Rechtsgutachten zum Opt-out-Verfahren Im Zweifel für die ePA

Anbieter zum Thema

Governikus GmbH & Co. KG

Bertelsmann Stiftung

Auf ein Opt-out-Modell für die elektronische Patientenakte (ePA) hat sich die Ampelregierung bereits in ihrer Koalitionsvereinbarung festgelegt. Die Frage ist nun, wie ein solches Modell ausgestaltet sein soll. Ein neues Rechtsgutachten hat das jetzt aus Datenschutzsicht untersucht.

Mit den Entlassungsbescheiden der Klinik zu Fachärzten laufen, Befunden nachtelefonieren, die beim Hausarzt nie ankamen – das müsste nicht mehr in sein in Deutschland im Jahr 2022. Seit Anfang 2021 gibt es die elektronische Patientenakte. Damit lassen sich alle Daten zentral pflegen, Doppeluntersuchungen wie auch Fehler vermeiden und insgesamt die Gesundheitsversorgung verbessern.

Axway-Studie

Datenaustausch? Ja, bitte!

Doch obwohl Interesse besteht, wie Umfragen zeigen, nutzen nur rund 500.000 Versicherte bisher diese Möglichkeit – das sind weniger als ein Prozent. Die Gründe: mangelnde Kommunikation, vor allem aber zu komplizierte Verfahren. Um einen umfassenden Datenschutz zu gewährleisten, wurde in Deutschland ein mehrstufiges Opt-in-Modell gewählt: Für jeden Schritt, von der Anlage bis zur Zugriffsberechtigung durch einzelne Fachärzte, braucht es die explizite Einwilligung der Versicherten.

Umstellung auf die Opt-out-Methode

Das soll sich ändern, bereits im Koalitionsvertrag hat sich die Ampelregierung auf den Übergang zum Opt-out-Verfahren geeinigt: Allen Versicherten soll eine ePA zur Verfügung gestellt werden, deren Nutzung freiwillig ist (opt-out), das heißt, die Versicherten können der Nutzung widersprechen.

Aber wie muss dieses Verfahren ausgestaltet werden, um allen Datenschutzvorgaben zu genügen? Wie sollten Einrichtung, Befüllung und Zugriffsrechte geregelt sei; welche Optionen hat der Gesetzgeber und welche Steuerungsmöglichkeiten brauchen Versicherte?

Dazu haben die Bertelsmann Stiftung und die Stiftung Münch ein Rechtsgutachten beauftragt, das jetzt veröffentlicht wurde. Betrachtet werden darin die einzelnen Stufen von der Anlage bis zur Steuerung durch die Patienten. Dabei werden die jeweiligen Optionen untersucht und in eine der Kategorien: „zwingend – empfohlen – optional – ausgeschlossen“ eingeordnet. Ergebnisse und potenzielle Schlussfolgerungen sind zudem in einem speziellen „Spotlight Gesundheit“ zum Thema zusammengefasst.

Es geht auch ohne Registrierung

Bislang müssen sich Versicherte zuerst bei ihrer Krankenkasse für die Anlage der ePA individuell registrieren. Laut der Studie ist dies aber aus datenschutzrechtlicher Sicht gar nicht notwendig, man könne die notwendige Identifizierung auch anders, etwa durch Vorlage des Versichertenausweises mit Lichtbild in der Apotheke vornehmen.

Damit entfalle faktisch auch die Unterscheidung zwischen Anlage und Befüllung, denn nach Artikel 9 der DSGVO kann die Verarbeitung von Gesundheitsdaten auch einwilligungsunabhängig geregelt werden, wenn es dem individuellen oder öffentlichen Gesundheitsschutz dient. Der Gesetzgeber könnte somit die Krankenversicherungen ermächtigen, die ePA anzulegen und auch zu befüllen. Als Ausgleich für diese einwilligungsunabhängige, automatisierte Befüllung sind den Patienten aber weitreichende Steuerungsmöglichkeiten bei der Aktenführung zu einzuräumen, wie Studienautor Prof. Christoph Krönke erläutert.

Aufwand für Ärzte kompensieren

Dabei stellt sich zunächst die Frage, welche Daten in die Patientenakte einfließen sollen. Sensible Daten, etwa zu psychischen Erkrankungen, sollten differenziert behandelt, mit besonderen Hinweispflichten oder sogar punktuellem Opt-in versehen werden, so die Empfehlung.

Die zweite Entscheidung betrifft die Frage, ab welchem Zeitpunkt die Daten einzupflegen sind, ab Anlage oder auch rückwirkend. Aus Versorgungssicht ist ein möglichst umfassender Datenbestand zu bevorzugen, also die rückwirkende Befüllung. Das bedeutet aber zusätzlichen Aufwand für die Arztpraxen – der entsprechend kompensiert werden müsste. Christoph Krönke nennt sachliche Unterstützungsleistungen bei verpflichtenden Leistungen oder finanzielle Anreize bei einer optionalen Regelung. Klar sei, die Ärzte müssten mit „an Bord der ePA“, sonst drohe dem Vorhaben der Schiffbruch.

Zugriffe nach Berufsgruppen regeln

Für die Zugriffsberechtigungen wird eine automatische Zugriffsregelung nach Berufsgruppen empfohlen, die jedoch vom Patienten individuell auch angepasst werden kann. Zwingend sei eine zeitliche Befristung der Zugriffe, die jedoch ebenfalls individuell steuerbar sein sollte.

Weitreichende Steuerungsmöglichkeiten durch Patienten

Komplexer noch wird es bei den folgenden Gestaltungsentscheidungen der Patienten. Für den technischen Zugang und die Steuerungstiefe sieht die Studie zwingende Bedingungen:

• Der technische Zugang zur Steuerung ist multimodal zu gestalten. Das heißt, außer dem Zugriff über Laptop oder Smartphone ist – wie im übrigen auch schon für die Widerspruchsoption – mindestens eine Möglichkeit für Menschen ohne eigenes Endgerät vorzusehen, etwa ein Serviceterminal bei der Krankenkasse.

• Die Steuerung sollte feingranular, bis auf die Ebene einzelner Dokumente und Datensätze, ermöglicht werden.

Für die Entfernung von Daten werden Verschattungsmöglichkeiten und ein Notfallmodus vorgeschlagen sowie fachkundige Unterstützung der Patienten angemahnt. Eine Berechtigung für andere Zugriffsberechtigten (z. B. Ärzte) zur Löschung, Änderung oder Ausblendung von ePA-Daten (zu Korrekturzwecken) stuft die Studie jedoch als datenschutzrechtlich unzulässig ein. Stattdessen werden Ergänzungen und Markierungen empfohlen.

(ID:48495123)