31.10.2019, 03:28
Pet 2-19-15-298-006325 Datenschutz
Der Deutsche Bundestag hat die Petition am 26.09.2019 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen nicht entsprochen werden
konnte.
Begründung
Mit der Petition wird vor dem Hintergrund der Datenschutz-Grundverordnung
(DSGVO) die Nutzbarkeit und Sicherheit der elektronischen Gesundheitskarte in Frage
gestellt.
Zur Begründung wird u. a. ausgeführt, die Datenschutz-Grundverordnung beschreibe
die Einbindung externer Datenverarbeiter als deutlich risikobehaftet, da Daten von
Patienten online transportiert werden müssen bzw. diese Daten von externen
Personen verarbeitet werden, deren Verschwiegenheit die einzelne Praxis nicht direkt
überprüfen kann.
Zu den Einzelheiten des Vortrags des Petenten wird auf die von ihm eingereichten
Unterlagen verwiesen.
Die Eingabe war als öffentliche Petition auf der Internetseite des Deutschen
Bundestages eingestellt. Es gingen 119 Mitzeichnungen sowie 6 Diskussionsbeiträge
ein.
Zu diesem Thema liegen dem Petitionsausschuss sechs weitere Eingaben mit
verwandter Zielsetzung vor, die wegen des Sachzusammenhangs einer gemeinsamen
parlamentarischen Prüfung zugeführt werden. Der Ausschuss bittet daher um
Verständnis, dass nicht auf alle vorgetragenen Gesichtspunkte eingegangen werden
kann.
Das Ergebnis der parlamentarischen Prüfung stellt sich auf der Grundlage einer
Stellungnahme der Bundesregierung wie folgt dar:
Die Einführung und Funktion der elektronischen Gesundheitskarte ist im Fünften
Sozialgesetzbuch (SGB V) gesetzlich geregelt. Sie gilt nach § 291a SGB V seit dem
01.01.2015 ausschließlich als Versicherungsnachweis in der gesetzlichen
Krankenversicherung (GKV).
Mit der elektronischen Gesundheitskarte und der Telematikinfrastruktur, der zentralen
Infrastruktur für eine sichere Kommunikation im Gesundheitswesen, besteht für
Patienten die Möglichkeit, ihre medizinischen Daten im Rahmen der medizinischen
Behandlung weiter- bzw. mitbehandelnden Ärzten zur Verfügung zu stellen. In § 291a
SGB V ist geregelt, welche medizinischen Anwendungen die elektronische
Gesundheitskarte unterstützen muss und wer auf die mittels der elektronischen
Gesundheitskarte gespeicherten medizinischen Daten zugreifen darf.
Mit dem "Gesetz für sichere digitale Kommunikation und Anwendungen im
Gesundheitswesen“ (E-Health-Gesetz) vom 21.12.2015 wurden die Voraussetzungen
dafür geschaffen, dass die Telematikinfrastruktur und zudem die medizinischen
Anwendungen der elektronischen Gesundheitskarte eingeführt werden können. Dabei
ist es das vorrangige Ziel des E-Health-Gesetzes, dass die Gesundheitsdaten, die für
eine Behandlung benötigt werden, schnell und sicher elektronisch zur Verfügung
stehen und so die Qualität der medizinischen Versorgung verbessert wird.
Für den Aufbau und den Betrieb der Telematikinfrastruktur wurde die Gesellschaft für
Telematikanwendungen der Gesundheitskarte mbH (gematik) von den
Spitzenorganisationen des Gesundheitswesens gegründet. Die Gesellschafter der
gematik sind der Spitzenverband Bund der Krankenkassen, die Kassenärztliche
Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, der
Deutsche Apothekerverband, die Deutsche Krankenhausgesellschaft und die
Kassenzahnärztliche Bundesvereinigung.
Datenschutz und Datensicherheit waren und sind zentrale Anforderungen an alle
eingesetzten technischen Komponenten und auch an die organisatorischen Verfahren
in der Telematikinfrastruktur. Der Aufbau der Telematikinfrastruktur erfolgt in enger
Abstimmung mit der Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit sowie dem Bundesamt für Sicherheit in der Informationstechnik.
Für die Zulassung von Komponenten und Diensten in der Telematikinfrastruktur ist
eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in
der Informationstechnik gemäß dem Stand der Technik und der aktuellen
Bedrohungslage erforderlich.
Das zentrale Netz der Telematikinfrastruktur ist ein in sich geschlossenes Netz. Der
Zugang zu diesem ist nur über sichere zentrale Zugangspunkte möglich. Eine
Anbindung an die Plattform der Telematikinfrastruktur setzt voraus, dass der jeweilige
Dienst ein Zulassungs- oder Bestätigungsverfahren bei der gematik durchlaufen hat.
Wird ein Fachdienst angeschlossen, muss dieser ebenfalls ein Zulassungs- oder
Bestätigungsverfahren bei der gematik durchlaufen haben. Sofern
Berufsgeheimnisträger beispielsweise externe IT-Dienstleister beauftragen, bleiben
die Daten zudem durch die Verschwiegenheitspflicht der Berufsgeheimnisträger
geschützt. Die IT-Dienstleister sind über eine "Verlängerung" des strafrechtlichen
Geheimnisschutzes in die Strafbarkeit des § 203 Strafgesetzbuch einbezogen.
Soweit der Petent befürchtet, dass eine VPN-Verbindung ("Virtuelles privates
Netzwerk") als nicht hundertprozentig sicher anzusehen ist, und dass Unbefugte sich
deshalb in den Besitz vertraulicher Daten bringen könnten, ist anzumerken, dass sich
die im Rahmen der Telematikinfrastruktur über eine solche Verbindung versendeten
Daten stets in verschlüsseltem Zustand befinden. Es ist für eine nicht im Besitz des
Schlüssels befindliche Person mit den heute verfügbaren technischen Mitteln nicht
möglich, nach den Standards der Telematikinfrastruktur verschlüsselte Daten zu
entschlüsseln und lesbar zu machen.
Der Sicherstellung von Datenschutz und Datensicherheit kommt in den
bereichsspezifischen gesetzlichen Vorgaben für Aufbau und Nutzung der
Telematikinfrastruktur bereits eine hohe Bedeutung zu. Das durch die "Verordnung
(EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum
freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
(Datenschutz-Grundverordnung)" und die nationalen Anpassungsgesetze geprägte
Datenschutzrecht schreibt im Wesentlichen die bisherigen datenschutzrechtlichen
Grundprinzipien fort. Die bekannten Grundsätze für die Rechtmäßigkeit der
Verarbeitung personenbezogener Daten bleiben bestehen. Die DSGVO hat insofern
keine spezifischen Auswirkungen auf die Regelungen des SGB V im Zusammenhang
mit dem Aufbau der Telematikinfrastruktur und den Anwendungen der elektronischen
Gesundheitskarte.
Die Einführung der Telematikinfrastruktur hat in den Arzt- und Zahnarztpraxen bereits
2017 begonnen. Mittlerweile sind rund 20.000 Arzt- und Zahnarztpraxen mit den hierfür
erforderlichen Hard- und Software-Komponenten an die sichere Telematikinfrastruktur
angeschlossen. Bislang sind bei den benötigten Komponenten nur Konnektoren eines
Anbieters am Markt verfügbar. 2018 sollen weiterer Anbieter hinzukommen, so dass
mit einer weiteren Steigerung der Installationszahlen zu rechnen ist.
Zur Erstattung der im Zusammenhang mit dem Anschluss an die Telematikinfrastruktur
in den Praxen entstehenden Kosten haben die Kassenärztliche Bundesvereinigung
und der GKV-Spitzenverband eine Finanzierungsvereinbarung geschlossen, in der
abhängig von der Praxisgröße Pauschalen sowohl für die notwendigen Anschaffungen
als auch für die laufenden Betriebskosten festgelegt sind. Die Vertragspartner haben
dabei degressiv gestaffelte Beträge für die Anschaffungspauschalen vorgesehen und
sich 2018 auf neue, der Marktsituation angepasste Eckpunkte hierzu verständigt.
Vor dem Hintergrund des Dargelegten vermag der Petitionsausschuss ein weiteres
Tätigwerden nicht in Aussicht zu stellen und empfiehlt daher, das Petitionsverfahren
abzuschließen, weil dem Anliegen nicht entsprochen werden konnte.
Die abweichenden Anträge der Fraktionen der AfD und DIE LINKE. die Petition der
Bundesregierung – dem Bundesministerium für Gesundheit – als Material zu
überweisen, wurde mehrheitlich abgelehnt.
Begründung (PDF)