Sommer, SGB V § 339 Voraussetzungen für den Zugriff von ... / 2 Rechtspraxis

2.1 Einwilligung des Versicherten (Abs. 1)

Rz. 3

Zugriffsberechtigte (Leistungserbringer und andere zugriffsberechtigte Personen, z. B. berufsmäßige Gehilfen oder Apotheker) dürfen auf personenbezogene Daten der Versicherten in einer Anwendung der Telematikinfrastruktur zugreifen, soweit die Versicherten hierzu ihre vorherige Einwilligung erteilt haben (Satz 1). Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Der Kreis der zugriffsberechtigten Personen sowie die Voraussetzungen für den Zugriff ergeben sich aus §§ 352, 356, 357 und 359. Die Einwilligung des Versicherten ist vor dem Zugriff zu erteilen. Sie wird durch eine eindeutige bestätigende Handlung mittels einer technischen Zugriffsfreigabe erteilt (Satz 2). Zugriffsberechtigte dürfen anschließend auf

• die Patientenakte,
• die Erklärung zur Organ- und Gewebespende einschließlich möglicher Hinweise des Versicherten,
• die Vorsorgevollmacht oder Patientenverfügung,
• den Medikationsplan nach § 31a,
• die Notfalldaten oder
• die Patientenkurzakte

(§ 334 Abs. 1 Satz 2 Nr. 1 bis 5 und 7) zugreifen.

Rz. 3a

Die datenschutzrechtliche Einwilligung ist an § 183 BGB zu orientieren und kann als vorherige Einverständniserklärung in jeden Einzelakt einer Datenerhebung oder -verwendung eingeordnet werden. Nur die vorherige Zustimmung – auch durch einen Vertreter – und nicht etwa erst eine nachträgliche Genehmigung verleiht ihr eigene Legitimationskraft. Denn auf bereits begonnene Prozesse des Datenumgangs kann der Betroffene kaum wirksam Einfluss nehmen und etwaige Folgen können nicht wieder rückgängig gemacht werden (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 339 Rz. 22).

2.2 Ärztliche Verordnungen (Abs. 2)

Rz. 4

Zugriffsberechtigte (Leistungserbringer und andere zugriffsberechtigte Personen, z. B. berufsmäßige Gehilfen oder Apotheker) dürfen auf personenbezogene Daten (insbesondere Gesundheitsdaten) der Versicherten in einer elektronischen Verordnung (§ 334 Abs. 1 Satz 2 Nr. 6) zugreifen. Der Kreis der zugriffsberechtigten Personen sowie die Voraussetzungen für den Zugriff ergeben sich aus § 361. Vor dem Zugriff ist die Einwilligung des Versicherten erforderlich (BT-Drs. 19/18793 S. 110). Der Versicherte kann z. B. einwilligen, indem er eine Erkennungsmarke für das Kommunikationsnetz (Token) herausgibt, um dem Zugriffsberechtigten den Zugriff auf die Verordnungsdaten zu ermöglichen. Der Zugriffsberechtigte muss außerdem über einen elektronischen Heilberufsausweis oder Berufsausweis verfügen.

2.3 Authentifizierung und Protokoll (Abs. 3)

Rz. 5

Der Zugriff nach Abs. 1 erfordert neben der elektronischen Gesundheitskarte (eGK) des Versicherten oder seiner digitalen Identität (§ 291 Abs. 8 Satz 1) den elektronischen Heilberufsausweis der zugriffsberechtigten Person (Satz 1; alternativ: digitale Identität nach § 340 Abs. 6). Die zugreifende Person muss sich zusätzlich durch eine technische Komponente zur Authentifizierung der Leistungserbringerinstitution (SMC-B–Institutionskarte) ausweisen. Diese Karte weist eine Einheit oder Organisation des Gesundheitswesens aus (z. B. Praxis, Apotheke, Krankenhaus oder Organisationseinheit eines Krankenhauses). SMC-B, elektronischer Praxisausweis und elektronische Praxis-/Institutionskarte sind synonyme Begriffe für eine Smart Card, die zur Authentisierung der Praxis gegenüber der Telematikinfrastruktur und der eGK eingesetzt wird. Mithilfe eines Praxisausweises können z. B. besonders geschützte Daten auf der eGK in einer Arzt- oder Psychotherapeutenpraxis ausgelesen werden.

Rz. 6

Jeder Zugriff wird elektronisch protokolliert (Satz 2). Aus dem Protokoll ergibt sich, wer auf die Daten zugegriffen hat und welche Daten ausgelesen wurden.

2.4 Zugriff ohne eGK (Abs. 4)

Rz. 7

Leistungserbringer dürfen auf Daten der elektronischen Patientenakte, den Medikationsplan oder die Patientenkurzakte zugreifen, ohne die elektronische Gesundheitskarte des Versicherten zu nutzen (Satz 1). Der Zugriff ist nur möglich, wenn der Versicherte für einen von ihm bestimmten Zeitraum dem Leistungserbringer ein Zugriffsrecht eingeräumt hat. Der Versicherte kann Leistungserbringern dieses Zugriffsrecht zum einen direkt in der Praxis unter Einsatz seiner elektronischen Gesundheitskarte und der dezentralen Infrastruktur der Leistungserbringer (Praxisverwaltungssystem) erteilen. Zum anderen kann der Versicherte das Zugriffsrecht auch über die persönliche Benutzeroberfläche seines mobilen Endgeräts (Smartphone oder Tablet) oder die technischen Einrichtungen der Krankenkassen zur Wahrnehmung der Versichertenrechte einräumen. Für die Dauer des eingeräumten Zugriffsrechts können Leistungserbringer dann auch ohne Einsatz der elektronischen Gesundheitskarte bzw. in Abwesenheit des Versicherten auf Daten in dessen elektronischer Patientenakte zugreifen.

Rz. 7a

Satz 1 gilt nicht für den Zugriff auf Daten des Medikationsplans (§ 334 Abs. 1 Satz 2 Nr. 4), soweit diese auf der elektronischen Gesundheitskarte gespeichert sind (Satz 2).

2.5 Zugriff ohne Heilberufsausweis (Abs. 5)

Rz. 8

Wenn der Zugriff an Personen ohne elektronischen Heilberufsausweis oder entsprechenden Berufsausweis delegiert wird (z. B. berufsmäßige Gehilfen von Ärzten oder Zahnärzten...