Im Windschatten der Corona-Krise: Patientendaten-Schutz-Gesetz (PDSG), EPA-Datengesetz und EHDS

Dossier

„Weitgehend unbeachtet hat Jens Spahn seine umstrittene Digitalisierung des Gesundheitssystems weiter vorangetrieben (…) Mitten in der Corona-Krise und weitgehend unbeachtet hat Spahn nun das sogenannte Patientendaten-Schutz-Gesetz (PDSG) durchs Kabinett gebracht. (…) Außerdem funktioniert die e-Akte vorerst nach dem Prinzip „Alles oder nichts“, das heißt Patienten können nicht auswählen, welcher Arzt welche Informationen erhält, ein datenschutzrechtliches Unding. Von 2023 an haben Patienten dann auch die Möglichkeit zur „Datenspende“ und können ihre Gesundheitsdaten der medizinischen Forschung zur Verfügung stellen…“ Artikel von Ulrike Baureithel vom 14.04.2020 beim Freitag online und dazu:

• BfDI-Tätigkeitsbericht 2023: Datenschutzbeauftragter kritisiert E-Patientenakte
  „Zum letzten Mal legt Ulrich Kelber als Bundesdatenschutzbeauftragter seinen Jahresbericht vor. Darin übt er erneut Kritik an der Digitalisierung der Patientenakte. Doch das ist nicht seine einzige Beanstandung. (…) Das von Bundesgesundheitsminister Karl Lauterbach (SPD) auf den Weg gebrachte Gesetz sieht vor, dass alle gesetzlich Versicherten Anfang 2025 E-Patientenakten bekommen – außer, sie lehnten es für sich aktiv ab. Diese Widerspruchslösung greife erheblich in das Grundrecht auf die informationelle Selbstbestimmung ein, so Kelber. In seinem jährlichen Tätigkeitsbericht, den der Datenschutzbeauftragte heute an Bundestagspräsidentin Bärbel Bas übergab, fordert Kelber, ein automatisches Befüllen der Patientenakte dürfe es nur mit unkritischen Daten geben. Für alles andere sollte eine Einwilligung der Versicherten nötig sein. “Dies gilt insbesondere für Daten, deren Bekanntwerden zu erheblichen Gefährdungen für die Rechte der Versicherten führen, etwa, weil sie Anlass zur Diskriminierung oder Stigmatisierung geben können, darunter Daten zu HIV-Infektionen, Schwangerschaftsabbrüchen oder psychischen Erkrankungen“, so der Bericht. Zwar begrüße er die Digitalisierung des Gesundheitswesens und der Pflege, so Kelber, allerdings müsse diese datenschutzkonform ablaufen. (…) Auch das Thema Künstliche Intelligenz spielt in dem Bericht eine große Rolle. Kelber sieht darin eine Schlüsseltechnologie, die beeindruckende Möglichkeiten eröffne. Aber: „Grundlage der meisten KI-Anwendungen ist ein großer Datenhunger, der nahezu alle Lebensbereiche berührt – einschließlich sehr sensibler Gebiete wie etwa der Gesundheit“, so Kelber weiter. Es brauche verbindliche Rahmenbedingungen für den Einsatz von KI, die von Datenschutz und Privatsphäre „zentral geprägt“ sein müssten. Je nachdem, wie Künstliche Intelligenz eingesetzt werde, berge sie „das Potential für Grundrechtseinschränkungen und Diskriminierungen“. Kritisch sieht der Bundesdatenschutzbeauftragte auch bestimmte neue Regelungen im Sicherheitsbereich. Im Bereich der Finanzkriminalität und Geldwäsche seien neue Gesetze geschaffen worden, um eine effektive Bekämpfung der Finanzkriminalität zu erreichen. Diese neuen Vorschriften und ihre Umsetzung würden jedoch laut Kelber eine zusätzliche neue Überwachungsdimension bilden, so Kelber. (…) Es dürfte Kelbers letzter Tätigkeitsbericht gewesen sein. (…) In der Ampel-Koalition wurde vereinbart, dass Grüne und FDP einen Personalvorschlag machen können. Kelber kann die Behörde nur noch bis zum 6. Juli kommissarisch leiten. Vertreter der Zivilgesellschaft kritisierten die Bundesregierung für diesen Umgang mit dem Amt des Bundesdatenschutzbeauftragten. Die Vorgänge um eine mögliche Verlängerung der Amtszeit von Kelber schadeten dem Amt “in noch nie da gewesener Weise“, heißt es in einem offenen Brief…“ Meldung vom 20. März 2024 in tagesschau.de , siehe
  • die Pressemitteilung vom 20. März 2024 : BfDI stellt 32. Tätigkeitsbericht vor
  • und den Bericht selbst
• Trilog-Einigung: Kein effektiver Widerspruch gegen Nutzung von Gesundheitsdaten durch Dritte – Kontrollverlust der PatientInnen über ihre Gesundheitsdaten
  • Trilog-Einigung: Kein effektiver Widerspruch gegen Nutzung von Gesundheitsdaten durch Dritte
    „EU-Parlament und Rat haben sich gestern Nacht auf einen Verordnungsentwurf für einen „Europäischen Gesundheitsdatenraum“ geeinigt. Versicherte sollen demnach der Weitergabe ihrer Daten widersprechen können. Die Einschränkungen sind mitunter aber so groß, dass die Patient:innenrechte zur Makulatur zu geraten drohen. (…) Im „Datenraum“ sollen ab dem Jahr 2025 die Gesundheitsdaten aller rund 450 Millionen EU-Bürger:innen gespeichert werden. Er soll den grenzüberschreitenden Austausch von Gesundheitsdaten erleichtern: zum einen bei der Primärnutzung, wo es um die Behandlung und Versorgung von Patient:innen geht; zum anderen bei der Sekundärnutzung, bei der die Gesundheitsdaten der Forschung zugutekommen sollen. Bis zur buchstäblich letzten Minute wurde in den Trilog-Verhandlungen um die Frage gerungen, ob und inwieweit Bürger:innen der Weitergabe und Verwendung ihrer persönlichen Gesundheitsdaten widersprechen dürfen. Aus Gesundheitsdaten lassen sich überaus sensible Informationen zu jeder einzelnen Person ableiten. Deshalb sind sie besonders schützenswert. Die nun erzielte Einigung sieht vor, dass die Patient:innen der Datennutzung in allen EU-Mitgliedstaaten grundsätzlich widersprechen können. Gerade aber bei der Sekundärnutzung fasst die erzielte Einigung die Ausnahmen jedoch so weit, dass die Widerspruchsmöglichkeiten zur Makulatur zu geraten drohen. (…) Im Detail sieht die Trilog-Einigung vor, dass Patient:innen hinsichtlich der Primärnutzung widersprechen können, dass Behandelnde auf ihre Daten zugreifen können – „es sei denn, dies ist zum Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen Person erforderlich“. Unter keinen Umständen dürfen die Daten zu Werbezwecken und zur Beurteilung von Versicherungsanträgen genutzt werden. Darüber hinaus müssen Patient:innen darüber informiert werden, wenn Dritte auf ihre Daten zugreifen. Bei der Sekundärnutzung gehen die Ausnahmen erheblich weiter und sie sind obendrein unscharf formuliert. Demnach dürfen sich Patient:innen gegen die Weitergabe und Nutzung ihrer Daten zu Forschungszwecken aussprechen. Allerdings gilt dies nicht „für Zwecke des öffentlichen Interesses, der Politikgestaltung oder der Statistik sowie zum Schutz von geistigem Eigentum und Geschäftsgeheimnissen“. (…) Bianca Kastl vom Innovationsverbund Öffentliche Gesundheit kritisiert die Einigung. „Die Ausnahmen des Opt-Outs von der Sekundärdatenutzung bieten leider den Interpretationsspielraum von der Größe eines Scheunentors“, sagte Kastl gegenüber netzpolitik.org. „Öffentliches Interesse? Politische Entscheidungen? Es gibt nun sehr viele Ausnahmen, die am Ende alles sein können.“ Noch bemerkenswerter aber sei es, dass explizit der Schutz von geistigem Eigentum und Geschäftsgeheimnissen aufgenommen wurde, so Kastl. „Hier zeigt sich der eigentliche Kern: Der Europäische Gesundheitsdatenraum ist für die Wirtschaft gemacht, nicht für Patient:innen.“…“ Beitrag von Daniel Leisegang vom 15. März 2024 bei Netzpolitik.org 
  • Deal zum EU-Gesundheitsdatenraum: Kontrollverlust der Patienten über ihre Gesundheitsdaten
    „In der Nacht haben sich die Mehrheit des EU-Parlaments und der EU-Regierungen auf einen Deal zur Schaffung eines „Europäischen Gesundheitsdatenraums“ geeinigt. Vereinbart wurde u.a.:
    1) Ein europaweiter Zwang zur elektronischen Patientenakte konnte auf Initiative u.a. des Europaabgeordneten der Piratenpartei Dr. Patrick Breyer verhindert werden. Das deutsche und österreichische Widerspruchsrecht gegen die Einrichtung einer elektronischen Patientenakte ist damit gerettet.
    2) Wer der elektronischen Patientenakte oder ihrer Auswertung nicht insgesamt widerspricht, ermöglicht zwangsweise auch einen grenzüberschreitenden Zugriff darauf durch ausländische Behandler, Forscher und Regierungen. Das von der Bundesregierung geplante Recht speziell grenzüberschreitenden Datenzugriffen widersprechen zu können, ermöglicht die Verordnung nicht.
    3) Die Mitgliedsstaaten entscheiden, ob die sensiblen Gesundheitsdaten in Europa gespeichert werden müssen oder ob auch eine außereuropäische Speicherung etwa in den USA zulässig ist. Die Bundesregierung plant bisher nicht, eine Speicherung von Gesundheitsdaten in Europa zu verlangen.
    4) Die Parlamentsmehrheit hat die Forderung nach einer unabhängigen Zertifizierung der Sicherheit europäischer Gesundheitsdatensysteme aufgegeben.
    5) Die EU-Verordnung fordert von Deutschland keinen stärkeren Schutz von Gesundheitsdaten als von der Bundesregierung beschlossen. Ohne Einwilligung des Patienten können behandelnde Ärzte europaweit dessen komplette Patientenakte einsehen – es sei denn er widerspricht ausdrücklich. (…)
    Breyers Fazit: „Informationen über unsere körperliche und geistige Gesundheit sind äußerst sensibel. Wenn wir uns nicht darauf verlassen kann, dass diese Informationen von meinen behandelnden Ärzten vertraulich behandelt werden, lassen wir uns vielleicht nicht mehr behandeln und steigt das Suizidrisiko. Die EU lässt sensibelste Patientenakten anhäufen, vernetzen und weitergeben, ohne aber die Kontrolle und Selbstbestimmung der Patienten über ihre Daten sicherzustellen. ‚Alles geht, nichts muss‘ ist kein Ansatz, dem Patienten vertrauen können. Ohne Vertrauen kann ein Europäischer Gesundheitsdatenraum nicht funktionieren. Laut Umfragen wollen mehr als 80% der EU-Bürger selbst über die Weitergabe ihrer Patientenakten entscheiden. Mehrheitlich wollen sie um Einwilligung gebeten werden. Der EU-Deal ist weit davon entfernt. Er verrät die Interessen und den Willen der Patienten, um ihre Daten an Big Tech und Pharmariesen zu verkaufen. Der mit dieser Verordnung einhergehenden Entmündigung von Patienten erteilen wir Piraten eine klare Absage.“…“  Pressemitteilung vom 15. März 2024 von Patrick Breyer 
• Vertrauen lässt sich nicht verordnen: Offener Brief zur Digitalisierung des Gesundheitswesens 
  „Die derzeit angestrebten Prozesse, die die Digitalisierung des Gesundheitswesens vorantreiben sollen, weisen grundlegende Fehler auf. Sie sind intransparent und beteiligen Patient*innen unzureichend. Das Resultat: Ein digitales Gesundheitswesen, das nicht menschenzentriert gedacht ist und somit seine gesellschaftlichen Potenziale verfehlt. Das spiegelt sich auch in der technischen Umsetzung wider. Deswegen drängen wir, die unterzeichnenden Organisationen und Individuen, auf eine sachliche Auseinandersetzung, in der die gesellschaftlichen Anforderungen an ein digitales Gesundheitswesen definiert, technische Voraussetzungen auf den Prüfstand gestellt und Menschen in den Mittelpunkt des Entwicklungsprozesses genommen werden. (…) Die Digitalisierung des Gesundheitswesens hat individuelle und gesellschaftliche Auswirkungen, die frühzeitig berücksichtigt werden müssen. Die Sensibilität und Kritikalität der zugrundeliegenden Gesundheitsdaten erfordern eine sorgfältige Risikoabwägung in Aspekten der Datensicherheit und der Privatsphäre. Nach jetzigem Stand sind die, die über die Ausgestaltung der juristischen und technischen Ausgestaltung der Digitalisierungsvorhaben entscheiden, am wenigsten von den Auswirkungen der angedachten Systeme betroffen. Die Politik geht damit Risiken ein, die am Ende von den Individuen getragen werden müssen. Sie reichen von Gefahren für die individuelle Privatsphäre, Ausfall von Systemen oder Manipulation von Daten – diese Risiken tragen am Ende die Patient*innen persönlich. Unbedachte Szenarien von Datennutzung und der „Hebung von Datenschätzen“ führen bei Problemen zu massenhaftem, individualisiertem Schaden, wohingegen die Verursacher dieser Probleme kaum langfristige Risiken zu befürchten hätten. Es gibt viele Anwendungsmöglichkeiten für „Privacy-by-Design“-Konzepte und -Technologien, die in den letzten Jahrzehnten von der Kryptografie- und Privacy-Community entwickelt wurden und seit vielen Jahren erfolgreich in anderen Szenarien eingesetzt werden. Mit Hilfe dieser Technologien ist es möglich, die Potenziale des digitalen Gesundheitswesens zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen und unnötiges individuelles und gesellschaftliches Schadenspotenzial zu erzeugen. Aber auch bei konzeptionell und technisch sinnvollen Konzepten bleiben Restrisiken, die fortlaufend beobachtet, offen debattiert und so weit wie möglich minimiert werden müssen. (…) Die Unterzeichner*innen dieses offenen Briefes sehen sich dabei in beratender und kontrollierender Rolle, vermissen aber insbesondere für ein technologisches Projekt dieser Größe und Auswirkung auf die Gesamtbevölkerung angemessene Transparenz des politischen und technologischen Entwicklungsprozesses, speziell auch in Anbetracht der Geschwindigkeit und der Größe des Vorhabens. Die folgenden Eckpunkte sehen wir als gesellschaftliche und technische Mindestanforderungen für den vertrauenswürdigen Einsatz digitaler Technologien im Gesundheitswesen. (…) 1. Notwendigkeit der individuellen Freigabe, Verschattung und Weitergabe von Gesundheitsdaten (…) 2. Abwägung von Interessenskonflikten bei Zugriff oder Betrieb von Systemen (…) 3. Förderung des Gemeinwohls (…) 4. Aufrechterhaltung der Einbindung medizinischer Fach-Expertise  (…) 5. Einbeziehung der Patient*innen in Forschung und Behandlungsalltag (…) 6. Aufklärung der Patient*innen über neue digitale Möglichkeiten (…) 7. Beteiligung von neutralen Dritten in Konzeption und technischer Umsetzung (…) 8. Umsetzung nach Stand der Technik und nach zeitgemäßen Sicherheitsparadigmen (…) 9. Grundlegende Wahrung eines hohen Niveaus von Privatsphäre und IT-Sicherheit (…) 10. Technische Transparenz und Prüfbarkeit der zugrundeliegenden Systeme…“ Aus dem gemeinsamen offenen Brief vom 12. Dezember 2023 in der Aktualisierung vom 8. Januar 2024
• Elektronische Patientenakte in der EU und in Deutschland: Vertrauen lässt sich nicht verordnen – vorsichtshalber widersprechen?
  • Elektronische Patientenakte: Vorsichtshalber widersprechen?
    „… Die elektronische Patientenakte und das „E-Rezept“ sollen Standard werden: Das sieht ein Gesetz der Ampel-Koalition vor, das der Bundestag am Donnerstag verabschiedet hat. Demnach sollen Arztpraxen ab Anfang 2024 verpflichtet werden, Rezepte elektronisch auszustellen. Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens sieht außerdem vor, dass bis Anfang 2025 für alle gesetzlich Versicherten elektronische Patientenakten (ePA) für Gesundheitsdaten wie Befunde und Laborwerte angelegt werden müssen – es sei denn, die Betroffenen widersprechen bis zum 15. Januar 2025 aktiv. Wer eine informierte Entscheidung treffen will, sollte sich auch mit dem zweiten Digitalgesetz befassen, das am Donnerstag für das Gesundheitswesen beschlossen wurde: dem Gesundheitsdatennutzungsgesetz , das regelt, wer zu welchen Zwecken Zugriff auf die Patientendaten bekommt. (…) Dass für das Anlegen der ePA keine aktive Einwilligung der Betroffenen nötig ist, sieht unter anderem die Deutsche Stiftung Patientenschutz kritisch…“ Beitrag von Claudia Wangerin vom 15. Dezember 2023 in Telepolis , siehe auch:
  • Europäischer Gesundheitsdatenraum: EU-Parlament will mehr Widerspruchsrechte für Patient:innen – optionales Opt-Out durch die Nationalstaaten
    „Das EU-Parlament hat sich auf eine wichtige Änderung am Europäischen Gesundheitsdatenraum geeinigt: Patient:innen sollen widersprechen können, dass ihre Gesundheitsdaten in einer elektronischen Akte landen. Das hatten Datenschützer:innen lange gefordert.
    Das EU-Parlament hat heute im Plenum mit großer Mehrheit seine Position zum sogenannten Europäischen Gesundheitsdatenraum (EHDS) beschlossen. Der Datenraum soll den grenzüberschreitenden Austausch von Gesundheitsdaten erleichtern. Die Entscheidung stellt einen wichtigen Schritt dar, bevor die Verordnung in die weiteren Trilog-Verhandlungen gehen kann. Die Grundlage für die heutige Abstimmung im Parlamentsplenum hatten zwei federführende Ausschüsse des EU-Parlaments Ende November gelegt. Im Gegensatz zu deren Verordnungsentwurf will das Plenum den Patient:innen mehr Widerspruchsrechte einräumen. Den erfolgreichen Änderungsantrag hatten Abgeordnete der sozialdemokratischen, grünen und linken Fraktion eingereicht. (…) Mit dieser Position wäre das EU-Parlament noch hinter den geplanten Vorgaben des Bundesgesundheitsministeriums zurückgebelieben. Dessen Digital-Gesetz wird voraussichtlich am Donnerstag im Bundestag verabschiedet. Es sieht für die nationale elektronische Patientenakte eine Widerspruchsmöglichkeit mittels Opt-out vor. (…)
    Optionales Opt-Out durch die Nationalstaaten
    Der Änderungsantrag , den das Plenum mehrheitlich angenommen hat, räumt „natürlichen Personen ein Widerspruchsrecht gegen die Registrierung ihrer personenbezogenen Daten in einem EHR-System“ ein. Mit anderen Worten: Die Mitgliedstaaten können jeweils festlegen, dass Versicherte der Weitergabe und Nutzung ihrer Gesundheitsdaten an den EHDS widersprechen können. (…) Dennoch ist es wahrscheinlich, dass ein Opt-out-Verfahren auf Ebene der Mitgliedstaaten kommen wird. Denn auch die Position des Rates sieht vor, dass die Staaten Patient:innen die Möglichkeit geben können, keine Daten an den EHDS weitergeben zu wollen. Bereits am morgigen Donnerstag soll die erste Verhandlungsrunde zwischen EU-Parlament, Rat und Kommission stattfinden. Das Gesetz soll noch vor der Europawahl im kommenden Juni fertig werden…“ Beitrag von Daniel Leisegang vom 13.12.2023 in Netzpolitik 
  • Vertrauen lässt sich nicht verordnen. Offener Brief zur Digitalisierung des Gesundheitswesens
    „Noch in dieser Woche soll der Bundestag in zweiter und dritter Lesung über zwei Gesetze zu Gesundheitsdaten entscheiden, das Digitalgesetz und das Gesundheitsdatennutzungsgesetz. Die Gesetzgebungsverfahren liefen sehr intransparent und das Ergebnis ist niederschmetternd. Technisch unausgereift und an den Belangen der Betroffenen vorbei stehen weitgehend wirtschaftliche Interessen im Vordergrund dieses nächsten Versuchs einer Digitalisierung im Gesundheitswesen. Statt dem zentralen Stellenwert, den eine vernünftige Digitalisierung im Interesse der Patient*innen bedeuten könnte, gerecht zu werden und längst verlorenes Vertrauen wieder herzustellen, scheint die Politik erneut beweisen zu wollen, dass sie zu einer an den Grundrechten orientierten und technisch ausgereiften Digitalisierung einfach nicht fähig ist. Wir haben daher mit einigen anderen Organisationen einen offenen Brief an die Abgeordneten des Bundestages geschrieben, in dem wir zentrale Eckpunkte einer menschenzentrierten Digitalisierung im Gesundheitswesen aufzeigen, denen die Vorhaben bislang nicht gerecht werden…“ Vorwort zum Offenen Brief am 12.12.2023 beim Grundrechtekomitee und darin:
    • „… Das digitalisierte Gesundheitswesen ist kritische Infrastruktur
      Die Digitalisierung des Gesundheitswesens hat individuelle und gesellschaftliche Auswirkungen, die frühzeitig berücksichtigt werden müssen. Die Sensibilität und Kritikalität der zugrundeliegenden Gesundheitsdaten erfordern eine sorgfältige Risikoabwägung in Aspekten der Datensicherheit und der Privatsphäre. Nach jetzigem Stand sind die, die über die Ausgestaltung der juristischen und technischen Ausgestaltung der Digitalisierungsvorhaben entscheiden, am wenigsten von den Auswirkungen der angedachten Systeme betroffen. Die Politik geht damit Risiken ein, die am Ende von den Individuen getragen werden müssen. Sie reichen von Gefahren für die individuelle Privatsphäre, Ausfall von Systemen oder Manipulation von Daten – diese Risiken tragen am Ende die Patient*innen persönlich. Unbedachte Szenarien von Datennutzung und der „Hebung von Datenschätzen“ führen bei Problemen zu massenhaftem, individualisiertem Schaden, wohingegen die Verursacher dieser Probleme kaum langfristige Risiken zu befürchten hätten. (…) Aber auch bei konzeptionell und technisch sinnvollen Konzepten bleiben Restrisiken, die fortlaufend beobachtet, offen debattiert und so weit wie möglich minimiert werden müssen…“ mit nachfolgenden 10 Prüfsteinen zur Digitalisierung des Gesundheitswesens
    • Initiatoren des offenen Briefes sind: Deutsche Aidshilfe e. V., Innovationsverbund Öffentliche Gesundheit (InÖG) e. V., SUPERRR Lab, Chaos Computer Club e. V., D64 – Zentrum für Digitalen Fortschritt e. V., Digitale Gesellschaft e. V.
• Europäischer Gesundheitsdatenraum: EU-Parlament will kein Widerspruchsrecht – Sorge vor einer „zwangselektronischen Patientenakte“
  „Gesundheitsdaten aller EU-Bürger:innen sollen schon bald in einem europäischen „Datenraum“ gespeichert werden. Ein umfassendes Widerspruchsrecht will derzeit weder die Kommission noch das EU-Parlament. Damit aber droht das Vorhaben mit aktuellen Plänen der Bundesregierung zu kollidieren.
  Müssen künftig alle EU-Bürger:innen ihre Gesundheitsdaten in einer digitale Patientenakte speichern lassen – ob sie wollen oder nicht? Unter anderem über diese Frage verhandelt aktuell die EU. Es geht dabei um den Europäischen Gesundheitsdatenraum (EHDS). Eine wichtige Vorentscheidung haben am Dienstag die zwei bei dem Thema federführenden Ausschüsse des EU-Parlaments getroffen. Mit großer Mehrheit einigten sich die Abgeordneten in den Ausschüssen für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit (ENVI) auf die Parlamentsposition zum EHDS. Sie legt die Grundlage für die Abstimmung im Plenum in gut zwei Wochen. (…) Keinerlei Widerspruchsrecht sieht der veränderte Verordnungsentwurf bei der Primärnutzung von Gesundheitsdaten und damit bei der Einrichtung einer persönlichen elektronischen Patientenakte (ePA) vor. Hier erhalten die Bürger:innen nur das Recht, genauer darüber zu bestimmen, wer ihre Gesundheitsdaten einsehen darf und wer nicht. Die ePA enthält Informationen, die direkt von den Behandelnden und den Patient:innen stammen. In der EU zählen laut Artikel 5 sowie laut Annex I des EHDS-Verordnungsentwurfs unter anderem die persönlichen Angaben der Patient:innen, deren Kontaktinformationen sowie Symptome, Labortests und gegebenenfalls Informationen über seltene Krankheiten. Mit ihrer Position bleibt das EU-Parlament damit noch hinter den geplanten Vorgaben des Bundesgesundheitsministerium (BMG) zurück. Dessen Digital-Gesetz wird aktuell im Bundestag verhandelt und sieht für die nationale elektronische Patientenakte eine Widerspruchsmöglichkeit mittels Opt-out vor. Das heißt: In Deutschland müssen Versicherte in Zukunft aktiv widersprechen, wenn sie keine ePA haben möchten. Für die europäische Patientenakte ist ein solcher Opt-out-Widerspruch bislang nicht vorgesehen. (…)
  Ebendiese „Entscheidungshoheit“ vermisst jedoch Patrick Breyer. Der Abgeordnete ist Mitverhandlungsführer der Fraktion Grüne/Europäische Freie Allianz im Innenausschuss des EU-Parlaments. Er kritisiert, dass der Verordnungsentwurf Ärzt:innen dazu verpflichte, „eine Zusammenfassung jeder Behandlung eines Patienten in den neuen Gesundheitsdatenraum einzustellen“ – ohne dass Patient:innen dem grundsätzlich widersprechen könnten. Wenn Patient:innen aber nur konkrete Datenabfragen, nicht aber generell die elektronische Sammlung ihrer Gesundheitsdaten beschränken können, drohe laut Breyer eine „Zwangs-elektronische Patientenakte mit europaweiter Zugriffsmöglichkeit“. Sie beraube die Patient:innen „jeder Kontrolle über die Sammlung ihrer Krankheiten und Störungen“…“ Beitrag von Daniel Leisegang vom 29.11.2023 in Netzpolitik 
• Auch im Gesundheitsausschuss: IT-Sicherheit gerät bei Gesundheitsdigitalisierung zur Randnotiz
  • Gesundheitsdigitalisierung: IT-Sicherheit gerät zur Randnotiz
    „Die Bundesregierung will das Gesundheitswesen digitaler machen. Expert:innen begrüßten zwei Gesetzesvorhaben am Mittwoch im Gesundheitsausschuss. Die Themen Datenschutz und die Informationssicherheit kamen dabei allerdings nur am Rande vor. (…) Der Bundestag hat beide Gesetzesvorlagen der Regierung in der vergangenen Woche zur weiteren Beratung an den Gesundheitsausschuss überwiesen. Dieser hatte dann am Mittwoch gerade einmal zweieinhalb Stunden Zeit, um die Einschätzungen der geladenen Expert:innen anzuhören. Rund 60 schriftliche Stellungnahmen lagen den Ausschussmitgliedern für beide Gesetzesentwürfe vor. (…) Als Einzige wies Bianca Kastl ausdrücklich darauf hin, dass zentrale Datensammlungen wie jene des FDZ das Risiko bergen, kompromittiert und angegriffen zu werden. Dieses Risiko sei mit Blick auf die Vertraulichkeit der Daten, ihre Verfügbarkeit und eine drohende Verfälschung gleichermaßen sehr hoch. „Eine Verlängerung der Speicherfrist im Forschungsdatenzentrum auf bis zu 100 Jahre […] führt zu einem Worst-Case-Szenario im Kontext der Informationssicherheit“, warnt Kastl. Die hohen Risiken könnten unter anderem durch eine stärkere Dezentralisierung der Daten, eine konsequente Pseudonymisierung sowie weitere „privatsphärenschonende Verfahren“ minimiert werden. Das Vertrauen in die Datensysteme könnte außerdem dadurch gestärkt werden, dass die Systeme von unabhängiger Seite geprüft würden. „Es gilt hier in Anlehnung an die Petersberger Erklärung der [Datenschutzkonferenz]: Je sensibler die Daten, die verarbeitet werden, desto transparenter muss die Funktionsweise der verwendeten Systeme sein“, schreibt Kastl. (…) Kastls Fazit fällt negativ aus. Die vom Bundesgesundheitsminister angestrebte Forschung sei „näher bei großen Forschungseinrichtungen denn bei den betroffenen Menschen“. Ein besseres digitales Gesundheitswesen, das die Bürger:innen ins Zentrum stellt, sei möglich – „aber nicht mit diesem Entwurf“.“ Beitrag von Daniel Leisegang vom 17.11.2023 in Netzpolitik , siehe auch:
  • Degitalisierung: Dann fahren wir den Zug halt selbst
    „Gesundheitsdigitalisierung ist ein wenig wie Zugfahren. Es kommt zu Verspätungen, Ausfällen und falschen Weichenstellungen. Und manchmal droht etwas zu entgleisen. Da hilft nur, sich an Claus Weselsky ein Beispiel zu nehmen und höflich zu bleiben…“Kolumne von Bianca Kastl vom 19.11.2023 in Netzpolitik 
• Debatte im Bundestag: Abgeordnete schwärmen von fließenden Gesundheitsdaten 
  „Die Bundesregierung will das Gesundheitswesen digitalisieren. In einer ersten Lesung stießen zwei Gesetzentwürfe im Bundestag auf breite Zustimmung. Kritik kam vor allem von der Linkspartei, die vor „gläsernen Patient:innen“, Datenlecks und Hacks warnte.
  Die Bundesregierung hat am Donnerstag zwei Gesetze in den Bundestag eingebracht: das Digital-Gesetz (DigiG ) und das Gesundheitsdatennutzungsgesetz (GDNG ). Sie sollen dazu beitragen, Gesundheitsdaten umfassend zu digitalisieren und zu nutzen. Das DigiG nimmt dazu vor allem die digitale Gesundheitsversorgung in den Blick. Zentrale Vorhaben sind hier die Elektronische Patientenakte (ePA ) und das E-Rezept. Das GDNG hingegen regelt vor allem, wie Gesundheitsdaten für die Forschung erschlossen und bereitgestellt werden.
  Die Redner:innen der Ampel-Regierung begrüßten das Gesetz einhellig als Einstieg in eine umfassende Modernisierung der Gesundheitsleistungen. Sie betonten, dass die geplanten Gesetze wahlweise einen Neustart bedeuteten, eine digitalpolitische Aufholjagd einleiteten oder die Bundesrepublik auf die „Überholspur“ beförderten. Während die Union nur wenig Kritik an den Gesetzesvorhaben anmeldeten, machte vor allem Kathrin Vogler von der Linkspartei Datenschutz- und Sicherheitsbedenken geltend. (…) Die ePA soll allen Versicherten ab Anfang 2025 automatisch zur Verfügung stehen und gebündelt sämtliche Informationen rund um die eigene Gesundheit speichern. Auf freiwilliger Basis können die Versicherten die digitale Akte bereits seit dem 1. Januar 2021 nutzen. Das tut bislang allerdings nur knapp ein Prozent der rund 73 Millionen gesetzlich Versicherten hierzulande. Das Gesundheitsministerium hofft, dass es bis Ende 2024 rund 80 Prozent sein werden – dank Opt-out-Verfahren. Das heißt, wer dann keine ePA haben möchte, muss dem aktiv widersprechen. (…) Im Anschluss an die Plenumsdebatte überwiesen die Abgeordneten beide Regierungsvorlagen zur weiteren Beratung an den federführenden Gesundheitsausschuss. Er behandelt beide Gesetzesvorhaben erstmals am 15. November.“ Beitrag von Daniel Leisegang vom 10.11.2023 in Netzpolitik 
• Elektronische Patientenakte: Sind unsere Daten sicher? Kabinett beschließt Digitalgesetze – und ignoriert zentralen Kritikpunkt von Ärztekammer und Patientenschutz-Stiftung
  „… Könnten Gesundheitsdaten, die offiziell zum Wohl der Versicherten gesammelt und gebündelt wurden, auch eines Tages gegen sie verwendet werden? – Befürchtungen dieser Art werden mit dem Stichwort „Eigenverantwortung“ zumindest von neoliberalen Ökonomen geschürt. Gesetzlich Versicherte sollen im Krankheitsfall stärker zur Kasse gebeten werden, wenn sie beispielsweise geraucht haben, übergewichtig sind oder sogenannte Risikosportarten betrieben haben, meint etwa Prof. Bernd Raffelhüschen, der von der Bild als „Deutschlands führender Finanzexperte“ bezeichnet wird. Den Geist seines „Reformplans“ atmet auch mancher CDU-Abgeordnete. Mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens soll ab dem 15. Januar 2025 die elektronische Patientenakte (ePA) als allgemeiner Standard kommen – das elektronische Rezept (E-Rezept) soll bereits 2024 flächendeckend eingeführt werden. Letzteres klingt auf den ersten Blick nach einer Erleichterung – zumindest für jüngere Menschen, die digitale Endgeräte auch für zahlreiche andere Zwecke nutzen. An ältere Menschen wurde im Ressort von Bundesgesundheitsminister Karl Lauterbach (SPD) aber nach Meinung der Bundesärztekammer und der Deutschen Stiftung Patientenschutz zu wenig gedacht – vor allem beim zweiten Gesetz, dass die Kabinettsmitglieder heute auf Schloss Meseburg auf den Weg brachten. (…) Das Gesundheitsdatennutzungsgesetz (GDNG) soll nach Aussage der Bundesregierung den Versorgungsalltag und die Forschungsmöglichkeiten verbessern – es regelt aber auch die Widerspruchsrechte der Betroffenen gegen die Datenübermittlung. Bisher hat erst rund ein Prozent der 74 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA). 2025 soll sie zum Standard werden – ausgenommen wird nur, wer aktiv widerspricht. Der Widerspruch soll jedoch laut Gesetzentwurf „über die Benutzeroberfläche eines geeigneten Endgeräts erklärt“ werden. Ob und wie ein Widerspruchsverfahren auch in Papierform ermöglicht wird, bleibt den Krankenkassen überlassen. Die Deutsche Stiftung Patientenschutz betont in diesem Zusammenhang, dass Schweigen keine Zustimmung bedeutet – und dass ältere Menschen ohne Internetzugang hier „vollkommen abgehängt“ würden. Dies war auch ein zentraler Kritikpunkt der Bundesärztekammer, als ihr der Referentenentwurf des Gesetzes vorlag. Nachgebessert wurde jedoch nicht. „Deswegen haben die Abgeordneten im gesetzgeberischen Verfahren auch dafür zu sorgen, dass die oft betagten Betroffenen nicht im Regen stehen gelassen werden“, erklärte an diesem Mittwoch Eugen Brysch vom Vorstand der Deutschen Stiftung Patientenschutz. Ebenso müssten Forschende verpflichtet werden, alle Ergebnisse transparent zu machen. Viel zu schnell verschwänden sonst unliebsame Erkenntnisse in der Schublade, meint Brysch: „Wird der Gesetzentwurf in diesen zentralen Fragen nicht nachgebessert, scheitert das notwendige Vorhaben vor Gerichten“ Beitrag von Claudia Wangerin vom 30. August 2023 in Telepolis 
  • Siehe das Gesundheitsdatennutzungsgesetz und das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens 
• Gesundheitsdaten: Opt-Out-Digitalisierung ohne Rücksicht auf Versicherte 
  „Karl Lauterbach plant eine umfassende Digitalisierung des Gesundheitswesens. Zwei Vorhaben sollen dafür den Weg ebnen: das Digitalgesetz und das Gesundheitsdatennutzungsgesetz. Wir veröffentlichen die Referentenentwürfe. Sie zeigen, dass die Reformen zulasten der Versicherten und des Datenschutzes gehen sollen. (…) Die Gesetze sehen vor, Gesundheitsdaten umfassend zu digitalisieren und zu nutzen. Sowohl Forschende als auch Krankenkassen sollen Zugriff auf die Daten erhalten. Für gesetzlich Versicherte heißt das: Sie müssen in Zukunft aktiv widersprechen, wenn sie nicht wollen, dass ihre Daten genutzt werden. Bisher müssen sie in der Regel vorab zustimmen. Dieser Paradigmenwechsel vom Opt-In zum Opt-Out geht zulasten der Versicherten – zumal grundlegende Fragen des Datenschutzes und der Datensicherheit weitgehend ungeklärt sind. Darüber hinaus bereitet der Minister nicht nur die Weitergabe der Gesundheitsdaten von Millionen Versicherten an den geplanten Europäischen Gesundheitsdatenraum (EHDS) vor, sondern er will eigenen Angaben zufolge auch den Datenhandel mit den USA ausbauen. (…) Die elektronische Patientenakte (ePA) ist eine zentrale Voraussetzung für die Digitalisierung der Gesundheitsdaten. Sie soll allen Versicherten ab Anfang 2025 automatisch zur Verfügung stehen und gebündelt sämtliche Informationen rund um die eigene Gesundheit speichern. Auf freiwilliger Basis können die Versicherten die ePA bereits seit dem 1. Januar 2021 nutzen. Das tut bislang allerdings nur ein Prozent der rund 73 Millionen gesetzlich Versicherten hierzulande. Das Ministerium hofft, dass es bis Ende 2024 rund 80 Prozent sein werden – dank Opt-Out-Verfahren. Denn wer dann keine ePA haben möchte, muss dem aktiv widersprechen. (…) Tun die Versicherten das nicht, stehen der Forschung potenziell sämtliche in der ePA gespeicherten Befunde und Laborwerte zur Verfügung. (…) Krankenkassen sollen die personenbezogenen Daten ihrer Versicherten ebenfalls detailliert auswerten dürfen. Laut GDNG-Entwurf können sie dazu datengestützte Auswertungen „zum individuellen Gesundheitsschutz“ vornehmen. Mit anderen Worten: Die Krankenkassen dürfen ihre Versicherten auf bestimmte Gesundheitsgefährdungen und Krankheitsrisiken scannen. (…) Unklar ist noch die künftige Rolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). (…) „Klassische Vetorechte“ von BfDI und BSI seien „dann nicht mehr zu erwarten“, kündigte der Gesundheitsminister im März auf einer Pressekonferenz an. (…) Wie wichtig eine datenschutzrechtliche Kontrolle jedoch gerade im Gesundheitsbereich ist, zeigen die Pläne, die Gesundheitsdaten von Millionen Versicherten nicht nur in den Europäischen Gesundheitsdatenraum, sondern auch in die USA zu übermitteln. Der EHDS soll die medizinische Versorgung, Forschung und Innovation innerhalb der EU befördern. Den entsprechenden Verordnungsentwurf der EU-Kommission verhandelt derzeit das Europäische Parlament. Allerdings gestalten sich die Aushandlungen zäh – unter anderem deshalb, weil der Kommissionsentwurf den EU-Bürger:innen keinerlei Widerspruchsrecht hinsichtlich der Weitergabe ihrer Daten einräumt, auch nicht im Nachhinein…“ Beitrag von Daniel Leisegang vom 23. Juni 2023 bei Netzpolitik.org  mit Volltext der beiden Referentenentwürfe zu Digitalgesetz und Gesundheitsdatennutzungsgesetz
• Neue EU-Verordnung: Gesundheitsdaten für ganz Europa – Lobbygruppen wollen Mitsprache für die Industrie
  „Die EU-Kommission möchte eine Infrastruktur für den Austausch von Gesundheitsdaten von Lissabon bis Helsinki einführen. Doch der geplante „Europäische Gesundheitsdatenraum“ weckt Bedenken. Die Europäische Kommission möchte in der ganzen EU Gesundheitsdaten in einheitlichen Formaten elektronisch verfügbar machen. Dafür soll ein „Europäischer Gesundheitsdatenraum“ geschaffen werden, der den Austausch von Patient:innenakten, ärztlichen Diagnosen und Medikamentenverschreibungen über Grenzen hinweg erleichtert. Die Kommission hat diese Woche den Entwurf für eine entsprechende Verordnung vorgelegt . „Es gibt keine bessere Zeit dafür als jetzt, nach dem Ende der Pandemie“, sagte EU-Kommissionsvizepräsident Margaritis Schinas in Brüssel. Das neue Gesetz soll jedem EU-Land vorschreiben, elektronische Zugangswege für Patient:innen zu ihren Gesundheitsdaten zu schaffen. In Deutschland gibt es das seit Anfang 2021 in Form der elektronischen Patientenakte (ePA)…“ Beitrag von Alexander Fanta vom 04.05.2022 in Netzpolitik 
• Appell: Kein Zugriff auf Patientenakten für Big Tech
  „Wir wollen das Recht auf Vertraulichkeit in Bezug auf unsere Krankenakten. Das bedeutet: Wie haben die Kontrolle über unsere persönlichen Gesundheitsdaten und darüber, wer Zugang zu ihnen hat und zu welchem Zweck. Wir fordern Sie auf, den Europäische Raum für Gesundheitsdaten wie folgt zu ändern: die ausdrückliche Zustimmung der Patienten und Patientinnen ist erforderlich zur Weitergabe von Patientenakten für Zwecke, die nicht direkt mit der Behandlung zusammenhängen (auch bekannt als Sekundärnutzung); Begrenzung der umfangreichen Kategorien von „Gesundheitsdaten“; Einschränkungen, wie diese Informationen verwendet werden können und wer Zugang zu ihnen hat…“ Appell bei wemove.eu an die europäischen Staats- und Regierungschefs im Rat der Europäischen Union und Abgeordnete des Europäischen Parlaments und darin:
  • „… Warum das wichtig ist
    Die EU-Kommission denkt darüber nach, Unternehmen den Zugang zu unseren vertraulichen Patientenakten zu gewähren! Ein neues Gesetz sieht vor, den Austausch von Patientenakten und Informationen zu vereinfachen. So soll es zum Beispiel einfacher werden, eine MRT-Aufnahme von einer Urlaubsverletzung mit dem Hausarzt zu teilen. Aber als Teil desselben Gesetzes plant die EU, das Recht auf Datenschutz zu beeinträchtigen und das Vertrauen in unsere Ärzt*innen zu untergraben. In der jetzigen Fassung würde das neue Gesetz Gesundheitsdienstleister dazu drängen, sensible Gesundheitsdaten an so ziemlich jeden weiterzugeben, der sie für „Forschungszwecke“ benötigt. Dazu gehören Big Pharma, Big Tech und Versicherungsunternehmen. Noch schlimmer ist, dass sie für den Zugriff auf unsere Daten keine Erlaubnis benötigen und uns nicht über die Verwendung der Daten informieren müssen. Und genau hier kommen wir ins Spiel. Denn wir können dafür sorgen, dass dieses Gesetz unsere Datenschutzrechte und Patientenakten schützt und gleichzeitig die Gesundheitssysteme in der EU effizienter macht. Im Europäischen Parlament besteht jedoch noch keine Einigkeit über den Beschluss des Gesetzes. Einige Abgeordnete sind klar für den Schutz der Daten von Patienten. Andere sind noch unentschlossen und brauchen einen Anstoß vor der entscheidenden Abstimmung im Juli…“
• Europäischer Gesundheitsdatenraum: Opt-out ist keine Option – ein Offener Brief fordert nun deutlich mehr Schutz- und Mitspracherechte für Patient:innen 
  „Das Europäische Parlament diskutiert derzeit einen Gesetzesvorschlag der EU-Kommission zum sogenannten Europäischen Gesundheitsdatenraum. Zahlreiche Organisationen fordern nun in einem Offenen Brief die EU-Abgeordneten dazu auf, die Patient:innenrechte zu schützen. Konkret verlangen sie mehr Mitspracherechte für Patient:innen bei der Weitergabe und Nutzung medizinischer Daten, vor allem bei der Sekundärnutzung – also wenn Daten nicht mehr nur der direkten Behandlung dienen, sondern etwa der Forschung oder kommerziellen Zwecken. Im Kommissionsvorschlag war für eine solche Nutzung keinerlei Widerspruchsmöglichkeit vorgesehen. Das EU-Parlament verhandelt aktuell, ob die Betroffenen dem künftig aktiv widersprechen müssen (Opt-out) oder ob sie explizit einwilligen müssen (Opt-in). Die unterzeichnenden Organisation repräsentieren neben Patient:innen unter anderem das medizinische Fachpersonal, Menschen mit Behinderungen, Verbraucherorganisationen und Gewerkschaften. Unter ihnen sind der Berufsverband Deutscher Psychologinnen und Psychologen, der Verein Innovationsverbund Öffentliche Gesundheit, der Verein Freie Ärzteschaft sowie die Bürgerrechtsorganisation European Digital Rights (EDRi). (…) Der geplante European Health Data Space (EHDS) geht auf eine rechtliche Initiative der EU-Kommission aus dem Mai vergangenen Jahres zurück. Das Gesetzesvorhaben soll Mitte dieses Jahres verabschiedet werden. Ziel der Kommission ist es, einen gemeinsamen großen Datenraum im Sinne eines europäischen digitalen Binnenmarktes zu schaffen. Dafür soll der EHDS europaweit Gesundheitsdaten und Leistungen digital harmonisieren und zusammenführen. Das bedeutet etwa, das Rezepte EU-weit funktionieren sollen. Aber auch, dass Daten einfacher über Grenzen hinweg verfügbar gemacht werden. Auf diese Weise will die Kommission auch die europäische Forschung konkurrenzfähig machen, vor allem im globalen Wettbewerb mit den Vereinigten Staaten und China. Geplant ist, dass Patient:innen, Kliniken, Labore und der öffentliche Gesundheitsdienst ihre Daten für eine Primär- und Sekundärnutzung zur Verfügung stellen. (…) Aus Sicht des Offenen Briefes versagt der Kommissionsvorschlag beim Schutz der Patient:innen. Indem er kein Widerspruchsrecht bei der Sekundärnutzung vorsieht, müssten Ärzt:innen und Krankenhäuser sich über das Ärzt:innen-Patient:innengeheimnis hinwegsetzen und „sensible medizinische Informationen“ an staatliche Stellen sowie an Pharmaunternehmen weitergeben. Die Widerspruchslösung des Opt-out, den das Europäische Parlament derzeit diskutiert, lehnen die Unterzeichner:innen des Offenen Briefes als unzureichend ab. Vor allem Menschen, die mit gesundheitlichen Problemen zu kämpfen haben, sollten ihr aktives Einverständnis geben, so die Begründung. (…) Vor wenigen Tagen kritisierte auch die hiesige Datenschutzkonferenz von Bund und Ländern (DSK) in einer gemeinsamen Stellungnahme den unzureichenden Schutz der Patient:innenrechte. In Teilen hält die DSK die Vorschläge der Kommission sogar für unzulässig. Das Gremium mahnt, dass der EHDS das Schutzniveau der Datenschutzgrundverordnung (DSGVO) sowie den Schutz des Privatlebens nicht aushöhlen dürfe. Vielmehr müsse das öffentliche Interesse an wissenschaftlicher Forschung mit dem Grundrecht auf informationelle Selbstbestimmung „in einen angemessenen Ausgleich“ gebracht werden. Die Betroffenen müssten dafür ihre Rechte „einfach“ und „granular“ im Rahmen einer „effektiven Kontrolle“ umsetzen können. Für „unzulässig“ hält die DSK den Vorschlag, die Klardaten zentral an einer Zugangsstelle zusammenzuführen…“ Beitrag von Daniel Leisegang vom 14. April 2023 bei Netzpolitik.org 
• FAQ zur Elektronischen Patientenakte: Was Lauterbachs Pläne für Ärzt:innen und Versicherte bedeuten 
  „Ab Ende 2024 sollen alle Kassenpatient:innen eine elektronische Akte bekommen, außer sie widersprechen ausdrücklich. So plant es der Bundesgesundheitsminister. Was aber kann die digitale Patientenakte? Welche Vorteile bringt sie? Und wann kann der Zugriff auf die gesamte Krankengeschichte zum Problem werden?…“ FAQ von Chris Köver und Daniel Leisegang vom 30.03.2023 in Netzpolitik 
• Neuer Pfad des Bio-Kapitalismus: Pharmakonzerne gieren nach Datengold – Karl Lauterbach hilft beim Schürfen 
  „Um Gesundheitsminister Karl Lauterbach (SPD) wird es nicht ruhig: Ein knirschender Krankenhausgipfel, bei dem schon drei Bundesländer ihre rote Karte gezückt haben und mit dem Gang nach Karlsruhe drohen. Die bekannt gewordenen Impfschäden, für die der Bund geradestehen muss, weil die Industrie ohne Not aus der Haftung entlassen wurde. Und wieder einmal eine „Unstimmigkeit“ in Lauterbachs Lebenslauf – in einer einzigen Woche eine ganze Menge für einen, der seine Energie eigentlich auf die laufenden Gesetzesinitiativen konzentrieren sollte. Eine davon die Digitalisierungsoffensive mit ihrem Vorzeigeobjekt, der elektronischen Gesundheitsakte (ePA), die ab 2024 nun jeden Patienten lebenslang begleiten soll. Eine 180-Grad-Kehrtwende, denn bislang stand es Patient:innen frei, sich in dieses „technische Abenteuer mit Großrisiken“, wie es der Chaos Computer Club vor Jahren beurteilte, zu stürzen. Wie in der von Lauterbach forcierten Widerspruchsregelung bei der Organspende müsste man, nach dem Motto „Wer schweigt, stimmt zu“, nun aktiv widersprechen, damit sensible Gesundheitsdaten nicht zentral gespeichert werden. Nur so ließe sich verhindern, dass nicht nur Ärzt:innen, sondern auch etwa Apotheker oder Therapeuten Zugriff hätten. Dabei ist das Anmeldeverfahren, wie die Erfahrungen mit dem E-Rezept zeigen, immer noch extrem kompliziert und gerade für Ältere eine große Hürde. Der Verband der Freien Ärzteschaft kritisiert die Aushebelung der ärztlichen Schweigepflicht. Wo bleibt der Anspruch an den „mündigen Patienten“, der selbst über seine Daten entscheidet und darüber, wer sie verwertet? Denn genau darum geht es dem Minister. Keineswegs nur um Kostenersparnis, sondern erklärtermaßen um die Generierung von riesigen, zentral gelagerten Datensätzen, die der Forschung zufließen sollen. Das neue Bio-Datenkapital ist heiß begehrt, denn es fehlt nicht nur redlich Forschenden, die sich etwa während der Pandemie mehr Wissen gewünscht hätten über den Zusammenhang von sozio-ökonomischen Bedingungen und Krankheitsverlauf. Vielmehr steckt die Pharma-Industrie hier ein neues Geschäftsfeld ab. (…) Wer aber dennoch an die altruistischen Motive der Pharma-Riesen glauben will, sei an die Datenskandale der vergangenen Jahre erinnert. Von Großbritannien über Finnland bis in die USA und Australien: Überall verdienen sich kriminelle Hacker eine goldene Nase mit gestohlenen Gesundheitsdaten. Erpresst werden sowohl Privatpersonen als auch Unternehmen, die die Telematik betreiben. Denn die sind, auch in Deutschland, alles andere als geschützt vor Datenklau…“ Kommentar von Ulrike Baureithel aus derFreitag Ausgabe 11/2023 vom 16. März 2023 
• EHDS: Experten sehen Korrekturbedarf für Europäischen Gesundheitsdatenraum, da er eine Wende für die ärztliche Schweigepflicht einläuten könnte 
  „Der Entwurf der EU-Kommission für einen künftigen europäischen Datenraum Gesundheit (European Health Data Space – EHDS) ist nach Ansicht von Experten noch deutlich verbesserungsfähig. Das Europäische Parlament will sich ab Mitte März mit dem Vorschlag befassen, von dem sich Forschende Fortschritte bei personalisierten Behandlungen und damit eine bessere Gesundheitsversorgung von Patienten mit seltenen oder chronischen Krankheiten erhoffen. Forschungsverbände fordern schon seit langem, Gesundheitsdaten zur Verfügung zu stellen. Im Zuge der Corona-Pandemie nahm das Thema an Fahrt auf. Im Kern dreht sich das Vorhaben EHDS um die Frage, inwieweit Gesundheitsdaten im Rahmen des internationalen Forschungswettbewerbs dem Gemeinwohl dienen können. (…) Künftig sollen nach Vorstellungen der Kommission die Gesundheitsdaten aller Versicherten in Deutschland in diesen Gesundheitsdatenraum abfließen können. Ziel ist es, die europäische Forschung konkurrenzfähig zu den USA und China zu machen. Geplant ist, dass Datenbesitzer im Gesundheitsdatenraum ihre Daten für eine Primärnutzung und Sekundärnutzung zur Verfügung stellen. (…) Bei der Primärnutzung geht es vor allem darum, dass etwa eine Klinik einer anderen Klinik für die Behandlung die Patientendaten mit Klarnamen zur Verfügung stellt. (…) In der Sekundärnutzung geht es um Daten, die dem öffentlichen Gesundheitsdienst nützen, um die Entwicklung von Medizinprodukten und Gesundheitsdienstleistungen. (…) Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise zum EHDS, das heise online vorab vorliegt, stellt fest: „Der EHDS bricht mit einem uralten Grundsatz bei der Verarbeitung mit Gesundheitsdaten, wonach das Patientengeheimnis beziehungsweise die ärztliche Schweigepflicht, also die Wahrung der Vertraulichkeit im Verhältnis zwischen Hilfsbedürftigen und Helfenden oberste Priorität hat.“ Gutachter und Datenschutzexperte Thilo Weichert zeigt sich „verblüfft und erschreckt“, dass das aktuelle Konzept des EHDS den „offensichtlich verfassungswidrigen Regelungen zum deutschen Forschungsdatenzentrum“ so ähnlich sei. Laut dem EHDS-Datenschutzgutachten sind Auskunfts- und Widerspruchsrechte der Patienten nicht berücksichtigt. (…) Die Initiative „Patientenrechte und Datenschutz“ kritisiert den EHDS-Entwurf der Kommission denn auch als „Ermächtigungsgesetz“. Notwendig sei zum Schutz des Arzt-Patientenverhältnisses die Zustimmung der Betroffenen zur Datenweitergabe „in jedem Einzelfall“. Der EHDS dürfe nicht zum Einfalltor für den Datenhandel mit Patientenakten werden. Eine Auslagerung der Datenverarbeitung an US-Cloud-Anbieter sei nach aktuellem Regelungsstand nicht auszuschließen. (…) Der Paradigmenwechsel im Umgang mit den Gesundheitsdaten ist bereits in der DSGVO vorgezeichnet, da sie den Zwecken der Forschung denselben Rang zuweise wie dem individuellen Selbstbestimmungsrecht; der EHDS setze nun die Idee der Sozialpflichtigkeit von Gesundheitsdaten konsequent um, stellt das Gutachten des Netzwerks Datenschutzexpertise fest. Dieser Paradigmenwechsel sei in der öffentlichen Wahrnehmung und im gesellschaftlichen Bewusstsein noch nicht angekommen. „Er wird auch nicht als solcher klar benannt und diskutiert“, kritisiert das Gutachten. Angesichts der Entwicklungen von Technik, Gesellschaft und Gesundheitswesen sei dieser Paradigmenwechsel „geboten“. Auch die Datenethikkommission hatte für abwägende Regelungen zur Nutzung der Gesundheitsdaten für die Forschung plädiert.“ Beitrag von Christiane Schulzki-Haddouti vom 22. Februar 2023 in heise news 
• Bundesdatenschutzbeauftragter schließt Zugriffsmöglichkeiten der Strafverfolgungsbehörden auf die elektronische Patientenakte (ePA) nicht aus 
  „Ein Mitglied einer großen bundesweit vertretenen Krankenkasse hat im November 2021 eine Anfrage zu diesem Thema an den Bundesdatenschutzbeauftragten (BfDI) gerichtet. Im Januar 2023 ging das fünfseitige Antwortschreiben des BfDI beim Anfrage ein. (…) Der Versicherte fragte den Bundesdatenschutzbeauftragten: „Besteht rechtlich die Möglichkeit, dass andere Behörden (z. B. Polizei und Justiz) Zugriff auf die in meiner ePA gespeicherten Unterlagen nehmen können?“ (…) „Ist meine Bewertung zutreffend, dass eine ePA nicht dem Beschlagnahmeschutz des § 97 Abs. 2 StPO [keine Beschlagnahme beim Recht auf Zeugnisverweigerung] unterliegt? (…) Das Antwortschreiben des BfDI vom 20.01.2023 enthält [zu] Frage 1 (Beschlagnahmeschutz für die ePA) (…) die Antwort: “ „Eine spezifische Regelung, laut der Behörden gerade auf die elektronische Patientenakte nicht zugreifen dürfen (wie die von Ihnen in Bezug auf die elektronische Gesundheitskarte zitierte Vorschrift des § 97 Abs. 2 S. 1, 2. Halbsatz Strafprozessordnung [StPO]) könnte zwar theoretisch in Bezug auf diejenigen Vorschriften geregelt werden, die den Datenzugriff anderer Behörden regeln, jedoch ist mir keine solche spezifische Schutzvorschrift in Bezug auf die elektronische Patientenakte bekannt. Ob die Regelung über das Beschlagnahmeverbot nach § 97 StPO auf den von Ihnen thematisierten Fall eines Zugriffs auf die elektronische Patientenakte durch Strafverfolgungsbehörden anwendbar ist, ist derzeit nicht abschließend geklärt. Zwar hat sich in der Begründung des Referentenentwurfs zu § 341SGB V der gesetzgeberische Wille ausgedrückt, dass für sensible Gesundheitsdaten nach § 341 Abs. 2 SGB V-E der Beschlagnahmeschutz des § 97 StPO für die elektronische Patientenakte gelten soll, jedoch ist dies nicht als gesetzliche Regelung in den Wortlaut übernommen worden. (…) Im Übrigen wird die elektronische Patientenakte von den Krankenkassen zur Verfügung gestellt. Es handelt sich also nicht um Unterlagen, die sich im Gewahrsam des Arztes oder eines anderen Leistungserbringers befinden. Auf Krankenkassen würde sich das Beschlagnahmeverbot nach der gesetzlichen Regelung erstrecken, wenn diese an der beruflichen Tätigkeit des Arztes oder anderen Leistungserbringers mitwirken (§ 53a Abs. 1 StPO). In der Literatur wird ausgeführt, dass Krankenkassen bei der Bereitstellung der elektronischen Patientenakte gerade nicht an der beruflichen Tätigkeit der Ärzte mitwirkten, sondern nach § 341 Abs. 1, § 342 Abs. 1 SGB V eine eigene gesetzliche Aufgabe erfüllten und Dienstleister der Versicherten seien (…). Insoweit stimme ich den Ausführungen in der von Ihnen als Anlage beigefügten Stellungnahme der Bundesärztekammer zu, dass nicht abschließend geklärt ist, ob und inwieweit sich das in § 97 StPO geregelte Beschlagnahmeverbot auch auf die elektronische Patientenakte bezieht…“ Im Klartext: Der BfDI schließt nicht aus, dass eine elektronische Patientenakte (ePA) incl. der darin dokumentierten Gesundheits- und Behandlungsdaten dem Zugriff der Strafverfolgungsbehörden unterliegt, wenn diese es im Einzelfall darauf anlegen.“ Aus der Meldung von dieDatenschützer Rhein Main vom 21. Januar 2023 („Haben (Strafverfolgungs-)Behörden Zugriffsmöglichkeiten auf die elektronische Patientenakte (ePA)? Die Antwort des Bundesdatenschutzbeauftragten: Das ist nicht ausgeschlossen!“) zu Fragen und Antwort
• c’t deckt auf: Sicherheitslücke in elektronischer Patientenakte
  „2022 bekommt jeder Kassenpatient eine elektronische Patientenakte. Darin gespeicherte Dateien könnten Viren enthalten und Arztpraxen und Kliniken infizieren. Dateisysteme, die etwas mit Gesundheitsdaten zu tun haben, sind besonders gut gesichert, sollte man meinen. Ausgerechnet die elektronische Patientenakte (ePA) ist es nicht. In ihr speichern Ärzte Befunde für gewöhnlich als Dokumente und Bilder ab. Um zumindest einen formalen Schutz gegen Viren und Trojaner zu gewährleisten, dürfen nur bestimmte Dateitypen in die ePA geladen werden. (…) Zu den populärsten ePA-Apps gehört derzeit „Die TK-App“ für Android- und iOS-Smartphones von der Techniker Krankenkasse. Ende November bekamen wir einen anonymen Tipp, dass die Android-Version 3.15.0 (Produktversion 3.1.0.13) der TK-App es über ihre Funktion TK-Safe erlauben würde, eigentlich verbotene Zip-Container in die ePA zu laden. Bei der anschließenden Prüfung gelang es uns tatsächlich, eine Zip-Datei in die ePA hoch- und wieder herunterzuladen. Eigentlich sollte die App einen solchen Upload durch eine Typ-Prüfung der Datei verhindern. (…) Die Techniker Krankenkasse erklärte jedoch, dass die Sicherheit der Praxen durch einen möglichen Upload von Zip-Dateien in die ePA nicht gefährdet gewesen sei. Weil alle Dateien in der ePA Ende-zu-Ende-verschlüsselt übertragen werden, müssen sie im Frontend geprüft werden. Und da die TK-App nur eine Möglichkeit von vielen sei, die ePA zu befüllen, müssten Ärzte die ePA-Dateien unbedingt beim Download auf möglichen Schadcode prüfen. (…) Laut Gematik existiere bei der ePA kein erhöhtes Sicherheitsrisiko. Sie spricht lieber von einer „Grenze der Sicherheitsleistung“ und schreibt dazu: „Die Kontrolle über diese Dateien liegt beim Versicherten selbst, das heißt, dass auch nur der Versicherte selbst dies aushebeln und die Ärztin/den Arzt seines Vertrauens bewusst mit einer Datei schädigen kann. Dieses eher unrealistische Szenario betrifft nicht nur die Nutzung der ePA, sondern besteht bereits jetzt, beispielsweise bei der Übermittlung von Befunden (wie z. B. Röntgenbildern) auf einem Datenträger, die der Versicherte mit in die Praxis bringt.“ Offensichtlich hat sich bis zur Gematik noch nicht herumgesprochen, dass Trojaner durchaus Dateien infizieren können, ohne deren Besitzern (Ärzte oder Patienten) dies mitzuteilen. (…) Aus Angst vor möglichen Haftungsfolgen wollen manche Ärzte die ePA aber gar nicht erst unterstützen. (…) So einfach können es sich die Ärzte aber nicht machen. Denn während die Nutzung einer ePA für Versicherte freiwillig ist (Opt-out), hat der Arzt nach § 291a SGB V eine Mitwirkungspflicht, wenn jemand eine ePA mit Arztdaten befüllt hat oder befüllen will. Der behandelnde Arzt muss zudem nachweisen, dass er die Daten vollständig gesichtet hat. Andernfalls könnte man ihm einen Befunderhebungsfehler vorwerfen. Im Unterschied zum Vorwurf eines Diagnosefehlers kann es dabei zu einer Beweislastumkehr kommen: Der Arzt muss nachweisen, dass er tatsächlich alle Befunde einbezogen hat. Rechtsanwalt Dirk Wachendorf bezeichnete die ePA deshalb auf dem jüngsten Kongress der Freien Ärzteschaft als „haftungstechnisch durch und durch vergiftetes Angebot“. Den versammelten Ärzten empfahl er neben der Berufshaftpflicht-Police deshalb den Abschluss einer „Cyberrisk-Versicherung“…“ Beitrag aus dem c’t Magazin von Hartmut Gieselmann, Detlef Borchers und Hajo Schulz bei heise online am 31. Dezember 2021 
• Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA)
  „Ein Versicherter, der Mitglied der DAK-Gesundheit ist, hat dem Verein Patientenrechte und Datenschutz e. V. und der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur anonymisierten Veröffentlichung ein Schreiben überlassen, das er zu diesem Thema an das Bundesamt für Soziale Sicherung (BAS) gerichtet hat. Das BAS hat die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung. (…) Kann die DAK entgegen aller öffentlich (vom BMG, von den Krankenkassen, von der Verbraucherzentrale u. a. m.) verkündeten Regularien Einsicht nehmen in die Inhalte, die in der ePA gespeichert sind? Oder wie anders kann die DAK feststellen, dass ein Versicherter gegen den Nutzungsvertrag verstößt?“ (…) Wenn auch der Wortlaut der Regelungen unterschiedlich ist; der Sachverhalt bleibt gleich und wirft Fragen auf. Fragen, um deren Beantwortung das Bundesamt für Soziale Sicherung (BAS) vom anfragenden Versicherten auf der Grundlage des IFG (Informationsfreiheitsgesetz des Bundes) gebeten wird…“ Beitrag vom 30. Dezember 2021 bei patientenrechte-datenschutz.de 
• Setzt Karl Lauterbach Jens Spahns desaströsen Aktionismus fort? Datenschützer fordern überlegtes Vorgehen bei der elektronischen Patientenakte [auch LabourNet] 
  „… Mit einer Gesetzes-Flut versuchte Ex-Bundesgesundheitsminister Jens Spahn (CDU), im Eiltempo die zentrale Digitalisierung des Gesundheitswesens zu erzwingen. Herzstück davon ist die elektronische Patientenakte ePA, welche die Krankenkassen ihren Mitgliedern seit dem 01.01.2021 anbieten müssen. Die Patientensicherheit (bzw. die Sicherheit der Gesundheits- und Behandlungsdaten) sieht der Bundesdatenschutzbeauftragte Ulrich Kelber bei der ePA allerdings nicht gewährleistet. Und die Akzeptanz bei den Versicherten liegt nach fast einem Jahr noch immer im Promille-Bereich. (…) Was Erwartungen an den neuen Bundesgesundheitsminister Karl Lauterbach angeht, hilft ein Blick in den Ampel-Koalitionsvertrag, den Lauterbach mit ausgehandelt hat. Zur Digitalisierung im Gesundheitswesen steht dort: “Alle Versicherten bekommen DSGVO-konform eine elektronische Patientenakte zur Verfügung gestellt; ihre Nutzung ist freiwillig (opt-out). Die gematik bauen wir zu einer digitalen Gesundheitsagentur aus.” Opt-Out bedeutet jedoch gerade das Gegenteil von Freiwilligkeit: Jeder Mensch bekommt ohne eigene Willensentscheidung eine elektronische Patientenakte (ePA) und kann dies lediglich im Nachhinein durch Widerspruch (opt-out) korrigieren. (…) Die Digitalisierungspolitik der früheren Bundesgesundheitsminister kann kein Vorbild sein. Weder den Versicherten noch den Ärzt*innen oder Krankenhäusern ist damit gedient, wenn sie ungeprüft und unhinterfragt fortgesetzt wird. Notwendig ist vielmehr Entschleunigung und eine sachliche Bestandsaufnahme von Bedarf, Kosten und Nutzen. Die unterzeichnenden Organisationen fordern daher den neuen Bundesgesundheitsminister Karl Lauterbach und die Bundestagsfraktionen von SPD, Grünen und FDP auf:
  • Beschließen Sie für alle neuen Anwendungen der Telematik-Infrastruktur eine Testphase von mindestens 12 Monaten. Sie ist mit einer großen Anzahl von freiwillig Teilnehmenden im realen Praxisbetrieb durchzuführen. Die Bewertung der Tests muss durch Ärzte- und Patientenvertreter*innen und Datenschützer*innen erfolgen.
  • Stellen Sie die bisherigen Vorschriften und technischen Einrichtungen auf den Prüfstand.
  • Freiwilligkeit der elektronische Gesundheitsakte (ePA) statt opt-out. – Freiwilligkeit der Nutzung der ePA auch für Behandler*innen, ohne Honorarabzüge
  • keine Honorarabzüge für an die TI nicht angeschlossene Behandler*innen – Schutz von Gesundheits- und Behandlungsdaten (Datensparsamkeit, Zweckbindung) statt Priorisierung der Datennutzung…“  Gemeinsame Stellungnahme vom 20. Dezember 2021 bei Patientenrechte und Datenschutz e.V. von von Organisationen aus dem Datenschutz im Gesundheitswesen, darunter LabourNet Germany. Siehe die UnterzeichnerInnen:
    • Bündnis für Datenschutz und Schweigepflicht: https://www.gesundheitsdaten-in-gefahr.de/ 
    • Deutsches Psychotherapeuten-Netzwerk:  https://kollegennetzwerk-psychotherapie.de/ 
    • dieDatenschützer Rhein-Main: https://ddrm.de/ 
    • Gen-ethisches Netzwerk: https://www.gen-ethisches-netzwerk.de/ 
    • LabourNet Germany: https://www.labournet.de/
    • Patientenrechte und Datenschutz e.V.: https://patientenrechte-datenschutz.de/ 
    • WISPA Westfälische Initiative zum Schutz von Patientendaten: https://wispa-ms.de/ 
• Bundessozialgericht: Kein zurück in die alte Papier-Welt. Die elektronische Gesundheitskarte ist alternativlos 
  „Um Leistungen der Gesetzlichen Krankenversicherung (GKV) in Anspruch nehmen zu können, müssen Versicherte ihre Berechtigung grundsätzlich mit der elektronischen Gesundheitskarte (eGK) nachweisen. Das hat der 1. Senat des Bundessozialgerichts (BSG) entschieden. (…) Das BSG ist in den beiden Verfahren (Aktenzeichen B 1 KR 7/20 R; B 1 KR 15/20 R) der Argumentation der Kläger nicht gefolgt: »Die Vorschriften über die eGK stehen mit den Vorgaben der Europäischen Datenschutzgrundverordnung (DGSVO) in Einklang. Der Gesetzgeber will mit der eGK, soweit es um die Pflichtangaben geht, den Missbrauch von Sozialleistungen verhindern und die Abrechnung von Leistungen der Ärzte erleichtern. Er verfolgt damit legitime Ziele. Die Verarbeitung personenbezogener Daten ist auf das zwingend erforderliche Maß beschränkt. Der Verhältnismäßigkeitsgrundsatz ist gewahrt. Der Gesetzgeber hat ein umfangreiches Netz an Regelungen erstellt, das die Datensicherheit hinreichend gewährleistet. Er hat dort Regelungen regelmäßig nachgeschärft, wo Sicherheitsaspekte dies erforderlich gemacht haben.« Das BSG hat in B 1 KR 7/20 R ausgeführt: »Mit den durch das Patientendaten-Schutz-Gesetz neu gefassten Regelungen des SGB V zur eGK und zur Telematikinfrastruktur hat der Gesetzgeber ausreichende Vorkehrungen zur Gewährleistung einer angemessenen Datensicherheit getroffen. Dabei ist er auch seiner Beobachtungs- und Nachbesserungspflicht nachgekommen, indem er unter anderem auf die in der Praxis zu Tage getretenen datenschutzrechtlichen Defizite und Sicherheitsmängel reagiert und entsprechende Gegenmaßnahmen ergriffen hat. Die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit der eGK und der Telematikinfrastruktur ist durch die zuständigen Aufsichtsbehörden zu überwachen. Die Versicherten können im Rahmen der speziellen datenschutzrechtlichen Rechtsbehelfe eine Verletzung ihrer Rechte gerichtlich überprüfen lassen.« Man kann die Entscheidung des BSG auch so zusammenfassen: »“Eine absolute Datensicherheit kann es nicht geben“, entschied das BSG … Die DSGVO sehe einen „risikobasierten Ansatz“ vor, Maßnahmen müssten mit Eintrittswahrscheinlichkeit und Schwere der Risiken abgewogen werden. Auch der Eingriff in die Grundrechte durch die elektronische Gesundheitskarte sei gerechtfertigt. Die Karte verhindere Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, die ein „überragend wichtiges Gemeinschaftsgut“ darstelle.« Mit Blick auf die Zukunft wird möglicherweise der Aspekt relevant werden, dass die eGK auch als „Schlüssel“ für die Authentifizierung beim Zugang zur Telematikinfrastruktur, etwa zur elektronischen Patientenakte, dient. Mit dem auch vom BSG angesprochenen Patientendaten-Schutz-Gesetz (PDSG) nimmt die elektronische Patientenakte nach und nach Form an. Ein wichtiger Teil ist dabei die elektronische Patientenakte (ePA), die die Krankenkassen ihren Versicherten anbieten und die die Ärzte dann befüllen müssen. Ab dem 1. Januar 2022 soll das strukturierte Speichern von Befunden, Arztberichten und Röntgenbildern sowie Mutterpass, dem gelben U-Heft für Kinder und dem Zahn-Bonusheft in der ePA möglich sein – zuvor ist das Speichern auch möglich, aber nur in „ungeordneter“ Form. Nach der derzeitigen Rechtslage gilt mit Blick auf die informationelle Selbstbestimmung: Die Nutzung der ePA ist für den Versicherten freiwillig – nur er entscheidet, welche Daten gespeichert werden und welcher Arzt darauf zugreifen darf. Ab 1. Januar 2022 sollen Patienten die Möglichkeit bekommen, für jedes in der ePA gespeicherte Dokument einzeln zu bestimmen, wer darauf zugreifen kann. Sie können also zum Beispiel festlegen, dass eine Ärztin oder ein Arzt zwar auf die ePA zugreifen darf, dass aber bestimmte Befunde nicht angezeigt werden. Bei der weitaus sensibleren ePA gilt also nach der derzeitigen Rechtslage, dass der Versicherte sich dem auch entziehen kann, denn die Befüllung der Akte ist freiwillig. Noch.“ Beitrag von Stefan Sell vom 20. Januar 2021 auf seiner Homepage 
• Bundesdatenschützer: Offene Warnung zur elektronischen Patientenakte 
  „Ulrich Kelber hat eine offene Warnung an die gesetzlichen Krankenkassen verschickt, dass Version 1.1. der elektronischen Patientenakte nicht DSGVO-konform ist. Nach einer Stellungnahme zum Patientendaten-Schutzgesetz im September, in der der Bundesdatenschutzbeauftragte Bedenken zur elektronischen Patientenakte (ePA) geäußert hat, hat er nun ein Schreiben mit einer offenen Warnung zur geplanten Einführung der ePA verschickt. Diese soll ab dem 1. Januar 2021 den 44 Millionen gesetzlich Versicherten von ihren Krankenkassen zur Verfügung gestellt werden. In seiner Warnung weist der Bundesdatenschützer darauf hin, dass die Versicherten die volle Hoheit über ihre Daten haben müssen. Unter anderem sollen sie zum Start der ePA eigentlich Daten verbergen und an Terminals einsehen können. Das ist jedoch erst mit der ePA 2.0 möglich, die zum Januar 2022 kommen soll. (…) Wie die Medical Tribune berichtet, diskutieren die gesetzlichen Krankenkassen mit dem Bundesdatenschutzbeauftragten und dem Bundesamt für soziale Sicherung als Aufsichtsbehörde das Problem. Führen sie die ePA 1.1 nicht zum 1. Januar ein, drohen ihnen Sanktionen durch das Bundesgesundheitsministerium. Es kann Strafzahlungen verhängen, wenn die von der Projektgesellschaft Gematik spezifizierte ePA 1.1 nicht eingeführt wird. (…) Aus Sicht der Datenschützer ist das freilich ungenügend und ein klarer Verstoß gegen die Datenschutz-Grundverordnung DSGVO. Die offizielle Warnung ist eine Ankündigung dieser Position. Im nächsten Schritt ist eine Anweisung des Bundesbeauftragten für den Datenschutz an die Krankenkassen denkbar, die ePA 1.1 nicht einzuführen. Die Kassen hätten dann die Möglichkeit, gegen diese Anweisung vor Gericht zu ziehen. In Deutschland arbeiten derzeit fünf Firmen beziehungsweise Konsortien an elektronischen Patientenakten-Systemen, die die Kassenkassen wiederum ihren Versicherten kostenfrei zur Verfügung stellen müssen. Dies sind IBM, X-tention/ICW, Cisco/Team Spirit, Rise und Compugroup Medical. Neben dem Datenschutz-Problem hat die ePA 1.1. daher noch ein anderes Manko aufzuweisen: Wer die Krankenkasse wechselt und damit womöglich den technischen Anbieter der ePA, kann seine Akte nicht mitnehmen. Das wird erst mit der ePA 2.0 möglich sein.“ Beitrag von Detlef Borchers vom 12. November 2020 bei heise online 
• ePA – Beipackzettel als Ersatz für Datenschutz? 
  „… Warntext als Ersatz für Datenschutz? Das könnte für die erste Phase der ePA-Einführung tatsächlich der Fall sein. Zur Realisierung ausreichend hoher Sicherheitsstandards beim Authentifizierungsverfahren plant der Bundesdatenschutzbeauftragte, den Krankenkassen auch nach Einführung der elektronischen Patientenakte noch weitere vier Monate Zeit zu lassen (bis Mai 2021). Zur Umsetzung eines feingranularen Zugriffsmanagements kündigte er an, den Krankenkassen falls erforderlich per Anweisung ein weiteres Jahr Zeit zu geben (bis zum 31. Dezember 2021). Eine solche Anweisung würde sich zu einem großen Teil mit dem decken, was das Gesetz ohnehin jetzt schon vorsieht: Ab 01.01.2022 wird in der elektronischen Patientenakte ein feingranulares Zugriffsmanagement eingeführt. Allerdings fordert Kelber dies auch – und damit geht er über die gesetzlichen Vorgaben hinaus – für jene Versicherte, die nicht über ein Smartphone oder Tablet verfügen (sog. Frontend-Nichtnutzer). Erstaunlich bleibt, dass Kelber – wenn auch mit Warntext – nun doch ein DSGVO-widriges Zugriffsmanagement im ersten Jahr der EPA-Einführung zu akzeptieren bereit ist. Mehrere Male wurde auf der Pressekonferenz betont, dass die für die technische Umsetzung verantwortliche Gematik „klargestellt“ habe, dass ein feingranulares Zugriffsmanagement zu einem früheren Zeitpunkt nicht machbar sei. Auch Kelber, der im Beirat der Gematik sitzt, erklärte, ihm sei von der Gematik „tatsächlich bestätigt“ worden, dass dies vor 2022 nicht möglich sei. Tatsächlich ist das umstritten. Zwar hat die Gematik laut Bundesgesundheitsministerium bereits 2017 den Beschluss gefasst, dass zum Start der ePA am 01.01.2021 nur grobgranulare Zugriffsrechte eingeräumt werden können. Dem widersprechen aber IT-Experten wie der im Mai dieses Jahres zur Anhörung in den Gesundheitsausschuss geladene Sachverständige Dominique Schröder von der Friedrich-Alexander-Universität Erlangen. Schröder – wie Kelber Informatiker – hatte in seiner schriftlichen Stellungnahme darauf hingewiesen, dass die technische Umsetzung eines feingranularen Zugriffsmanagements heutzutage kein Problem mehr darstelle, seit Jahrzehnten in verschiedenen Betriebssystemen erfolge und Bestandteil von unterschiedlichen Datenbanken sei. Die geplante stufenweise Einführung der ePA sei zudem als nachträglich vorgenommene Änderung sehr fehleranfällig. [Dominique Schröder:] „Wir haben es hier mit medizinischen Daten zu tun […]. Diese Dinge sind nicht reparierbar, wenn sie einmal draußen sind. Das ist nicht wie bei einer Straße, wo man merkt, das funktioniert einfach nicht, wir bauen eine neue. Nein, wir geben Daten heraus und die sind dann ein für allemal verwertbar. Dementsprechend sehe ich diese schrittweise Einführung als sehr kritisch an.“…“ Artikel von Brigitta Engel vom 27. August 2020 bei Telepolis 
• Elektronische Patientenakte: Datenschützer:innen halten Patientendaten-Schutz-Gesetz für rechtswidrig 
  „Sollte das Patientendaten-Schutz-Gesetz Anfang 2021 in Kraft treten, müssen sich Krankenkassen entscheiden, ob sie gegen das neue Gesetz oder die Datenschutzgrundverordnung verstoßen. (…) Der Bundesdatenschutzbeauftragte Ulrich Kelber hält die kürzlich vom Bundestag beschlossenen Änderungen beim Patientendaten-Schutz-Gesetz (…) für nicht vereinbar mit der europäischen Datenschutz-Grundverordnung (DSGVO). Seine Behörde werde aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen, sollte das Gesetz in seiner jetzigen Form umgesetzt werden. Das gab Kelber am Mittwoch Vormittag in der Bundespressekonferenz gemeinsam mit den Landesdatenschutzbeauftragten aus Brandenburg, Niedersachsen und Baden-Württemberg bekannt. Die Datenschützer:innen wenden sich vor allem gegen die Einführung der elektronischen Patientenakte (ePA) in der aktuell geplanten Form. (…) Das Ministerium möchte den Datenschutz gewährleisten, indem es den Patient:innen überlassen bleibt, ob sie die elektronische Akte nutzen möchten. Außerdem sollen sie selbst entscheiden, welche Gesundheitsdaten sie speichern und welcher ihrer Ärzt:innen auf die elektronische Akte zugreifen darf. (…) Diese Maßnahmen reichen den Datenschützer:innen aber nicht aus. Patient:innen könnten nämlich erst ab Anfang 2022 entscheiden, welche Ärzt:innen welche Daten einsehen könnten. (…) Dem Gesetzgeber zufolge sei eine Implementierung dieser dokumentengenauen Steuerung durch die Patient:innen in die sogenannte Telematikinfrastruktur erst ein Jahr nach Einführung des Gesetzes möglich. „Dadurch sind Datenschutzverletzungen in der ersten Umsetzungsphase der elektronischen Patientenakte absehbar, weil gegen die elementaren Prinzipien der Erforderlichkeit und der Zweckbindung verstoßen wird“, warnt Barbara Thiel. Die niedersächsische Landesbeauftragte für den Datenschutz ist etwa für die AOK Niedersachsen mit mehr als 2,5 Millionen Versicherten verantwortlich und kündigte weitere Gespräche mit der Kasse an. (…) Stefan Brink, Landesdatenschutzbeauftragter aus Baden-Württemberg, weist darauf hin, dass der Eingriff der Datenschützer:innen in ein laufendes Gesetzgebungsverfahren außergewöhnlich sei. Der Bund werde aber in seiner Gesetzgebungskompetenz durch europäisches Recht, also die DSGVO, beschränkt. Er appelliert an den Gesetzgeber, die Kollision zwischen nationalem und europäischem Recht aufzulösen, bevor das Gesetz in Kraft trete…“ Beitrag von Jana Ballweber vom 19. August 2020 bei Netzpolitik.org 
• Kontroverse: Patientendaten in Gefahr? Bedrohung oder Sicherheit? Der Bundesdatenschutzbeauftragte Ulrich Kelber bewertet die neue Datentransparenzverordnung von Bundesgesundheitsminister Spahn
  „… Ulrich Kelber: „Der Wegfall der Beschränkung auf den Ausnahmefall und der erweiterte Datensatz ergeben sich dem Grunde nach aus gesetzlichen Vorschriften im SGB V, die durch das Digitale-Versorgung-Gesetz neu gefasst wurden. Auch hier waren wir eingebunden. Unsere Anregungen und Änderungswünsche wurden im Rahmen der Ressortabstimmung berücksichtigt. Das Forschungsdatenzentrum und die dort verwaltete Datenbank existieren schon seit 2012. Sie war bis zur Eingliederung des Forschungsdatenzentrums ins BfArM beim DIMDI angesiedelt. Die gesetzlichen Regelungen, die eine Nutzung der so genannten Routinedaten der gesetzlichen Versicherten vorsehen, existieren bereits seit 2003. Mit den neu gefassten Vorschriften werden die Nutzungsmöglichkeiten und die Aufgaben des Forschungsdatenzentrums – bisher Datenaufbereitungsstelle genannt – erweitert. Die Nutzung bereits erhobener Daten zu Forschungszwecken wird von der DSGVO als Verarbeitungszweck privilegiert. Auch aus Sicht des Datenschutzes ist kein gänzlicher Verzicht geboten. Wichtig sind flankierende Vorgaben wie technische und organisatorische Maßnahmen, die die Sicherheit der Daten und vor allem das Persönlichkeitsrecht der Betroffenen schützen. Hierzu zählen die Zulieferung der Daten über das so genannte Lieferpseudonym, die Verwendung eines anderen Pseudonyms in der Datenbank, die verschlüsselte Speicherung, die abschließende Benennung der Nutzungsberechtigten und der möglichen Zwecke, die sorgfältige Prüfung der Voraussetzungen und die konkrete Festlegung der für den angegebenen Zweck erforderlichen Daten im Zulassungsverfahren. Ein Fehlverhalten wird sanktioniert. Im SGB V finden sich entsprechende Strafvorschriften. Auch dies dient dem Schutz der personenbezogenen Daten. Wichtig ist auch, dass ein Zugang zu den pseudonymisierten Datensätzen bisher ausschließlich im Forschungsdatenzentrum möglich ist. Allerdings ist – dies ergibt sich aus der Gesetzesbegründung – zukünftig auch unter bestimmten technischen Absicherungen ein so genannter Remote-Zugriff möglich. Bei einer Übermittlung an Forscher oder andere Nutzungsberechtigte dürfen nur anonymisierte bzw. aggregierte Daten übermittelt werden. Deshalb sehe ich derzeit keinen Anlass zu weiterem Handeln. (…) Dem betroffenen Bürger steht unter bestimmten Voraussetzungen ein Widerspruchsrecht nach der DSGVO zu.“…“ Beitrag mit Interview von Brigitta Engel und Florian Rötzer vom 13. August 2020 bei Telepolis 
• Spahn öffnet Industrie Hintertür zu Versichertendaten / Schon wieder: Spahn erhöht Datenschutz-Risiko 
  • Spahn öffnet Industrie Hintertür zu Versichertendaten. Seit langem fordert die Industrie einen direkten Zugang zu Versichertendaten. Einen indirekten hat sie jetzt bekommen
    „Es half nichts. Der Deutsche Gewerkschaftsbund hatte verlangt, die Hintertür zu schließen. Jetzt steht sie sperrangelweit auf. Seit langem fordert die Industrie einen direkten Zugang zu den Versichertendaten von 73 Millionen gesetzlich versicherter Bürger. Ende Dezember 2019 dann hatte die CDU ein Positionspapier vorgelegt, das dieser Forderung Rechnung trug: Die „in Deutschland ansässigen forschenden Unternehmen der Gesundheitswirtschaft“ sollen, so forderten die CDU-Politiker, „in den Kreis der Antragsberechtigten“ für das mit dem Digitale-Versorgung-Gesetz geschaffene staatliche Forschungsdatenzentrum aufgenommen werden. Wenn auch diese Forderung sich bisher nicht durchsetzen konnte, so wurde doch mit einer aktuellen Verordnung des Gesundheitsministers jetzt der Weg dahin geebnet. Dabei enthielt bereits das im November verabschiedete Digitale-Versorgung-Gesetz ein Schlupfloch, auf das sich CDU/CSU und SPD geeinigt hatten: In Ausnahmefällen durften die Nutzungsberechtigten nach Genehmigung eines gesonderten Antrags die Daten auch an Dritte weitergeben. Die folgende Liste enthält allein die Nutzungsberechtigten des Forschungsdatenzentrums…“ Artikel von Brigitta Engel und Florian Rötzer vom 12. August 2020 bei telepolis – Der fleißige Herr Spahn: Mit Vollgas gegen den Datenschutz -Teil 7
  • Schon wieder: Spahn erhöht Datenschutz-Risiko
    „… Unbemerkt von der breiten Öffentlichkeit ordnet der Gesundheitsminister an, dass der Zugriff auf pseudonymisierte Einzeldatensätze „nicht mehr nur als Ausnahmefall in Betracht“ kommt, wie es in dem der Verordnung vorangegangenen Referentenentwurf heißt, der Telepolis vorliegt. Tatsächlich war Spahns Aussage, die Versichertendaten würden immer anonymisiert zur Verfügung gestellt, schon zum damaligen Zeitpunkt nicht richtig. Das Digitale-Versorgung-Gesetz erlaubte nämlich in Ausnahmefällen auch den Zugriff auf bloß pseudonymisierte, also personenbezogene Daten. Jetzt hat Spahn aber angeordnet, dass der Zugriff auf pseudonymisierte Einzeldatensätze neben dem weiterhin möglichen Zugriff auf anonymisierte Daten als normaler Regelfall möglich wird. Der Antragsteller muss eine Begründung anfügen, weshalb er pseudonymisierte Daten für erforderlich hält, dann darf er im Forschungsdatenzentrum darauf zugreifen. Warum sind Patientenschützer so alarmiert? Weil diese Änderung in Begleitung einer zweiten brisanten Änderung daher kommt: Denn Spahn hat nun gleichzeitig angeordnet, dass der Datenumfang erheblich erweitert wird. Insgesamt entsteht damit ein gigantischer Datenpool bestehend aus Daten von 73 Millionen gesetzlich versicherter Bürger: Geburtsjahr, Geschlecht, Postleitzahl des Wohnortes, die Anzahl der Versichertentage, an denen die versicherte Person ihren Wohnsitz oder gewöhnlichen Aufenthalt außerhalb des Gebietes der Bundesrepublik hatte, Behandlungsmethoden, in Anspruch genommene Krankengeld-Tage, Abrechnungsbegründungen, Angaben zu ärztlichen Zweitmeinungen und gestellten Diagnosen, Kosten-und Leistungsdaten zu Krankenhausbehandlung, ambulanter Versorgung, Arzneimittel, Heil- und Hilfsmittel, Hebammenleistungen . (…) Aber das ist noch nicht alles. Unsere Recherchen haben ergeben, dass Spahn mit seiner mittlerweile in Kraft getretenen Verordnung sämtliche Warnungen in den Wind geschlagen hat …“ TP-Recherche von Brigitta Engel und Florian Rötzer vom 11. August 2020 bei Telepolis 
• Oberster Datenschützer und 73 Mio. Bürger ausgetrickst / ePA-Datengesetz – Sie haben den Affen übersehen 
  • Oberster Datenschützer und 73 Mio. Bürger ausgetrickst […] Jetzt äußert sich der Bundesdatenschutzbeauftragte zu dem ungeheuerlichen Vorgang
    „… Mit dem am 03. Juli beschlossenen EPA-Datengesetz ist die kurz gewährte Freiwilligkeit auch schon wieder Geschichte. Das ist keine Kleinigkeit. Es geht hier um nichts weniger als um das Recht auf informationelle Selbstbestimmung. Gegenüber Telepolis äußert sich der Bundesdatenschutzbeauftragte besorgt: „Aus datenschutzrechtlicher Sicht sehe ich den Wegfall des Einwilligungserfordernisses kritisch. Bereits die pseudonymisierte Auswertung der Versichertendaten, die zumindest teilweise einer besonderen Kategorie i. S. des Artikel 9 Abs. 1 DSGVO – den Gesundheitsdaten – zuzuordnen sind, stellt einen empfindlichen Eingriff in das Recht auf informationelle Selbstbestimmung der Versicherten dar. Es besteht die Gefahr, dass eine derartige ‚Datenrasterung‘ einen weiteren Baustein zur zukünftigen Komplettierung des ‚gläsernen Versicherten‘ liefert. Dies liegt nicht im Interesse der Versicherten.“ (Ulrich Kelber, BfDI) (…) Man glaubt es kaum: Aber der Wortlaut des Änderungsantrags, den die Bundesregierung der obersten Bundesbehörde für Datenschutz in Form einer sog. Formulierungshilfe zur Stellungnahme vorgelegt hatte, stimmte nicht überein mit dem Wortlaut des im Gesundheitsausschuss tatsächlich zur Abstimmung vorgelegten Änderungsantrags (…) Aber auch das ist noch nicht alles. Eine weitere TP-Recherche hat nun Folgendes zutage gefördert: Die Streichung des Einwilligungserfordernisses geht zurück auf eine bereits im letzten Jahr an die Bundesregierung gerichtete und nun anlässlich des EPA-Gesetzes erneut erhobene Forderung seitens der Krankenkassen. Mehr noch: Die Ulrich Kelber von der Bundesregierung vorgelegte Fassung entspricht 1:1 dem Änderungsvorschlag der Kassen, nur die Datenauswertung für die ohnehin freiwillige Teilnahme an individuellen Versorgungsmaßnahmen soll zustimmungspflichtig sein. Die Datennutzung zur vorbereitenden Erstellung dieser individuellen Angebote aber soll auch gegen den Willen des Versicherten möglich sein. (…) Um die Öffentlichkeit aufzuklären, kündigt Kelber in jedem Fall schon mal eine Information seiner Behörde an, „wie wir mit allen relevanten Aspekten des PDSG [Patientendatenschutzgesetz, Anmerkung von uns] umgehen werden“. Die Bundesregierung muss sich jetzt zu diesem ungeheuerlichen Vorgang äußern. Denn dass ein solcher Umgang mit Grundrechten der Bürger zur „neuen Normalität“ wird – daran kann niemandem gelegen sein.“ TP-Exklusiv von Brigitta Engel und Florian Rötzer vom 5. August 2020 bei Telepolis 
  • ePA-Datengesetz – Sie haben den Affen übersehen
    „… Neues Gesetz legalisiert datenbasierte Gesundheitsprofilbildung auch gegen den Willen des Versicherten. Mit einem Verfahrenskniff gelingt Spahn unbemerkt ein weiterer Datenschutzabbau. Was sagt der Bundesdatenschutzbeauftragte dazu? „Man muss Gesetze kompliziert machen, dann fällt das nicht so auf.“ (…) Zu diesem Ergebnis kommt auch das (…) Gorilla-Experiment. Gut die Hälfte der Versuchspersonen, die sich während eines Basketballspiels darauf konzentrierten, nur die Pässe jenes Teams zu zählen, das weiße Shirts trug, übersah eine Person, die irgendwann im Gorillakostüm seelenruhig mitten durchs Spielfeld lief. Auf der Ebene von Gesetzgebungsverfahren wird der Affe bevorzugt kurz vor Schluss in den Entwurf gestellt: Auf der Grundlage von Änderungsanträgen der Regierungskoalition wird im federführenden Ausschuss zeitgleich mit einigen „Anpassungen“ auch eine Regelung in den Entwurf mit aufgenommen, die bislang gar nicht Gegenstand der öffentlichen Auseinandersetzung war und auf die sich deshalb so kurz vor der entscheidenden Bundestagssitzung wahrscheinlich auch keine mediale Aufmerksamkeit mehr richten wird. Im vorliegenden Fall ist es der § 68b Abs. 3 SGB V (neu). Er war schon im vergangenen November mit dem unter dem Schlagwort „App auf Rezept“ bekannten Digitale-Versorgung-Gesetz beschlossen worden (Wie man Datenschutzabbau als Versorgungsinnovation framet). Mit diesem Gesetz, das auch die Weitergabe von Gesundheitsdaten an die Forschung erzwang, hatten Krankenkassen das Recht erhalten, durch Kooperation mit Unternehmen und durch den Erwerb von Anteilen an Investmentfonds die Entwicklung sog. digitaler Innovationen (z.B. digitaler Medizinprodukte) zu fördern und dazu die – noch nicht einmal anonymisierten – Daten der Versicherten für eine marktorientierte Bedarfsanalyse auszuwerten. Mit §68b SGB V erhielten die Kassen schließlich die Befugnis, die bei ihnen gespeicherten Daten der Versicherten auch noch für ein individualisiertes „Angebot“ auszuwerten, allerdings nur sofern der Versicherte ausdrücklich einer solchen Datenauswertung zustimmt. Und jetzt die Überraschung: Das Einwilligungserfordernis ist weg. Still und leise gestrichen…“ TP-Recherche von Brigitta Engel und Florian Rötzer vom 3. August 2020 bei Telepolis (Mit Vollgas gegen den Datenschutz – Teil 5)
• Gesetz „zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur“ 
• siehe zum Hintergrund unser Dossier: [Das Digitale Versorgungsgesetz (DVG)] „Statt“ Gesundheitskarte: Smartphone-Kontrolle?