Kategorien
Gesellschaft und Wirtschaft Medizinische Informationen

Ist Schutz vor Datenweitergabe im Gesundheitswesen möglich? – Folge 4

Veröffentlicht am 18. April 2024; Autorin: Cornelia Margot (Volljuristin)

Dieser Beitrag betrifft alle Versicherten, sowohl gesetzlich als auch privat versicherte Personen.
In Folge 2 wurde die neue deutsche Rechtslage zur elektronischen Patientenakte (ePA) besprochen. Dieses Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen (DigiG) ist Ende März 2024 in Kraft getreten. Ausführungen zur „Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten“ EHDS, enthielt der Beitrag noch nicht. Dies wird hiermit ergänzt, da es aktuelle Entwicklungen gibt und sich die Frage stellt, wie sich diese auf die Rechtslage in Deutschland auswirken könnten.

I.  Gesetzgebungsverfahren

Der erste Entwurf zur Schaffung eines EHDS stammt vom 3.5.2022. Am 13.12.2023 hatte sich das EU-Parlament auf einen überarbeiteten Entwurfstext geeinigt, in den zahlreiche Änderungsvorschläge eingeflossen sind.

Im nächsten Schritt mussten sich das EU-Parlament und der Rat gemeinsam auf einen Verordnungsentwurf einigen – auf Basis des im Dezember 2023 gefundenen Textes sowie etwaiger weiterer Änderungsanträge. Diese Einigung erfolgte am 15. März 2024.

Der letzte Schritt wird die endgültige Abstimmung im EU-Parlament und im Rat sein. Diese soll Ende April 2024 stattfinden. Bis dahin kann sich also noch was ändern – im Guten wie im Bösen.

II. Was sieht nach heutigem Kenntnisstand die beabsichtigte europäische Verordnung (EU-VO) vor? Welche Auswirkungen auf die deutsche Rechtslage zu den Widerspruchsmöglichkeiten zeichnen sich ab?

Die Widerspruchsrechte können in zwei Bereiche unterteilt werden.

1. Die grundsätzliche Möglichkeit, dem Anlegen einer ePA bzw. der Registrierung von Daten in eine ePA zu widersprechen. Das entspricht der in Folge 2 besprochenen Opt-Out-Möglichkeit.

2. Widerspruchsrechte zu einzelnen Anwendungen und Nutzungszwecken bei grundsätzlichem Vorhandensein einer ePA.

Die EU-VO unterscheidet hierbei zwischen

a. einer Primär- und

b. einer Sekundärnutzung.

Dieser Beitrag befasst sich mit dem grundsätzlichen Opt-Out, dem Widerspruch gegen das Haben und Benutzen einer ePA an sich. Zu den einzelnen Widerspruchsrechten für Inhaber einer ePA wird es einen Folgeartikel geben. Dort werden auch Primär- und Sekundärnutzen definiert.  

zu 1. Wird es nach der VO das Recht geben, der Registrierung von Gesundheitsdaten in ein EHR-system (electronic health recording system/System für elektronische Patientenakten) grundsätzlich zu widersprechen?

a. Der ursprüngliche Entwurf sah ein solches Recht überhaupt nicht vor. Es war an mehreren Stellen von „Datenaltruismus“ die Rede – Datenschutz spielte eher keine Rolle.

b. Vor der Abstimmung im Dezember wurde auf Betreiben von Abgeordneten sozialdemokratischer, grüner und linker Parteien ein Änderungsantrag (Amendment 555) eingebracht, dem auch mehrheitlich zugestimmt wurde.

Der Antrag lautete:

„Die Mitgliedstaaten können natürlichen Personen ein Widerspruchsrecht gegen die Registrierung ihrer personenbezogenen Daten in einem EHR-System einräumen.

Wenn ein Mitgliedstaat ein solches Recht einräumt, legt er Vorschriften und besondere Schutzmaßnahmen für solche Widerspruchsmechanismen fest.“

Es war vorgesehen, diesen Text in die VO selbst als Art. 7 Absatz 1a mit aufzunehmen, so dass er ein verbindliches Recht einzelner Mitgliedstaaten gewesen wäre. Er hätte dann direkt unter folgendem Text gestanden:

Die Mitgliedstaaten stellen sicher, dass die Angehörigen der Gesundheitsberufe bei der Verarbeitung von Gesundheitsdaten die einschlägigen Gesundheitsdaten […] in einem elektronischen Format in einem EHR-System registrieren.

Das ist DIE Stelle in der VO, in der deutlich und verbindlich gefordert wird, dass Gesundheitsdaten in eine ePA aufzunehmen sind. „System“ bedeutet nach den Begriffsbestimmungen eine Software oder ein Gerät, auf dem eine ePA gespeichert und verarbeitet werden kann. 

c. Die gewünschte Änderung wurde am 15.3.24 allerdings wieder gestrichen

d. Trotzdem wird von einem der Verfasser des wieder gestrichenen Antrages, dem EU-Parlamentarier Patrick Breyer, auf seiner Webseite in einem Artikel mit dem Titel „Deal zum EU-Gesundheitsdatenraum“ am 15.3.24 verkündet:

Ein europaweiter Zwang zur elektronischen Patientenakte konnte auf Initiative u.a. des Europaabgeordneten der Piratenpartei Dr. Patrick Breyer verhindert werden. Das deutsche und österreichische Widerspruchsrecht gegen die Einrichtung einer elektronischen Patientenakte ist damit gerettet.

Auf der Suche nach der Ursache dieser optimistischen Nachricht findet man an mehreren Stellen verstreut verschachtelte Formulierungen, die alle zusammen im Ergebnis wohl tatsächlich ergeben, dass (nur) die (gesetzlich) Versicherten in Deutschland und in Österreich aufgrund ihrer aktuellen nationalstaatlichen Gesetze vor einer Zwangs-ePA geschützt sind.

In Österreich gibt es die ELGA, von der man sich per Opt-Out sowohl grundsätzlich abmelden als auch einzelne Zugriffsrechte ablehnen kann.

Sollte es so etwas auch in weiteren europäischen Ländern geben, kann das trotz der EU-VO beibehalten werden. In den Mitgliedsstaaten, deren Gesetzgeber weniger Wert auf Datenschutz legen, wird man einer ePA nicht grundsätzlich widersprechen können.

Wodurch sind die (gesetzlich) Versicherten in Deutschland (und Österreich) nun abgesichert?

Es gibt zwei neue Erwägungsgründe – Nr. 9a und 13a -, die sich zu diesem Thema verhalten. Weitere Passagen im eigentlichen Verordnungstext beziehen sich dann eher auf Widerspruchsrechte zu einzelnen Nutzungsmöglichkeiten für Inhaber einer ePA. 

Einschub: Was ist ein Erwägungsgrund zu einer EU-Verordnung?

Erwägungsgründe sind einer VO vorangestellt. Sie gelten als nicht- verbindliche Begründung, die bei der Auslegung von Unklarheiten herangezogen werden kann. Dabei dürfen sie aber nicht so ausgelegt werden, dass von den Bestimmungen der VO abgewichen oder diese ihrem Wortlaut zuwider ausgelegt wird.

Wir sehen uns also die neuen Erwägungsgründe an. Im Moment liegt noch keine offizielle deutsche Fassung vor.

i. Erwägungsgrund 9a

Der englische Originaltext findet sich im Dokument „Europäischer Rat Nr. 7553/24“ auf Seite 10.

Korrigierte Übersetzung von deepl.com:

(9a) Diese Verordnung berührt nicht die Zuständigkeit der Mitgliedstaaten für die erste Registrierung personenbezogener elektronischer Gesundheitsdaten, wie etwa, die Registrierung von genetischen Daten von der Zustimmung der natürlichen Person oder von anderen Garantien abhängig zu machen. Die Mitgliedstaaten können verlangen, dass Daten vor der Anwendung dieser Verordnung in einem elektronischen Format zur Verfügung gestellt werden. Dies sollte nicht die Verpflichtung berühren, personenbezogene elektronische Gesundheitsdaten, die nach der Anwendung dieser Verordnung registriert werden, in einem elektronischen Format zur Verfügung zu stellen.

Was bedeutet: „Elektronische Daten, die registriert werden, sind in einem elektronischen Format zur Verfügung zu stellen“?

Dazu ein Blick in die deutsche Fassung der Begriffsbestimmungen der VO (Artikel 2 Absatz 2 Buchstabe h):

„Registrierung elektronischer Gesundheitsdaten bezeichnet die Aufzeichnung von Gesundheitsdaten in einem elektronischen Format, durch manuelle Dateneingabe, durch Erhebung von Daten durch ein Gerät oder durch Umwandlung nicht elektronischer Gesundheitsdaten in ein elektronisches Format, damit sie in einem EHR-System oder einer Wellness-Anwendung verarbeitet werden können.“

Aha. Also die Aufzeichnung der Daten muss so erfolgen, dass sie von dem Ort (dem Gerät, der Software), in den sie eingetragen werden, in eine ePA übertragen werden können. Der Gesundheitsdienstleister führt keine Papierkartei, sondern er gibt Daten elektronisch ein. In ein System, das mit einer ePA kompatibel sein muss. Somit sind das zwei Schritte. Erstens der Eintrag in den Praxiscomputer. Dann von dort die evtl. Übertragung der Daten in eine ePA.

Demnach besagt der Erwägungsgrund 9a):

Gesundheitsdaten werden vor Ort elektronisch registriert. Einzelheiten dazu regelt jeder Mitgliedsstaat selbst. Er kann auch bestimmen, dass dafür z.B. eine Zustimmung der betroffenen Person erforderlich ist. Als Beispiel werden genetische Daten, also besonders sensible Daten,  genannt. Wenn Daten aber elektronisch registriert werden, dann so, dass sie auch in eine ePA übertragen werden können.

Dass man diesen 9a) auch so  auslegen kann, dass man der Registrierung sämtlicher Daten widersprechen kann, lese ich aus der Formulierung nicht heraus. Erst recht besagt 9a) nichts darüber, ob ich dem zweiten Schritt, der Speicherung der registrierten Daten in einer ePA, widersprechen kann.   

Demnach ist Erwägungsgrund 9a) m.E. nicht die Lösung auf der Suche nach einer grundsätzlichen Opt-Out-Möglichkeit.

ii. In Erwägungsgrund 13 a werden wir eher fündig.

Der Originaltext findet sich ebenfalls im Dokument 7553/24, dort auf den Seiten 12/13.

Korrigierte Übersetzung von deepl.com: (Fettdruck eingefügt von mir)

(13a) Aufgrund der unterschiedlichen Sensibilitäten in den Mitgliedstaaten in Bezug auf den Grad der Kontrolle der Patienten über ihre Gesundheitsdaten sollten die Mitgliedstaaten die Möglichkeit haben, ein absolutes Widerspruchsrecht gegen den Zugriff durch jedermann vorzusehen, mit Ausnahme des ursprünglich für die Datenverarbeitung Verantwortlichen und ohne Dringlichkeitsvorbehalt. Wenn sie sich dafür entscheiden, sollten sie die Regeln und spezifischen Garantien für solche Mechanismen festlegen. Diese Vorschriften und besonderen Garantien können auch für bestimmte Kategorien personenbezogener elektronischer Gesundheitsdaten, z.B. genetische Daten, gelten.

Ein solches Widerspruchsrecht bedeutet, dass die personenbezogenen elektronischen Gesundheitsdaten der Personen, die widersprochen haben, nur dem Gesundheitsdienstleister, der die Behandlung durchgeführt hat, zur Verfugung stehen. Darüber hinaus werden sie nicht über die im Rahmen des EHDS eingerichteten Dienste zur Verfügung gestellt werden.

Die Mitgliedstaaten können die Registrierung und Speicherung von elektronischen Gesundheitsdaten derjenigen Personen, die widersprochen haben, in einem EHR-System verlangen, das von dem Gesundheitsdienstleister genutzt wird, der die Gesundheitsdienstleistungen erbracht hat und das nur für diesen zugänglich ist.

Wenn eine natürliche Person von ihrem Widerspruchsrecht Gebrauch gemacht hat, werden Gesundheitsdienstleister weiterhin die Behandlung gemäß den geltenden Vorschriften dokumentieren und können auf die von ihnen registrierten Daten zugreifen.

Natürliche Personen, die von einem solchen Widerspruchsrecht Gebrauch gemacht haben, sollten die Möglichkeit haben, ihre Entscheidung rückgängig zu machen. Falls sie das machen, sind die personenbezogenen elektronischen Gesundheitsdaten, die während des Zeitraums des Widerspruchs erzeugt wurden, möglicherweise nicht über die Zugangsdienste und MyHeath@E verfügbar.  

Fazit:

Unterschiedliche datenschutzrechtliche Belange in einzelnen Ländern sollten berücksichtigt werden. Gesundheitsdienstleister (Ärzte etc.) müssen zwar grundsätzlich Daten elektronisch registrieren – mit Ausnahme derjenigen Daten, die ggf. nach 9a herausgenommen wurden. Aber diese Registrierung verbleibt, wenn der Patient widersprochen hat, auf dem Gerät des Arztes; sie wird nicht im europäischen Gesundheitsdatenraum zur Verfügung gestellt. Der innerstaatliche Gesetzgeber kann zwar verlangen, dass diese Daten in eine ePA eingepflegt werden, auf die niemand anders als der jeweilige Arzt Zugriff hat. Aber er muss dies nicht verlangen.

Damit sind wir bei den Regeln des deutschen SGB V in der neuen Fassung des DigiG. Elektronische Registrierung ist grundsätzlich verpflichtend. Der Versicherte kann verlangen, dass die Daten vom Rechner des Arztes NICHT in eine ePA wandern. Er kann es deshalb verlangen, weil das SGB V ihm dieses Recht einräumt im Wege des Opt-Out-Widerspruchs.

Die Formulierung in diesem Erwägungsgrund ist auch hinreichend konkret. Der Gesetzgeber kann das SGB V zwar theoretisch wieder abändern. Aber nicht mit der Begründung, es verstieße gegen die EU-VO.

Falls der Erwägungsgrund 13a das weitere Abstimmungsverfahren in der EU „überlebt“ und nicht weiter verwässert wird, bleiben wir erst einmal geschützt. Kurzfristige Kontaktaufnahme mit EU-Parlamentariern, um deutlich zu machen, wie wichtig das ist, kann nicht schaden. In dem verlinkten Text „Amendment 555“ stehen die Namen der Abgeordneten, die bereit sind, diese Versichertenrechte zu schützen.  

Und was ist nun mit privat Versicherten?

Meines Erachtens besteht hier noch eine Regelungslücke. Es gibt in Deutschland kein Widerspruchsrecht für privat Versicherte gegen eine ePA. Das gibt es bislang alleine deshalb nicht, weil es auch keine Pflicht zur ePA gibt. Was man nicht muss, dem braucht man auch nicht zu widersprechen. Nach Inkrafttreten der EU-VO gäbe es aber diese Pflicht. EU-Verordnungen gelten direkt und unmittelbar und müssen nicht in innerstaatliches Recht umgewandelt werden.

Privat Versicherte sollten daher auf ihre Versicherungen, auf Datenschutzbeauftragte, auf Parlamentarier zugehen und sich dafür einsetzen, dass der deutsche Gesetzgeber auch für sie klarstellt, dass sie dem Anlegen einer ePA bzw. der Weitergabe ihrer Gesundheitsdaten in den EHDS widersprechen können.    

Ein Vorschlag für ein solches Schreiben kann hier im Anschluss heruntergeladen werden.

Im nächsten Beitrag wird auf einzelne Widerspruchsrechte bei Gebrauch einer ePA im Rahmen des EHDS näher eingegangen.

Kommentare, Anregungen und Erfahrungen aus der Praxis oder Fragen zu diesem Artikel können außer in Mails an die Redaktion auch in der offenen Telegram-Gruppe der Autorin  t.me/imanfangwarcorona an die Autorin direkt gerichtet werden. Diese Gruppe ist als Diskussionsforum zu aktuellen Fragen gedacht.