicheren digitalen Vernetzung aller Akteure des Gesundheitswesens per Patientendaten-Schutz-Gesetz (PDSG), sieht aber Nachbesserungsbedarf. „Wir sind an einer Weiterentwicklung einer digitalen Infrastruktur interessiert“, betonte der FVDZ-Bundesvorsitzende Harald Schrader anlässlich der Anhörung. Wenig zielführend etwa sei es aus Sicht des FVDZ, der (Zahn-)Ärzteschaft auf Verlangen des Patienten die Verwaltung und Aktualisierung der elektronischen Patientenakte (ePA) aufzubürden. Damit würden räumliche, zeitliche und personelle Kapazitäten in der Praxis in nicht vertretbarem Maße gebunden. „Zahnarztpraxen können keine Datenmanagement-Stellen sein“, betonte Schrader. Hier seien vielmehr die Krankenkassen als eigentliche Nutznießer in der Pflicht, den Patienten die notwendige Infrastruktur und die personellen Ressourcen für das ePA-Datenmanagement zur Verfügung zu stellen. „Vertragszahnärzte sind nicht die Bürokratie-Handlanger der Krankenkassen“, stellte Schrader klar.
Eigene Zahnarzt-ePA vorgeschlagen
Er warnte davor, die positiven Aspekte der ePA durch fehlgeleitete Vorstellungen zu konterkarieren. So stecke in der ePA durchaus Erleichterungspotenzial für Zahnarzt und Patient, etwa die Möglichkeit, Röntgenaufnahmen oder Daten für das Zahnarzt-Bonusheft zu speichern. Auch das „feingranulare Rechtemanagement“, das der Gesetzgeber den Versicherten ab 2022 einräumt, begrüßt der FVDZ im Prinzip, da Patientensouveränität aus Verbandssicht oberste Priorität hat. Als Grundlage für eine richtige Diagnose- und Therapieentscheidung plädiert der FVDZ für eine spezifische Zahnärzte-ePA, in der keine Daten gelöscht oder ausgetauscht werden können – vergleichbar einem erweiterten Notfalldatensatz. Für den Praktiker Schrader wäre dies eine Win-win-Situation für Zahnarzt und Patient: „Die Zeit, die wir Zahnärzte nicht mit außermedizinischen Zusatzaufgaben zubringen müssen, können wir eins zu eins für unsere Patienten nutzen.“
BÄK: Anreize können Akzeptanz schaffen
„Die Digitalisierung im Gesundheitswesen wird nur dann zu einem Erfolg, wenn alle Beteiligten in der Patientenversorgung digitale Anwendungen akzeptieren und intensiv nutzen. Die in dem Entwurf der Bundesregierung für ein Patientendaten-Schutz-Gesetz vorgesehenen Anreize sind ein sinnvoller Schritt, Ärzten den Einstieg in die medizinischen Anwendungen der Telematik-Infrastruktur zu erleichtern“, betont Erik Bodendieck, Vorstandsmitglied der Bundesärztekammer (BÄK), vor der öffentlichen Anhörung des Gesetzentwurfs. Für die erste Befüllung der elektronischen Patientenakte (ePA) regt Bodendieck einen „Patientenpass“ mit medizinischen Basisinformationen an. Der ohnehin konzipierte Notfalldatensatz sei dazu das geeignete Format, so Bodendieck in einer Meldung der BÄK.
Den Förderzeitraum von zwölf Monaten hält er aber für zu kurz. Die Anlage hochwertiger Notfalldatensätze könne für eine Hausarztpraxis viel Organisations-und Rechercheaufwand bedeuten. Es biete sich eher an, den Förderzeitraum nicht zu begrenzen, dafür aber eine Förderobergrenze festzulegen, die in maximal zwei Jahren auszuschöpfen sei.
Kritik an Sanktionen für Ärzte
Im scharfen Kontrast zu den Anreizmechanismen stünden die mit dem Gesetz vorgesehenen Sanktionen, unter anderem Honorarkürzungen für Ärzte, wenn sie bis zum 30. Juni 2021 nicht über die notwendigen Komponenten und Dienste für den Zugriff auf die ePA verfügten. Ein Vertragsarzt könne nicht beeinflussen, ob er die für die ePA benötigte Technologie rechtzeitig bekomme. Daher könne man ihn auch nicht dafür bestrafen, stellt Bodendieck klar und fordert die ersatzlose Streichung dieser Sanktionsmöglichkeit.
Keine Therapieangebote ohne Arztbeteiligung
Einer weiteren Bestimmung zufolge sollen Versicherte die Inhalte ihrer ePA an ihre Krankenkasse übermitteln können, wenn sie kassenspezifische Angebote nutzen wollen. Die Krankenkassen wiederum sollen diese Daten verarbeiten dürfen. Das würde ihnen Therapieangebote ermöglichen, ohne Kenntnis des behandelnden Arztes. Auch dieser Passus sollte nach dem Willen der BÄK entfallen. „Mindestens sollte der behandelnde Arzt über solche Angebote an den Patienten informiert werden. Ansonsten kann das besondere Vertrauensverhältnis zwischen Arzt und Patient Schaden nehmen“, warnt Bodendieck.
Nachbesserungsbedarf bei Datennutzung für Forschungszwecke
Hinsichtlich der Datennutzung zu Forschungszwecken soll mit dem PDSG eine Rechtsgrundlage zur freiwilligen Datenfreigabe geschaffen werden. Das sei grundsätzlich sinnvoll, sagt Bodendieck. Allerdings gebe es dazu noch dringenden Nachbesserungsbedarf. Eine differenzierte Betrachtung dieses neuen Konstruktes solle in einem eigenen Gesetz erfolgen. Eine Ausnahme von der freiwilligen Datenfreigabe solle bei der Forschung zu hochbrisanten Pandemien gelten („Lex Corona“). „Hier muss unter bestimmten Voraussetzungen die Verarbeitung personenbezogener Gesundheitsdaten einschließlich genetischer Daten auch ohne Einwilligung der betroffenen Person zulässig sein“, fordert die BÄK.