Stellungnahme zum Patientendaten-Schutzgesetz – PDSG

Stellungnahme Berufsverband Deutscher Psychologinnen und Psychologen zum Referentenentwurf des Bundesministeriums für Gesundheit:
Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur
Patientendaten-Schutzgesetz (PDSG)

Vorbemerkung

Der BDP begrüßt gesetzliche Regelungen zur Sicherheit des Datenschutzes im besonders sensiblen Bereich des Gesundheitswesens. Leider bleibt der Entwurf trotz handwerklich gelungener, zielorientierter Datenschutzregelungen hinter dem Erforderlichen zurück. Patientendatenschutz darf nicht bei der Absicherung des Selbstbestimmungsrechts der
Patientinnen und Patienten auf dem Papier aufhören. Patientendatenschutz muss zusätzlich auch aktiv betrieben werden, und diesbezüglich ist der Entwurf zu dünn. Zudem erscheint es als unangemessen, dass für ein weitgehend vorgegebenes System der Telematik Infrastruktur (TI) und der elektronischen Patientenakte (ePA) dann insbesondere die
Leistungserbringenden die Verantwortung tragen sollen.

Es schleicht sich leider auch der Verdacht ein, dass es weniger um Datenschutz als vielmehr um die Legalisierung der geplanten zentralen und umfassenden Datenspeicherung- und Datenverwendung geht: Der umfangreiche und zentral gespeicherte Datenbestand der ePA wird als sensibles Problem nicht angesprochen.

Der Grundansatz der ePA ist nicht schlecht, im Gegenteil: Medikamentenplan oder Notfalldaten ergeben zusätzlichen Nutzen. Allerdings sollte ein wunschgemäß möglichst vollständiger und umfangreicher Datenbestand nicht nur danach beurteilt werden, ob dies gut für eine optimale Behandlung aus Sicht der Behandler wäre. Die Datenfülle (teilweise alte und lang vergessene Daten) in der ePA kann auch potentiell schlecht für Betroffene sein und belastende Unsicherheit erzeugen. Selbstbestimmung, Verlässlichkeit, Transparenz und Vertraulichkeit werden durch den Eindruck des Verlusts eines Überblicks erschwert. Rechtlich verletzt wird der wichtige Grundsatz der Datensparsamkeit. Zur Förderung eines echten
Datenschutzes sollte der Gesetzgeber hierfür Anreize zur Befähigung der Patienten schaffen.

Echter Datenschutz ist von Regularien „auf dem Papier“ zu unterscheiden. So besteht auf dem Papier z.B. die feingranulare Differenzierung bei Zugriffsberechtigung und Löschung. Es ist aber zu erwarten, dass Versicherte diese Rechte nicht fortwährend im Bewusstsein haben oder sie durch die Komplexität überfordert sind. Insbesondere bei Kranken muss
angenommen werden, dass sie nicht immer ausreichend in der Lage sind, ihre Betroffenenrechte wahrzunehmen. Vor diesem Hintergrund wird die standardmäßige Beschränkung der Zugriffsberechtigung auf eine Woche ausdrücklich begrüßt.

Änderungsvorschläge

Zur Stärkung der Patientenrechte schlagen BDP und VPP folgende weitere Änderungen vor:

  1. Damit nicht der Eindruck entsteht, es ginge vornehmlich um möglichst umfangreiche Datenspenden für Wissenschaft und Gesundheitswirtschaft, sollten Versicherte zur Entscheidung ermächtigt werden: Diese sind in Bezug auf die ePA vollständig und transparent zu informieren über Vorteile (z.B. Erleichterung des Informationsflusses durch zentrale Speicherung, Nutzbarmachung für Gesundheitsforschung) und über
    Sicherheitsrisiken (z.B. Restrisiko für illegale Datenabgriffe; Datenberge und -müll statt Datensparsamkeit).
  2. Die elektronische Patientenakte sollte erst eingeführt werden, wenn die im Entwurf bereits vorgesehenen Rechte zur feingranularen Differenzierung möglich sind.
  3. Sinnvoll wäre nicht nur eine feingranulare, sondern sogar eine „feinstgranulare“ Differenzierung: Auch die Schwärzung einzelner Passagen in einem Dokument bzw. Löschung/Sperrung einzelner Daten in einem einzelnen Datensatz sollte möglich sein.
  4. Die in die ePA eingefügten Daten sollten automatisch nach vorgegeben Fristablauf von z.B. drei oder fünf Jahren eine Sperrung erhalten, um wenig sinnvolle Datenberge zu verhindern (eine Entsperrung einzelner Daten bleibt möglich – aber nur bei expliziter aktueller Entscheidung der Betroffenen).
  5. Noch besser wäre ein Modus Operandi, der strukturiert und ohne Zutun der Betroffenen den aktuell sinnvollen und erforderlichen und nicht den historisch vollständigen Datenbestand im Fokus hat. Etwa durch Löschungen, wenn neue Befunde ersetzend sind.
  6. Das Diskriminierungsverbot in § 335 sollte explizit auch auf den Fall bezogen werden, wenn Versicherte keine ePA verlangen.
  7. Die ePA soll nur auf Verlangen der Versicherten von den Krankenkassen angeboten werden. Hier sind Missachtungen (z.B. Aufforderungen/Beeinflussungen) zu befürchten. Es sollte eine Sanktion vorgesehen werden, falls Krankenkassen hier ihren gesetzlich vorgeschriebenen Weg verlassen.
  8. Die Bundespsychotherapeutenkammer (BPtK) soll in den Gesellschafterkreis der gematik aufgenommen werden. Im vorliegenden Entwurf ist die BPtK noch nicht einmal im Beirat der gematik vorgesehen (§ 350 Abs.2). Die Expertise der berufsständigen Vertretung heilkundlicher Psychotherapie ist z.B. gerade bei den
    zukünftigen Schnittstellendefinitionen ePA und Praxisverwaltungssystem (PVSSysteme) wichtig.
  9. Leistungserbringende werden weiterhin zur Erfüllung der Dokumentationspflicht ihre PVS-Akten führen. Die Befüllung der ePA ist ein Zusatzaufwand, für den in jedem Einzelfall der Befüllung oder sonstiger Maßnahmen (z.B. Löschungen im Auftrag der Betroffenen) im EBM ein Honorar vorgesehen werden muss. Nur so kann auch eine lebendige Kultur des Datenschutzes gefördert werden.
  10. Die Verantwortung der Leistungserbringenden in § 307 muss differenziert werden. Sie werden durch die gesetzlichen Vorgaben verpflichtet, die Telematikinfrastruktur und die ePA zu nutzen und damit auch deren Datenschutzrisiken hinzunehmen. Die Verantwortung für personenbezogenen Datenschutz muss angemessen differenziert werden. Im Rahmen der TI sowie der ePA ist von den Leistungserbringenden lediglich die Sorgfalt der Anwendung dieser Systeme einzufordern.
  11. Es fehlt eine kritische Auseinandersetzung mit dem Problem, dass bei größeren Datenbeständen für die Wissenschaft eine Anonymisierung fast unmöglich wird, wenn man an einen KI-gesteuerten Abgleich mit im Umlauf befindlichen sonstigen Personenprofilen denkt. Auch ist nicht garantiert, dass die Beforschung dieser Daten in einem – der TI vergleichbaren – System mit technisch hohem Datenschutzstandard erfolgt. Das ist zwar ein generelles Datenschutzproblem, aber es spitzt sich bei den besonders sensiblen Gesundheitsdaten und erst recht bei Psychotherapiedaten zu und erzeugt potentiell Regelungsbedarf.
  12. Der gesetzlich vorgesehenen Schlichtungsstelle muss eine neutrale Aufsichtsbehörde zugeordnet werden. Im Entwurf steht diese unter der Aufsicht des BMG. Dieses ist aber gleichzeitig der Mehrheitsgesellschafter der gematik, die beaufsichtigt werden soll.
  13. Auch betriebsärztliche Dienste sollen an die TI angeschlossen werden und die ePA nutzen können. Wir erachten dies als datenschutzrechtlich besonders kritisches „Nadelöhr“. Hierzu sollten gesonderte Aufklärungen für die Versicherten erfolgen.
Veröffentlicht am:
Kategorien:
Stellungnahme
Logo Berufsverband Deutscher Psychologinnen und Psychologen e.V.

Wir unterstützen alle Psychologinnen und Psychologen in ihrer Berufsausübung und bei der Festigung ihrer professionellen Identität. Dies erreichen wir unter anderem durch Orientierung beim Aufbau der beruflichen Existenz sowie durch die kontinuierliche Bereitstellung aktueller Informationen aus Wissenschaft und Praxis für den Berufsalltag.

Wir erschließen und sichern Berufsfelder und sorgen dafür, dass Erkenntnisse der Psychologie kompetent und verantwortungsvoll umgesetzt werden. Darüber hinaus stärken wir das Ansehen aller Psychologinnen und Psychologen in der Öffentlichkeit und vertreten eigene berufspolitische Positionen in der Gesellschaft.

Berufsverband Deutscher Psychologinnen und Psychologen