Stellungnahme zum Referentenentwurf Gesetz zur digitalen Modernisierung von Versorgung und Pflege (DVPMG)
Psychisch Erkrankte und Pflegebedürftige bei der Erprobung digitaler Anwendungen nicht in die erste Reihe stellen
Das Bundesgesundheitsministerium (BMG) plant mit dem Referentenentwurf DVPMG etliche neue Erweiterungen beim Ausbau der Digitalisierung des Gesundheitswesens und der 2021 an den Markt kommenden elektronischen Patientenakte ePA:
Mit Hilfe digitaler Identitäten sollen z.B. Versicherte in Zukunft Rezepte in der Apotheke abrufen und einlösen können. Arbeitsunfähigkeitsbescheinigungen sollen im Rahmen einer ausschließlichen Fernbehandlung ausgestellt werden können. Auch Heilmittelerbringer und Hebammen sollen Videobehandlungen durchführen können. Die erst kürzlich eingeführten digitalen Gesundheitsanwendungen (DiGA) werden für den Bereich der Pflege ausgebaut und mit der elektronischen Patientenakte ePA verknüpft (obwohl ein wissenschaftlich nachgewiesener Behandlungseffekt nicht nachgewiesen sein muss). Versicherte erhalten durch das DVPMG die Möglichkeit, Daten aus DiGAs in ihre ePA zu überführen. Diese digitalen Anwendungen sollen auf mobilen Endgeräten oder als browserbasierte Webanwendung genutzt werden.
Positiv erachten wir die Entscheidung des Gesetzgebers, die Datenschutz-Folgenabschätzung für die Verarbeitung personenbezogener Daten der Telematik Infrastruktur TI bereits im Rahmen des Gesetzgebungsverfahrens durchzuführen, um die Behandelnden davon zu entlasten. Positiv ist auch die Absicht, Datenschutz und Informationssicherheit von digitalen Gesundheitsanwendungen zu stärken. Allerdings gehen uns die Maßnahmen (Schweigepflicht für Hersteller digitaler Gesundheitsanwendungen und eine mit dem Bundesamt für Sicherheit in der Informationstechnik abgestimmte Sicherheitsprüfung) nicht weit genug.
In Summe rückt die elektronische Patientenakte ePA immer weiter in den Fokus der Anwendungen – sie wird zunehmend um sensible Daten erweitert (z.B. Daten aus DiGAs, s.o., die im psychotherapeutischen Bereich sehr persönliche Angaben enthalten könnten, wie z.B. Symptom - oder Stimmungstagebücher mit persönlichen Notizen). Gesundheits-Apps sind nicht Bestandteil einer leitliniengerechten, qualitätsgesicherten und evidenzbasierten medizinischen Versorgung, da i.d.R. noch kein wissenschaftlicher Nachweis eines positiven Anwendungseffektes vorliegt.
Anwendungen, welche zuvor auf der Gesundheitskarte der Versicherten lokalisiert sein sollten, wie z.B. die Notfalldaten oder der Medikationsplan, werden ebenfalls Bestandteil der ePA. Es erscheint geplant, dass ohne ePA „nichts“ mehr geht. Aktuell sind von den sechs zur Anwendung zugelassenen DiGAs fünf aus dem psychotherapeutischen Kontext. Psychisch Erkrankte werden hier also vorgeschickt, um digitale Anwendungen an ihnen „auszuprobieren“. Risiken, wie z.B. Verschlechterung der Symptomatik durch Abbruch der Anwendung oder eine Chronifizierung der Beschwerden werden nicht berücksichtigt.
Diese Erweiterungen des Datenpools sowie die zunehmend umfassende Anwendungs-bedeutung der ePA sind aus den folgenden Gründen besonders problematisch zu sehen:
Im Rahmen des Patientendatenschutz-Gesetzes (PDSG) wurden kurzfristig ausgeprägte Datennutzungsrechte für Dritte ermöglicht:
Die Krankenkassen erhielten die Befugnis, Abrechnungsdaten ihrer Versicherten exakt auszuwerten, um diesen dann z.B. eine selbst entwickelte DiGA zu empfehlen. Versicherte können dieser Datennutzung im Vorfeld nicht widersprechen, sondern höchstens im Nachhinein darauf drängen, dass sie nicht schriftlich mit unerwünschten Angeboten behelligt werden (§345 SGBV). Nach Beurteilung der KV Bayern wurde den forschenden Pharmaunternehmen ein umfassender Zugriff auf die intimsten Gesundheitsdaten der Patientinnen und Patienten gewährt.
Der Bundesbeauftragte für Datenschutz hält das bereits in Kraft getretene PDSG für nicht DSGVO-konform und kündigt Krankenkassen etwaige aufsichtsrechtliche Schritte an.
Die zu erwartenden zunehmenden mobilen Zugriffe von DiGAs auf mobilen Endgeräten und deren Verknüpfung mit der ePA bedeuten ein erhöhtes datenschutzrechtliches Risiko.
Im Rahmen der Erstversion der ePA 2021 können Versicherte noch keine selektiven Zugriffsberechtigungen für einzelne Dokumente vergeben. So kann also der/die behandelnde Orthopäde/Orthopädin etwaige psychotherapeutische Befunde ebenfalls einsehen. Das sogenannte selektive Zugriffsberechtigungs-Management soll erst ab 2022 umgesetzt werden
Ein weiterer Grund, sich Sorgen um den Datenschutz zu machen, ist die noch nicht erstellte neue, an die Anforderungen der Telematik Infrastruktur angepasste IT-Sicherheitsrichtlinie für Kassenpraxen. Diese sollte bereits im Sommer 2020 beschlossen werden. Aufgrund erschreckend hoher Aufwendungen und Kosten pro Praxis wurde ein erster Entwurf aktuell noch nicht einmal veröffentlich. Die bundesweite Umsetzung der notwendigen IT-Sicherheitsvorkehrungen für Kassenpraxen zur Nutzung der TI ist nicht absehbar
Berufsrechtlich sind wir zu höchstmöglichem Datenschutz bei der Verarbeitung hochsensibler Daten im Bereich Psychotherapie verpflichtet. Eine digitale Akte vergisst nichts. Kommt es zu illegalen Abgriffen, wie jüngst in Finnland passiert (40.000 psychotherapeutische Datensätze wurden gehackt und im Darknet veröffentlicht) ist der Schaden lebenslang und immens.
Es sind auch grundsätzliche Fragen aufzuwerfen. Das digitale Sammeln und die digitale Verfügbarkeit von intimen Gesundheitsdaten in zentral gespeicherten ePA hat Vor- und Nachteile. Die Abwägung des informationellen Selbstbestimmungsrechts mit dem Allgemeininteresse an Verfügbarkeit und Nutzbarkeit von Gesundheitsdaten für den Einzelnen, aber auch im Interesse der Allgemeinheit ist eine wichtige Daueraufgabe. Wenn die gesellschaftliche Diskussion als politische Aufgabe zu kurz kommt, kaum Zeit hat oder gar verschoben wird, droht ein Zustand, den die DSGVO nur mühsam nachträglich beeinflussen kann. Denn sind Daten erstmal gesammelt und gespeichert, werden sie prinzipiell schwer beherrschbar. Gerade Gesundheitsdaten sind von großem Wert. Der sogar zentralisiert verfügbare Datenbestand weckt als potentieller „Goldschatz der Gesundheitswirtschaft“ Begehrlichkeiten. Ob zukünftige Nutzungsregelungen durch den Gesetzgeber dann allein von einer wohlüberlegten Interessenabwägung geprägt oder vielleicht doch eher von wirtschaftlichen Interessen beeinflusst sein werden, muss problematisiert werden.
Außerdem baut auch dieser Gesetzentwurf nicht unerheblich auf das Primat der Selbstbestimmung der Patientinnen und Patienten. So sehr das prinzipiell schlüssig ist, so sehr muss gerade bei Gesundheitsdaten geschaut werden, ob und wie der Staat fürsorglich und vorausschauend sein muss. Denn die Erfahrung lehrt, dass vielfach in eine Datenverarbeitung nicht eingewilligt wird, weil man sie aus eigener Überzeugung für sinnvoll hält und wünscht, sondern weil die Ablehnung unbequem erscheint. Das ist auch bei Gesundheitsdaten in der ePA zu befürchten: Ein nicht unerheblicher Teil der Patientinnen und Patienten wird möglicherweise einwilligen, weil die Komplexität einer Nutzungsfreigabe der eigenen Gesundheitsdaten, insbesondere wenn die Versicherten krank sind, ihnen aufwendig und unverständlich erscheinen wird.
Aufgrund der o.g. zahlreichen Schwachstellen in Punkte Datenschutz müssen wir unseren Patientinnen und Patienten von einer Nutzung der ePA abraten.
Wir fordern den Gesetzgeber u.a. auf, die ePA als Speicherplatz und Anwendung nur für medizinisch dringend erforderliche Gesundheitsdaten zu nutzen und die Regelung der DiGA-Datennutzung beispielsweise durch Krankenkassen zurückzunehmen.
Das DVPMG liegt als Referentenentwurf zur weiteren Abstimmung vor.
gez.
Dr. Meltem Avci-Werning Susanne Berwanger
BDP-Präsidentin Vorstand VPP im BDP e.V.