Drucksache 17/13000
32 ––
–– 32
gründete Europäische Agentur für IT-Großsysteme übernommen. Darüber hinaus soll diese Agentur voraussichtlich ab Frühjahr 2013 auch das Management für das
Schengener Informationssystem der zweiten Generation
(SIS II) übernehmen.
Ich trete dafür ein, die verschiedenen Modelle zur datenschutzrechtlichen Begleitung und Kontrolle europäischer
IT-Systeme zu vereinheitlichen. Neben Synergieeffekten
ließe sich so auch eine effektivere Datenschutzkontrolle
im Sinne eines einheitlich hohen Schutzniveaus für die
EU-Bürgerinnen und Bürger erreichen.
2.3.1
Binnenmarktinformationssystem
Im Dezember 2012 ist die IMI-Verordnung in Kraft getreten. Sie ermöglicht den Informationsaustausch und die
Kommunikation zwischen den Mitgliedstaaten der Europäischen Union im Rahmen der EG-Dienstleistungsrichtlinie.
Das Anfang 2010 ans Netz gegangene Binnenmarktinformationssystem (Internal Market Information System –
IMI) ermöglicht es einer Vielzahl von Behörden der
27 EU-Staaten, miteinander elektronisch zu kommunizieren, wenn beispielsweise Zweifel an der Echtheit der vom
Dienstleistungserbringer vorgelegten Unterlagen bestehen und deshalb bei den zuständigen Behörden in dem
ausstellenden Mitgliedstaat Nachfragen erforderlich werden (vgl. 22. TB Nr. 3.4.1).
Der bisher fehlende Rechtsrahmen hierfür ist nun durch
die im Dezember 2012 in Kraft getretene europäische
Verordnung (IMI-VO (EU) Nr. 1024/2012) geschaffen
worden. Sie schafft Rechtssicherheit beim Umgang mit
personenbezogenen Daten im IMI und ist eine wesentliche Voraussetzung für die verbindliche Anwendung datenschutzrechtlicher Grundsätze bei der Nutzung des IMI.
Ich wurde durch das Bundesministerium für Wirtschaft
und Technologie (BMWi) über die Verhandlungen über
den Entwurf der IMI-VO informiert und hatte Gelegenheit zur Stellungnahme. Auch wenn ich nicht alle meine
Positionen durchsetzen konnte, ist es doch gelungen, in
der zuständigen Ratsarbeitsgruppe tragfähige Kompromisse zu erzielen.
Ich werde die Anwendung der IMI-VO weiterhin begleiten und – gemeinsam mit den Datenschutzbeauftragten
der Länder – auf die Einhaltung der Datenschutzvorschriften achten. Die IMI-VO sieht eine unabhängige
Überwachung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch die IMI-Akteure ihres Mitgliedstaates und die Gewährleistung des Schutzes der
Rechte der betroffenen Personen durch die nationalen Datenschutzbehörden vor. Weiterhin kann auch der Europäische Datenschutzbeauftragte bei Bedarf die nationalen
Kontrollstellen zu Zusammenkünften einladen, um die
Überwachung des IMI und seiner Nutzung durch die IMIAkteure zu gewährleisten.
BfDI 24. Tätigkeitsbericht 2011-2012
2.3.2
Deutscher Bundestag – 17. Wahlperiode
epSOS: Wie sind Gesundheitsdaten bei
der grenzüberschreitenden Übermittlung
zu schützen?
Die Artikel-29-Gruppe hat datenschutzrechtliche Empfehlungen für die Umsetzung eines europäischen Pilotprojektes für die grenzüberschreitende Übermittlung von
Gesundheitsdaten verabschiedet.
Gesundheitsdaten geben nicht nur Aufschluss über den
individuellen Gesundheitszustand, Medikamentenbedarf
sowie die notwendigen ärztlichen Behandlungen – sie ermöglichen auch weitreichende Prognosen über die zukünftige gesundheitliche Entwicklung und sind von großem wirtschaftlichem Wert. Deshalb stehen sie im Fokus
des Interesses verschiedenster Akteure aus Wirtschaft,
Gesundheitswesen und Verwaltung. Sie unterliegen der
ärztlichen Schweigepflicht und – wenn sie von Sozialleistungsträgern für Aufgaben nach dem Sozialgesetzbuch
verwendet werden – dem besonderen Schutz des Sozialgesetzbuchs. Auch das BDSG und das europäische Datenschutzrecht stufen sie als besonders schutzwürdig ein.
Gesundheitsdaten spielen auch im internationalen Kontext eine Rolle. epSOS (Smart Open Services for European Patients – Open eHealth Initiative for a European
Large Scale Pilot of Patient Summary and Electronic
Prescription) ist ein von der EU gefördertes Projekt, in
dessen Rahmen europäischen Bürgerinnen und Bürgern
grenzüberschreitende E-Health-Dienste angeboten werden sollen. Im Mittelpunkt steht die Entwicklung einer
europaweiten Infrastruktur, die den Zugriff auf Gesundheitsdaten über Ländergrenzen hinweg ermöglicht, um
die Versorgung von Patienten zu verbessern, die sich im
europäischen Ausland aufhalten.
Wesentliche Anwendungsfälle der epSOS-Infrastruktur
sind der grenzüberschreitende Zugriff auf eine elektronische medizinische Kurzakte (patient summary) und eine
elektronische Verordnung (e-prescription). Die in einem
Mitgliedstaat des Patienten geführte medizinische Kurzakte soll Angaben zu Erkrankungen, relevanten Eingriffen und Unverträglichkeiten enthalten, ähnlich einer elektronischen Patientenakte. Die elektronische Verordnung
soll die Ausstellung von Rezepten am Ort der Behandlung im europäischen Ausland ermöglichen. Hierzu soll
der Apotheker oder Arzt am Aufenthaltsort des Patienten
auf die im anderen Mitgliedstaat geführte Medikationsakte, die Teil der medizinischen Kurzakte ist, zugreifen
können. Die Übermittlung der Gesundheitsdaten soll nur
mit Einwilligung der Betroffenen erfolgen.
Auch wenn sich Deutschland noch nicht an dem noch in
der Testphase befindlichen Projekt beteiligt, habe ich im
Rahmen der „Subgroup Health Data“ der Artikel-29Gruppe an der Ausarbeitung von Datenschutzempfehlungen für epSOS mitgewirkt (abrufbar unter http://ec.
europa.eu/justice/policies/privacy/workinggroup/wpdocs/
index_en.htm). Danach sind ausdrückliche Einwilligungen der Betroffenen sowohl für die Teilnahme am Projekt
als auch für die Bereitstellung der medizinischen Daten
sowie für die konkrete Datenübermittlung erforderlich.
Ebenso wichtig ist, dass für die Datenübertragung ein ho-