Umsetzung des Patientendaten-Schutz-Gesetzes vor dem Hintergrund europarechtlicher Vorgaben zum Datenschutz
der Abgeordneten Dr. Wieland Schinnenburg, Michael Theurer, Renata Alt, Christine Aschenberg-Dugnus, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Sandra Bubendorfer-Licht, Dr. Marco Buschmann, Carl-Julius Cronenberg, Britta Katharina Dassler, Hartmut Ebbing, Dr. Marcus Faber, Otto Fricke, Thomas Hacker, Reginald Hanke, Peter Heidt, Katrin Helling-Plahr, Markus Herbrand, Katja Hessel, Ulla Ihnen, Olaf in der Beek, Dr. Marcel Klinge, Dr. Lukas Köhler, Carina Konrad, Konstantin Kuhle, Ulrich Lechte, Alexander Müller, Dr. Martin Neumann, Matthias Seestern-Pauly, Dr. Hermann Otto Solms, Katja Suding, Dr. Florian Toncar, Gerald Ullrich, Sandra Weeser, Nicole Westig, Katharina Willkomm und der Fraktion der FDP
Vorbemerkung
Am 3. Juli 2020 hat der Deutsche Bundestag das Patientendaten-Schutz-Gesetz (PDSG) beschlossen und dem Bundesrat zur Beratung zugewiesen (Bundesratsdrucksache 470/20). Das Gesetz sieht eine umfassende Neustrukturierung der Regelungen zur Telematikinfrastruktur und ihrer Anwendungen vor. Insbesondere sollen digitale Angebote wie das E-Rezept oder die elektronische Patientenakte (ePA) nutzbar gemacht und sensible Gesundheitsdaten gleichzeitig bestmöglich in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung sowie der einschlägigen nationalen Datenschutzregelungen geschützt werden (https://www.bundesgesundheitsministerium.de/patientendaten-schutz-gesetz.html; Bundestagsdrucksache 19/18793, S. 2). Ob das Gesetz diesen Ansprüchen insbesondere mit Blick auf den Schutz personenbezogener Gesundheitsdaten gerecht wird, ist aus Sicht der Fragesteller mehr als fraglich.
Nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber „verstößt eine Einführung der ePA ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung“. Sollte das PDSG unverändert beschlossen werden, müsse er „die seiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde“.
Er bereite Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen, wobei er ausdrücklich darauf hinweist, dass ihm nach der Datenschutz-Grundverordnung (DSGVO) neben Anweisungen auch Untersagungen zur Verfügung stünden. Insbesondere die Möglichkeiten eines „feingranularen Zugriffs“ auf die Patientendaten werden als nicht ausreichend erachtet.
Defizitär aus Datenschutzsicht seien zudem die fehlende dokumentengenaue Kontrolle über die Einsichtsrechte der Beteiligten (jedenfalls für das Jahr 2021) und das Authentifizierungsverfahren für die ePA. Der BfDI habe in seinen Stellungnahmen während des Gesetzgebungsverfahrens „mehrfach darauf hingewiesen, dass Patientinnen und Patienten bei Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen“ (https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/20_BfDI-zu-PDSG.html).
Wir fragen die Bundesregierung:
Fragen8
Welche Schlussfolgerungen zieht die Bundesregierung aus der Mitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), und welche Handlungserfordernisse ergeben sich insbesondere mit Blick auf die rechtlichen Bedenken?
Wie, und mit welcher Begründung ist den Bedenken des BfDI, die während des Gesetzgebungsverfahrens geäußert wurden, insbesondere zu den Spezifika der Datenschutz-Grundverordnung und des vorgesehenen Datenschutzniveaus, Rechnung getragen worden (bitte anhand der einzelnen Regelungsvorschläge begründen)?
Warum ist für Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets eine dokumentengenaue Kontrolle in der ePA erst ab 2022 vorgesehen?
Warum fehlen Regelungen für Patientinnen und Patienten, die nicht im Besitz von geeigneten Endgeräten sind?
Wie wird sichergestellt, dass auch Personen ohne geeignete Endgeräte einen datenschutzrechtlich ausreichenden Zugriff auf ihre ePA erhalten?
Aus welchen Gründen ist auf eine Regelung verzichtet worden, die es den Krankenkassen ermöglicht hätte, ihren Versicherten über die gesetzlichen Vorgaben hinaus einen „feingranularen Zugriff“ auf die von den Leistungserbringern gespeicherten Inhalte der ePA zu gewähren?
Welche datenschutzrechtlichen Anforderungen werden an das Authentifizierungsverfahren für die ePA per Frontend gestellt?
Worauf ist mit Blick auf die Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte während der Übergangsfrist nach Auffassung der Bundesregierung zu achten, um den Vorgaben der DSGVO nachzukommen?
Wie stellt die Bundesregierung sicher, dass alle Anwendungen der Telematikinfrastruktur, insbesondere die ePA, allen europarechtlichen Datenschutzbestimmungen entsprechen?
Welche Maßnahmen plant die Bundesregierung für Verstöße gegen den Datenschutz in der ePA, und wie sollen Verstöße geahndet werden?