2. Stellungnahme zum Patientendaten-Schutzgesetz – PDSG

Der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) e.V. begrüßt gesetzliche Regelungen zur Sicherheit des Datenschutzes im besonders sensiblen Bereich des Gesundheitswesens. Leider bleibt der Kabinettsentwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur vom 31.03.2020 jedoch hinter dem Erforderlichen zurück und muss daher abgelehnt werden.

Vorderstes Interesse des Gesetzgebers scheint die Präzisierung und Erweiterung digitaler Gesundheitsanwendungen im Rahmen der Telematik Infrastruktur (TI): Festgelegt werden z.B. Spezifizierungen zur zukünftigen elektronischen Patientenakte (ePA), die Verantwortlichkeiten und Zuständigkeiten im Rahmen der TI oder digitale Anwendungen, wie elektronische ärztliche Verordnungen.

Der Grundansatz der ePA ist gut: Medikamentenplan oder Notfalldaten ergeben zusätzlichen Nutzen; Informationen zur Behandlung können schneller und allgemeiner zu Verfügung gestellt werden. Nirgends konkretisiert werden aber Maßgaben zur Reduzierung des Datenrisikos der Versicherten z.B. durch die zentrale Speicherung persönlicher angehäufter Gesundheitsdaten, durch Anwendungen auf mobilen Endgeräten oder die zahlreichen möglichen Zugriffsberechtigungen. Aller Voraussicht nach werden „Datenberge“ in den ePA’s entstehen. Welche Erkrankten aber haben Zeit, sich mit differenziertem Zugriffsberechtigungsmanagement für einzelne Dokumente zu beschäftigen?

Rechtlich massiv verletzt wird der wichtige Grundsatz der Datensparsamkeit. Zur Förderung eines echten Datenschutzes sollte der Gesetzgeber hierüber aufklären und klare Anreize schaffen, Daten wirklich zu schützen (z.B. durch kritische Aufklärung, Kultivierung differenzierter Zugriffsberechtigungen,  regelmäßiges Überprüfen und etwaiges „Aufräumen“ der ePA – am besten in Absprache mit den Behandelnden).
 

Änderungsvorschläge: Zur Stärkung der Versichertenrechte fordern wir daher die Aufnahme folgender Änderungen:

  1. Versicherte sind in Bezug auf die ePA vollständig, standardisiert und verständlich zu informieren: sowohl über die Vorteile der ePA, als auch deren Datenschutzrisiken sowie die Möglichkeiten zur Minimierung dieser Risiken.
    Diese Basisinformation sollte unter Nutzung der Expertise entsprechender Fachstellen (z.B. Bundesbeauftragter für Datenschutz) gestaltet werden. Informiert werden sollte z.B. über Risiken durch die dauerhafte, zentrale, kumulierte Speicherung von Gesundheitsdaten, etwaige Widersprüche zu dem im DSGVO geforderten Grundsatz der Datensparsamkeit, Risiken durch die vielfache Nutzung auf mobilen Endgeräten, Information zu z.B. bisheriger Häufigkeit und Folgen illegaler Datenabgriffe.
  2. Die ePA soll erst eingeführt werden, wenn die vorgesehenen Rechte zur feingranularen Differenzierung möglich sind.
    Es ist dabei nicht akzeptabel, dass Versicherte ohne mobile ePA-Anwendungen (Nicht-Frontend-Nutzende) nur mittelgranulare Zugriffsberechtigungen erhalten! Explizit vor Diskriminierung müssen Versicherte geschützt werden, die keine ePA wünschen (§335).
  3. Ermöglicht werden sollte nicht nur eine feingranulare, sondern sogar eine „feinstgranulare“ Differenzierung. Auch die Schwärzung einzelner Passagen in einem Dokument bzw. Löschung/ Sperrung einzelner Daten in einem einzelnen Datensatz sollte möglich sein.
  4. Eine lebendige Kultur des Datenschutzes muss gefördert werden. Alle Leistungserbringenden sollten optional in der Praxis Endgeräte/ Terminals bereithalten dürfen, auf welchen Versicherte ihre ePA einsehen und bearbeiten können. Leistungserbringende sollten angeregt werden, die ePA auf Wunsch der Versicherten mit zu „pflegen“. Hierfür müssen im EBM Leistungsziffern geschaffen werden.
  5. Krankenkassen dürfen keine Möglichkeiten bekommen, auf sensible Daten der ePA zugreifen zu können.
    Die Möglichkeit von „Ausnahmeregelungen“ wurde im Kabinettsentwurf geschaffen und bereits vom Bundesdatenschutzbeauftragten als „Einfallstor“ deutlich kritisiert.
  6. Die Bundespsychotherapeutenkammer (BPtK) soll in den Gesellschafterkreis der gematik GmbH aufgenommen werden. Im vorliegenden Entwurf ist die BPtK nicht im Beirat der gematik GmbH vorgesehen (§ 350 Abs. 2). Die Expertise der berufsständigen Vertretung heilkundlicher Psychotherapie ist z.B. bei den zukünftigen Schnittstellendefinitionen ePA und Praxisverwaltungssystem (PVS-Systeme) wichtig.
  7. Leistungserbringende dürfen nicht voll verantwortlich für dezentrale genutzte TI-Komponenten (z.B. Konnektoren) gemacht werden. Hier schließen wir uns der Position des bayrischen Datenschutzbeauftragten Petri vom 24.04.2020 an: „Die Zielsetzung des Gesetzgebers ist es nach meinen Erkenntnissen, mit den Regelungen des § 307 Abs. 1, 4 und 5 SGB V-E eine Mitverantwortung der gematik GmbH für die dezentrale Zone der Telematik-Infrastruktur dem Grunde nach auszuschließen“.
  8. Die in die ePA eingefügten Daten sollen automatisch nach vorgegebenem Fristablauf von z.B. drei oder fünf Jahren eine Sperrung erhalten
    Eine Entsperrung einzelner Daten bleibt möglich, aber nur bei expliziter aktueller Entscheidung der Betroffenen. Für Diagnostik und Behandlung nicht mehr relevante Daten sollen in Absprache mit den Leistungserbringenden gelöscht werden.
  9. Bzgl. der Forschungsdatenfreigabe fordern wir, eine Freigabe nur für wissenschaftliche Forschungszwecke zu erlauben. Wir schließen wir uns den Kritikpunkten der Bundesdatenschutzbeauftragten an. Im aktuellen Entwurf werden die Daten z.B. auch zum Zwecke der Vorbereitung politischer Entscheidungen verfügbar gemacht.
  10. Der gesetzlich vorgesehene Schlichtungsstelle muss einer neutralen Aufsichtsbehörde zugeordnet werden. Im Entwurf steht diese unter der Aufsicht des BMG. Dieses ist aber gleichzeitig der Mehrheitsgesellschafter der gematik GmbH, die beaufsichtigt werden soll.
  11. Bei allen relevanten TI-Prozessen sollen sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der Bundesbeauftragte für Datenschutz und Informationsfreiheit in Form von Einvernehmen beteiligt werden.
  12. Versicherte sollen bzgl. der Zugangsberechtigung von Betriebsärztlichen Strukturen zur TI gesonderte Informationen erhalten, da es sich hierbei um einen datenschutzrechtlich besonders kritischen Punkt handelt.
  13. Als Ombudsstelle zur ePA sollte eine neutrale Stelle eingerichtet werden, z.B. bei den Landesdatenschutzbeauftragen oder der unabhängigen Patientenberatung.
    Gemäß §342 Abs. 3 ist diese derzeit von den Krankenkassen einzurichten, was aufgrund der fehlenden Neutralität abzulehnen ist.
  14. Für Kinder und Jugendliche sind ePA-Anwendungen gesondert auszugestalten und sind bis dahin auszusetzen.
    Hierzu sollen sowohl medizinische als auch psychotherapeutische Fachverbände eine Konzeption entwickeln. Besonders zu beachten sind dabei die Zugriffsberechtigungen auf die ePA von Jugendlichen und deren Sorgeberechtigten sowie die besonderen Datenschutzaspekte bzgl. einer lebenslangen Speicherung sensibler Gesundheitsdaten.

Berlin, 04. Mai 2020

Ansprechparterin:

Susanne Berwanger, Vorstandsmitglied der Sektion Verband Psychologischer Psychotherapeutinnen und Psychotherapeuten (VPP) im BDP e.V.

Veröffentlicht am:
Kategorien:
Stellungnahme
Digitale Gesellschaft und Psychologie
Logo Berufsverband Deutscher Psychologinnen und Psychologen e.V.

Wir unterstützen alle Psychologinnen und Psychologen in ihrer Berufsausübung und bei der Festigung ihrer professionellen Identität. Dies erreichen wir unter anderem durch Orientierung beim Aufbau der beruflichen Existenz sowie durch die kontinuierliche Bereitstellung aktueller Informationen aus Wissenschaft und Praxis für den Berufsalltag.

Wir erschließen und sichern Berufsfelder und sorgen dafür, dass Erkenntnisse der Psychologie kompetent und verantwortungsvoll umgesetzt werden. Darüber hinaus stärken wir das Ansehen aller Psychologinnen und Psychologen in der Öffentlichkeit und vertreten eigene berufspolitische Positionen in der Gesellschaft.

Berufsverband Deutscher Psychologinnen und Psychologen