Mit einem gesetzlich zulässigen, alternativen Verfahren
der Zugangsgewährung könnte man das erforderliche
Sicherheitsniveau derzeit nicht erreichen, weil das für
den Zugang erforderliche Schlüsselmaterial an einem
Ort außerhalb der eigenen Kontrolle gespeichert wäre.
Vor dem Hintergrund, dass eine ungewollte Offenlegung von Gesundheitsdaten schwerwiegende Konsequenzen haben kann, rate ich von der Nutzung eines
alternativen Zugangsverfahrens ab, solange mit diesem
nicht das gleiche Sicherheitsniveau erreicht werden
kann, wie mit der Nutzung der elektronischen Gesundheitskarte. Hier habe ich mich dafür eingesetzt, dass
spätestens 2022 zu überprüfen ist, ob eine zum kartenbasierten Zugangsverfahren gleichwertige Alternative
geschaffen werden kann, z. B. mittels sogenannter
secure elements im Smartphone oder Tablet.
Ich empfehle, bei der elektronischen Patientenakte von
Beginn an ein differenziertes Rollen- und Rechtemanagement zu implementieren.
4.2.2 Das Implantateregister
Die Einrichtung von zentralen Registern und deren
Nutzung zu Forschungszwecken ist im Gesundheitsbereich von zunehmender Bedeutung. Ziele sind die
Fortentwicklung der Medizin und die Verbesserung der
28
Tätigkeitsbericht zum Datenschutz für 2019
Versorgung. Diese Entwicklung bedarf aber besonderer
datenschutzrechtlicher Aufmerksamkeit.
Das BMG hat im Berichtsjahr 23 Gesetze in den Bundestag
eingebracht. Hierzu zählt auch das Gesetz zur Errichtung des Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch
(EIRD – Implantateregister-Errichtungsgesetz).
Im Implantateregister werden in einem ersten Schritt
die bisher bei medizinischen Fachgesellschaften geführten Spezialimplantateregister zusammengeführt. Die
Fachgesellschaften hatten bislang die Daten auf freiwilliger Basis bei den Implantateempfängern erhoben.
Nunmehr wird das Implantateregister das erste Gesundheitsregister sein, das auf einer bundesweit geltenden
Meldepflicht beruht. Es ist in mehrfacher Hinsicht von
datenschutzrechtlicher Bedeutung: Die Erhebung der
Daten beruht auf einer gesetzlichen Verpflichtung,
nicht auf einer freiwillig erteilten Einwilligung. Zudem
werden die Betroffenenrechte der Einschränkung der
Verarbeitung nach Art. 18 DSGVO und des Widerspruchs
nach Art. 21 DSGVO ausgeschlossen. Dies ist besonders
brisant, da das Register – anders als der Name vermuten lässt – eben kein Produktregister ist, sondern eine
Vielzahl von besonders geschützten Gesundheitsdaten
erfasst. Hierzu gehören beispielsweise klinische und
zeitliche Daten zum Versorgungsprozess, wie insbeson-