Diese Frage war Gegenstand einer Informationsveranstaltung am 21.09.2019 in Frankfurt, zu der die „Stoppt-die-e-Card!“ – Unterstützergruppe Rhein Main eingeladen hatte, eine Bürger*innen-Initiative, in der gesetzlich Versicherte, (Zahn-)Ärzt*innen und Psychotherapeut*innen und Fachkräfte für Datenschutz zusammenarbeiten.
Hildegard Huschka und Claudia Reimer, beide niedergelassen als Psychotherapeutinnen im Schwalm-Eder-Kreis, waren als Referentinnen eingeladen. In ihren Vorträgen knüpften Sie an an aktuellen Entwicklungen wie die Stellungnahme der Datenschutz-Aufsichtsbehörden zur Telematik-Infrastruktur (TI)und den weltweiten Datenschutzskandal, von dem in 52 Staaten insgesamt ca. 24,5 Mio. Menschen und ihre Gesundheits- und Behandlungsdaten betroffen sind. Sie informierten über die vom Bundestag beschlossenen Rechtsgrundlagen für die TI, über den Widerstand unter den Praxis-Inhaber*innen gegen dieses Vorhaben und ihre eigene Motivation, sich an diesem Widerstand aktiv zu beteiligen.
In der Bildmitte Hildegard Huschka, rechts daneben Claudia Reimer. Beide haben sich frühzeitig gegen die Zwangsanbindung an die TI engagiert über den Arbeitskreis Psychotherapie Schwalm-Eder. Claudia Reimer ist 2. Vorsitzende des neu gegründeten Deutschen Psychotherapeuten Netzwerks, das aus dem Widerstand gegen die TI hervorgegangen ist. Ganz rechts im Bild Walter Schmidt von der „Stoppt-die-e-Card!“- Unterstützergruppe Rhein Main.
Hildegard Huschka zu ihren Motiven für den Widerstand: „Ich sehe mich allein von der technischen Seite überfordert. Schon als ich die Liste der notwendigen TI-Komponenten sah, hat es mir gereicht. Ich bin zwar edv-technisch leidlich begabt und recht gut ausgerüstet mit Smartphone, Heim-PC usw. Aber die digitale Aufrüstung meiner kleinen Praxis mit dem Risiko, dass Daten meiner Klientel unkontrollierbar in das geplante umfassende Netz wandern, war und ist für mich unvorstellbar. Ich habe aus guten Gründen Psychologie studiert und nicht Informatik… Für mich ist das Unterfangen des Gesetzgebers, das Land flächendeckend zu digitalisieren, völlig realitätsfremd… Bislang kann ich meinen Patienten zusichern: Was in der Praxis gesprochen wird, bleibt in der Praxis. Die therapeutische Schweigepflicht schafft einen Schutzraum, in dem auch schwierige, scham- und schuldbesetzte Themen und Gefühle Platz haben. Ich habe in meiner Praxis keinen Internetanschluß, wozu auch. Bestünde der erste Kontakt mit einem Patienten darin, mit seiner Chipkarte den sogenannten Versicherten-Stammdatenabgleich durchzuführen, würde das mein gesamtes Setting ändern. So begrüße ich persönlich, mit Blickkontakt, kann schon den ersten Eindruck mit einbeziehen. Ich arbeite mit mobilem Lesegerät, das auf dem Tisch liegt, und eher beiläufig, oft erst am Ende der Sitzung, lese ich die Daten ein. Ich habe noch nicht einen Betrugsfall in den vielen Jahren gehabt. Ich habe trotz eindringlichen Fragens und viel Lektüre überhaupt noch kein einziges Argument gefunden, das mich überzeugt, das die Einführung der TI in meiner Praxis Vorteile hätte. Nicht eines.“
Ähnlich Claudia Reimer: „Es geht um den gläsernen Patienten. Ich soll eigentlich die Befunde ins Netz stellen. Und die Betriebsärzte haben Zugriff? In § 291a SGB V werden Ärzte als zugriffsberechtigt aufgeführt. Das würde bedeuten, ich muss bei Patientinnen, die noch auf den ersten Arbeitsmarkt wollen, maximal eine Anpassungsstörung vergeben als Diagnose, keinesfalls eine rezidivierende Depression, Persönlichkeitsstörung etc. Das Arbeitsrecht würde ausgehebelt. 2 Mio. Beschäftigte im Gesundheitswesen – darf die Arzthelferin lesen, was ich schreibe? Ja. Steht auch in § 291a. Der MDK?- Sind auch Ärzte. Außerdem: Gesetze können sich ändern. In Österreich hat die schwarz- blaue Regierung die Datenschutzrechte deutlich verringert. Alles ganz legal. Und was in der Cloud ist, bleibt dort, selbst wenn sich die Gesetze wieder ändern. Ich würde rot anlaufen, wenn mich z.B. die Apothekenhelferin darauf anspricht, wie schlecht es doch dem armen Pat. XY geht. Wirklich etwas wie Befunde, Anamnesen etc. könnte ich somit gar nicht elektronisch kommunizieren. Aber genau das sieht das ehealth Gesetz vor… Nach den Plänen der Bundesregierung soll von 2021 an für jeden Versicherten eine sogenannte elektronische Patientenakte zur Verfügung stehen. Allerdings wird diese einen gravierende Malus haben. Anders als ursprünglich geplant, werden Nutzer zunächst keinen Einfluss darauf haben, welche persönlichen Informationen sie Ärzten, Apothekern oder Therapeuten zugänglich machen wollen. Der Grund dafür ist offenbar der immense Zeitdruck, mit dem Bundesgesundheitsminister Jens Spahn (CDU) das schon vor 15 Jahren angestoßene Projekt vorantreibt. Weil er dieses unbedingt noch vor Ablauf der Legislaturperiode durchziehen möchte, müssen datenschutzrechtliche Sorgfaltspflichten hintenanstehen. Neben dem Unterlaufen der Schweigepflicht, der Hackbarkeit und der unglaublichen Menge an Menschen, die die Daten lesen dürfen gibt es weitere Sicherheitsbedenken…“
Knapp 50 Personen, weit überwiegend (Zahn-)Ärzt*innen und Psychotherapeut*innen, unter ihnen auch Vertreter*innen verschiedener TI-kritischer Gruppen und Verbände, nahmen an der Veranstaltung teil und beteiligten sich lebhaft an der Diskussion.
Zwei in der Veranstaltung anwesende Datenschutz-Fachkräfte verwiesen auf die Europäische Datenschutz-Grundverordnung (DSGVO), die auch bei den nationalstaatlichen Regelungen zur TI (§§ 291a ff SGB V) zwingend zu beachten sind. Praxisinhaber*innen sind daher gut beraten, wenn sie die Rechtsgrundlagen zur Datenschutz-Folgeabschätzung in den Art. 35 bzw. Art. 36 DSGVO kennen und beachten, bevor sie einen Konnektor installieren lassen oder wenn sie die Absicht haben, diesen Konnektor wieder zu de-installieren. Ein Beispiel für eine solche Datenschutz-Folgeabschätzung ist hier
in anonymisierter Form veröffentlicht.
Roland Schäfer, Datenschutz-Fachkraft, Mitglied der Bürgerrechtsgruppe dieDatenschützer Rhein Main, informierte zur DSGVO und der Datenschutz-Folgeabschätzung.
Die Botschaft der Veranstaltung:
- TI-Verweigerer sollten unbedingt bei ihrer Haltung bleiben und sich weder von erhöhten Honorarabzügen oder sinkenden Zuschüssen beeindrucken lassen. Drohungen über Entziehung der Approbation oder der Kassenzulassung, wie in Einzelfällen schon geschehen, sind Einschüchterungsversuche. Weder das eine noch das andere ist möglich, weil man den TI-Anschluß aus guten Gründen verweigert. Im Gesetz steht, dass eine Verweigerung 1% Honorarabzug nach sich zieht, damit ist die Möglichkeit der Verweigerung juristisch gegeben.
- Wer sich aus welchen Gründen auch immer an die TI angeschlossen hat, kann jetzt noch aussteigen!
- TI-Verweigerer (und solche, die es wieder werden wollen) sollten, gestützt auf die DSGVO, eine Datenschutz-Folgeabschätzung vornehmen und ihrer jeweiligen Datenschutz-Aufsichtsbehörde (den Landesdatenschutzbeauftragten) zur Kenntnis und zur Stellungnahme zusenden. Dies ist auch eine nützliche Aktivität im Hinblick auf rechtliche Auseinandersetzungen über den Honorarabzug von 1 %.
- TI-Verweigerer sollten sich bei „TI-frei“, in ein Verzeichnis TI-freier Praxen aufnehmen lassen.
- Unbedingt die Petition „Gesundheitsdaten in Gefahr! Patient*innendaten gehören nicht ins Internet!“ unterstützen. Sie läuft bis Ende Oktober und braucht 50.000 UnterstützerInnen. Derzeit werden Unterschriften gesammelt, bald soll die online-Abstimmung möglich sein. Darüber können auch bestens die Patient*innen informiert werden, die immer noch ahnungslos sind, welche Art von Speicherung und Vernetzung ihrer Gesundheits- und Behandlungsdaten geplant ist.
- Auf die Patient*innen-Umfrage des Deutschen Psychotherapeuten Netzwerks hinweisen und auch diese nutzen, um Patient*innen zu informieren.
Zum Punkt 3. Datenschutzfolgenabschätzung sollte noch § 38 Abs. 1 Bundesdatenschutzgesetz berücksichtigt werden.
Wenn eine Datenschutzfolgenabschätzung angefertigt wird/werden muss, müssen Verantwortliche (hier ÄrzteInnen/PsychotherapeutInnen) einen Datenschutzbeauftragten benennen und an die Aufsichtsbehörde melden – und zwar unabhängig von der oft diskutierten Anzahl von derzeit zehn respektive demnächst 20 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind:
“Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.”
Das sollte in jedem Fall berücksichtigt werden, bevor eine Konsultation an die Aufsichtsbehörde geschickt wird.