ePA bald ohne doppelten (Einwilligungs) Boden?

Teil III : Digitalisierungsoffensive im Gesundheitswesen – Fokus Datenschutz

Bis Ende 2025 sollen 80 Prozent der gesetzlich Versicherten in Deutschland die elektronische Patientenakte („ePA“) nutzen, so das Ziel der Bundesregierung. Betrachtet man hingegen die Zahlen einer Recherche des MDR aus März 2024, wonach insgesamt weniger als zwei Prozent der Versicherten aktuell die ePA verwenden, erscheint das Ziel nicht nur ambitioniert, sondern nahezu unerreichbar. Die Pflicht der Krankenkassen, eine ePA bereitzustellen, besteht dagegen bereits seit 2021. Einige Versicherte werden Bedenken hinsichtlich der Sicherheit ihrer Daten haben. Immerhin handelt es sich bei Gesundheitsdaten nicht ohne Grund um besonders schutzbedürftige Daten. Die ePA sieht daher Mechanismen vor, anhand derer Patientinnen und Patienten selbst entscheiden können, in welchem Umfang sie ihre Daten mit wem teilen möchten – ganz im Sinne des informationellen Selbstbestimmungsrechts. Ab 2025 soll jedoch die einwilligungsbasierte Opt-in-Lösung durch eine widerspruchsbasierte Opt-out-Lösung ersetzt werden. Damit erhalten alle gesetzlich Versicherten eine ePA, sofern sie dieser nicht widersprechen.

Im deutschen Gesundheitssystem sind Widerspruchslösungen bewusst rar gesät. Bereits aus ethischer Sicht stellt die aktive Einwilligung häufig den wesentlichen Ausgangspunkt für individuelle medizinische Handlungen dar. So wird seit Jahren die Umstellung der Organspende auf eine Widerspruchslösung kontrovers diskutiert. Bis heute ist für die Organspende eine aktive Einwilligung erforderlich, die mit dem Start des Organspende-Registers im Frühjahr 2024 immerhin künftig auch digital erklärt werden kann. Für die ePA scheint die bloße Möglichkeit der digitalen Nutzung nicht auszureichen. Insbesondere die dringend erforderlichen Daten für die medizinische Forschung können aus einem altruistischen Ansatz des § 363 Abs. 1 SGB V, der häufig auch mit dem Begriff der „Datenspende“ zusammengefasst wird, offenbar nicht ausreichend gewonnen werden. So soll die Weiterverarbeitung von Daten aus der ePA zu Forschungszwecken künftig auch im Rahmen einer Opt-out-Lösung erfolgen.

Datenschutzrechtliche Bedenken bestehen dabei aus unterschiedlichen Perspektiven: So äußert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber in seinem 32. Tätigkeitsbericht datenschutzrechtliche Kritik an dem Paradigmenwechsel hin zur widerspruchsbasierten ePA. Auch hätten viele Betroffene bereits versucht, gegenüber seiner Behörde einen Widerspruch zur Nutzung der ePA zu erklären, die hierfür jedoch nicht zuständig sei. Die Unsicherheit der Bürgerinnen und Bürger ist dabei verständlich, weiterhin mangelt es an wesentlicher Aufklärung und Transparenz. In all der theoretischen Diskussion um die ePA-Nutzung stellt sich jedoch die Frage, ob der Nutzen der Patientinnen und Patienten auch angemessen berücksichtigt wird. Dazu muss die ePA auch im Alltag der Leistungserbringer ankommen, sodass der Digitalisierungsaufwand für die Betroffenen selbst sinkt und Praxisbesuche an Einheitlichkeit gewinnen. Leistungserbringer tragen ebenso die Verantwortung dafür, Betroffene angemessen in der Wahrung ihrer Datenschutzrechte zu unterstützen, sind sie doch oft noch vor den Krankenkassen erste Anlaufstelle für viele Patientinnen und Patienten. Transparente Informationen nach Art. 13, 14 DSGVO sollten neben den anwendbaren Rechtsgrundlagen (nach EuGH-Urteil (C‑667/21) bei Art.-9-Daten übrigens auch aus Art. 6 Abs. 1 DSGVO!) und den konkreten Zwecken der Verarbeitung (Forschung bedacht?) auch konkrete Informationen über weitere Empfänger enthalten sein. Besondere gesetzliche Anforderungen an die Informationen für Patientinnen und Patienten bspw. darüber, wie ihre Daten konkret geschützt werden, sind zudem erforderlich, um das notwendige Vertrauen in digitale Verarbeitungen sensibler Daten zu schaffen und Daten rechtmäßig nutzen zu können.