Wenn man der Covid-19-Pandemie eine gute Seite abgewinnen möchte, ist dies vielleicht der Erkenntnisgewinn des Nachholbedarfs vieler Unternehmen bei ihrer Digitalisierungsstrategie. Mal eben die Personalabteilung ins Homeoffice schicken? Zunächst müssen noch Laptops beschafft werden, gesicherte externe Zugänge sind nicht durchdacht, an einer Betriebsvereinbarung mangelt es und wie soll man eigentlich auf die vielen Regalmeter an Papierakten zugreifen?
Noch vor der Pandemie hat unser umtriebiger Gesundheitsminister Ende Januar 2020 das Digitalisierungsdefizit im Gesundheitswesen erkannt und seinen Entwurf des Patientendaten-Schutz-Gesetzes vorgelegt, der relativ reibungslos das Gesetzgebungsverfahren durchlaufen hat. Das Gesetz tritt zum 1. Januar 2021 in Kraft. Am 30. Januar 2020 twitterte Jens Spahn: „Mit der elektronischen Patientenakte entscheidet allein der Patient, was mit seinen Daten geschieht und wer darauf zugreifen kann. Mit dem Patientendaten-Schutz-Gesetz (PDSG) schaffen wir klare Regeln für den Schutz und die Sicherheit der Gesundheitsdaten.“
Kern des Gesetzes ist die elektronische Patientenakte (ePA), in der Versicherte künftig beispielsweise ihre Behandlungsdaten, Röntgenbilder, Impfstatus und verordnete Medikamente sammeln und einem Arzt ihrer Wahl freischalten können. Eine zentrale Datendrehscheibe in der Hand des Patienten – eigentlich ein lobenswertes Ansinnen. Bereitgestellt wird die ePA von den Krankenkassen. Auch Regeln für den elektronischen Medikationsplan und der gesetzliche Rahmen für das E-Rezept finden sich im PDSG. Endlich kommt die Digitalisierung voran. Und alle sind zufrieden? Denkste!
Die Kritik am PDSG ist massiv. Der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber warnte die Krankenkassen davor, die Vorgaben zur ePA umzusetzen, und wies sie schriftlich darauf hin, dass insbesondere die Regelungen zum Zugriffsmanagement nicht den Vorgaben der DSGVO entsprächen. Ein solches Vorgehen ist gleichermaßen einmalig wie konsequent: Der BfDI hatte während des Gesetzgebungsverfahrens mehrfach darauf hingewiesen, dass Patienten bei Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen. Das ist jedoch erst ab 2022 vorgesehen. Erteilt zum Start der ePA ein Patient beispielsweise seinem Zahnarzt den Datenzugriff, erhält dieser unweigerlich auch Einblick in Daten zu einer psychotherapeutischen Behandlung. Um hierin ein Defizit zu erkennen, muss man kein Datenschutzexperte sein. Die Krankenkassen stehen vor einem Dilemma: Einerseits ist das PDSG für sie bindend, andererseits drohen bei dessen Umsetzung Sanktionen seitens des BfDI. Rückendeckung für die Kassen gibt es vom Bundesamt für Soziale Sicherung (BAS), der Aufsichtsbehörde der bundesmittelbaren Kassen. Die Behörde bestätigt die Datenschutzkonformität des PDSG. Schlammcatchen zwischen einer Obersten Bundesbehörde und einer Bundesoberbehörde – das hat man nicht allzu oft.
Es ist die Obligation eines Systembetreibers, für angemessene Sicherheitsmaßnahmen zu sorgen. In der DSGVO heißt es hierzu: „Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden.“ Fahrschüler lernen das bei uns seit knapp 45 Jahren: Erst gurten, dann starten!
