Kleine Anfrage der FDP-Fraktion im Bundestag zum Thema Datenschutz und IT-Sicherheit im Gesundheitswesen
Die Anfrage nimmt Bezug auf das Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale Versorgung-Gesetz – DVG) und auf die Planung zur Einführung der Elektronischen Patientenakte (ePA), die gesetzlichen Krankenkassen ihren Versicherten laut dem Terminservice- und Versorgungsgesetz (TSVG) ab 01.01.2021 anbieten müssen. In der ePA sollen z. B. Gesundheitsdaten, Befunde, Diagnosen und Therapiemaßnahmen gespeichert werden. Patient*innen sollte es in der ersten Ausbaustufe nicht möglich sein, individuell entscheiden zu können, wer Zugriff auf welche Gesundheitsdaten haben darf. Nach Kritik von Ärzt*innen und Datenschützer*innen, wurden einige datenschutzrelevante Punkte allerdings erst einmal aus dem DVG ausgeklammert Die Bundesregierung hat stattdessen angekündigt, ein eigenes, begleitendes Datenschutzgesetz für den Bereich des Gesundheitswesens zu erarbeiten. Dieses soll zeitnah vorgelegt werden. Dennoch soll der vorgesehene Zeitplan der Einführung ePA eingehaltemn werden.
In der Vergangenheit ist die FDP-Bundestagsfraktion häufig als Sachwalter der IT-Gesundheitsindustrie aufgetreten. Mit dieser Anfrage stellt sie aber aus Sicht der gesetzlich versicherten Menschen in Deutschland eine Reihe wichtiger und richtiger Fragen an die Bundesregierung, so z. B.:
- „Hat die Bundesregierung eine Bewertung hinsichtlich der (ggf. zeitlich beschränkten) „Alles oder Nichts“-Freigabe von Gesundheitsdaten im Hinblick auf geltende Datenschutzbestimmungen, insbesondere Artikel 9 DSGVO bzw. 48 BDSG?
- Welche Anstrengungen unternimmt die Bundesregierung, um die informationelle Selbstbestimmung der Patienten bezüglich einer Auswahlfunktion und differenzierte Zugriffsrechte für einzelne Telematikteilnehmer schnellstmöglich zu gewährleisten. Welcher Zeitrahmen ist dafür angesetzt?
- …
- Speichert die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) jegliche Abfragen von Gesundheitsdaten durch Zugriffsberechtigte, um die Nachvollziehbarkeit zu gewährleisten, wer wann auf welche Daten zugegriffen hat?
- Berücksichtigt die Telematikinfrastruktur die Informationspflichten, die aus 14 DSGVO erwachsen, wenn personenbezogene Gesundheitsdaten nicht bei der betroffenen Person erhoben wurden, z. B. wenn Informationen über Erbkrankheiten verarbeitet werden?Wenn ja, wie werden die Angehörigen des Patienten, die möglicherweise an derselben Erbkrankheit leiden, über die Datenverarbeitung informiert?
- Für den Fall, dass bei einem volljährigen Patienten, der einer Datenweitergabe zugestimmt hat, Daten über eine Erbkrankheit verarbeitet werden und die Eltern oder Nachkommen des Patienten einer Datenweitergabe nicht zugestimmt haben, wie muss sich das medizinische Personal verhalten, um weder gegen § 203 Absatz 1 StGB zu verstoßen, noch gegen Artikel 14 DSGVO zu verstoßen?
- Sieht die aktuelle Telematikinfrastruktur die Möglichkeit vor, dass ein Patient sein Einverständnis zur Weitergabe von Gesundheitsdaten im Sinne des Artikel 21 und des Artikel 17 DSGVO („Recht auf Vergessenwerden“) widerrufen kann? Wie wird in diesem Fall mit den bereits weitergegebenen Daten verfahren?
- Wer ist nach Ansicht der Bundesregierung der Verantwortliche für die Datenverarbeitung von Gesundheitsdaten oder Daten mit Personenbezug in der Telematikinfrastruktur nach Artikel 24 DSGVO, bzw. 26 DSGVO und § 291a Absatz 7 SGB V?
- Wer ist nach Ansicht der Bundesregierung die zuständige Aufsichtsbehörde für die Datenverarbeitung von Gesundheitsdaten oder Daten mit Personenbezug in der Telematikinfrastruktur im Sinne des Artikel 58 DSGVO?
- Wer ist nach DGSVO 24 Absatz 1 verantwortlich für die elektronische Ge-sundheitskarte?
- Wer ist nach DSGVO 24 Absatz 1 verantwortlich für die elektronische Ge-sundheitsakte?
- Wurde eine nach DSGVO Artikel 35 Datenschutzfolgenabschätzung (DSFA) für die TI und ihre Anwendungen durchgeführt und wenn ja, wo ist diese einsehbar?Wenn nein: Wird eine DSFA zu einem späteren Zeitpunkt durchgeführt und wird diese veröffentlicht werden?
- … (bis 29. …)“
Die Antworten der Bundesregierung auf diese Fragen werden auch von vielen TI-kritischen Versicherten, Ärzt*innen, Psychotherapeut*innen und Datenschützer*innen mit Spannung erwartet.