DSGVO

Ärzte und Datenschützer wollen E-Rezept stoppen

, Uhr
Berlin -

Eine Allianz aus Ärzten und Datenschützern will sich dem Anschluss von Arztpraxen, Apotheken und anderen Gesundheitseinrichtungen an die Telematikinfrastruktur (TI) in den Weg stellen. Bei der momentanen rechtlichen Situation sei eine vollständige Inbetriebnahme vor allem mit Blick auf die Datensicherheit nicht vertretbar, so das Bündnis. Eines der entscheidenden Argumente: Obwohl die DSGVO das seit über einem Jahr verlangt, habe die Gematik als Betreiber der TI immer noch keinen datenschutzrechtlich Verantwortlichen für die TI ernannt. Die Gematik erwidert: Den braucht sie auch gar nicht.

„Spahns Gesundheitsnetz als verantwortungsfreie Zone“, prangern die Datenschützer an und kritisieren fehlende Zuständigkeiten und Versäumnisse beim Thema Sicherheit in der TI. Es sei noch nicht abschließend geklärt, welches Unternehmen überhaupt für die TI zuständig sei – und so lange das so ist, „gehen Gesundheitsdaten in ein schwarzes Loch – das kann nicht sein.“ Denn es seien „zahlreiche Unternehmen, Konsortien und Rechenzentren beteiligt“.

Das Bündnis wird unter anderem getragen vom Berufsverband Freie Ärzteschaft (FÄ), dem Verein Digitale Gesellschaft und dem Verein Patientenrechte und Datenschutz. Auch dabei ist die von den FÄ initiierte „Aktion Stoppt die e-Card!“, die schon seit längerem gegen die Einführung der elektronischen Patientenakte mobil macht. Ihre Sprecherin ist FÄ-Vizevorsitzende Dr. Silke Lüder. „Wir Ärzte kritisieren eine unsichere Zwangsvernetzung aller Daten im deutschen Gesundheitswesen, welche die Potenz hat, die ärztliche Schweigepflicht aufzuheben“, erklärte die im Juni auf dem Kongress der Freien Ärzte in Berlin.

„Der Referentenwurf für das Digitale-Versorgung-Gesetz liest sich wie eine Veröffentlichung der Bertelsmann-Stiftung, deren Gründerfirmen vor allem mit der Arvato AG ein maximales eigenes wirtschaftliches Interesse am Erfolg ihrer Digitalpolitik haben“, so Lüder damals. Mit dem Gesetz wolle Spahn „mit der Brechstange alle grundsätzlichen Bedenken und Probleme aus dem Weg räumen“, kritisiert das Bündnis nun. So werde „Wirtschaftsförderung auf Kosten der Versicherten“ betrieben. Die Konstrukteure der KI würden sich nämlich großzügig über datenschutzrechtliche Vorgaben hinwegsetzen.

Denn bereits nach dem Bundesdatenschutzgesetz erfordere die Verarbeitung sensibler Daten in großem Umfang einer sogenannten Vorabkontrolle durch eine verantwortliche Stelle, die Datenschutzgrundverordnung (DSGVO) wiederum verlange sogar eine noch umfangreichere Datenschutzfolgeabschätzung (DSFA), die die Risiken und möglichen Folgen für persönliche Rechte und Freiheiten der Betroffenen bewertet.

„Die Datenschutzfolgenabschätzung muss von einem unabhängigen, interdisziplinären Team erstellt werden, das sich um den Schutz der Grundrechte der Betroffenen kümmert“, erklärt Dr. Elke Steven vom Verein Digitale Gesellschaft. Bei der TI sei das nicht der Fall gewesen. Vielmehr sei das Netzwerk ohne jegliche datenschutzrechtliche Vorabprüfung ausgerollt und als erste Anwendungen bereits der Versichertenstammdatenabgleich in Betrieb genommen worden. „Wenn offensichtlich die datenschutzrechtlichen Bedingungen für die TI nicht erfüllt sind, müsste eine vorübergehende oder endgültige Beschränkung der Verarbeitung verhängt werden, so Steven.

Dazu verweist das Bündnis auf den Jahresbericht des Bundesdatenschutzbeauftragten. „Nach dem Anwendungsbeginn der DSGVO im Mai 2018 stellte sich mit Nachdruck die Frage, wer eigentlich Verantwortlicher für die Telematik ‑Infrastruktur (TI) ist und damit eine DSFA vorzulegen hat“, schrieb der in seinem Jahresbericht 2018. „Die Frage, wer der datenschutzrechtliche Verantwortliche im Sinne der DSGVO für die TI ist, konnte bis zum Redaktionsschluss noch nicht endgültig geklärt werden.“

Das stürze Ärzte in ein Dilemma, kritisiert Lüder. Denn die Praxen müssen zwar einen Datenschutzbeauftragten haben – der die Risiken aber nicht abschätzen könne, wenn er keine Beurteilung der TI hat. „Wir sind ja gehalten, für unsere Praxen eine DSFA zu machen. Nur: Wie sollen wir einschätzen, welchen Risiken Patientendaten ausgesetzt sind, wenn wir sie in die TI übermitteln? Dafür gibt es ja gerade keine DSFA“, ergänzt Lüder. „Und angesichts der organisierten Verantwortungslosigkeit seitens der Betreiber können Ärzte nur zu dem Schluss kommen, ihre Praxen nicht anschließen zu lassen.“

Das gleiche Problem beschreibt der Datenschutzbeauftragte in seinem Jahresbericht. Viele Ärzte hätten sich an ihn gewandt, nachdem sie ihrer gesetzlichen Verpflichtung zur Erstellung einer DSFA nachgekommen waren. „Sie haben dabei allerdings nicht an der Schwelle ihrer Praxisräume Halt gemacht, sondern vielmehr auch die TI in ihre Betrachtungen mit einbezogen. Die gesetzlich vorgeschriebene DSFA der Arztpraxis ergab dann, dass ein Anschluss an die TI nicht vertretbar sei.“

Die Gematik wendet dagegen ein, dass es eines solchen Beauftragten für die Folgeabschätzung gar nicht brauche. Denn „im Rahmen der Spezifikation von Anwendungen der elektronischen Gesundheitskarte und der Produkte der TI“ betrachte die Gematik auch die Risiken für die Rechte und Freiheiten natürlicher Personen in den Datenschutz- und Sicherheitskonzepten. Dabei würden Überprüfungen angestellt, „die in Art und Umfang im Wesentlichen einer DSFA mit den gesetzlich geforderten Inhalten entsprechen“, so die Gematik auf Anfrage. „Es erscheint also legitim, dass sich Leistungserbringer bei ihrer eigenen DSFA für die Verarbeitungsprozesse im Konnektor auf die Analyse der Gematik stützen.“

Dem Datenschützerbündnis reicht das jedoch nicht, es stellt deshalb eine Reihe von Forderungen an die Politik: So müsse eine datenschutzrechtlich verantwortliche Stelle für die TI benannt werden, die einen Datenschutzbeauftragten benennt und eine DSFA durchführt. Der Bericht dieses Datenschutzbeauftragten solle dann veröffentlicht werden. Damit Ärzte, Apotheker und andere Heilberufler nicht auf etwaigen Forderungen sitzen bleiben, brauche es eine klare Haftungsregelungen zur Entschädigung Betroffener, deren Daten aus der TI oder unter Ausnutzung der TI aus den angeschlossenen Primärsystemen der Ärzte, Apotheken und Krankenhäusern entwendet wurden.

Außerdem müssten Sanktionen gegen Ärzte aufgehoben werden, die ihre Praxen aufgrund von Datenschutzbedenken nicht angeschlossen werden – und ultimativ: „Solange die Voraussetzungen für einen rechtskonformen Betrieb nicht vorliegen, darf die TI nicht betrieben werden.“

Zuletzt waren auch Sicherheitsprobleme beim Zugang zur TI mittels der Konnektoren bekannt geworden. Seit mehreren Monaten berichten IT-Experten und Praxisinhaber immer wieder von gravierenden Sicherheitsproblemen durch deren Installation. Die Gematik verweist darauf, dass es sich dabei nicht um inhärente Sicherheitsprobleme handele, sondern dass diese durch eine fehlerhafte Installation vor Ort zustande kämen. Mittlerweile haben sich das Bundesgesundheitsministerium und der Bundesdatenschutzbeauftragte der Frage angenommen. Die Frage der datenschutzrechtlichen Verantwortlichkeit für die Konnektoren werde aktuell noch zwischen Bund und Ländern diskutiert, heißt es da. Hier könne es im Lauf des Septembers eventuell eine gemeinsame Positionierung geben.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Mehr zum Thema
Erstmal keine Sanktionen für Praxen
ePA: „Abwarten und vorbereiten“
Bis zu 100.000 Rezepte pro Jahr
Klinikchef warnt vor Apothekenverbot am MVZ
Mehr aus Ressort
Dokumentation pflegerischer Daten
Pflegerat fordert Schreibrechte für ePA

APOTHEKE ADHOC Debatte