Am 19.11.2019 stellte die FDP-Bundestagsfraktion unter Federführung des leider wenige Tage danach verstorbenen MdB Jimmy Schulz eine Anfrage an die Bundesregierung. Die Antwort der Bundesregierung auf diese Anfrage hat es in sich.
Die „Vorbemerkung der Bundesregierung“ zu dieser Anfrage spiegelt das Prinzip Hoffnung wider: „Die Telematikinfrastruktur ist das sichere digitale Netz des Gesundheitswesens, in dem sensible Gesundheitsdaten sicher, verschlüsselt, einrichtungs- und sektorenübergreifend in Anwendungen der Telematikinfrastruktur gespeichert sowie zwischen bekannten Kommunikationspartnern ausgetauscht werden können. Wesentliche Kernanwendung der Telematikinfrastruktur zur Unterstützung der medizinischen Versorgung der Versicherten ist die elektronische Patientenakte.Datenschutz und Datensicherheit waren und sind zentrale Anforderungen an die Telematikinfrastruktur und die elektronische Patientenakte; der höchstmögliche Schutz der Gesundheitsdaten steht dabei im Mittelpunkt. Die dafür notwendigen technischen und organisatorischen Maßnahmen werden dabei dem Stand der Technik, aktuellen Bedrohungen sowie unter Berücksichtigung der Ergebnisse der Sicherheitsüberprüfungen angepasst.“ Schon wenige Tage später wurden beim CCC-Kongress in Leipzig deutlich, dass es doch nicht so weit her ist mit den „technischen und organisatorischen Maßnahmen“ zur Sicherung der TI vor unberechtigten Zugriffen.
Aber richtig spannend sind die Antworten auf die insgesamt 29 Fragen der FDP-Fraktion. Eine Auswahl:
- Frage 3: „Wie ist der aktuelle Stand der Ausgestaltung des für Herbst 2019 bzw. zeitnah angekündigten Datenschutzgesetzes für das Gesundheitswesen?“
- Antwort: „Eine detaillierte Klärung der datenschutzrechtlichen Anforderungen an die Einwilligung der Versicherten in den Zugriff auf Daten der elektronischen Patientenakte ist Gegenstand des sich derzeit in Vorbereitung befindlichen Gesetzentwurfs, der im ersten Quartal 2020 vorgelegt werden soll.“
- Frage 8: „Wer ist nach Ansicht der Bundesregierung der Verantwortliche für die Datenverarbeitung von Gesundheitsdaten oder Daten mit Personenbezug in der Telematikinfrastruktur nach Artikel 24 bzw. 26 DSGVO und § 291a Absatz 7 SGB V?“
- Antwort: „Verantwortlicher ist nach Artikel 4 Nummer 7 DSGVO die natürliche Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die datenschutzrechtliche Verantwortlichkeit in der Telematikinfrastruktur orientiert sich an den für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen, wie sie sich aus den einzelnen Bausteinen der Telematikinfrastruktur ergeben. Jeder Verantwortliche ist für den Bereich zuständig, in dem er über die Datenverarbeitung entscheidet. Die Frage der datenschutzrechtlichen Verantwortlichkeit in der Telematikinfrastruktur wird im Rahmen des o. g. Gesetzentwurfs (siehe Antwort zu den Fragen 1 bis 3) konkretisiert und gestaltet werden.“
- Frage 9: “Wer ist nach Ansicht der Bundesregierung die zuständige Aufsichtsbehörde für die Datenverarbeitung von Gesundheitsdaten oder Daten mit Personenbezug in der Telematikinfrastruktur im Sinne des Artikels 58 DSGVO?“
- Antwort: „Wer zuständige Aufsichtsbehörde ist, kann nicht für die Telematikinfrastruktur insgesamt beantwortet werden. Dies orientiert sich an dem Verarbeitungsvorgang und den insoweit Verantwortlichen.“
- Frage 12: „Wurde eine nach Artikel 35 DSGVO Datenschutzfolgenabschätzung (DSFA) für die TI und ihre Anwendungen durchgeführt, und wenn ja, wo ist diese einsehbar?Wenn nein, wird eine DSFA zu einem späteren Zeitpunkt durchgeführt, und wird diese veröffentlicht werden?“
- Antwort: „Auf die Antwort zu Frage 8 wird verwiesen. Nach Kenntnis der Bundesregierung wurde bisher keine Datenschutzfolgenabschätzung für die Telematikinfrastruktur durchgeführt…“
- Frage 13: „Sind Ärzte, Krankenhäuser und Apotheken verpflichtet, eine DSFA nach Artikel 35 DSGVO für die TI und ihre Anwendungen durchzuführen?Wenn ja, wer trägt die Kosten dieser DSFA?“
- Antwort: „Die Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung trifft nach Artikel 35 Absatz 1 DSGVO den jeweils datenschutzrechtlich Verantwortlichen. Hierzu wird auf die Antwort zu Frage 8 verwiesen. Davon unabhängig ergibt sich aus Erwägungsgrund 91 zur DSGVO, dass die Verarbeitung personenbezogener Daten nicht als umfangreich gelten sollte, wenn die Verarbeitung personenbezogener Daten von Patientinnen und Patienten durch eine einzelne Ärztin oder einen einzelnen Arzt oder sonstige Angehörigen eines Gesundheitsberufes erfolgt. Danach sollte in diesen Fällen eine Datenschutzfolgenabschätzung nicht zwingend vorgeschrieben sein…“
- Frage 18: „Welche Daten der elektronischen Gesundheitsakte sollen nach Kenntnis der Bundesregierung zentral gespeichert werden, und welche nicht?Wo werden die Daten gespeichert, die nicht zentral gespeichert werden?“
- Antwort: „Die Daten der elektronischen Patientenakte (ePA) nach § 291a SGB V werden beim Anbieter des ePA-Aktensystems, bei dem die Versicherte Kundin bzw. der Versicherte Kunde ist, verschlüsselt gespeichert. Die Daten der Anwendungen Notfalldaten und elektronischer Medikationsplan werden auf der elektronischen Gesundheitskarte gespeichert…“
- Frage 24: „Hat die Bundesregierung eine Position zu der von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) beschlossene Auffassung (www.datenschutzkonferenz-online.de/media/dskb/20190912_beschluss_zur_gematik.pdf ), dass die gematik die datenschutzrechtliche Alleinverantwortung für die zentrale Zone der TI und die datenschutzrechtliche Mithaftung für die dezentrale Zone der TI trägt?Wenn ja, welche?“
- Antwort: „Es wird auf die Antwort zu Frage 8 verwiesen.“