Die Beauftragte für den Datenschutz und die Informationsfreiheit

Gesetzliche Grundlagen

Die Krankenversichertenkarte nach § 291 Absatz 1 wird bis spätestens zum 1. Januar 2006 zur Verbesserung von Wirtschaftlichkeit, Qualität und Transparenz der Behandlung für die in den Absätzen 2 und 3 genannten Zwecke zu einer elektronischen Gesundheitskarte erweitert.

Dies ist die gesetzliche Grundlage in § 291a Absatz 1 Sozialgesetzbuch (SGB V), auf deren Basis die elektronische Gesundheitskarte eingeführt werden sollte. Dadurch wurden die vorgesehenen Anwendungen und gewisse technische und organisatorische Voraussetzungen des Verfahrens festgelegt. Die Regelungen unterscheiden zwischen Pflicht- und freiwilligen Anwendungen.

Zu den Pflichtanwendungen gehören:

• die Verarbeitung der administrativen Daten (insbesondere Name, Geburtsdatum, Geschlecht, Anschrift und Krankenversicherungsnummer)
• die Übermittlung des Rezeptes in elektronischer Form
• Berechtigung, im europäischen Ausland behandelt zu werden

Zu den freiwilligen Anwendungen zählen:

• Notfalldaten, Elektronischer Arztbrief
• Daten des Medikationsplans einschließlich Daten zur Prüfung der Arzneimitteltherapiesicherheit
• Elektronische Patientenakte
• vom Versicherten selbst zur Verfügung gestellte Gesundheitsdaten
• Erklärung zur Organ- und Gewebespende
• Hinweise zum Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende
• Patientenquittung

Bei der Ausgestaltung der Regelungen wurden die wesentlichen datenschutzrechtlichen Anforderungen berücksichtigt. So sollen die Datenhoheit der Versicherten und der Grundsatz der Freiwilligkeit der Speicherung von Gesundheitsdaten gewahrt bleiben. Die Versicherten können darüber entscheiden, welche ihrer Gesundheitsdaten aufgenommen und welche gelöscht werden sowie, ob und welche Daten sie einem Leistungserbringer zugänglich machen. Ferner haben sie das Recht, die über sie gespeicherten Daten zu lesen und die Löschung der freiwillig erhobenen Daten zu verlangen. Die Zugriffsberechtigung auf die Daten ist detailliert für die jeweiligen Personengruppen geregelt, die zur Versorgung der Versicherten die Daten benötigen. Dies sind in der Regel Ärzte, Zahnärzte und Apotheker. Diese Personengruppen dürfen nur in Verbindung mit einem elektronischen Heilberufsausweis (Health Professional Card), der über eine qualifizierte elektronische Signatur verfügen muss, auf die Daten zugreifen. Der Heilberufsausweis soll die Datensicherheit durch kryptographische Funktionen wie Verschlüsselung, Signatur und Authentisierung verbessern.

Eine missbräuchliche Nutzung der Gesundheitskarte ist mit einem strafbewehrten Verbot belegt (§ 307a SGB V). Darüber hinaus sieht die Strafprozessordnung auch ein Beschlagnahmeverbot für die Daten vor, die auf der Gesundheitskarte gespeichert sind.

Die Umsetzung der gesetzlichen Vorgaben bedarf bei einem solch komplexen Verfahren der genauen Planung. Dabei muss sichergestellt werden, dass die hohen gesetzlichen Anforderungen an den Schutz der Gesundheitsdaten technisch und organisatorisch umgesetzt werden.

Weitere technisch-organisatorische Sicherheitsanforderungen ergeben sich aus dem Bundesdatenschutzgesetz, wobei der sehr hohe Schutzbedarf medizinischer Daten zu berücksichtigen ist. So ist insbesondere darauf zu achten, dass die Vertraulichkeit, Verfügbarkeit und Nutzungsfestlegung der Daten, die Durchsetzbarkeit der Betroffenenrechte, die Festlegung einer verantwortlichen Stelle sowie Praktikabilität und Alltagstauglichkeit gewährleistet werden. Vor einer endgültigen Spezifikation der elektronischen Gesundheitskarte müssen die Funktionalitäten getestet und in Feldversuchen erprobt werden. Alle sinnvollen technischen Varianten sollen ergebnisoffen geprüft werden, um auch unter Datenschutzgesichtspunkten eine optimale Lösung zu finden. Dies gilt ebenso für die Frage, welche Daten auf der Gesundheitskarte selbst und welche auf einem Server gespeichert werden.

Durch das Gesetz zur Änderung krankenversicherungsrechtlicher und anderer Vorschriften vom 24. Juli 2010 (BGBl-Bundesgesetzblatt I, S.983 ff - folgende) wurde in § 291 Absatz 2b SGB V für den bis dahin nicht geregelten Versichertenstammdatendienst eine gesetzliche Grundlage geschaffen. Danach müssen die Leistungserbringer zwar einen online durchzuführenden Abgleich bei den Krankenkassen vornehmen, dies setzt aber nicht voraus, dass auch ihre Praxisverwaltungssysteme online genutzt werden müssen. Damit wird den Anforderungen nach Datensicherheit, Missbrauchsbekämpfung sowie der Forderung der Kostenträger nach einer Gültigkeitsprüfung und schnellen Aktualisierung der elektronischen Gesundheitskarte beim Leistungserbringer ebenso Rechnung getragen wie der Freiwilligkeit der Leistungserbringer zur direkten Anbindung ihrer Primärsysteme.

Der Anwendungsbereich der Gesundheitskarte wurde durch das Gesetz zur Regelung der Entscheidungslösung im Transplantationsgesetz vom 12. Juli 2012 (BGBl. I, S. 1504ff -folgende) dahingehend erweitert, dass zum einen die Erklärungen der Versicherten zur Organ- und Gewebespende und zum anderen die Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von solchen Erklärungen aufgenommen werden können sollen. Da die Aufnahme der Erklärung mit den derzeit ausgegebenen Karten technisch nicht möglich ist, dürfte dies frühestens in einigen Jahren in Betracht kommen. Durch das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz) vom 21. Dezember 2015 (BGBl. I, S. 2408 ff) wurden schließlich noch die Daten des Medikationsplans nach § 31a SGB V in den Kreis der freiwilligen Anwendungen aufgenommen.