Stellungnahme des Bundesrates
Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur
(Patientendaten-Schutz-Gesetz - PDSG)

Der Bundesrat hat in seiner 989. Sitzung am 15. Mai 2020 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen:

1. Zu Artikel 1 Nummer 4 (§ 31 Absatz 1 Satz 6, Satz 7, Satz 8 - neu - und Satz 9 - neu - SGB V)

Artikel 1 Nummer 4 ist wie folgt zu fassen:

"4. Dem § 31 Absatz 1 werden folgende Sätze angefügt:

"Vertragsärzte, weitere Leistungserbringer und Krankenkassen dürfen, soweit gesetzlich nicht etwas anderes bestimmt oder aus medizinischen Gründen im Einzelfall erforderlich ist, weder die Versicherten dahingehend beeinflussen, Verordnungen bei einer bestimmten Apotheke oder einem sonstigen Leistungserbringer einzulösen, noch unmittelbar oder mittelbar Verordnungen bestimmten Apotheken oder sonstigen Leistungserbringern zuweisen. Eine direkte Übermittlung von Verordnungen in Ausnahmesituationen darf nur dann erfolgen, wenn der Versicherte oder dessen Vertreter dem Verfahren zuvor schriftlich zugestimmt hat und sich dieses transparent verfolgen lässt. Die Ausnahmetatbestände werden in der Richtlinie des Gemeinsamen Bundesausschusses nach § 92 Absatz 1 Satz 2 Nummer 6 festgelegt. Die Sätze 5 bis 8 gelten auch bei der Einlösung von elektronischen Verordnungen." "

Begründung:

§ 31 Absatz 1 SGB V ist zu ändern, da der Gesetzentwurf dem Versorgungsalltag in Bezug auf (elektronische) Verordnungen nicht gerecht wird. Es fehlt die Definition gesetzlicher, an der Versorgungsrealität orientierter Ausnahmesituationen, in denen gestattet ist, ein Rezept direkt an eine Apotheke zu übermitteln. Aktuell ist ein solch definierter Fall zum Beispiel die Zytostatikaversorgung ( § 11 Absatz 2 ApoG). Gerade die flächendeckende Einführung der Telemedizin und der vermehrte Rückgriff auf telefonische Behandlungen und Konsultationen werden jedoch weitere Situationen schaffen, in denen eVerordnungen direkt an Apotheken versandt werden sollten, zum Beispiel weil Versicherte nicht in der Lage sind, eVerordnungen zu empfangen, jedoch auch nicht in die Arztpraxis oder Apotheke kommen können. Für solche Situationen bedarf es zukünftig gesetzlich definierter Ausnahmetatbestände und der engmaschigen Kontrolle des Zuweisungsverhaltens. Nur so kann das aktuell stattfindende Makeln von Rezepten unter anderem per Fax zukünftig vermieden bzw. zumindest transparent abgebildet werden.

Um die Ausnahmesituation bei der direkten Übermittlung von eVerordnungen zu dokumentieren, ist sicherzustellen, dass die vorherige Zustimmung zum Verfahren durch die Versicherten oder dessen Vertreter vorliegt. Versicherte oder die jeweiligen gesetzlichen Vertreter könnten den Verordnenden eine schriftliche Einwilligung erteilen, in Ausnahmesituationen Rezepte zu übermitteln, die dort hinterlegt wird, oder sie können eine Stammapotheke benennen, an welche sämtliche Rezepte übermittelt werden.

Das Zuweisungsverhalten bei elektronischen Rezepten muss statistisch auswertbar sein. Bei Auffälligkeiten könnte dieses überprüft werden. Ein Widerruf der schriftlichen Einwilligung wäre jederzeit möglich.

Ziel muss es sein, an einem grundsätzlichen Makelverbot festzuhalten, gleichzeitig jedoch Ausnahmesituationen zu definieren, um den Versorgungsalltag vollumfänglich abdecken zu können. Die Ausnahmesituationen sollten dabei in einer Richtlinie des Gemeinsamen Bundesausschusses nach § 92 Absatz 1 Satz 2 Nummer 6 SGB V festgelegt werden. Eine reine Übertragung des Papierrezeptes in ein elektronisches Rezept ist zu kurz gedacht und bedarf einer Umstrukturierung des Prozesses. Dies würde dem Digitalisierungsgedanken nicht gerecht werden. Weiterhin führt die Ausnahmeregelung zur vollständigen Transparenz, da zu jedem Zeitpunkt nachvollziehbar ist, wer wann welches Rezept verordnet hat und wo es eingelöst wurde.

Bereits im aktuellen Versorgungsalltag finden direkte Übermittlungen von Verordnungen statt, der Umstieg auf die eVerordnung muss gewährleisten, dass dieses Verfahren vollkommen transparent und nachvollziehbar wird.

Beispielszenario: Der Versicherte hat keine Applikation (zum Beispiel weil kein Smartphone vorhanden ist oder die Medienkompetenz zur Nutzung fehlt) und benötigt dringend, aus medizinischen Gründen, eine Verordnung. Da der Versicherte keine Möglichkeit hat, einen Arzt vor Ort aufzusuchen, wird im Rahmen einer Fernbehandlung eine elektronische Verordnung ausgestellt. Der Patient ist in diesem Fall jedoch nicht in der Lage, eine Verordnung zu empfangen (weder per Smartphone noch persönlich). Eine vom Patienten im Vorfeld hinterlegte spezifische Rechteverwaltung ermöglicht es dem Arzt, die elektronische Verordnung direkt und rechtskonform an die gewünschte Apotheke zu übermitteln, welche die Medikamente dann ausliefern könnte.

2. Zu Artikel 1 Nummer 29 Buchstabe a (§ 303 Absatz 3 Satz 1 SGB V), Buchstabe b - neu - (§ 303 Absatz 4 Satz 1 SGB V) und Nummer 30 Buchstabe c (§ 305 Absatz 1 Satz 6 und 7 SGB V)

Artikel 1 ist wie folgt zu ändern:

Begründung:

Die Regelung des § 303 Absatz 4 Satz 1 SGB V sieht bislang vor, dass sofern Datenübermittlungen zu Diagnosen nach den § 295 und § 295a SGB V fehlerhaft oder unvollständig sind, eine erneute Übermittlung in korrigierter oder ergänzter Form ausschließlich bei technischen oder formalen Übermittlungsfehlern zulässig ist. Die Praxis zeigt, dass in den meisten Fällen die unrichtige Diagnose jedoch nicht durch einen technischen oder formalen Übermittlungsfehler zustande kommt. Aus diesem Grund lehnen bislang sowohl die Kassenärztlichen Vereinigungen als auch die Krankenkassen die Berichtigungsanträge von Versicherten ab.

Die Vorschrift des § 305 Absatz 1 Satz 6 SGB V sieht vor, dass die Krankenkassen auf Antrag der Versicherten abweichend von § 303 Absatz 4 SGB V Diagnosedaten, die ihnen nach den §§ 295 und 295a SGB V übermittelt wurden und deren Unrichtigkeit durch einen ärztlichen Nachweis belegt wird, in berichtigter Form bei der Unterrichtung nach Satz 1 und der Übermittlung nach den Sätzen 2 und 3 zu verwenden haben. Auf Grundlage der neu vorgesehenen Vorschrift des § 305 Absatz 1 Satz 6 SGB V könnten die Versicherten nur gegenüber ihrer Krankenkasse einen Anspruch auf Berichtigung ihrer Diagnose geltend machen, nicht jedoch gegenüber der Kassenärztlichen Vereinigung.

Begründet wird diese Regelung damit, als dass die Berichtigung getrennt von der Verarbeitung der Abrechnungsdaten in der Gesetzlichen Krankenversicherung für den Zweck der Abrechnung ärztlicher Leistungen und der Durchführung des Risikostrukturausgleichs erfolge. Dies sei sachgerecht, da die Unrichtigkeit von der Abrechnungsbegründung dienenden Diagnosen nach anderen Gesichtspunkten zu beurteilen sei als die Unrichtigkeit von Diagnosen, die auch für die Weiterbehandlung genutzt werden könnten, da ein anderer Verarbeitungskontext vorliege.

Dieses Vorgehen erscheint nicht sachgerecht. Das Recht der Versicherten auf Berichtigung nachweislich unrichtiger Diagnosedaten ist nicht bei der Vorschrift des § 305 SGB V, die ausschließlich Krankenkassen adressiert, anzuknüpfen, sondern in § 303 SGB V.

Nimmt die Kassenärztliche Vereinigung diese Berichtigung vor, so hätte dies zur Folge, dass die Kassenärztliche Vereinigung berichtigte Daten an die Krankenkasse übersenden würde. Verlangen Versicherte anschließend Auskunft, zum Beispiel in Gestalt einer Patientenquittung nach § 305 SGB V, so würde diese Leistungsübersicht die berichtigten Daten beinhalten. Erfolgt die Berichtigung der Daten rechtzeitig, bevor die Datensätze im Rahmen des Risikostrukturausgleichs an das Forschungsdatenzentrum übermittelt werden, so würde zudem sichergestellt, dass der Gesundheitsdatenforschung nur richtige Diagnosedaten geliefert werden. Eine Einschränkung für den Berichtigungsanspruch ergäbe sich lediglich in zeitlicher Hinsicht. Eine Berichtigung der Abrechnungsdaten könnten Versicherte nur so lange von der Kassenärztlichen Vereinigung verlangen, wie diese die Abrechnungsdaten bei sich aufbewahren darf.

3. Zu Artikel 1 Nummer 31 (§ 307 Absatz 3 bis 5 SGB V)

Der Bundesrat bittet im weiteren Gesetzgebungsverfahren zu prüfen, ob die Vorgaben und die Umsetzung der gemeinsamen datenschutzrechtlichen Verantwortung gebührend zum Ausdruck kommen.

Begründung:

Gemäß § 307 Absatz 2 Satz 1 SGB V "liegt der Betrieb der durch die Gesellschaft für Telematik spezifizierten und zugelassenen Zugangsdienste nach § 306 Absatz 2 Nummer 2 Buchstabe a SGB V in der Verantwortung des jeweiligen Anbieters des Zugangsdienstes." Nach § 307 Absatz 3 Satz 1 und 2 SGB V "erteilt die Gesellschaft für Telematik einen Auftrag zum alleinverantwortlichen Betrieb des gesicherten Netzes nach § 306 Absatz 2 Nummer 2 Buchstabe b, einschließlich der für den Betrieb notwendigen Dienste." Der Anbieter des gesicherten Netzes ist innerhalb des gesicherten Netzes verantwortlich für die Übertragung von personenbezogenen Daten, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte. Schließlich bestimmt § 307 Absatz 4 SGB V:

"Der Betrieb der Dienste der Anwendungsinfrastruktur nach § 306 Absatz 2 Nummer 3 erfolgt durch den jeweiligen Anbieter. Die Anbieter sind für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten der Versicherten, zum Zweck der Nutzung des jeweiligen Dienstes der Anwendungsinfrastruktur verantwortlich."

Gemäß § 307 Absatz 5 Satz 1 SGB V "ist die Gesellschaft für Telematik Verantwortlicher für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Absatz 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist." Laut Gesetzesbegründung bestehe die Aufgabe der Gesellschaft für Telematik innerhalb des gesetzlich festgelegten Rahmens überwiegend darin, konzeptionelle und regulatorische Vorgaben und Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr festzulegen, die der Sicherung der Datenverarbeitungsvorgänge in der Telematikinfrastruktur unter Verwendung der gesetzlich geregelten Mittel dienen. Dabei könne sie im Einzelfall auch Mittel für die Datenverarbeitung bestimmen. Mit dieser Regelung werde sichergestellt, dass es eine lückenlose Zuweisung der Verantwortlichkeiten in der Telematikinfrastruktur gibt. Aus dem Gesetzentwurf geht nicht klar hervor, für welche Einzelfälle in diesem Kontext noch eine datenschutzrechtliche Verantwortung der Gesellschaft für Telematik bestehen soll. Es wird offenbar davon ausgegangen, dass die Festlegung "konzeptioneller und regulatorischer Vorgaben" (insbesondere die Festlegung von Vorgaben zur Nutzung der Telematikinfrastruktur, die Festlegung von Verfahren zur Verwaltung von Zugriffsberechtigungen und der Steuerung der Zugriffe, die Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung - vgl. § 311 Absatz 1 SGB V) nicht zur Annahme einer datenschutzrechtlichen Verantwortung führt.

Zu beachten ist, dass es nach der Rechtsprechung des EuGH (EuGH, Urteil vom 10. Juli 2018, C-25/17) zur Annahme einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit ausreicht, wenn eine Stelle ihre Mitglieder zur Durchführung eines religiösen Verkündungsdienstes "ermuntert" und diese Mitglieder dann die entsprechende Verkündung organisieren und koordinieren und sie dabei personenbezogene Daten erheben. Es wird für eine datenschutzrechtliche Verantwortung auch nicht vorausgesetzt, dass die jeweilige Stelle Zugriff auf die personenbezogenen Daten hat. Die Gesellschaft für Telematik "ermuntert" im Vergleich dazu darüber hinaus nicht lediglich diverse Anbieter, ein sicheres Netz zu betreiben, eine Anwenderinfrastruktur bereitzustellen oder Zugangsdienste sicherzustellen. Sie erteilt hierzu konkrete Vorgaben. Sie übernimmt zudem zusätzlich eine organisierende und koordinierende Funktion. Daher besteht in diesem Fall in Bezug auf die Gesellschaft für Telematik erst recht eine datenschutzrechtliche Verantwortung - darüber hinaus in Form der gemeinsamen Verantwortlichkeit mit den in § 307 SGB V genannten Anbietern.

Die Gesellschaft für Telematik soll nach Maßgabe von § 307 Absatz 5 Satz 2 und 3 SGB V lediglich als Vermittlungsstelle auftreten, allgemeine Informationen bereitstellen und im Übrigen auf die Verantwortlichkeiten der beteiligten Anbieter der Zugangsdienste, des Netzbetreibers und des Diensteanbieters für die Anwendungsinfrastruktur verweisen. In der Gesetzesbegründung zu § 307 SGB V wird noch wie folgt ausgeführt:

"Damit wird zum einen klargestellt, dass die Gesellschaft für Telematik nicht selbst als Anbieter des gesicherten Netzes tätig wird. Zum anderen wird geklärt, dass insoweit keine Auftragsdatenverarbeitung vorliegt. Denn die Gesellschaft für Telematik entscheidet hierbei weder über konkrete Zwecke der Verarbeitung von Gesundheitsdaten noch über die im konkreten Verarbeitungsvorgang eingesetzten Mittel. Vielmehr ist sie entsprechend ihrer gesetzlichen Aufgaben nach § 311 für die verbindlichen Rahmenbedingungen der Telematikinfrastruktur zuständig." Ferner verweist die Gesetzesbegründung zu § 306 SGB V auf Folgendes:

"Erforderliche technische und organisatorische Maßnahmen für die Telematikinfrastruktur legt die Gesellschaft für Telematik im Rahmen ihrer gesetzlichen Aufgabenwahrnehmung fest."

Die Gesellschaft für Telematik mit ihren in §§ 306 Absatz 1 und 310 SGB V genannten Gesellschaftern hat für ihren Aufgabenbereich offenbar keine eigene datenschutzrechtliche Verantwortlichkeit, sondern soll lediglich als verantwortungsfreier Vermittlungsdienst auftreten.

Gemäß Artikel 4 Nummer 7, zweiter Halbsatz der Datenschutz-Grundverordnung (DSGVO) können der Verantwortliche und die Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Allerdings dürften solche Regelungen nur im Einklang mit der DSGVO stehen, "wenn die Festlegungen die jeweiligen tatsächlichen Funktionen und Beziehungen der verarbeitenden Stellen gebührend widerspiegeln und die betroffenen Personen nicht der Möglichkeit beraubt werden, ihre Rechte gegenüber denjenigen Stellen geltend zu machen, die den faktisch größten Einfluss auf die Datenverarbeitung haben (Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, 1. Aufl. 2019, Artikel 4 Nummer 7, Rn. 26). Die Gesellschaft für Telematik bestimmt im Rahmen ihrer Aufgabenzuweisung sehr wohl mit über die Zwecke und Mittel der Datenverarbeitung. Durch diese wird nicht nur die Telematikinfrastruktur errichtet, sondern die Gesellschaft bestimmt auch die Maßnahmen zur Umsetzung der technischen und organisatorischen Anforderungen nach Artikel 32 DSGVO. Durch die Zuweisung von technischen Hilfsdiensten, wie das Betreiben eines Netzes, die technische Umsetzung von Zugangsdiensten und Diensten der Anwendungsinfrastruktur an andere Stellen kann diese datenschutzrechtliche Verantwortlichkeit der Gesellschaft für Telematik nicht pauschal verneint werden. Soweit die Gesellschaft für Telematik die Zwecke und Mittel der Datenverarbeitung bestimmt, kann von diesem Faktum nicht durch eine gesetzliche Festlegung abgewichen werden bzw. darf durch eine nationale Gesetzgebung nicht eine Stelle als allein verantwortlich bezeichnet werden, die faktisch nicht vollumfänglich die Zwecke und Mittel der Datenverarbeitung bestimmt.

Es mag sein, dass die Diensteanbieter bestimmte technische Anforderungen erfüllen können. Die alleinige Setzung eigener Zwecke ist aber nicht erkennbar. Die technische Infrastrukturverantwortung ist gerade der Gesellschaft für Telematik zugewiesen. Diese würde sich jeglicher Haftung (Artikel 82 DSGVO) zum Nachteil betroffener Personen entziehen, wenn diese schlicht festlegt, dass bestimmte Dienste durch "eigenverantwortliche Diensteanbieter" erbracht werden. Die Tätigkeit der Gesellschaft für Telematik ist nicht lediglich auf einen bloßen Vermittlungsdienst beschränkt ("Koordinierungsstelle").

Vorliegend kommt entgegen der Darstellung in dem Gesetzentwurf einerseits eine Auftragsverarbeitung der technischen Dienstleister für die Gesellschaft für Telematik in Betracht. Verwiesen sei dabei auf das Papier der Artikel 29-Datenschutzgruppe, Stellungnahme zu den Begriffen "Verantwortlicher" und "Auftragsverarbeiter", WP 169, Seite 13, Beispiel 1, wonach der Anbieter von Telekommunikationsdiensten allenfalls im Hinblick auf die Verarbeitung von Verkehrs- und Rechnungsdaten als Verantwortlicher eingestuft werden kann. Ferner wird im gleichen Papier WP 169, Seite 29 auf Beispiel 15 verwiesen, wonach für die Einrichtung einer Plattform für die Verwaltung von Gesundheitsdaten auch eine gemeinsame Verantwortlichkeit der Beteiligten in Betracht kommt. Dies führt auch zu der Erkenntnis, dass für die Verarbeitung von Gesundheitsdaten durch die Gesellschaft für Telematik und die Unternehmen, welche technische Hilfsdienste umsetzen, wie das Betreiben eines Netzes, die technische Bereitstellung von Zugangsdiensten und der Anwendungsinfrastruktur eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO vorliegen wird.

Nach Artikel 26 Absatz 2 DSGVO müssen die jeweiligen tatsächlichen Funktionen und Beziehungen der Verantwortlichen gegenüber den betroffenen Personen gebührend berücksichtigt werden. Hierzu genügt gerade nicht die bloße Erteilung allgemeiner Informationen (vgl. § 307 Absatz 5 SGB V) durch die Gesellschaft für Telematik und der Verweis auf andere beteiligte Stellen und "Zuständigkeiten". Vielmehr muss nach Artikel 26 Absatz 1 DSGVO konkret festgelegt werden, welcher der gemeinsam Verantwortlichen welche konkreten Aufgaben übernimmt. Dies umfasst neben der Festlegung der technischorganisatorischen Vorgaben (Artikel 32 DSGVO), insbesondere die Wahrnehmung und Umsetzung der Rechte betroffener Personen nach Artikel 12 ff. DSGVO. Da dieser Punkt bisher kaum zum Ausdruck kommt, bleibt offen, wie der mit dem Gesetzentwurf intendierte Zweck des Patientendatenschutzes erreicht werden kann. In dem Gesetzentwurf müssen die Vorgaben und die Umsetzung der gemeinsamen Verantwortung gebührend zum Ausdruck kommen.

4. Zu Artikel 1 Nummer 31 (§ 307 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren insbesondere zu prüfen, ob in § 307 SGB V für das Außenverhältnis ein Gesamtverantwortlicher bestimmt oder eine der Gesamtschuld ähnliche gemeinsame Verantwortung aller an der Datenverarbeitung Beteiligten geregelt werden könnte, um den betroffenen Versicherten eine effektive Wahrnehmung ihrer Rechte aus der Datenschutzgrundverordnung zu ermöglichen.

Begründung:

Entgegen der Zielsetzung des Gesetzentwurfs führt die Regelung in § 307 SGB V nicht dazu, dass der betroffene Versicherte zweifelsfrei erkennen kann, wer beispielsweise im Falle eines Datenlecks oder einer unbefugten Datenlöschung verantwortlich ist. Denn es ist für ihn nicht feststellbar, bei welcher Komponente der Telematikinfrastruktur der Fehler verursacht wurde und wer die organisatorische Verantwortung für diese Komponente innehatte. Dieses Problem wird auch nicht durch die Koordinierungsfunktion der Gesellschaft für Telematik oder die Ombudsstelle der Krankenkassen gelöst.

Damit der Betroffene seine Rechte aus der Datenschutzgrundverordnung effektiv wahrnehmen kann, ist es notwendig, im Außenverhältnis einen Gesamtverantwortlichen zu bestimmen oder ähnlich dem Prinzip der Gesamtschuld eine Inanspruchnahme aller an der Datenverarbeitung Beteiligten zu ermöglichen.

5. Zu Artikel 1 Nummer 31 (§ 307 Absatz 5 Satz 2 und 3 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren die vorgesehenen Regelungen zur Einrichtung einer koordinierenden Stelle bei der Gesellschaft für Telematik, zur Bereitstellung eines einheitlichen Ansprechpartners für die Nutzer der Telematikinfrastruktur und zur effizienten Ausübung der Datenschutzrechte der Betroffenen zu konkretisieren im Hinblick auf ihre Aufgabenstellung, der Verbindlichkeit von ihr erteilter Auskünfte sowie der datenschutzrechtlichen Verantwortlichkeit der Gesellschaft für Telematik.

Begründung:

Im Interesse einer effektiven Ausübung der Datenschutzrechte der Betroffenen sollte die koordinierende Stelle neben der Erteilung allgemeiner Auskünfte zumindest von diesen auch beauftragt werden können, konkrete datenschutzrechtliche Anliegen mit den jeweils innerhalb der Telematikinfrastruktur verantwortlichen Stellen zu klären und den Betroffenen innerhalb eines festzulegenden Zeitrahmens zu antworten. Schließlich sollte gesetzlich klargestellt werden, dass die Auskünfte durch die koordinierende Stelle, soweit sie datenschutzrechtlich relevant sind, unter dem Vorbehalt der Abstimmung mit der zuständigen Datenschutzaufsicht stehen und die Nutzerinnen und Nutzer darauf hingewiesen werden müssen.

6. Zu Artikel 1 Nummer 31 (§ 308 SGB V)

In Artikel 1 Nummer 31 ist § 308 zu streichen.

Begründung:

§ 308 SGB V regelt den Vorrang von technischen Schutzmaßnahmen und den Ausschluss der Betroffenenrechte gegenüber den Verantwortlichen.

Es bleibt aber unklar, welche Ausnahme nach Artikel 23 Absatz 1 DSGVO hier einschlägig sein soll. Für die bloße Existenz von Verschlüsselung und Pseudonymisierung für Gesundheitsdaten kann aus dem in Artikel 23 Absatz 1 DSGVO ersichtlichen Katalog nicht abgeleitet werden, woraus die Gesetzgebungskompetenz für die entsprechende Einschränkung entnommen wird. Bereits die Einschränkung des Auskunftsrechts in § 34 Absatz 1 Nummer 2 des Bundesdatenschutzgesetzes (BDSG) wird hinsichtlich seiner Ausnahmetatbestände (etwa Einschränkung des Auskunftsrechts bei Speicherung der Daten aufgrund gesetzlicher Aufbewahrungsvorschriften oder Speicherung zum Zweck der Datensicherheit) als unionsrechtswidrig angesehen (vgl. Golla, in: Kühling/Buchner, DSGVO, BDSG, 2. Aufl. 2018, § 34 Rn. 9 und 11). Mangels Gesetzgebungskompetenz darf § 308 SGB V nicht in dieser Form umgesetzt werden.

Laut der Gesetzesbegründung entspricht die Regelung dem Rechtsgedanken des Artikels 11 DSGVO, der in Teilen ähnlich formuliert ist. Jedoch besteht auch hier keine Gesetzgebungskompetenz für eine Konkretisierung; Artikel 11 DSGVO gilt unmittelbar. Auch schließt Artikel 11 DSGVO nicht die Anwendung von Artikel 12 bis 22, sondern explizit nur Artikel 12 bis 20 aus. Es spricht einiges dafür, dass es sich nicht um ein Redaktionsversehen des europäischen Gesetzgebers handelt, weil sich die Anforderungen von Artikel 21 und 22 auch ohne einen individuellen Antrag mit identifizierenden Daten einer Person erfüllen lassen (Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, 1. Aufl. 2019, Artikel 11, Rn. 34).

7. Zu Artikel 1 Nummer 31 (§ 311 Absatz 1 Nummer 1 Buchstabe e SGB V)

In Artikel 1 Nummer 31 ist in § 311 Absatz 1 Nummer 1 Buchstabe e nach den Wörtern "Festlegung von" das Wort "sicheren" einzufügen.

Begründung:

Angesichts in der Vergangenheit aufgedeckter Sicherheitslücken bei der Authentifizierung in der Telematikinfrastruktur sollte gesetzlich eine Festlegung sicherer Verfahren zu den von der Gesellschaft für Telematik zu erfüllenden Aufgaben verbindlich bestimmt werden. Dies dient auch der allgemeinen gesellschaftlichen Akzeptanz der angesprochenen Verfahren.

8. Zu Artikel 1 Nummer 31 (§ 311 Absatz 1 Nummer 9 SGB V)

In Artikel 1 Nummer 31 ist in § 311 Absatz 1 Nummer 9 das Wort "Benehmen" durch das Wort "Einvernehmen" zu ersetzen.

Begründung:

Durch die Regelung des § 311 Absatz 1 Nummer 9 SGB V wird der Aufgabenkatalog der Gesellschaft für Telematik um die Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß §§ 291 und 340 SGB V, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind, erweitert.

Dies führt zu einem Eingriff in den Aufgabenbereich der ausgebenden Stellen wie beispielsweise den Krankenkassen, die nach § 291 SGB V für die Ausstellung der elektronischen Gesundheitskarte zuständig sind. Die Aufgaben der Verantwortung zur sicheren Regelung der Ausgabeprozesse sind in eigener Koordination und Organisation zu belassen.

Durch die Überwachung der Spezifikationen, dem Instrument der Sicherheitsbegutachtung und Auditrechten von Komponenten und Fachanwendungen der Telematikinfrastruktur hat die Gesellschaft für Telematik bereits weitgehende Beteiligungsrechte.

Um die Stellung der ausgebenden Stellen zu stärken, sind die der Gesellschaft für Telematik neu zugewiesenen Aufgaben des § 311 Absatz 1 Nummer 9 SGB V zumindest im Einvernehmen mit diesen zu erbringen.

9. Zu Artikel 1 Nummer 31 (§ 311 Absatz 1 Nummer 10 SGB V und § 325 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren eine Regelung vorzusehen, nach der die Zulassung von Komponenten und Diensten der Telematikinfrastruktur nicht durch die Gesellschaft für Telematik, sondern entweder durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgt oder aber durch die Gesellschaft für Telematik nur im Einvernehmen mit dem BSI erfolgen kann.

Begründung:

Der Gesellschaft für Telematik soll nach § 311 Absatz 1 Nummer 10 SGB V die Aufgabe eines Entwicklers und Anbieters von Komponenten für den Zugriff der Versicherten auf die Anwendung einer elektronischen Verordnung übertragen werden (siehe hierzu auch § 312 Absatz 4 SGB V). Dies führt vor dem Hintergrund der in § 325 Absatz 1 SGB V vorgesehenen Funktion der Gesellschaft für Telematik als Zulassungsstelle zu einer Interessenkollision bzw. Befangenheit.

Diese kann nur aufgelöst bzw. behoben werden, wenn die von der Gesellschaft für Telematik zu entwickelnden und anzubietenden Komponenten entweder durch das BSI zuzulassen sind oder aber von der Gesellschaft für Telematik nur im Einvernehmen mit dem BSI zugelassen werden können, wie im Übrigen auch in § 311 Absatz 2 SGB V für § 311 Absatz 1 Nummer 1 SGB V - nicht hingegen für § 311 Absatz 1 Nummer 10 SGB V - eine Einvernehmensregelung vorgesehen ist.

10. Zu Artikel 1 Nummer 31 (§ 311 Absatz 6 Satz 4a - neu - SGB V)

In Artikel 1 Nummer 31 ist in § 311 Absatz 6 nach Satz 4 folgender Satz einzufügen:

"Das Anbieten und die Nutzung bestehender weiterer Anwendungen des Gesundheitswesens ohne Zugriff auf Dienste der TI in angeschlossenen Netzen des Gesundheitswesens (aAdG-NetG) bleibt gestattet, sofern und solange die nach dieser Vorschrift festgelegten neuen Verfahren noch nicht flächendeckend etabliert sind."

Begründung:

Die Erfahrung der Vergangenheit hat gezeigt, dass der Roll-Out neuer komplexer TI-Komponenten und -Anwendungen Zeit beansprucht und nicht zu einem gesetzlich vorgegebenen Stichtag bzw. mit der Zulassung eines Anbieters durch die gematik bei allen Anwendern sofort funktionsfähig implementiert ist. Vermieden werden soll, dass bestehende etablierte Kommunikationssysteme zu einem Stichtag abgeschaltet werden und Anwender auf unsichere und nicht mehr zeitgemäße Alternativen (Fax) zurückgreifen müssen, bevor eine flächendeckend funktionstüchtige Alternative bei den Anwendern vorliegt. Daher ist es sachgerecht und den Erfahrungen vergangener Umsetzungen entsprechend, dass eine Abschaltung bestehender Systeme erst erfolgt, wenn die Kommunikation eines deutlichen Anteils der Anwender tatsächlich untereinander funktioniert.

11. Zu Artikel 1 Nummer 31 (§ 312 Absatz 1 Satz 2 SGB V)

In Artikel 1 Nummer 31 sind in § 312 Absatz 1 Satz 2 nach dem Wort "Verordnungen" ein Komma und die Wörter "wie die der häuslichen Krankenpflege" einzufügen.

Begründung:

Die elektronische Verordnung häuslicher Krankenpflege muss explizit benannt werden, um sicherzustellen, dass auch die Pflege von den elektronischen Verordnungen profitiert. Bisherige Maßnahmen fokussieren sich insbesondere auf Ärztinnen und Ärzte, Krankenhäuser und Apotheken. Die Verordnung bietet enormes Potenzial, das aktuell noch papiergebundene Verfahren, das mit einem erheblichen bürokratischen Aufwand für ambulante Pflegedienste verbunden ist, effizienter zu gestalten, den Verordnungsprozess zu optimieren und die professionsübergreifende Zusammenarbeit zu erleichtern. Die Möglichkeit der elektronischen Verordnung für häusliche Krankenpflege wurde in § 86 Absatz 1 SGB V in der Fassung des Digitale-Versorgung-Gesetz geschaffen.

12. Zu Artikel 1 Nummer 31 (§ 314 einleitender Satzteil SGB V)

In Artikel 1 Nummer 31 sind in § 314 im einleitenden Satzteil nach dem Wort "Internetseite" die Wörter "und in nichtdigitaler Form" einzufügen.

Begründung:

Es fehlt eine Verpflichtung der Gesellschaft für Telematik, Informationen über die Struktur, Funktionsweise, Anwendungsfälle und Rechte der Versicherten im Umgang mit Daten in der elektronischen Patientenakte et cetera in nichtdigitaler Form zur Verfügung zu stellen, sodass Menschen ohne Zugang zum Internet angemessen informiert und hinsichtlich ihres informationellen Selbstbestimmungsrechts nicht diskriminiert werden.

13. Zu Artikel 1 Nummer 31 (§ 317 Absatz 1 Satz 2 Nummer 10 - neu - SGB V)

In Artikel 1 Nummer 31 ist in § 317 Absatz 1 Satz 2 Nummer 9 der Punkt am

Ende durch ein Komma zu ersetzen und folgende Nummer 10 ist anzufügen:

"10. der oder dem Bevollmächtigten der Bundesregierung für Pflege."

Begründung:

Der Beirat, der die Gesellschaft für Telematik in fachlichen Belangen berät und die Interessen der im Beirat Vertretenen vertritt, muss die Pflege gleichermaßen repräsentieren wie die anderen Professionen. Daher sollte die oder der Bevollmächtigte der Bundesregierung für Pflege (als Pendant zum Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten) in den Beirat aufgenommen werden.

14. Zu Artikel 1 Nummer 31 (§ 318 Absatz 2 Satz 2 SGB V)

In Artikel 1 Nummer 31 ist in § 318 Absatz 2 Satz 2 das Wort "zwei" durch das Wort "vier" zu ersetzen.

Begründung:

Die für schriftliche Stellungnahmen des Beirats der Gesellschaft für Telematik zu Beschlussvorschlägen für die Gesellschafterversammlung vorgesehene Frist von zwei Wochen schließt je nach Umfang der Vorlagen einen darauf bezogenen sachgemäßen Diskurs der Beiratsmitglieder und damit eine sachgerechte Bewertung möglicherweise aus. Die Frist muss daher auf vier Wochen festgelegt werden.

15. Zu Artikel 1 Nummer 31 (§ 325 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob in § 325 SGB V ausdrücklich geregelt werden könnte, dass auch die Benutzeroberfläche und die ihr zugrunde liegende Software, über die der Versicherte Zugriff auf die elektronische Patientenakte erhält, zu den zulassungsbedürftigen Komponenten und Diensten der Telematikinfrastruktur zählt.

Begründung:

Da gerade Apps und Smartphones erhebliche Datenschutz- und Datensicherheitsrisiken bergen, ist es notwendig, dass jedenfalls die den Versicherten zur Verfügung gestellte App ausdrücklich in die nach § 325 SGB V zulassungsbedürftigen Komponenten und Dienste der Telematikinfrastruktur aufgenommen wird. Aus dem Gesetzentwurf geht nicht eindeutig hervor, ob die sogenannte Benutzeroberfläche zu den zulassungsbedürftigen Komponenten und Diensten zählt. Mit der Aufhebung der bisherigen Regelung in § 291b SGB V besteht insoweit Rechtsunsicherheit.

16. Zu Artikel 1 Nummer 31 (§ 333 Absatz 1 einleitender Satzteil SGB V)

In Artikel 1 Nummer 31 sind in § 333 Absatz 1 im einleitenden Satzteil nach dem Wort "Informationen" die Wörter "unverzüglich, spätestens aber innerhalb von zwei Wochen" einzufügen.

Begründung:

Die Gesellschaft für Telematik muss im Interesse eines effektiven Datenschutzes verpflichtet werden, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angeforderten Unterlagen und Informationen innerhalb eines gesetzlich definierten Zeitraums zu übersenden.

17. Zu Artikel 1 Nummer 31 (§ 333 Absatz 2 SGB V)

In Artikel 1 Nummer 31 ist § 333 Absatz 2 wie folgt zu ändern:

Begründung:

Vorgesehen ist eine Regelung, nach der das BSI der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung von Sicherheitsmängeln erteilen kann. Angesichts des hohen Schutzniveaus der verarbeiteten Daten erscheint diese Kann-Regelung nicht geeignet und sollte ersetzt werden durch eine Verpflichtung des BSI, entsprechend gegenüber der Gesellschaft für Telematik tätig zu werden.

Hiermit verbunden ist keine Aussage, in welchen Zeiträumen vom BSI

Weisungen zu erteilen sind, da nicht ausgeschlossen werden kann, dass Weisungen aktuell (noch) nicht möglich sind mangels bekannter Abhilfemöglichkeiten. Diese wären in einem solchen Fall aber so schnell wie möglich vom BSI zu entwickeln, um der Verpflichtung gerecht zu werden.

18. Zu Artikel 1 Nummer 31 (§ 334 Absatz 1 Satz 2 Nummer 2 SGB V)

In Artikel 1 Nummer 31 sind in § 334 Absatz 1 Satz 2 Nummer 2 die Wörter "nach § 2 Absatz 1 Satz 3 des Transplantationsgesetzes" zu streichen.

Begründung:

Die bislang im PDSG vorgesehene Regelung nimmt nur Bezug auf die in einem Organspendeausweis erfasste Erklärung zur Organspendebereitschaft.

Der Verweis in § 334 Absatz 1 Satz 2 Nummer 2 SGB V sollte aber auch alle anderen Dokumentationen einer Erklärung zur Organ- und Gewebespende erfassen. Wie im geltenden § 291a Absatz 3 Satz 1 Nummer 7 und 8 SGB V sollte daher auch in § 334 Absatz 1 Satz 2 Nummer 2 SGB V auf den Verweis verzichtet werden.

19. Zu Artikel 1 Nummer 31 (§ 339 Absatz 2 SGB V)

In Artikel 1 Nummer 31 ist in § 339 Absatz 2 der Punkt am Ende durch ein Komma zu ersetzen und folgende Wörter sind anzufügen:

"soweit die Versicherten hierzu ihre vorherige Einwilligung erteilt haben."

Begründung:

In § 339 Absatz 2 SGB V in Verbindung mit § 361 SGB V werden die Voraussetzungen für einen Zugriff auf personenbezogene Daten der Versicherten in ärztlichen Verordnungen geregelt. Hiernach bedarf es - anders als bei den sonstigen Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 bis 5 SGB V - keiner Einwilligung des Versicherten. Demgegenüber ist der Begründung zu § 339 Absatz 2 SGB V zu entnehmen, dass auch ein derartiger Zugriff die Einwilligung des Versicherten voraussetzt. Dieser Widerspruch ist aufzulösen.

20. Zu Artikel 1 Nummer 31 (§ 339 Absatz 3 und § 340 Absatz 1 Satz 1 Nummer 3 und 4 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren für den Zugang der nichtverkammerten Berufe zur Telematikinfrasturktur (TI) eine alternative Lösung vorzusehen, die das Erfordernis eines separaten Authentifizierungsprozesses für Leistungserbringerinstitutionen vermeidet und den Zeitplan für die Einführung des elektronischen Gesundheitsberuferegisters (eGBR) und damit für die Nutzung medizinischer Anwendungen der TI durch alle nicht verkammerten Berufe nicht gefährdet.

Begründung:

Der Gesetzentwurf sieht mit § 339 Absatz 3 SGB V eine Komponente zur Authentifizierung von Leistungserbringerinstitutionen vor. Nach § 340 Absatz 1 Satz 1 Nummer 3 SGB V soll den Ländern die Aufgabe übertragen werden, Stellen für die Ausgabe der Komponente zur Authentifizierung von Leistungserbringerinstitutionen zu bestimmen. Nach § 340 Absatz 1 Satz 1 Nummer 4 SGB V soll den Ländern zudem die Aufgabe übertragen werden, Stellen zu bestimmen, die bestätigen, dass eine Leistungserbringerinstitution berechtigt ist, eine Komponente zur Authentifizierung nach § 340 Absatz 1 Satz 1 Nummer 3 SGB V zu erhalten.

Für die Benennung der Stellen für die Ausgabe der Komponenten zur Authentifizierung von Leistungserbringerinstitutionen durch die Länder sollte eine alternative Lösung aufgenommen werden, die keinen separaten Authentifizierungsprozess für die berechtigten Leistungserbringerinstitutionen vorsieht.

Die für dieses zusätzliche Verfahren erforderlichen Strukturen und Entscheidungen könnten aus Sicht der Länder zu Verzögerungen des vorgesehenen Zeitplans für die Einführung des eGBR führen und damit die von allen gewünschte zeitnahe Nutzung medizinischer Anwendungen der TI auch durch alle nicht verkammerten Berufe gefährden. Hinzu kommt, dass aufgrund der Corona-Pandemie in den Ländern aktuell und in den nächsten Monaten kaum Ressourcen zur Verfügung stehen, um neue Strukturen zu schaffen, da alle Ressourcen auf die Bekämpfung der Corona-Pandemie gerichtet sind, so dass schon die bestehenden Strukturen nur mit großer Mühe aufrechterhalten werden können.

Im Gesetzentwurf wurde eine Übergangszeit, in der der Nachweis der Berechtigung einer Leistungserbringerinstitution unbürokratisch erfolgen kann, geschaffen. Die eingefügte Übergangszeit, bis die Stellen und das Verfahren zur Bestätigung der Berechtigung zum Erhalt einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen eingerichtet sind, ist grundsätzlich zu begrüßen.

Die Übergangsfrist bis zum 30. Juni 2022 umfasst dabei jedoch lediglich die Stellen, die bestätigen, dass eine Leistungserbringerinstitution berechtigt ist. Die Komponenten zur Authentifizierung von Leistungserbringerinstitutionen sind im Gesetzentwurf ebenso weiterhin vorgesehen wie die Verpflichtung der Länder, die Stellen, die für die Ausgabe dieser Komponenten zur Authentifizierung von Leistungserbringerinstitutionen zuständig sind, zu bestimmen. Die geschaffene Übergangsfrist löst das Problem daher noch nicht vollständig, da die erforderlichen Vorgaben zur Benennung von Stellen für die Ausgabe der Komponenten zur Authentifizierung von Leistungserbringern durch die Länder weiterhin zu Verzögerungen führen können, die sich besonders gravierend auf den Anschluss des Pflegebereichs an die TI auswirken könnten.

21. Zu Artikel 1 Nummer 31 (§ 342 Absatz 2 Nummer 1 und 2 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren § 342 SGB V dahingehend zu überarbeiten, dass Zugriffsrechte der Versicherten auch in Phase 1 der Einführung der elektronischen Patientenakte, das heißt im Zeitraum ab dem 1. Januar 2021, nicht hinter denen der Phase 2 zurückstehen. Die Datensouveränität der Versicherten sollte auch in dieser Phase gewährleistet sein und ihnen die Möglichkeit eröffnet werden, von einer feingranularen Zugriffsrechtegewährung Gebrauch zu machen.

In diesem Zusammenhang bittet der Bundesrat auch um eine Prüfung, ob das vorgesehene zweistufige Vorgehen mit den in Artikel 7 und Artikel 9 Absatz 2 DSGVO enthaltenen Vorgaben in Einklang steht.

Begründung:

Während in § 341 Absatz 1 SGB V die elektronische Patientenakte eindeutig und ohne Einschränkungen als versichertengeführte elektronische Akte konstituiert wird, deren Nutzung für den Versicherten nicht nur allgemein, sondern auch bezogen auf die einzustellenden einzelnen Daten freisteht, wird mit der Regelung des § 342 Absatz 2 SGB V und der darin enthaltenen verschiedenen Umsetzungsstufen diese Regelung konterkariert, ohne dass dafür eine rechtliche Legitimation ersichtlich ist. Dies steht nicht im Einklang mit dem Grundkonzept einer versichertengeführten und auf einem feingranularen Berechtigungskonzept basierenden elektronischen Patientenakte. Zwar soll auch in der ersten Umsetzungsstufe ab dem 1. Januar 2021 eine Differenzierung von Zugriffsmöglichkeiten seitens der Versicherten möglich sein, doch ist diese auf die Einräumung pauschaler Zugriffe auf sämtliche in der Akte vorhandenen medizinischen Informationen oder seitens der Versicherten eingestellten Daten (§ 342 Absatz 2 Nummer 1 Buchstabe c SGB V) reduziert. Eine derartige grobe Differenzierung reicht nicht aus, auch wenn sie nur übergangsweise erfolgen soll, um der in § 341 Absatz 1 SGB V garantierten und aus dem informationellen Selbstbestimmungsrecht resultierenden Datensouveränität der Versicherten gerecht zu werden. Eine solche kann nicht unter zeitlichen Beschränkungen gewährt werden.

Materiellrechtliche Gründe, die die Einräumung eines zeitlich gestaffelten Berechtigungskonzepts zumindest inhaltlich rechtfertigen könnten, sind dem Gesetzentwurf nicht zu entnehmen. Im Gegenteil: sofern in der Einführungsphase der elektronischen Patientenakte die Versicherten nicht von der Möglichkeit einer feingranularen Zugriffsrechtegewährung Gebrauch machen können, besteht die Gefahr, dass sich eine dazu in Widerspruch stehende Verfahrensweise etabliert, die im Nachhinein möglicherweise nicht mehr rückgängig gemacht werden kann. Denn sofern bereits in der ersten Umsetzungsphase die Versicherten in einem konkreten Behandlungskontext einzelnen Leistungserbringern grobe Zugriffsmöglichkeiten zum Beispiel auf sämtliche medizinischen Informationen, die in der Akte enthalten sind, einräumen, ist aus datenschutzrechtlicher Sicht der umfassende Grundrechtseingriff bereits erfolgt. Eine nachträgliche Beschränkbarkeit der Zugriffsrechte würde daran nichts mehr ändern.

Weiterhin begegnet das vorgesehene stufenweise Vorgehen auch vor dem Hintergrund der in Artikel 7 und Artikel 9 Absatz 2 DSGVO enthaltenen Vorgaben grundlegenden datenschutzrechtlichen Bedenken. Denn einerseits kann entgegen der in § 341 Absatz 1 SGB V in Verbindung mit § 353 Absatz 1 SGB V garantierten Freiwilligkeit der von den Versicherten zu erteilenden Einwilligung in der Übergangszeit gerade nicht von einer selbst bestimmten Disposition der betroffenen Personen über die Preisgabe personenbezogener Daten gesprochen werden. Und zudem ist davon auszugehen, dass neben den Bedenken gegen die Freiwilligkeit der Einwilligung die gegebenenfalls durch die Versicherten im Rahmen einer Behandlung den Leistungserbringern zugänglich gemachten Daten auch nicht alle als erforderlich im Sinne des Artikel 9 Absatz 2 Buchstabe h DSGVO qualifiziert werden können.

22. Zu Artikel 1 Nummer 31 (§ 342 Absatz 2 Nummer 2 Buchstabe c SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren Wege vorzusehen, die es allen Versicherten ermöglichen, die in § 342 Absatz 2 Nummer 2 Buchstabe b SGB V festgelegten Rechte wahrnehmen zu können, und § 342 Absatz 2 Nummer 2 Buchstabe c SGB V entsprechend zu überarbeiten.

Begründung:

Versicherten, die die technische Infrastruktur einer Krankenkasse oder die Benutzeroberfläche eines geeigneten Endgerätes nicht nutzen möchten, soll in der zweiten Umsetzungsphase der Einführung der elektronischen Patientenakte lediglich ein mittelgranulares Zugriffsrechtemanagement ermöglicht werden. Die in § 341 Absatz 1 SGB V konstituierte versichertengeführte elektronische Patientenakte muss aber mit den datenschutzrechtlich gebotenen Berechtigungsmöglichkeiten allen Versicherten zur Verfügung gestellt werden unabhängig davon, über welche technische Ausstattung diese verfügen.

Es müssen daher alternative Wege angeboten werden, damit alle Versicherten die in § 342 Absatz 2 Nummer 2 Buchstabe b SGB V festgelegten Rechte wahrnehmen können und nicht Versichertengruppen in der Nutzung der sogenannten dezentralen Infrastruktur der Leistungserbringer lediglich ein mittelgranulares Berechtigungsmanagement gewährt wird.

Dem in der Gesetzesbegründung aufgeführten Argument, es handele sich trotz der verbleibenden Einschränkung immer noch um eine vollumfänglich freiwillige Anwendung, kann nicht gefolgt werden.

23. Zu Artikel 1 Nummer 31 (§ 342 Absatz 3 SGB V)

Begründung:

Zu Buchstabe a:

Die Einrichtung einer Ombudsstelle bei jeder Krankenkasse zur Unterstützung der Versicherten bei Anliegen im Zusammenhang mit der elektronischen Patientenakte wird grundsätzlich begrüßt. Allerdings sollte gesetzlich klargestellt werden, dass die Inanspruchnahme der Ombudsstelle durch die Versicherten die Krankenkassen nicht befugt, dadurch auf Inhalte der elektronischen Patientenakte zuzugreifen, zur Kenntnis zu nehmen oder in anderer Form zu verarbeiten. Dementsprechend sind die Krankenkassen gesetzlich aufzufordern, die hierzu erforderlichen angemessenen technischen und organisatorischen Vorkehrungen vorzunehmen.

Zu Buchstabe b:

Zu den von den Krankenkassen zu treffenden Vorkehrungen gehört möglicherweise auch eine informatorische Abschottung der Ombudsstellen innerhalb der Krankenkassen, sofern nicht ausgeschlossen werden kann, dass Versicherte personenbezogene Inhalte ihrer elektronischen Patientenakte im Zusammenhang mit einer Inanspruchnahme der Ombudsstelle offenbaren. Darauf sollten die Versicherten im Vorfeld hingewiesen werden.

24. Zu Artikel 1 Nummer 31 (§ 342 Absatz 5 Satz 5 SGB V)

In Artikel 1 Nummer 31 sind in § 342 Absatz 5 Satz 5 nach den Wörtern "Bundesamt für Soziale Sicherung" die Wörter "und den die Rechtsaufsicht über Krankenkassen führenden Obersten Landesgesundheitsbehörden" einzufügen.

Begründung:

Der Spitzenverband Bund der Krankenkassen soll dem Bundesamt für Soziale Sicherung künftig mitteilen, welche Krankenkassen ihrer Verpflichtung nach § 342 Absatz 1 SGB V (Jedem Versicherten ist spätestens ab dem 1. Januar 2021 eine elektronische Patientenakte zur Verfügung zu stellen.) nicht nachgekommen sind. Ein entsprechendes Versäumnis ist nach § 342 Absatz 5 Satz 4 SGB V in Verbindung mit § 270 Absatz 3 SGB V mit Sanktionen bewehrt, über die zwingend auch die Obersten Landesgesundheitsbehörden informiert sein müssen, die die Rechtsaufsicht über eine oder mehrere betroffene landesunmittelbare Krankenkassen führen.

25. Zu Artikel 1 Nummer 31 (§ 345 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren § 345 SGB V zu überarbeiten und Regelungen für die Krankenkassen vorzusehen, die Beschränkungen in der Verarbeitung der von den Versicherten zur Verfügung gestellten Daten vorsehen und damit die gegenwärtige Rechtslage des § 291a SGB V grundsätzlich fortzuführen.

Begründung:

Anders als gegenwärtig in § 291a Absatz 5c Satz 6 SGB V ist eine ausdrückliche Befugnis der Versicherten vorgesehen, den Krankenkassen Daten aus der elektronischen Patientenakte zum Zweck der Nutzung zusätzlicher von den Krankenkassen angebotener Anwendungen zur Verfügung zu stellen. Die entsprechende Verarbeitungsbefugnis der Krankenkassen unterliegt allerdings keinen weiteren Beschränkungen. Dies widerspricht dem bisherigen Grundsatz, Krankenkassen grundsätzlich den Zugang zu den in der elektronischen Patientenakte gespeicherten Daten zu verweigern.

Auch wenn die Entscheidung über die Bereitstellung der Daten den Versicherten auferlegt wird, ohne allerdings konkrete Vorgaben für eine gesonderte Einwilligung zu machen, trifft eine solche Regelung auf datenschutzrechtliche Bedenken. Denn die den Krankenkassen bereitgestellten Daten dienen gerade nicht zur Erfüllung ihrer gesetzlichen Aufgaben.

Zudem besteht die Gefahr, dass eine auf diesem Wege ermöglichte umfassende Kenntnisnahme von Gesundheitsdaten durch die Krankenkassen negative Auswirkungen auf die Gewährung versichertenbezogener Leistungen haben kann. Die in § 335 Absatz 3 SGB V vorgesehene Regelung, nach der Versicherte nicht bevorzugt oder benachteiligt werden dürfen, wenn sie einen Zugriff auf Daten (in einer Anwendung nach § 334 Absatz 1 Satz 2 SGB V) bewirkt oder verweigert haben, dürfte hier keine ausreichende Schutzwirkung entfalten.

26. Zu Artikel 1 Nummer 31 (§ 352 Nummer 16 und 17 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren eine Regelung zu schaffen, wonach Leistungserbringer und Labore zur Datenübermittlung von Laborbefunden, insbesondere positiven Labornachweisen, zu meldepflichtigen Erkrankungen die Telematikinfrastruktur (TI) zu nutzen haben. Dazu müssen auch Labore an die TI angeschlossen werden und ein Verfahren zum Datenaustausch zwischen Laboren, Leistungserbringern und Öffentlichem Gesundheitsdienst beschrieben werden.

Begründung:

Bei klinischem Verdacht auf oder Nachweis einer meldepflichtigen Erkrankung besteht für Leistungserbringer und bei positivem Laborbefund zu meldepflichtigen Erkrankungen für Testlabore Meldepflicht gegenüber dem Öffentlichen Gesundheitsdienst. Für die Übermittlung von Verdachtsmeldungen und positiven Befunden an den Öffentlichen Gesundheitsdienst nutzen Leistungserbringer und Labore häufig noch das Fax, da eine Datenübertragung per E-Mail nicht als sicheres Kommunikationsmedium für persönliche Gesundheitsdaten gilt. Dies führt, insbesondere im Pandemiefall, zu vermeidbaren Verzögerungen bei der Übermittlung positiver Laborbefunde an den Öffentlichen Gesundheitsdienst. Werden diese Verzögerungen durch eine elektronische Übermittlung der Testergebnisse von Laboren und Leistungserbringern über die TI an den Öffentlichen Gesundheitsdienst vermieden, können Kontaktpersonen schneller ermittelt werden und daher Infektionsketten früher durchbrochen werden.

27. Zu Artikel 1 Nummer 31 (§ 360 Absatz 4 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob in § 360 Absatz 4 SGB V dem Versicherten ein Anspruch auf eine ärztliche Verordnung in Papierform eingeräumt oder jedenfalls sichergestellt werden kann, dass auf der Papierform der Zugangsdaten zur ärztlichen Verordnung aus Gründen der Arzneimitteltherapiesicherheit zusätzlich Mindestangaben zum verordneten Arzneimittel und seiner Anwendung enthalten sind und dass die Papierform auch bei einem notwendigen Arzneimittelerwerb im Ausland anerkannt werden kann.

Begründung:

Der Versicherte sollte bei den ärztlichen Verordnungen ein echtes Wahlrecht zwischen einer Verordnung in elektronischer Form und einer Verordnung in Papierform haben. Abgesehen davon, dass ein faktischer Zwang zur Nutzung eines Smartphones allein wegen Datensicherheitsrisiken nicht zumutbar erscheint, gibt es auch Situationen, in denen vom Versicherten nicht verlangt werden kann, ein funktionierendes Smartphone bei sich zu tragen, beispielsweise nach einem Unfall mit Verlust oder Beschädigung des Geräts. Dass der Versicherte lediglich die Zugangsdaten zur elektronischen Verordnung verlangen können soll, greift zu kurz und ist nicht sachgerecht. Wie die Gesetzesbegründung zurecht ausführt, sollte das Papierdokument auch Mindestangaben zum Arzneimittel enthalten und damit die Qualität einer herkömmlichen Verordnung besitzen. Dies muss aber durch die gesetzliche Regelung selbst sichergestellt werden und kann nicht einer Empfehlung in der Gesetzesbegründung überlassen bleiben. Auch ist zu berücksichtigen, dass Arzneimittel für einen etwaigen Bedarf bei einer Auslandsreise verschrieben werden und daher gewährleistet sein muss, dass die ärztliche Verordnung bei einem Erwerb im Ausland vorgelegt und als solche anerkannt werden kann.

28. Zu Artikel 1 Nummer 31 (§ 360 Absatz 5 Satz 4 SGB V)

In Artikel 1 Nummer 31 sind in § 360 Absatz 5 Satz 4 die Wörter "externes Sicherheitsgutachten" durch die Wörter "Gutachten des Bundesamtes für Sicherheit in der Informationstechnik" zu ersetzen.

Begründung:

Das vorgesehene Verfahren, die Sicherheit der Komponenten durch ein nicht näher beschriebenes externes Sicherheitsgutachten nachzuweisen, ist zu unbestimmt, um das in diesem Zusammenhang gebotene Schutzniveau zu garantieren. Vielmehr sollte die Sicherheit der von der Gesellschaft für Telematik entwickelten Komponenten zwingend durch das Bundesamt für Sicherheit in der Informationstechnik nachgewiesen werden.

29. Zu Artikel 1 Nummer 31 (§ 363 Absatz 6 Satz 5 SGB V)

In Artikel 1 Nummer 31 ist § 363 Absatz 6 Satz 5 wie folgt zu fassen:

"Der Widerruf der Einwilligung kann ebenso wie deren Erteilung über die Benutzeroberfläche eines geeigneten Endgeräts oder einer technischen Einrichtung nach § 338 erfolgen."

Begründung:

Die Regelungen zur Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken basieren auf einer Einwilligung. Die Einwilligung einer Person ist in Artikel 4 Nummer 11 DSGVO definiert als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist". Das bedeutet insbesondere, dass jede Einwilligung informiert ist. Nur in § 363 SGB V wird jedoch die Formulierung "informierte Einwilligung" verwendet (anders als beispielsweise in den §§ 352, 353, 356, 357 oder 359 SGB V). Dies provoziert das Missverständnis, dass eine Informiertheit bei der "normalen" Einwilligung nicht gefordert wäre. Um dies zu vermeiden, sollte stets nur von einer "Einwilligung" statt an einigen Stellen von einer "informierten Einwilligung" gesprochen werden.

§ 363 Absatz 6 Satz 5 SGB V regelt unter anderem, dass der Widerruf der (informierten) Einwilligung "ebenso wie deren Erteilung über die Benutzeroberfläche eines geeigneten Endgeräts oder einer technischen Einrichtung nach § 338" erfolgt. Dies scheint die Forderung aus Artikel 7 Absatz 3 Satz 4 DSGVO umzusetzen, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. Jedoch sind Konstellationen denkbar, dass zwar die Einwilligung über ein technisches Gerät kommuniziert wurde, doch zu einem späteren Zeitpunkt die betroffene Person dieses Gerät temporär oder dauerhaft nicht mehr nutzen kann oder will, aber dennoch einen Widerruf erklären möchte.

Nach Artikel 7 Absatz 3 Satz 1 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Daher darf die Widerrufsmöglichkeit nicht auf die Verwendung "eines geeigneten Endgeräts oder einer technischen Einrichtung" beschränkt werden. Der Widerruf muss der betroffenen Person auch auf andere Weise ermöglicht werden.

30. Zu Artikel 1 Nummer 31 (§ 363 Absatz 8 SGB V)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren § 363 Absatz 8 SGB V grundlegend zu überarbeiten, damit dieser nicht länger auf datenschutzrechtliche Bedenken trifft.

Begründung:

Die vorgesehene Möglichkeit der Versicherten, unabhängig von dem Verfahren nach § 363 Absatz 1 bis 7 SGB V Daten aus ihrer elektronischen Patientenakte auch auf der alleinigen Grundlage einer informierten Einwilligung für ein bestimmtes Forschungsvorhaben oder für bestimmte Bereiche der wissenschaftlichen Forschung zur Verfügung zu stellen, ist unzureichend, zu unbestimmt und trifft auf datenschutzrechtliche Bedenken.

Soweit die Regelung gemäß der Gesetzesbegründung selbst keine eigene Befugnisnorm darstellen soll, ist dies dem Wortlaut nicht zu entnehmen. Zur Klarstellung sollte deshalb auf die grundlegenden Vorgaben aus der Datenschutz-Grundverordnung (Artikel 6 Absatz 1 Buchstabe a DSGVO und Artikel 9 Absatz 2 Buchstabe a DSGVO) Bezug genommen werden. Darüber hinaus bedarf es konkreter Vorgaben, um auch außerhalb einer Datenfreigabe nach dem Datentransparenzverfahren die Rechte der Betroffenen angemessen zu wahren. So sollten differenzierte Anforderungen an Inhalt, Umfang und Verständlichkeit der Informationen, die den Versicherten im Vorfeld einer Einwilligung bereitgestellt werden müssen, festgelegt werden. Dazu gehört auch die Gewährung einer angemessenen Bedenkzeit. Zudem sollte die Regelung sicherstellen, dass dem Selbstbestimmungsrecht der Versicherten zum Beispiel durch differenzierte Wahlmöglichkeiten weitestgehend Rechnung getragen wird. Im Hinblick auf die jeweilige Zweckbestimmung sollten die Empfänger der Daten gesetzlich aufgefordert werden, den Versicherten geeignete Garantien für ihre Rechte und Freiheiten wie zum Beispiel zusätzliche Sicherungsmaßnahmen anzubieten, soweit die Daten für bestimmte Bereiche der wissenschaftlichen Forschung zur Verfügung gestellt werden sollen.

Entsprechende Hinweise und Ausführungen sind auch dem Beschluss der Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder vom April 2019 zu entnehmen.

31. Zu Artikel 1 Nummer 31 (§ 375 Absatz 1 SGB V)

In Artikel 1 Nummer 31 sind in § 375 Absatz 1 nach dem Wort "Systemen" die Wörter "im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit" einzufügen.

Begründung:

Der Erlass einer Verordnung zur Förderung der Interoperabilität zwischen informationstechnischen Systemen bedarf zur Gewährleistung eines hohen Datenschutzniveaus der vorherigen fachlichen Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

32. Zu Artikel 1 Nummer 31 (§ 378 Absatz 2 Satz 1 SGB V)

In Artikel 1 Nummer 31 sind in § 378 Absatz 2 Satz 1 nach den Wörtern "Kassenärztlichen Bundesvereinigungen" die Wörter "im Benehmen mit den für die Sozialversicherung zuständigen obersten Landesbehörden" einzufügen.

Begründung:

Da die von den Partnern der Bundesmantelverträge in den Finanzierungsvereinbarungen nach § 378 Absatz 2 SGB V(neu) getroffenen Festlegungen zur Höhe der Erstattungen durch den Verweis in § 382 Absatz 1 SGB V(neu) Auswirkungen auf die Länderhaushalte haben, müssen diese Vereinbarungen im Benehmen mit den für die Sozialversicherung zuständigen obersten Landesbehörden getroffen werden. Hierfür haben der GKV-Spitzenverband, die Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereinigung die für die Sozialversicherung zuständigen obersten Landesbehörden bei den Beratungen zu den von ihnen beabsichtigten Festlegungen einzubeziehen und ihnen Gelegenheit zur Stellungnahme einzuräumen und diese angemessen zu berücksichtigen.

33. Zum Gesetzentwurf allgemein

Begründung:

Zu Buchstabe a:

Weder den Begründungen im Allgemeinen Teil noch im Besonderen Teil sind Kostenfolgenabschätzungen zu entnehmen für die von den Krankenkassen allein oder in Kooperation mit anderen Krankenkassen flächendeckend und barrierefrei zur Verfügung zu stellende technische Infrastruktur (§ 338 Absatz 1 SGB V), die von jeder Krankenkasse einzurichtenden Ombudsstellen (§ 342 Absatz 3 SGB V) sowie für die Finanzierungsregelungen der §§ 376 bis 382 SGB V.

Der Gesetzentwurf geht ferner davon aus, dass die Nutzerquote der elektronischen Patientenakte durch die Versicherten sukzessive von zunächst 20 Prozent im Jahre 2021 auf 50 Prozent ansteigen wird, ohne dass dies in der Kostenfolgenabschätzung Berücksichtigung findet.

Zu Buchstabe b:

Es steht zu befürchten, dass sich die mit dem Gesetzentwurf verbundenen Mehrausgaben auf die gesetzlichen Krankenkassen beitragssatzrelevant auswirken werden. Hierzu ist eine entsprechende Einschätzung und Bewertung der Bundesregierung im weiteren Gesetzgebungsverfahren notwendig, um die künftigen Belastungen der Solidargemeinschaft - auch vor dem Hintergrund der finanziellen Auswirkungen vergangener, aktueller und künftiger Gesetzesvorhaben auf die gesetzlichen Krankenkassen - abschätzen zu können.