LfDI BaWü: Spahn-Entwurf zum Patientendaten-Schutzgesetz „grundlegend überarbeitungsbedürftig“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Stefan Brink, hält in einer aktuellen Pressemitteilung vom 27.02.2020 nicht damit hinter dem Berg, was er vom Entwurf zum „Patientendaten-Schutzgesetz“ aus dem Bundesgesundheitsministeriums hält. Recht wenig nämlich. Tatsächlich, so der wesentliche Vorwurf, verwirklichten die vorgesehenen Regelungen gerade das Gegenteil von Schutz für Patienten und deren Gesundheitsdaten. Zudem sei das eilig und wortreich verfasste Gesetz auch systhematisch und „handwerklich“ schlecht gemacht.

Aus der Mitteilung des LfDI Ba-Wü:

Am 30.01.2020 legte der Bundesgesundheitsminister Jens Spahn den Referentenentwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur vor: das sogenannte „Patientendaten-Schutzgesetz“ (PDSG). Der Gesetzentwurf war notwendig geworden, weil die ursprünglich im Entwurf des Bundesgesundheitsministeriums (BMG) zum Digitalen Versorgungsgesetz (DGV) vorgesehenen Neuregelungen zur Wiederbelebung des Projektes einer elektronischen Patientenakte (ePA) im Bundesjustizministerium (BMJ) wegen datenschutzrechtlicher Mängel auf Widerstand gestoßen waren. Spahn hatte deswegen beschlossen, die entsprechenden Regelungen aus dem DVG auszugliedern und – überarbeitet – in ein eigenes Datenschutzgesetz zu überführen. Dabei sollen nunmehr gleich weitere Maßnahmen zur Förderung der Digitalisierung im Gesundheitswesen auf den Weg gebracht werden.

Für eine Stellungnahme zu dem 141 Seiten langen Regelungsentwurf, der neben zahlreichen Änderungen allein 87(!) Paragrafen zum Datenschutz zusätzlich in das Fünfte Buch Sozialgesetzbuch aufnimmt, setzte das Bundesgesundheitsministerium (BMG) den Ländern eine kurze Frist bis zum 25. Februar 2020. Dankenswerter Weise holte die Landesregierung unsere Expertise für ihre Stellungnahme ein.

Dabei zeigte sich, dass die an den Tag gelegte Eile des Bundesgesundheitsministeriums dem Patientendatenschutz nicht förderlich ist. Der nunmehr vorgelegte Entwurf wird der Bezeichnung als „Patientendaten-Schutzgesetz“ nicht gerecht und bleibt grundlegend überarbeitungsbedürftig:

  • Insbesondere wird die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung von Daten in der Telematikinfrastruktur in unklarer Weise geregelt und zum Nachteil des Patienten derart aufgesplittert, dass ihm die effektive Durchsetzung seiner Betroffenenrechte vielfach unmöglich gemacht wird. Die betroffenenfreundliche Lösung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 12. September 2019, die datenschutzrechtliche Verantwortlichkeit innerhalb der Telematik-Infrastruktur in Überschneidungsbereichen als gemeinsame Verantwortung mehrerer Beteiligter auszugestalten, wird noch nicht einmal in den Gründen des Entwurfs in Erwägung gezogen. Darüber hinaus soll die für den Aufbau der Telematikinfrastruktur verantwortliche Gesellschaft für Telematik – abweichend von der Einschätzung der DSK – von jeder datenschutzrechtlichen Verantwortung freigestellt sein.
  • Die Betroffenenrechte aus Artikel 12 bis 22 der Datenschutz-Grundverordnung werden überdies den Bestimmungen der Datenschutz-Grundverordnung zuwider beschränkt.
  • Krankenkassen sollen fortan berechtigt sein, „zusätzliche“ Daten Ihrer Versicherten zu verarbeiten. Das bedeutet nichts anderes als einen Freifahrtschein für Krankenkassen, die begehrten Gesundheitsdaten ihrer Kunden z.B. aus Fitnesstrackern oder Wearables zu verarbeiten. Damit wird ein für Versicherte gefährlicher Weg beschritten.
  • Entgegen den europäischen Vorgaben werden Versicherte aufgefordert, auf sie bezogene Daten als „Datenspende für die Forschung“ „freizugeben“, ohne dass die Voraussetzungen einer freiwilligen und informierten Einwilligung sichergestellt werden. Auch können die Versicherten ihre einmal freigegebenen Daten nicht – wie von der Datenschutz-Grundverordnung vorgesehen – durch Widerruf ihrer Einwilligung wieder aus dem großen Topf des sog. Forschungsdatenzentrums zurückholen. Obwohl die Datenspende ausdrücklich „zu Forschungszwecken“ erfolgen soll, ermöglicht der Regelungsentwurf die Nutzung dieser Daten auch zu forschungsfremden Zwecken wie der Wahrnehmung von „Steuerungsaufgaben“ oder der Unterstützung politischer Entscheidungsprozesse im Bereich der gesetzlichen Krankenversicherung.
  • Daneben weist der Gesetzentwurf noch viele handwerkliche Fehler auf, etwa indem unbestimmte oder unpassende Begriffe verwendet oder neue Regelungen unsystematisch anordnet werden.

Weiterführende Links:

Referentenentwurf des Bundesministeriums für Gesundheit: Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur

Bundesgesundheitsministerium: Neuregelungen im Bereich der Gesundheit und Pflege

DSK: Beschluss zur datenschutzrechtlichen Verantwortlichkeit innerhalb der Telematik-Infrastruktur (TI)

AOK Bundesverband: Gesetzgebungskalender Gesundheitspolitik

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg können hier abgerufen werden.