Benutzer-Werkzeuge

Webseiten-Werkzeuge


dighealth:ti:epa:optout

Opt-out ePA

Aktuelles (einwilligungsbasiertes) Opt-in-Verfahren

Gem. § 341 Abs. 1 S. 1 SGB V ist die ePA eine „versichertengeführte“ Akte, die Versicherten auf Antrag von ihrer Krankenversicherung zur Verfügung gestellt wird. „Versichertengeführt“ bedeutet,

dass der Versicherte bestimmt, welche Dokumente bzw. Datensätze im Einzelnen in der elektronischen Patientenakte gespeichert oder gelöscht werden und wer diese Daten mit Einwilligung des Versicherten in der elektronischen Patientenakte auslesen und in lokalen Datenverwaltungssystemen zur weiteren Verwendung speichern oder auch unmittelbar in der elektronischen Patientenakte verarbeiten darf.1)

Zwecks Anlage und Nutzung der ePA muss der Versicherte bei diesem einwilligungsbasierten Opt-in-Verfahren mehrere Entscheidungen treffen und jeweils aktiv werden. Deshalb spricht man auch von einem mehrstufigen Opt-in-Verfahren.

  • Antrag (inkl. Einwilligung und Identifikationsverfahren) und Aktivierung vor erstmaliger Nutzung (Stufe 1)
  • Berechtigungsvergabe an medizinische Institutionen zur
    • Befüllung, d.h. Speicherung von Dokumenten/Daten
    • Einsichtnahme bzw. dem Abruf von Dokumenten/Daten (Stufe 2)
  • Freigabe von Dokumenten/Daten für die Forschung (Stufe 3).

Manchmal wird die Stufe 2 auch noch weiter unterteilt, so dass von 4 oder gar mehr Stufen (falls man bspw. die Aktualisierung im Sinne einer Weiterverarbeitung als eigene Stufe sieht und hinzunimmt) die Rede ist. Bezüglich der 2. Stufe ist zudem zu berücksichtigen, dass die gesetzlichen Vorgaben die verschiedenen potentiellen Nutzer der ePA bereits in fest vorgegebene Berechtigungsgruppen einteilen2), die jeweils unterschiedlichen grundsätzlichen Zugriff auf die ePA-Daten haben. Diese Vorgaben können Versicherte selbstredend nicht umgehen bzw. aufheben.

Darüber hinaus ist gem. § 342 Abs. 2 Nr. 1 lit. e SGB V die auf Stufe 2 erteilte Zugriffsberechtigung standardmäßig auf eine Woche begrenzt. Ohne manuelle Anpassung dieses Zeitraum ist also die Berechtigungsvergabe nach einer Woche zu wiederholen. Eine unbegrenzte Verlängerung des Zeitraums bei Berechtigungsvergabe ist gem. § 342 Abs. 2 Nr. 2 lit. f SGB V seit 1.1.2022 möglich.3)

Weiterhin ist zu beachten, dass die Versicherten mit der Ausbaustufe der ePA zum 1.1.2022 ein sog. feingranulares Berechtigungsmanagement über das eigene Endgerät erhalten. Darüber können Versicherte die Zugriffsberechtigungen der Stufe 2 für Dokumentengruppen und auch Einzeldokumente steuern.4)

Mit dem aktuell gesetzlich definierte Opt-in-Verfahren steht insbesondere das Selbstmanagement von Gesundheitsinformationen durch die Versicherten im Vordergrund. Auch wenn nach erfolgter Berechtigung durch die Versicherten auch Heilberufler*innen Dokumente einstellen und einsehen können - also durchaus an der Aktenführung beteiligt sind - liegt die eigentliche Moderation der Akte immer bei den Patient*innen5), ganz im Sinne eines vielfach beschworenen „Patient Empowerment“ bzw. einer „Patientensouveränität“ als „Leitprinzip“6). Dies steht in einem Spannungsverhältnis zur Vollständigkeit und Qualität/Aktualität der Informationen, allerdings ist die ePA auch nicht als Ersatz für die medizinische Dokumentation der Heilberufler*innen gedacht.

Positionen zu Opt-Out-Lösung(en)

Von Experten- und Sachverständigenseite wird seit etwa 2021 ein Opt-out-Verfahren im Sinne einer Widerspruchslösung vorgeschlagen. Dabei steht eine Erleichterung der Nutzbarkeit sowie die Erhöhung der Akzeptanz und damit Nutzerzahlen im Vordergrund. Ziel ist die schneller Schaffung einer breiten und umfassenden Datenbasis zwecks (wissenschaftlicher) Nutz- und Auswertbarkeit, die dann letztlich auch der Versorgung zu Gute komme.

Sachverständigenrat Gesundheit

Der Sachverständigenrat kritisiert das derzeitige Opt-in-Verfahren als „umständliche(s) Einwilligungsverfahren“7) „in mehreren Stufen mit multiplen Wiederholungen“8) und schlägt anstelle dieses „Zustimmungsverfahrens“9) ein (zweistufiges) Opt-out-Verfahren im Gutachten "Digitalisierung für Gesundheit" (2021) des Sachverständigenrats zur Begutachtung der Entwicklung im Gesundheitswesen (Sachverständigenrats Gesundheit - SVR Gesundheit)10) vor:

Grundsätzlich sollte – per Opt-out-Verfahren (also Widerspruchsmöglichkeit) – eine ePA für jede Person (mit Geburt oder Zuzug) eingerichtet und damit zugleich der Zugriff auf ePA-Daten – die Einsichtnahme, Speicherung von Informationen und Verarbeitung – durch behandelnde Leistungserbringer ermöglicht werden.11)

Zudem schlägt der SVR Gesundheit einen Opt-out für einzelne Inhalte vor, bei dem ePA-Nutzer*innen Dokumente „verschatten“ und auf diese Weise der Einsichtnahme durch Leistungserbringer widersprechen zu können.(S. XXV, Nr. 12.)

Die Vorschläge sind eingebettet in eine grundsätzlichere Kritik an einem angeblich überholten Datenschutzverständnis.

Der Datenschutz muss im Sinne eines umfassenden Patientenschutzes neu gedacht werden.12)

und

Die alte Maxime der unbedingten Datensparsamkeit und strengen Zweckbindung ist von der Realität überholt worden.13)

Ähnlich wie der Deutsche Ethikrat (unter Verwendung des Begriffs „Datensouveränität“14)) empfiehlt der SVR:

Die informationelle Selbstbestimmung des Patienten/der Patientin sollte nicht länger allein als Schutz personenbezogener Daten verstanden werden. Datenschutz darf dem Anrecht jedes und jeder Versicherten auf eine adäquate Verarbeitung seiner und ihrer Gesundheitsdaten zum Zweck der bestmöglichen Behandlung und der Verbesserung des Gesundheitssystems sowie zum Zweck einer die Vorbeugung, Diagnose oder Behandlung verbessernden Forschung nicht entgegenstehen. Datenschutz muss diesen Grundanspruch jedes Menschen berücksichtigen und seine Erfüllung ermöglichen.15)

Das Gutachten zielt darauf ab, den

Tunnelblick auf die Norm der informationellen Selbstbestimmung zugunsten einer systemisch ausgewogenen normenbasierten Antwort zu überwinden, die die Würde und Rechte jedes und jeder Einzelnen ebenso schützt wie die Würde und Rechte anderer Einzelner, die um ihr Leben bangen oder ihre Gesundheit so gut wie möglich wiederhergestellt sehen möchten.16)

Auf diese Weise wird das Prinzip der informationellen Selbstbestimmung, wie es sich in der einwilligungsbasierten Lösung niederschlägt, in Kontrast zu einer effizienten und nutzerfreundlichen Lösung gestellt. Es ist sicherlich nicht von der Hand zu weisen, dass die geringen Nutzerzahlen der ePA auch auf Hürden im Rahmen des Beantragungs- und Berechtigungsverfahrens zurückzuführen sind. Viele weiter Schwächen der Konzeption ließen sich allerdings anführen, die andere Gründe haben und nicht aus dem Blick geraten sollten.

Weitere Sachverständige und Expert*innen

Auch der ExpertInnenenrat der Bundesregierung zu COVID-19 empfiehlt in seiner 4. Stellungnahme, den Vorschlägen des SVR zu folgen und der Wissenschaftsrat betont ebenfalls in die Bedeutung von Opt-out-Verfahren insbesondere für die Datenfreigabe im Wissenschaftsbereich im Rahmen seiner Positionierung Digitalisierung und Datennutzung für Gesundheitsforschung und Versorgung.

Gesundheitspolitik

Die obigen Vorschläge finden in allgemeiner Form Eingang in den Koalitionsvertrag der Bundesregierung17):

Wir beschleunigen die Einführung der elektronischen Patientenakte (ePA) … Alle Versicherten bekommen DSGVO-konform eine ePA zur Verfügung gestellt; ihre Nutzung ist freiwillig (opt-out).

Gemäß Arbeitsplanung des BMG soll das Opt-out-Verfahren für die ePA ab Anfang 2024 nutzbar sein.18)

Die Bundesregierung formuliert in ihrer Digitalstrategie für das Handlungsfeld Gesundheit und Pflege, dass sie sich 2025 daran messen lassen wolle, ob mindestens 80 % der GKV-Versicherten über eine ePA verfügen. Das BMG erarbeitet darüber hinaus eine Digitalisierungsstrategie, in deren Rahmen auch das Opt-out-Verfahren für die ePA eine Rolle spielen wird. Noch unter dem Eindruck einer Israelreise hat Frau Ozegowski (Abteilungsleiterin der Abteilung 5, Digitalisierung und Innovation) das Ziel bekräftigt, dass bis 2025 80 % aller Bürger eine ePA haben sollten. Diese Zielvorgabe wird also wohl auch in diese Digitalisierungsstrategie einfließen.19)

Die sich teils ausschließlich auf den Verbreitungsgrad fokussierende Zielsetzung und Diskussion legt den Verdacht nahe, dass es hier um einen vorzeigbaren gesundheitspolitischen Erfolgsnachweis geht, der einzig in der flächendeckenden Einführung einer ePA besteht. Dabei darf jedoch nicht aus dem Fokus geraten, dass die ePA auch tatsächlich nutzbar ist bzw. genutzt wird - sowohl von Patient*innen als auch Ärzt*innen.

Ärztliche Positionen

Der 126. Deutsche Ärztetag 2022 in Bremen

spricht sich dafür aus, dass für jeden Patient zukünftig initial durch seine Krankenkasse eine elektronische Patientenakte angelegt wird.
[…]
Der Zugriff auf die Daten der elektronischen Patientenakte soll ohne explizite Zugriffsfreigabe für alle Heilberufler ermöglicht werden, die an der Behandlung des Patienten beteiligt sind.

Die Bereitstellung von Daten aus der elektronischen Patientenakte für Forschungszwecke kann ohne explizite Zustimmung nur dann erfolgen, wenn der Patient vorab entsprechend einfach und verständlich zum Verwendungszweck der Daten aufgeklärt wurde.20)

Aus fachärztlicher (internistischer) Sicht „befürwortet“ auch die Deutsche Gesellschaft für Innere Medizin (DGIM) „die Planungen zur Umstellung der ePA auf ein Opt-out-Verfahren“ in einer Stellungnahme und gibt konkrete Empfehlungen mit welchen Informationen aus internistischer Sicht Ärzt:innen zukünftig die (heutige) ePA befüllen sollten.

Aus hausärztlicher Sicht muss die „im Zuge einer Opt-Out-Lösung für die ePA erwartbare deutliche Steigerung der Nutzenden […] durch ein pragmatisches Konzept zur Rechtevergabe flankiert werden“, zu den der Deutsche Hausärzteverband in einem Eckpunktepapier zur Nutzung der elektronischen Patientenakte im hausärztlichen Versorgungsalltag konkrete Vorschläge macht.

Positionen des Datenschutzes

Der Bundesbeauftrage für den Datenschutz und die Informationssicherheit behält sich derzeit noch eine Bewertung vor. Einige Vorschläge seien datenschutzkonform umsetzbar. „Datenschutzpolitisch“ sieht er das Vorgehen als problematisch an.

Anfangs hat die Politik den Bürgerinnen und Bürgern gesagt: Die ePA kommt und ihr könnt sie freiwillig nutzen. Nach sehr, sehr langer Verzögerung, die nichts mit IT-Fragen zu tun hatte, kam sie 2021. Allerdings fehlten anfangs Sicherheits- und Datenschutzfunktionen, die seit über zehn Jahre fest vereinbart waren. Es fehlten auch Dinge wie ein Medikationsplan oder eine Notfallakte. Zudem werden in der ePA PDF statt strukturierter Daten gespeichert. Also nutzen sie natürlich nur wenige. Und die Reaktion darauf ist nicht: Wir verbessern das. Sondern: Jetzt führen wir sie erst einmal automatisch für alle ein und ihr müsst Euch darum kümmern, einzuschränken, wer Eure Daten sehen kann. So schafft man kein Vertrauen.21)

Sonstige Positionen

Der Berufsverband Deutscher Psychologinnen und Psychologen sieht in seinerResolution zu Datenschutz / ePA die Intim- und Privatsphäre durch Einführung eines Opt-out-Verfahrens gefährdet.

Umsetzung

Rechtliche Ausgestaltungsmöglichkeiten (Bertelsmann-Studie)

Eine rechtswissenschaftliche Studie der Stiftung Münch und Bertelsmann Stiftung zu den Opt-out-Modellen für die ePA kommt zu dem Ergebnis, dass nach Maßgabe der DSGVO, dem GG und der GrCh datenschutzrechtlich Ausgestaltungsspielräume bestehen, die sich auf alle Stufen erstrecken.22)

Die gesetzlichen Grundlagen sollen laut BMG in einem Gesetz zu Mitte 2023 geschaffen werden.

Technische und fachliche Umsetzung

Die Gesellschafterversammlung der gematik hat der gematik am 7.11.2022 den Auftrag erteilt, Konzeption und grobe Planung für die Entwicklung einer Opt-out-Lösung der ePA zu erarbeiten („Prüfauftrag“). BSI und BfDI sind einzubeziehen. Zu berücksichtigen sind dabei folgende 4 Opt-Out-Optionen:
  • Automatische Anlage einer ePA
  • (Pflicht zur) ePA-Befüllung durch behandelnde Leistungserbringer
  • Zugriffsrecht für Leistungserbringer im Behandlungskontext
  • Automatisierte Datenweitergabe zu Forschungszwecken.23)
Diverses zur Technik

Derzeit erfolgt die Einrichtung eines Aktenkontos in zwei Schritten:

  1. Eröffnung eines Aktenkontos durch die Krankenkasse nach Beantragung der Versicherten
  2. Aktivierung des Aktenkontos durch den Versicherten inkl. Generierung der individuellen Aktenschlüssel

Schritt 1 könnte einfach im Rahmen einer Opt-Out-Regelung entfallen. Für Schritt 2 benötigt man ein Alternativkonzept, sonst ist eine weitere Aktivität des Versicherten notwendig, damit überhaupt jemand das Konto nutzen kann.

Öffentliche Meinung

Repräsentative Befragung Bertelsmann (2022)

Laut einer repräsentativen Haushaltsbefragung der Stiftung Münch und Bertelsmann Stiftung ist eine Mehrheit (65 %) für eine Opt-out-Lösung. 31 % würden allerdings die Widerspruchsmöglichkeit auch Nutzen, wobei 42 % dieser Gruppe wiederum für ein Opt-out-Verfahren votieren.24)

Das größte Vertrauen beim sorgsamen Umgang mit den Daten genießt die Ärzteschaft (84 %), weit vor den Krankenversicherungen (41 %) und - interessanterweise - Kliniken (30 %) und Universitäten (9 %). Weit abgeschlagen die Pharmaindustrie mit nur 1 %.

Immerhin 40 % würden alle Dokumente für alle Ärzt*innen vollständig freigeben, 50 % votieren für eine gezielte Freigabe, 46 % möchten einzelne Dokumente sperren können, 15 % gar unwiederbringlich löschen können.

Details möglicher Opt-out-Lösungen

Aspekte europäischer Opt-out-Lösungen

Quelle: KRÖNKE, Christoph, 2021. Die elektronische Patientenakte (ePA) im europäischen Datenschutzrechtsvergleich: Kritik der deutschen ePA-Konzeption im Lichte der Patientenaktensysteme Österreichs, Estlands und Spaniens. In: Neue Zeitschrift für Sozialrecht (NZS). 30(24), S. 949-957

  • In Estland und Spanien haben alle Heilberufler*innen zum Zweck der Versorgung Zugriff auf ePA-Daten. Es gibt keine gesetzlich definierten Berechtigungsgruppen wie in Deutschland. (S. KRÖNKE, S. 9)
  • Bezüglich differenzierter Berechtigungsvergabe gilt in Österreich die Regelung, dass bei besonders sensiblen Daten, zu denen Daten bzgl. HIV-Infektionen, psychischen Erkrankungen, explizit gesetzlich festgelegte genetische Daten und Schwangerschaftsabbrüche explizit über deren Aufnahme in die ELGA informiert und auf das bestehende Widerspruchsrecht hingewiesen werden muss. (KRÖNKE 2021, S. 11)
  • Das spanische Opt-out-Modell sieht keinen generellen Opt-out vor. (KRÖNKE 2021, S. 12)
  • Frankreich: ePA dort heißt Dossier Médical Partagé und wurde im Jahr 2006 mit einem ähnlichen Opt-in-Verfahren eingeführt, wie es aktuell für die deutsche ePA gilt. 2016 waren ca. 580 000 ePAs angelegt (1,5 %). Ende 2018 wurden daher einige strukturelle Änderungen vorgenommen, u.a. auch ein Opt-out-Verfahren, dass allen Heilberufler*innen Zugriff gewährte ohne weitern Widerspruch der Patient*innen. Nach etwa einem Jahr gab es in Frankreich acht Millionen ePAs (20 %)25)

SVR-Gutachten

Die Abbildung 1 zeigt den Detailvorschlag des SVR Gesundheit zum Opt-out der ePA.

Abb. 1: Detailvorschlag für ePA-Opt-out des SVR / Quelle: BT-Drs. 19/28700, S.93.

Ausgestaltungsspielräume gemäß Bertelsmann-Studie

  • Anlage
  • Befüllung
  • Einräumen von Berechtigungen von Akteuren zum Zugriff
  • Steuerung der Inhalte durch Patient*innen und Dritte

Anlage

  • automatische, einwilligungsunabhängige Anlage
    • ohne gesonderte Registrierungserfordernis
    • mit gesonderter Registrierungserfordernis

Befüllung

  • Befüllung
    • mit sämtlichen Gesundheitsdaten („All-in-Lösung“)
    • nach Datenkategorien differenziert
  • Befüllung
    • ex nunc
    • ex tunc

Berechtigungen

Aspekte bei der Ausgestaltung der Zugriffsberechtigungen

  • Modalitäten der Erteilung
  • sachliche Reichweite
  • Dauer
  • Entzug

Inhalte

  • Technischer Zugang zur Steuerung
  • Umfang/Granularität
  • Modalitäten der Entfernung
  • Steuerungsberechtigung
  • Informationelle Unterstützung bei der Steuerung (Hinweise/Kontrollfunktionen)

Die Abbildung 2 zeigt den Abwägungsprozess inkl. Bewertung der Studie zwischen den Ausgestaltungsmöglichkeiten.

Abb. 2: Abwägungsprozess für ePA-Opt-out / Quelle: BERTELSMANN STIFTUNG, 2022. Rechtswissenschaftliche Studie zum Thema Opt-out-Modelle für die Elektronische Patientenakte aus datenschutzrechtlicher Perspektive [online]. Gütersloh: Bertelsmann Stiftung [Zugriff am 11.10.2022]. Verfügbar unter: 10.11586/2022078, S. 89.

Neben einer (strikten) Opt-out-Lösung ist auch ein Hybridmodell zmöglich, bei dem an einigen Stellen zumindest Komponenten einer „Entscheidungslösung“ Eingang finden.
2)
§ 352 iVm § 341 Abs. 2 SGB V. Im Sinne der datenschutzrechtlichen Grundsätze der Erforderlichkeit und Datenminimierung haben lediglich Ärzt*innen, Zahnärzt*innen und Psychotherapeut*innen sowie deren berufsmäßige Gehilfen und Personal zur Vorbereitung auf den Beruf im Fall notwendiger Versorgung umfassenden Zugriff (Gruppe 1), andere Heilberufler*innen haben - auf Lesen, Speichern oder Einsicht bestimmter Dokumente/Daten - beschränkten Zugriff (Gruppe 2), ebenfalls sehr eingeschränkten Zugriff haben nicht direkt an der Versorgung Beteiligte, wie bspw. Apotheker (Gruppe 3). Andere Akteure wiederum haben keinerlei Zugriff (Gruppe 4).
3)
Bis dahin galt gem. § 342 Abs. 2 Nr. 1 lit. f SGB V eine maximale Verlängerungsdauer auf maximal 18 Monate . Spätestens nach diesem Zeitraum war also eine erneute Berechtigungsvergabe auf Stufe 2 notwendig.
4)
§ 342 Abs. 2 Nr. 2 lit. b SGB V.
5)
so auch schön früh und weniger irreführend als der Terminus von der „versichertengeführten“ Akte HAAS in https://www.bertelsmann-stiftung.de/fileadmin/files/BSt/Publikationen/GrauePublikationen/VV_eEPA_Expertise_final.pdf, S. 215f.
6)
So etwa KRÖNKE, Christoph, 2021. Die elektronische Patientenakte (ePA) im europäischen Datenschutzrechtsvergleich: Kritik der deutschen ePA-Konzeption im Lichte der Patientenaktensysteme Österreichs, Estlands und Spaniens. In: Neue Zeitschrift für Sozialrecht (NZS). 30(24), S. 949-957.
7)
BT-Drs. 19/28700, S. 86, Rn. 212.
8)
BT-Drs. 19/28700, S. 86, Rn. 211.
9)
BT-Drs. 19/28700, S. 85, Rn. 210.
11)
SACHVERSTÄNDIGENRAT ZUR BEGUTACHTUNG DER ENTWICKLUNG IM GESUNDHEITSWESEN, 2021. Digitalisierung für Gesundheit: Ziele und Rahmenbedingungen eines dynamisch lernenden Gesundheitssystems [Zugriff am 11.10.2022]. Verfügbar unter: https://www.svr-gesundheit.de/fileadmin/Gutachten/Gutachten_2021/SVR_Gutachten_2021.pdf, S. XXV Nr. 11.
12) , 13)
S. XXIV, Rn. 6.
15)
S. XXVII, Rn. 22.
16)
S. 17 Rn. 80.
17)
S. 85.
18)
Garrelts, Nantke. BMG macht gute Vorsätze für 2023, Tagesspiegel Background, 25.11.2022 (abgerufen am 25.11.2022).
20)
Beschluss Va 4, Beschlussprotokoll S. 343f.
22)
BERTELSMANN STIFTUNG, 2022. Rechtswissenschaftliche Studie zum Thema Opt-out-Modelle für die Elektronische Patientenakte aus datenschutzrechtlicher Perspektive [online]. Gütersloh: Bertelsmann Stiftung [Zugriff am 11.10.2022]. Verfügbar unter: 10.11586/2022078; vorab bereits ähnlich: KRÖNKE, Christoph, 2021. Die elektronische Patientenakte (ePA) im europäischen Datenschutzrechtsvergleich: Kritik der deutschen ePA-Konzeption im Lichte der Patientenaktensysteme Österreichs, Estlands und Spaniens. In: Neue Zeitschrift für Sozialrecht (NZS). 30(24), S. 949-957; vgl. a. den zusammenfassenden Artikel der Autoren der Bertelsmann-Studie: KRÖNKE, Christoph und Elissa TSCHACHLER, 2022. Ein Opt-out für die elektronische Patientenakte (ePA): Entfaltung und Bewertung von Gestaltungsoptionen eines Opt-out-Systems für die Nutzung der ePA zu Versorgungszwecken aus datenschutzrechtlicher Perspektive. In: Datenschutz und Datensicherheit - DuD. 46(7), S. 419-426. ISSN 1614-0702 und mit einem Vergleich rechtlicher Regelungen in anderen europäischen Ländern: AICHSTILL, Vanessa und Christoph KRÖNKE, 2021. Die elektronische Patientenakte und das europäische Datenschutzrecht: Möglichkeiten zur datenschutzkonformen Ausgestaltung elektronischer Patientenakten im europäischen Rechtsvergleich. Hg. von Stiftung Münch. Heidelberg: medhochzwei. ISBN 978-3-86216-851-4.
24)
s. Factsheet zur Befragung.
25)
BT-Drs. 19/27800, S. 80, Rn. 96.
dighealth/ti/epa/optout.txt · Zuletzt geändert: 2023/02/13 04:13 von fjh

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki