4.6         Schutz des Patientengeheimnisses

4.6.1      Elektronische Gesundheitskarte in der Entwicklung

Wesentliche Voraussetzung für einen datenschutzkonformen Einsatz der elektronischen Gesundheitskarte ist, dass die Patienten in die Lage versetzt werden, die ihnen zustehenden Datenschutzrechte wahrzunehmen. Diesem Ziel hat man sich ein Stück weiter genähert.

Die Einführung der elektronischen Gesundheitskarte (eGK) wird vom ULD laufend begleitet (28. TB, Tz. 4.6.1). Im Berichtszeitraum wurden weitere wesentliche Schritte unternommen, wenn auch der Voll- und Echtbetrieb in einiger Ferne liegt. Von der Firma „gematik“ wurden die Arbeiten an den technischen Spezifikationen fortgesetzt und in einer vorläufigen Endversion veröffentlicht. Diese umfasst noch nicht sämtliche zum Betrieb erforderlichen Komponenten.

Der Test der eGK kommt voran. Noch im Jahr 2005 hatten sich acht Regionen für die Testung der Gesundheitskarte beworben und den Zuschlag erteilt bekommen. Eine Testregion ist inzwischen wieder ausgeschieden. Zu den Testregionen gehört auch die Region Flensburg mit einer sehr weit entwickelten technischen und organisatorischen Infrastruktur – dank dem Vorprojekt „Elektronische Gesundheitskarte Schleswig-Holstein“. Der Test soll in vier Stufen durchgeführt werden. Zunächst erfolgt die Ausgabe von Testkarten an zunächst bis zu 10.000 freiwilligen Teilnehmern. Mit dieser sogenannten 10.000er-Testung wurde in Schleswig-Holstein – als bundesweit erster Region – im Dezember 2006 begonnen. Von da an werben die Krankenkassen als Projektbeteiligte ihre Mitglieder für die Teilnahme an dem Projekt. Das ULD nahm auf die Gestaltung der Einwilligungserklärungen und Informationsmaterialien für die Anwerbung von Testkandidaten wesentlichen Einfluss. Leider konnten sich die in der Region vertretenen Krankenkassen nicht auf einheitliche Materialien einigen; nur einige wenige Kassen gehen insofern gemeinsam vor. Gleichwohl haben die meisten Beteiligten ihre Materialien mit dem ULD abgestimmt.

Ein wesentliches Element der Telematikinfrastruktur, in die der Einsatz der Karte eingebettet sein soll, sind Lösungen, die es den Karteninhabern ermöglichen, ihre Rechte zur Steuerung des Zugriffs auf die gespeicherten Informationen selbst wahrzunehmen. Nach den vorliegenden technischen Konzepten soll es möglich sein, dass ein Patient bestimmte Informationen auf der Karte verbirgt und sie gezielt nur für bestimmte Leistungserbringer freigibt. So kann ein Patient ein Rezept in einer bestimmten Apotheke einlösen und dabei vor dem Apotheker verbergen, dass noch weitere Verschreibungen vorliegen. Diese könnten dann an anderer Stelle, z. B. auch in einer Versandapotheke, eingelöst werden.

Zur Umsetzung dieses Konzepts ist es erforderlich, dass der Patient auf eine technische Infrastruktur mit entsprechenden Auswahlmöglichkeiten zugreifen kann. Im Gespräch sind dafür sogenannte E-Kioske oder Patiententerminals, die z. B. in Apotheken aufgestellt werden, so wie dies schon im Vorprojekt in Flensburg der Fall war. Ebenso ist es in der Planung, den Versicherten zu Hause über das Internet die Möglichkeit zu geben, die Inhalte ihrer Karte zu lesen und Sperrungen darauf vorzunehmen. Es liegt auf der Hand, dass diese Variante erhebliche Anforderungen an die Sicherheit der Systeme stellt. Es muss ausgeschlossen werden, dass nicht berechtigte dritte Personen auf die gesundheitlichen Daten der Betroffenen zugreifen.

Diese Instrumente zur Wahrung der Versichertenrechte waren im Grundsatz in die technischen Spezifikationen aufgenommen worden (28. TB, Tz. 4.6.1). Im Zusammenhang mit der vorgesehenen Testung ergaben sich jedoch Schwierigkeiten. In der zunächst verabschiedeten Version der als Rechtsgrundlage hierfür nötigen Verordnung fehlten Regelungen zur Erprobung der Wahrnehmung der Patientenrechte vollständig, auch eine Regelung zur Kostenübernahme war nicht vorhanden. Damit war unklar, wie eine Testung der Einrichtungen durchgeführt werden sollte. Nach deutlichen Hinweisen auf diese Versäumnisse aus dem Kreis der Datenschutzbeauftragten wurden diese durch eine Verordnungsänderung im Oktober 2006 behoben. Die Erprobung von Einrichtungen zur Wahrnehmung der Versichertenrechte ist nunmehr eindeutig Bestandteil des Gesamttests. Noch nicht abzusehen ist, wann diese Tests Realität werden, da diesbezüglich noch konkrete technische Vorgaben fehlen.

Was ist zu tun?
Alle Beteiligten müssen auch bei den künftigen Schritten zur Einführung der eGK streng darauf achten, dass Datenschutzvorgaben und Selbstbestimmungsrechte der Patienten nicht zu kurz kommen. Das ULD sieht sich dafür in der Testregion Flensburg wie bundesweit in der Pflicht.

 

4.6.2      Dokumentenmanagementeinführung im Gesundheitsamt

Der Schritt von papiergebundener Vorgangsbearbeitung zum ausschließlich elektronischen Dokumentenmanagementsystem will wohlgeplant sein. Dies gilt besonders bei der Verarbeitung sensibler Daten, wie sie im Gesundheitsamt anfallen. Eine Kommune brachte das Verfahren bei seinem Gesundheitsamt mit ULD-Hilfe datenschutzkonform zum Laufen.

Die Gesundheitsämter bei den Kreisen und kreisfreien Städten haben eine Vielzahl unterschiedlicher Aufgaben zu erfüllen. Dazu gehören die Durchführung der Schuleingangsuntersuchungen von Kindern, die Ausstellung von amtlichen Zeugnissen im Hinblick auf bestimmte gesundheitliche Vorkommnisse sowie die Begutachtung von Personen bei deren Aufnahme ins Beamtenverhältnis. Der Sozialpsychiatrische Dienst des Gesundheitsamtes kümmert sich um Personen mit psychischen Auffälligkeiten, die teilweise eine immer wiederkehrende Betreuung benötigen und die Erstellung umfangreicher Unterlagen veranlassen. Eine weitere Aufgabe ist die Durchführung der Schwangerschaftskonfliktberatung, die einem Schwangerschaftsabbruch vorausgehen muss. Bereits aus der Zusammenstellung dieser Tätigkeitsfelder wird deutlich, dass bei den Gesundheitsämtern eine Vielzahl äußerst sensibler Daten anfällt. Diese sind nicht nur durch die Vorschriften des Landesdatenschutzgesetzes besonders geschützt, sondern unterliegen in der Regel dem Patientengeheimnis. Eine Offenbarung gegenüber dritten Personen, die nicht fachlich mit der jeweiligen Problematik befasst sind, muss unbedingt verhindert werden.

Stellt eine Verwaltungsbehörde, die derart sensible Daten vorhält, ihre papiergebundenen Vorgänge komplett auf elektronische Aktenbearbeitung um, so bringt dies Risiken, aber auch Chancen mit sich. Elektronische Aktenführung ermöglicht ein differenziertes System von Rechtevergaben; Einsichtsrechte und damit faktische Zugriffsmöglichkeiten einzelner Mitarbeiter lassen sich genau steuern. Allerdings steckt der Teufel häufig im Detail: Die verwendeten Systeme müssen diese Möglichkeiten technisch detailliert abbilden. Außerdem müssen die bisher mehr oder weniger unreflektiert durchgeführten Prozesse der Fallbearbeitung bei der Einführung der neuen elektronischen Systeme genau definiert werden, um festzustellen, welche Personen zu welchen Zwecken auf welche Daten zugreifen müssen und dürfen.

Ein Sonderproblem besteht bei Gesundheitsämtern, die nicht von einer Person mit ärztlicher Qualifikation geleitet werden. Bei Untersuchungen im Gesundheitsamt können mehrere Ärzte, die eine gleichartige Aufgabe ausüben, als Behandlungsteam angesehen werden. Sie dürfen sich dann gegenseitig die den Patienten betreffenden Informationen mitteilen bzw. diese im Dokumentenmanagementsystem (DMS) einsehen, soweit der Patient nicht ausdrücklich etwas anderes verfügt hat. Dies gilt jedoch nicht für die nicht ärztliche Leitung des Gesundheitsamtes. Denn die Amtsärzte sind in der Ausübung ihrer ärztlichen Fachkompetenz selbstständig und nicht an Weisungen gebunden. Dies gilt umso mehr, wenn die Leitung des Gesundheitsamtes durch eine nicht ärztliche Person wahrgenommen wird. In diesem Fall scheidet aus fachlichen wie aus rechtlichen Gründen eine Weisungsmöglichkeit aus. Andererseits muss die Leitung die Möglichkeit haben, organisatorische Informationen zur Kenntnis zu bekommen, um beispielsweise Arbeitsvolumen und planerische oder disziplinarische Fragen bewerten zu können.

Diese Vorgaben lassen sich umsetzen, wenn eine Rechtevergabe in einem Dokumentenmanagementsystem nicht nur an bestimmte Rollen gebunden ist, sondern die gespeicherten Dokumente mit bestimmten Eigenschaften versehen werden. So können solche Dokumente identifiziert werden, die von Ärzten erzeugt wurden oder nur diesen zugänglich sein sollen. Diese lassen sich unterscheiden von anderen, welche dem organisatorischen Bereich zugehören und damit in den Zugriffsbereich der Leitung fallen. Als das Gesundheitsamt das ULD um Beratung ersuchte, war eine solche Zuweisung von Eigenschaften an Dokumente nicht umgesetzt. Dennoch konnte eine zweckmäßige Lösung gefunden werden, die den rechtlichen Vorgaben genügt.

Die Beratung bestätigte einmal mehr, dass bereits bei der Beschaffung und Grundkonfiguration von Dokumentenmanagementsystemen darauf zu achten ist, dass eine detaillierte und differenzierte Vergabe von Rechten im Hinblick auf Rollen und die entsprechende Zuordnung von Eigenschaften zu Dokumenten möglich ist. Solche anspruchsvollen Systeme sollten in der Verwaltung zunächst dort eingeführt werden, wo weniger sensible Daten anfallen. Die dabei gewonnenen Erfahrungen können der Einführung in schwierigeren Bereichen wie einem Gesundheitsamt zugutekommen. Werden sensible Daten mit dem System verarbeitet, so ist eine Vorabkontrolle vor dem Start mit dem Dokumentenmanagementsystem unabdingbar.

Was ist zu tun?
Planung, Beschaffung und Einführung von Dokumentenmanagementsystemen müssen von Anfang an über Rechtevergaben das jeweils bereichsspezifisch geltende Datenschutzrecht berücksichtigen.

 

4.6.3      Mammografie-Screening  am Start

Viele Krebserkrankungen können erfolgreich bekämpft werden, wenn sie frühzeitig erkannt werden. Im Kampf gegen den Brustkrebs wird Frauen einer bestimmten Altersgruppe künftig ein Screening angeboten. Nach jetzigem Stand ist der Datenschutz dabei zufriedenstellend umgesetzt.

Bundesweit ist eine flächendeckende Röntgenreihenuntersuchung (Mammografie-Screening) für Frauen zwischen 50 und 69 Jahren geplant. Diese sollen alle zwei Jahre schriftlich zu einer freiwilligen Brustkrebsuntersuchung eingeladen werden (28. TB, Tz. 4.6.4). In Schleswig-Holstein wurde hierfür eine allgemeine gesetzliche Grundlage zur Durchführung von Reihenuntersuchungen (Reihenuntersuchungsgesetz – RUG) sowie eine auf die konkrete Maßnahme bezogene spezifische Verordnung erlassen. Diese Verordnung bestimmt die Kassenärztliche Vereinigung Schleswig-Holstein (KV SH) zur zentralen Stelle im Sinne der Regelungen zum Mammografie-Screening. Diese übernimmt das Management der Daten – die Sammlung der Daten der einzuladenden Frauen von den Einwohnermeldeämtern und die Aussendung der Einladungen. Die Befugnisse und Pflichten der zentralen Stelle sind in der Verordnung geregelt.

Da die Teilnahme am Screening freiwillig ist, müssen die Daten der eingeladenen Personen nicht dauerhaft gespeichert werden. Die Daten für die Einladungen stammen aus den kommunalen Melderegistern. Die angeschriebenen Frauen können unterschiedlich reagieren, was unterschiedliche Folgeverarbeitungen ihrer Daten nach sich zieht. Für diejenigen, die an der Untersuchung teilnehmen wollen, muss diese vorbereitet werden, insbesondere Ort (es wird vier Screening-Einheiten in Schleswig-Holstein geben) und Zeitpunkt. Melden Frauen zurück, derzeit nicht teilnehmen zu wollen, so muss sichergestellt werden, dass ihre Daten zunächst nicht weiterverarbeitet werden, dass sie aber zum nächsten möglichen Screening-Termin zwei Jahre später wieder eingeladen werden. Verweigert eine Frau die Teilnahme auch für die Zukunft, so wird eine generelle Sperre in das System eingetragen. Bei alledem ist zu vermeiden, dass die Daten der Frauen länger im System gespeichert werden als erforderlich für die jeweilige Umsetzung des geäußerten Verfahrenswunsches. Hierzu sind bestimmte Mechanismen, etwa der Einsatz kryptografischer Verfahren, geplant, womit die Speicherung der Klardaten solcher Frauen vermieden wird, die nicht zum angefragten Termin oder gar nicht teilnehmen wollen.

Die zentrale Stelle befindet sich noch im Aufbau. Details ihrer Arbeit wurden bereits mit dem ULD abgeklärt. Der datenschutzkonforme Einsatz der verwendeten Programme ist ein zentraler Aspekt. Die Machbarkeit hat sich in anderen Bundesländern schon erwiesen. Die KV SH hat langjährige Erfahrungen im Umgang mit sensiblen medizinischen Informationen und hat datenschutzrechtliche Belange bisher sehr ernst genommen.

Was ist zu tun?
Ein datenschutzkonformer Echtbetrieb ist unabdingbare Voraussetzung für die öffentliche Akzeptanz des Screening-Verfahrens.

 

4.6.4      Der private Praxisgebühreneintreiber

Die Einschaltung von privaten Dienstleistern für das Inkasso von Forderungen aus dem Sozialbereich ist nicht unproblematisch und an hohe Voraussetzungen gebunden.

Gesetzlich Versicherte müssen beim Besuch einer Arztpraxis in jedem Quartal eine Praxisgebühr von 10 Euro entrichten. Die Durchsetzung dieses Anspruchs obliegt zunächst der jeweilig zuständigen Kassenärztlichen Vereinigung. Die Kassenärztliche Vereinigung Schleswig-Holstein (KV SH) hat zur Aufgabenerledigung einen Vertrag mit einem Rechtsanwaltsbüro abgeschlossen, das sich auf sogenanntes Forderungsmanagement spezialisiert hat. Das ULD erfuhr hiervon erst durch eine Eingabe eines Kassenmitgliedes.

Die Einschaltung von Auftragsdatenverarbeitern im Sozialbereich ist unter bestimmten Voraussetzungen zulässig. Dazu gehören enge Bindungen und Vorgaben des Auftraggebers. Eine Auftragsvergabe an eine nicht öffentliche, d. h. private Stelle ist nur dann zulässig, wenn ohne diese Fremderledigung beim Auftraggeber Störungen im Betriebsablauf auftreten würden oder wenn die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können. Im zweiten Fall ist zudem Bedingung, dass nicht sämtliche beim Auftraggeber gespeicherten Daten an den Auftragnehmer weitergegeben werden dürfen (27. TB, Tz. 6.1).

Bei der Vergabe des Forderungsmanagements an einen privaten Dienstleister ist bereits fraglich, ob es sich begrifflich überhaupt um Auftragsdatenverarbeitung handelt. Dies wäre nicht der Fall, wenn die auftragnehmende Stelle eine eigene Entscheidungskompetenz im Hinblick auf die Durchführung des Forderungsmanagements hätte. Im konkreten Vertrag wurde daher genau festgelegt, in welcher Weise der Auftragnehmer für die KV SH das Inkassoverfahren durchführen soll. Weiterhin wurde uns dargelegt, dass auch der vom Gesetz geforderte erhebliche Vorteil im Hinblick auf die Kosten vorliegt.

Erfahrungen begründen Zweifel an der Zuverlässigkeit mancher Inkassounternehmen. Da hier konkret eine Rechtsanwaltskanzlei beauftragt wurde, ließen sich diese Zweifel nicht einfach übertragen. Die gesetzlich festgelegte Rechtsstellung von Anwälten sieht besondere Pflichten vor, mit denen eine besondere öffentliche Vertrauensstellung als unabhängiges Organ der Rechtspflege korrespondiert. Da im vorgelegten Vertrag jedoch nicht alle Details der Auftragsdatenverarbeitung wie gesetzlich gefordert geregelt waren, musste auf der Basis von Hinweisen des ULD eine Nachbesserung vorgenommen werden.

Was ist zu tun?
Um bei der Beauftragung von privaten Stellen mit der Verarbeitung von Sozialdaten zu verhindern, dass diese Daten außer Kontrolle geraten, sind die engen gesetzlichen Voraussetzungen streng zu prüfen und vertraglich umzusetzen.

 

4.6.5      Betrugsbekämpfung im Gesundheitswesen

Bei Krankenkassen und Pflegekassen sind Stellen zur Bekämpfung von Fehlverhalten im Gesundheitswesen zu bilden, die Anhaltspunkten für Unregelmäßigkeiten oder rechtswidriger Nutzung von Finanzmitteln nachgehen sollen. Ein Austausch von Sozialdaten zwischen diesen Stellen ist jedoch gesetzlich nicht vorgesehen.

Die Regelungen zur Betrugsbekämpfung wurden mit dem Gesundheitsmodernisierungsgesetz in das Sozialgesetzbuch V und IX eingeführt. Die Krankenkassen hatten die Stellen zur Bekämpfung von Fehlverhalten Anfang 2004 einzurichten. Im Abstand von zwei Jahren soll über die Arbeit dieser Stellen und die erzielten Ergebnisse an den Verwaltungsrat der jeweiligen Krankenkasse sowie an die zuständige Aufsichtsbehörde ein Bericht geschickt werden; dieser stand somit erstmals Ende 2005 an.

Dabei kam die Frage auf, ob die bei den einzelnen Kassen gebildeten Stellen auch dazu berechtigt seien, personenbezogene Daten einer Stelle an die Stelle einer anderen Krankenkasse weiterzugeben. Denkbar sind Angaben zu den Versicherten und deren Inanspruchnahme von Gesundheitsleistungen als auch Informationen über das Abrechnungsverhalten einzelner Leistungserbringer wie Ärzte oder Physiotherapeuten. Unsere Antwort war klar: Eine Weitergabe von personenbezogenen Daten ist nicht zulässig. Zwar ergibt sich aus den Vorschriften klar, dass die Stellen zur Bekämpfung von Fehlverhalten auf die Sozialdaten zurückgreifen dürfen, die bei der eigenen Kasse angefallen sind. Der Datenpool der Krankenkasse darf genutzt werden, um Anhaltspunkte für ein entsprechendes Fehlverhalten aufzuspüren. Die Weitergabe an andere Stellen ist dagegen aber nicht zugelassen, was aus der Gesetzesbegründung eindeutig hervorgeht. Sollte der Bundesgesetzgeber es für erforderlich halten, im Einzelfall Daten zum Zweck der Bekämpfung des Fehlverhaltens im Gesundheitswesen auszutauschen, so müsste er eine entsprechende Rechtsgrundlage schaffen.

Was ist zu tun?
Die Krankenkassen müssen die Grenzen der Vorschriften zur Errichtung der Stellen zur Bekämpfung von Fehlverhalten im Gesundheitswesen beachten. Ein Datenaustausch von einer Kasse zu einer anderen kommt zu diesem Zweck nicht in Betracht.

 

4.6.6      Fortbildungspunkte für Ärzte  – elektronisch erfasst und verteilt

Die Ärztekammer Schleswig-Holstein setzt im Verbund mit den Kammern der anderen Länder zunehmend auf elektronische Formen der Aufgabenerfüllung. Dazu gehört die elektronische Erfassung von Fortbildungspunkten für die ärztlichen Mitglieder.

Als den Ärzten im Land im September 2005 ein Bogen mit Barcode-Aufklebern zugesandt wurde, staunten einige nicht schlecht. Die Ärztekammer teilte ihnen mit, diese Aufkleber enthielten eine einheitliche Fortbildungsnummer (EFN), mit der die Kammer künftig die Fortbildungspunkte der Ärzte sammelt und verwaltet. Bei Erreichen der vorgeschriebenen Punktzahl werde das gesetzlich vorgesehene Fortbildungszertifikat ausgestellt.

Das Verfahren hatte schon Datenschutzbeauftragte anderer Länder beschäftigt. Die Barcode-Aufkleber sollen beim Besuch von Fortbildungsveranstaltungen in einer Teilnehmerliste eingeklebt werden. Der Veranstalter übermittelt die mittels des Barcodes gespeicherten Fortbildungsnummern an einen zentralen Server bei der Bundesärztekammer in Berlin. Die Nummern werden durch die Ärztekammern der Länder vergeben; eine Weitergabe der Zuordnungsfunktion nach Berlin erfolgt nicht. Daher sind die EFN für die Bundesärztekammer pseudonymisierte Daten, die sie nicht selbst einer Person zuordnen kann. Die Nummern, die eine Länderziffer enthalten, werden zurück an die Ärztekammer übermittelt, bei denen der an der Fortbildung teilnehmende Arzt Mitglied ist.

Es war schon bisher die Aufgabe der Landesärztekammern, auf Antrag der Ärzte einen Fortbildungsnachweis auszustellen. Der Unterschied zum früheren Verfahren besteht darin, dass die Landesärztekammern die Fortbildungspunkte bereits im Vorfeld über einen Zeitraum von fünf Jahren hinweg vor Ausstellung der Fortbildungsnachweise sammeln. Bisher mussten die Ärzte die Punkte selbst sammeln und für die Ausstellung des Nachweises bei der Ärztekammer einreichen, sodass die Angaben nur für einen kürzeren Zeitraum vorlagen.

Auch die neue Verfahrensweise ist vom einschlägigen Heilberufsgesetz des Landes gedeckt. Es ist Aufgabe der Kammer, die Erfüllung der Berufspflichten der Mitglieder – dazu gehört die Teilnahme an Fortbildungsveranstaltungen – zu überwachen. Die Erhebung und Verarbeitung der Teilnehmerdaten ist gesetzlich ausdrücklich vorgesehen. Die gefundene Verfahrensweise stellt sicher, dass die Identitätsdaten ausschließlich bei der Landesärztekammer vorliegen. Anders als bisher müssen die Ärzte ihre Identität nicht einmal bei der Teilnahme an den einzelnen Veranstaltungen offenbaren, was eine Verbesserung in Sachen Datensparsamkeit darstellt.

Die Übersendung der Barcode-Aufkleber hatte bei einigen Adressaten für – im Ergebnis unbegründete – Irritationen gesorgt. Inzwischen steht eine Informationsseite im Internet zur Verfügung, die das Verfahren sehr transparent darstellt:

@            www.eiv-fobi.de

Zudem hat die Ärztekammer klargestellt, dass die Ärzte nicht zur Teilnahme an dem neuen Verfahren verpflichtet sind. Wer seine Fortbildungspunkte selbst verwalten will, kann dies weiterhin tun und so verhindern, dass die Kammer im Vorfeld der Ausstellung der Zertifikate Kenntnis von den besuchten Veranstaltungen erhält.

Was ist zu tun?
Neue elektronische Verfahren stoßen oft, vor allem bei unzureichender Transparenz für die Betroffenen, auf Skepsis und Ablehnung, auch wenn sie datenschutzkonform sind. Ein Datenschutz-Audit kann dazu beitragen, Befürchtungen auszuräumen.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel