Sommer, SGB V § 344 Einwilligung der Versicherten und Zulässigkeit der Datenverarbeitung ...

Norbert Finkenbusch

0 Rechtsentwicklung

Rz. 1

Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 344 regelt die Voraussetzungen für eine wirksame Einwilligung der Versicherten in die Einrichtung der elektronischen Patientenakte und die hierauf begründete Zulässigkeit der Datenverarbeitung.

1 Allgemeines

Rz. 2

Die Vorschrift regelt die Voraussetzungen für eine wirksame Einwilligung der Versicherten in die Einrichtung der elektronischen Patientenakte und die hierauf begründete Zulässigkeit der Datenverarbeitung durch die Krankenkassen, die Anbieter der elektronischen Patientenakte sowie die Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte. Damit sind keine Zugriffsrechte auf die in der elektronischen Patientenakte gespeicherten (medizinischen) Daten verbunden. Diese werden nicht von den Kassen und Anbietern erhoben und zu eigenen Zwecken gespeichert, sondern unterliegen der Selbstbestimmung der Versicherten. Die Zulässigkeit der Verarbeitung richtet sich nach §§ 352 ff.

2 Rechtspraxis

2.1 Datenverarbeitung durch Krankenkassen oder Anbieter (Abs. 1)

Rz. 3

Die Krankenkasse, der Anbieter der elektronischen Patientenakte sowie der Anbieter einzelner Dienste und Komponenten der elektronischen Patientenakte sind zur Verarbeitung personenbezogener Daten des Versicherten befugt, wenn der Versicherte

ausreichend informiert wurde (§ 343) und
in die Einrichtung der Patientenakte eingewilligt hat

(Satz 1). Formelle Anforderungen an die Einwilligung enthält die Vorschrift nicht. Verarbeitet werden dürfen die für die Einrichtung erforderlichen administrativen personenbezogenen Daten. Der Begriff "verarbeiten" ist in Anlehnung an die Legaldefinition des Art. 4 Nr. 2 DSGVO zu verstehen (Buchholtz, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 344 Rz. 12). Demnach ist "verarbeiten" jeder Vorgang "im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung".

Rz. 3a

Das Verfahren wird durch einen entsprechenden Antrag des Versicherten ausgelöst (§ 350). Anschließend darf die Krankenkasse versichertenbezogene Daten über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte übermitteln (Satz 2).

2.2 Speicherbefugnis der Krankenkassen oder Anbieter (Abs. 2)

Rz. 4

Verfügt der Versicherte über seine Daten (§§ 347 bis 351), sind die Krankenkasse, der Anbieter der elektronischen Patientenakte sowie der Anbieter einzelner Dienste und Komponenten der elektronischen Patientenakte befugt, die übermittelten Daten zu speichern (Satz 1). Sie dürfen dabei die Daten weder zur Kenntnis nehmen noch darauf zugreifen (Satz 2).

2.3 Anspruch auf Löschung (Abs. 3)

Rz. 5

Der Versicherte kann beanspruchen, seine Patientenakte vollständig zu löschen. Der Anspruch ist gegenüber der jeweiligen Krankenkasse durch einen entsprechenden öffentlich-rechtlichen Antrag geltend zu machen. Die Krankenkasse ist für die Löschung verantwortlich und veranlasst den Anbieter, tätig zu werden. Der Versicherte kann seinen Anspruch anlasslos und voraussetzungsfrei durchsetzen. Die Regelung stärkt die Patientensouveränität bezüglich der versichertengeführten elektronischen Patientenakte (BT-Drs. 19/18793 S. 118). Eine Frist für die Löschung fehlt in der Regelung. Aus dem Zusammenhang ergibt sich, dass der Versicherte einen zeitnahen Anspruch darauf hat und die Daten unverzüglich (§ 121 BGB) zu löschen sind. Daher muss die Krankenkasse das Löschungsbegehren des Versicherten unverzüglich an den Anbieter weiterleiten, welcher dann seinerseits unverzüglich die Löschung vorzunehmen hat (Buchholtz, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 344 Rz. 21 m. w. N.).

2.4 Unterstützung der datenschutzrechtlich Verantwortlichen (Abs. 4)

Rz. 6

Datenschutzrechtlich Verantwortliche (z. B. die Krankenkasse) haben keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten. Damit Versicherte ihre datenschutzrechtlichen Ansprüchen (z. B. Löschung, Korrektur oder Auskunft) wahrnehmen können, sind die dazu befähigten Leistungserbringer (z. B. Ärzte) verpflichtet, die datenschutzrechtlich Verantwortlichen (z. B. die Krankenkassen) zu unterstützen. Die Vorschrift erlaubt einerseits eine klare Zuteilung der Verantwortlichkeit und zum anderen eine ansonsten schwer umsetzbare Durchsetzung der datenschutzrechtlichen Ansprüche (BT-Drs. 19/18793 S. 118). Technische Schutzmaßnahmen haben weiterhin Vorrang vor datenschutzrechtlichen Ansprüchen der Versicherten (§ 308).