Regierungsparteien änderten Gesetz zur elektronischen Patientenakte zugunsten der Versicherungen
Die elektronische Patientenakte kommt 2021 und soll einen erheblichen Beitrag zur Digitalisierung des Gesundheitswesens leisten. Doch die vorgesehenen Regelungen stoßen auf starke Kritik von datenschutzrechtlicher Seite. So hat Ulrich Kelber, Bundesdatenschutzbeauftragter und zuständig für die Kontrolle der Datenverarbeitungen durch die gesetzlichen Krankenkassen, die unbeschränkte Zugriffsmöglichkeit von Ärzten auf die verarbeiteten Gesundheitsdaten gerügt (wir berichteten) und entsprechende aufsichtsbehördliche Maßnahmen angekündigt. Zudem wurde die Datensicherheit als unzureichend kritisiert, insbesondere hinsichtlich des vorgesehenen Authentifizierungsverfahrens.
Im Blickpunkt: Werbung für “Versorgungsinnovationen”
Dies sind jedoch nicht die einzigen Punkte, die im Zusammenhang mit dem sog. “Patientendaten-Schutz-Gesetz” (PDSG) für eine gewisse Aufregung sorgen. Das Netzmagazin “Telepolis” hatte bereits Anfang August über eine Änderung des § 68b Abs. 3 SGB V berichtet, die auch Ulrich Kelber sauer aufgestoßen ist. § 68b Abs. 2 S. 1 SGB V erlaubt den gesetzlichen Krankenversicherungen, “ihren Versicherten insbesondere Informationen zu individuell geeigneten Versorgungmaßnahmen zur Verfügung (zu) stellen und individuell geeignete Versorgungsmaßnahmen an(zu)bieten.” Um solche Angebote überhaupt vorbereiten zu können, dürfen die Krankenkassen gem. § 68b Abs. 1 S. 4 SGB V “die versichertenbezogenen Daten, die sie nach § 284 Abs. 1 (SGB V) rechtmäßig erhoben und gespeichert haben, im erforderlichen Umfang auswerten.” Zwar muss zumindest eine Pseudonymisierung der Daten, ggf. sogar eine Anonymisierung stattfinden. Weil hier jedoch u.a. auch Informationen über ärztliche Leistungen enthalten sind, erscheint es nicht ausgeschlossen, dass auch besonders zu schützende, weil sensible Gesundheitsdaten verarbeitet werden. Im Ergebnis kann hier eine Profilbildung der Versicherten stattfinden, um diesen “Versorgungsinnovationen”, das heißt zusätzliche Gesundheitsmaßnahmen über die bereits bezogenen ärztlichen Leistungen hinaus, anbieten zu können. Wohlwollend betrachtet geht es also um die Verbesserung der medizinischen Versorgung. Man kann darin aber auch eine exzellente Werbemöglichkeit für die Krankenkassen und deren Partner sehen.
Vorheriges Einwilligungserfordernis gestrichen
Die dargestellte Profilbildung und die Information der Versicherten über zusätzliche Maßnahmen darf aber, so die bisherige Rechtslage, nur erfolgen, wenn die Versicherten “zuvor schriftlich oder elektronisch eingewilligt” haben (§ 68b Abs. 3 S. 1 SGB V). Dieses vorherige Einwilligungserfordernis entspricht den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an eine wirksame datenschutzrechtliche Einwilligung. Gleichzeitig ist sie den Krankenkassen jedoch ein Dorn im Auge, insbesondere stoße dies an “Praktikabilitätsgrenzen” (so der GKV-Spitzenverband bereits in einer Stellungnahme vom 11.10.2019). Aus diesem Grunde wurde von dieser Seite eine Änderung des § 68b Abs. 3 S. 1 SGB V dahingehend gefordert, dass nur noch die Teilnahme an den Angeboten und die dafür erforderlichen Verarbeitungen der vorherigen Einwilligung bedürfen – nicht aber die vorbereitenden Maßnahmen, also die Profilbildung. Dieser Änderungsvorschlag wurde in ähnlicher Form in das Gesetz aufgenommen und der neue § 68b Abs. 3 SGB V laut Gesetzesbegründung darauf gestützt, dass sich “das vormals bestehende Einwilligungserfordernis (…) als nicht praktikabel erwiesen hat.” So lautet der neue § 68b Abs. 3 SGB V – die Gesetzesänderung wurde durch den Bundesrat am 18.09.2020 angenommen – nun wie folgt: “Die Teilnahme an Maßnahmen nach Absatz 2 ist freiwillig. Die Versicherten können der ge-zielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. Die Krankenkassen informieren die Versicherten bei der ersten Kontaktaufnahme zum Zwecke der Information oder des Unterbreitens von Angeboten nach Absatz 2 über die Möglichkeit des Widerspruchs.”
Statt auf eine vorherige ausdrückliche Einwilligung, setzt das Gesetz also auf eine Widerspruchsmöglichkeit. Diese bezieht sich jedoch, folgt man dem Wortlaut der Norm, nur auf die gezielte Information sowie die Unterbreitung von Angeboten, nicht aber darauf, dass die personenbezogenen Daten nach § 68b Abs. 1 SGB V zur Angebotsvorbereitung verarbeitet werden. Auf diesen Verarbeitungsvorgang haben die Versicherten demnach keinen Einfluss mehr. Sie werden erst über die Datenverarbeitung informiert, wenn die Profilbildung bereits stattgefunden hat, und können lediglich die weiteren Werbemaßnahmen seitens der Versicherungen verhindern.
Wurde der BfDI getäuscht?
Pikant ist an dieser Änderung auch der Umstand, dass dem BfDI zur vorherigen Stellungnahme, die vor Verabschiedung des Gesetzes erfolgt ist, laut Aussage von Ulrich Kelber eine anderslautende Formulierungshilfe vorgelegt wurde. In dieser lautete die fragliche Bestimmung noch: “Die Teilnahme an Angeboten nach Absatz 2 und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden.” Weil hier noch eine vorherige Einwilligung vorgesehen war, habe seine Behörde zu diesem Punkt keine Stellungnahme abgegeben, so Kelber. Es sehe deswegen danach aus – so die Einschätzung von “Telepolis” – als sei der Aufsichtsbehörde absichtlich eine anderslautende Formulierungshilfe vorgelegt worden, um wegen eines Verstoßes der Norm gegen die DS-GVO einen Widerspruch durch den Bundesbeauftragten zu verhindern.
Im Interview mit “Telepolis” machte Kelber jedoch deutlich, dass durchaus noch Handlungsmöglichkeiten seiner Behörde bestünden. Werde hier ein Verstoß gegen die DS-GVO festgestellt, könnten entsprechende Datenverarbeitungen durch die Krankenkassen mit entsprechenden Anordnungen unterbunden und Veränderungen der Datenverarbeitung angewiesen werden. Im Zweifel würde dir Frage der Rechtmäßigkeit der Norm durch den EuGH geklärt werden. Dabei verweist Kelber auch auf die Möglichkeiten, die den Versicherten selbst zur Verfügung stehen: Beschwerden über die Verarbeitungen bei der für ihre Krankenkasse zuständige Aufsichtsbehörde sowie Bestreitung des Rechtswegs, notfalls bis zum Bundesverfassungsgericht.