– 177 –
§ 13 SGB IX habe ich die Erfahrung gemacht, dass bereits in den Entwürfen den Mitwirkungs- und Selbstbestimmungsrechten der Betroffenen Rechnung getragen
worden war und meine Stellungnahmen Berücksichtigung fanden.
In den Servicestellen, die vorwiegend bei der Information, Beratung und Weiterleitung von Anträgen tätig werden, hat es datenschutzrechtliche Schwierigkeiten nicht
gegeben.
Aus dem Bereich des Rehabilitations- und Schwerbehindertenrechts wurden an mich ausschließlich Eingaben herangetragen, die sich auf Datenerhebungen in Formularen
bezogen. Zu Recht wandten sich mehrere Betroffene dagegen, dass auf Antragsformularen für eine bestimmte
Rehabilitationsmaßnahme eine Vielzahl von Informationen abgefragt wurden, die für die Gewährung der jeweiligen Maßnahme nicht erforderlich waren. Grund dieser in
manchen Fällen übermäßigen Datenerhebung ist in der
Regel die Verwendung zu allgemeiner Formulare, die
nicht speziell auf das Rehabilitations- und Schwerbehindertenrecht abgestimmt sind. Die Rehabilitationsträger
nutzten vorhandene Formulare, die noch nicht die Kooperation mit anderen Rehabilitationsträgern und die
spezielle Rehabilitationsmaßnahme berücksichtigten. Ich
werde mich dafür einsetzen, dass bereits mit den gemeinsamen Empfehlungen i.S.d. § 13 SGB IX eine Anpassung
der Formulare erfolgen kann, damit künftig die Datenerhebungen und -nutzungen nur in dem Umfang erfolgen,
der für die einzelne Rehabilitationsmaßnahme erforderlich ist.
21
Gesundheit
21.1
Die elektronische Gesundheitskarte
Bereits seit Jahren wird über die Einführung und Nutzung
von telematischen Anwendungen im Gesundheitsbereich
diskutiert. Die Datenschutzregelungen zur elektronischen
Gesundheitskarte müssen nun technisch umgesetzt werden.
Die elektronische Gesundheitskarte soll zum 1. Januar
2006 die bisherige Krankenversichertenkarte ablösen und
zusätzlich die Einführung von telematischen Anwendungen unterstützen.
In meinem letzten Tätigkeitsbericht hatte ich bereits über
die mögliche Ausgestaltung und die dabei denkbaren Anwendungen einer solchen Karte berichtet (19. TB
Nr. 28.2 bis 28.4). Durch die Schaffung der gesetzlichen
Grundlage in § 291a SGB V sind nun die vorgesehenen
Anwendungen und wichtige technische und organisatorische Voraussetzungen der Verfahren festgelegt. Die Regelungen unterscheiden zwischen Pflicht- und freiwilligen
Anwendungen. Zu den Pflichtanwendungen gehören die
Verarbeitung der administrativen Daten sowie die Übermittlung des Rezeptes in elektronischer Form (§ 291a
Abs. 2). Darüber hinaus soll die Karte auch medizinische
Daten elektronisch verfügbar machen, insbesondere Arzneimitteldokumentation, Notfalldaten, Arztbrief, Patientenakte und vom Versicherten selbst zur Verfügung gestellte weitere Gesundheitsdaten. Über die Nutzung
dieser Anwendungen soll der Betroffene frei entscheiden
können (§ 291a Abs. 3).
Bei der Ausgestaltung des § 291a wurden die wesentlichen datenschutzrechtlichen Anforderungen berücksichtigt. So bleiben die Datenhoheit der Versicherten und der
Grundsatz der Freiwilligkeit der Speicherung von Gesundheitsdaten gewahrt. Die Versicherten können darüber
entscheiden, welche ihrer Gesundheitsdaten aufgenommen und welche gelöscht werden sowie ob und welche
Daten sie einem Leistungserbringer zugänglich machen.
Ferner haben sie das Recht, die über sie gespeicherten
Daten zu lesen und die Löschung der freiwillig erhobenen
Daten zu verlangen. Die Zugriffsberechtigung auf die Daten ist detailliert für die jeweiligen Personengruppen geregelt, die zur Versorgung der Versicherten die Daten benötigen. Dies sind in der Regel Ärzte, Zahnärzte und
Apotheker. Diese Personengruppen dürfen nur in Verbindung mit einem elektronischen Heilberufsausweis
(Health Professional Card – HPC), der über eine qualifizierte elektronische Signatur verfügen muss, auf die Daten zugreifen. Die HPC ist ein elektronischer Identitätsund Berufsausweis im Gesundheitswesen, der die Datensicherheit durch kryptographische Funktionen wie Verschlüsselung, Signatur und Authentisierung verbessern
soll. In jedem Fall muss der Versicherte selbst den jeweiligen Zugriff freigeben.
Ich hatte zusätzlich gefordert, dass die gespeicherten Patientendaten nur unter Wahrung des bestehenden Schutzniveaus (z. B. des Beschlagnahmeschutzes in der Arztpraxis) verwendet werden dürfen und eine missbräuchliche
Nutzung mit einem strafbewehrten Verbot belegt werden
muss. Dies ist mit einer Änderung des § 97 Abs. 2 Strafprozessordnung – der Ausweitung des Beschlagnahmeverbotes auf mit der Gesundheitskarte gespeicherte
Daten – und der Einführung einer Strafnorm in
§ 307a SGB V verwirklicht worden.
Sowohl bei der Erstellung des Rahmenkonzeptes als auch
des – noch nicht vollendeten – Lösungskonzeptes war ich
intensiv beteiligt. Bei der Erstellung der Lösungsarchitektur muss sichergestellt werden, dass die hohen gesetzlichen Anforderungen an den Schutz der Gesundheitsdaten
technisch und organisatorisch umgesetzt werden:
– Die Datenhoheit der Patienten und der Grundsatz der
Freiwilligkeit der Speicherung von Gesundheitsdaten
müssen gewahrt werden.
– Die Patienten müssen darüber entscheiden können,
welche ihrer Gesundheitsdaten aufgenommen und
welche gelöscht werden.
– Die Patienten müssen darüber entscheiden können, ob
und welche Daten sie einem Leistungserbringer zugänglich machen.
– Die Patienten müssen die Möglichkeit haben, die über
sie gespeicherten Daten zu lesen.
Bei der Planung und Erprobung der Pflichtanwendungen
dürfen keine Weichenstellungen getroffen werden, die
später – bei Einführung weiterer Funktionalitäten – zu datenschutzrechtlichen Einbußen führen könnten.
BfD
20. Tätigkeitsbericht
2003–2004