1. Fragestellung
Die Wissenschaftlichen Dienste des Deutschen Bundestages wurden gebeten, verschiedene Fragestellungen zum Datenschutz und zur Datensicherheit im Zusammenhang mit der elektronischen vertragsärztlichen Verordnung, dem sogenannten E-Rezept, zu erörtern. Dabei sollte neben den Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten im Gesundheitsbereich (dazu Punkt 3.) insbesondere darauf eingegangen werden, inwieweit es nach geltender Rechtslage zulässig ist, personenbezogene Daten, insbesondere Gesundheitsdaten, aus dem E-Rezept zwecks weiterer Verarbeitung an Dritte im In- und Ausland zu übermitteln (dazu Punkt 4.1.). Ferner wurde die Frage aufgeworfen, welche Anforderungen diese Dritten im Hinblick auf Datenschutz und Datensicherheit bei der Verarbeitung der Daten zu beachten haben (dazu Punkt 4.2.). Auch sollte geprüft werden, wie sich die Verwendung des E-Rezeptes auf Umfang und Inhalt der datenschutzrechtlichen Aufklärungspflicht sowie auf die Freiwilligkeit der Einwilligung der Betroffenen in die Verarbeitung ihrer personenbezogenen Daten auswirkt (dazu Punkt 5.).
2. Einleitung
Die Einführung der elektronischen vertragsärztlichen Verordnung ist Teil des im Zuge der Digitalisierungsstrategie1 angestrebten Ausbaus der „elektronischen Gesundheitsdienstleistungen“. Als zentrale Plattform für Gesundheitsanwendungen soll die sog. Telematikinfrastruktur (TI) dabei den technischen Rahmen für die Übertragung digitaler Gesundheitsdaten und für die Einführung digitaler Angebote bilden. Gemäß § 306 Abs. 2 des Fünften Buches Sozialgesetzbuch (SGB V)2 umfasst die TI drei Komponenten: Neben einer dezentralen Infrastruktur – bestehend aus Komponenten zur Authentifizierung, zur elektronischen Signatur, zur Verschlüsselung sowie Entschlüsselung und zur sicheren Verarbeitung von Daten in der zentralen Infrastruktur – und einer zentralen Infrastruktur – bestehend aus sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste – gehört zur TI auch eine Anwendungsinfrastruktur. In diese ist gemäß § 334 Abs. 1 Nr. 6 SGB V auch die Anwendung „elektronische Verordnung“ eingebettet. Die Anwendung wiederum besteht aus einem Bündel unterschiedlicher funktionaler Module, nämlich der E-Rezept-App, dem E-Rezept-Fachdienst, dem Identitätsdienst, dem Apothekenverzeichnis sowie den Schnittstellen der IT-Systeme der Ärzte und Apotheker.3 Die Übermittlung personenbezogener Daten, die Gegenstand dieses Sachstandes ist, erfolgt durch die E-Rezept-App und den E-Rezept-Fachdienst. Dabei ermöglicht die von der Gematik GmbH angebotene App das Einscannen und das Einlösen von Rezepten sowie deren Verwaltung und Übermittlung.4 Der Fachdienst setzt als zentrales Serversystem zur Ausführung der Anwendung „elektronische Verordnung“ die E-Rezept-Workflows um und ermöglicht den Nachrichtenaustausch zwischen Apothekern und Versicherten; Anbieter des E-Rezept-Fachdienstes ist die IBM Deutschland GmbH.5
Zu den weiteren Einzelheiten der technischen Funktionsweise sowie der rechtlichen Grundlagen der Digitalisierung im Gesundheitswesen wird auf die Darstellungen im Sachstand WD 9 – 3000 – 008/236 verwiesen. Erläuterungen zum Rechtsrahmen für die elektronische Übermittlung und Verarbeitung von E-Rezepten in der TI können der Kurzinformation WD 9 – 3000 – 066/237 entnommen werden.
3. Verantwortliche und Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
Die Einhaltung der datenschutzrechtlichen Vorgaben bei der E-Rezept-App und dem E-Rezept-Fachdienst obliegt den nach Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO)8 Verantwortlichen. Vorgaben für die Verarbeitung von Gesundheitsdaten finden sich in Art. 6 und Art. 9 DS-GVO sowie in § 22 Bundesdatenschutzgesetz (BDSG)9.
3.1. Datenschutzrechtliche Verantwortlichkeit
Verantwortlicher für die Verarbeitung der Daten ist gemäß Art. 4 Nr. 7 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Vorgaben zu Zweck und Mitteln der Datenverarbeitung bei E-Rezept-App und E-Rezept-Fachdienst finden sich in den §§ 306 ff. SGB V, mithin im Recht eines Mitgliedstaates. Ferner werden die Verantwortlichen für die Datenverarbeitung im Zusammenhang mit dem E-Rezept in §§ 307, 311 Abs. 4 SGB V näher bestimmt.
Gemäß § 307 Abs. 4 Satz 2 SGB V sind die Anbieter für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten der Versicherten, zum Zweck der Nutzung des jeweiligen Dienstes der Anwendungsinfrastruktur verantwortlich. Wie bereits oben unter 2. dargelegt, handelt es sich bei dem E-Rezept-Fachdienst um einen Dienst der Anwendungsinfrastruktur, der von der IBM Deutschland GmbH angeboten wird. Folglich ist dieser Anbieter auch der gem. § 307 Abs. 4 Satz 2 SGB V Verantwortliche für die Datenverarbeitung durch den E-Rezept-Fachdienst.
Für die E-Rezept-App ergibt sich eine Verantwortlichkeit der Gematik GmbH aus § 311 Abs. 4 SGB V. Danach hat sie bei der Wahrnehmung ihrer Aufgaben die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sicherzustellen.
3.2. Art. 6 und 9 DS-GVO
Gemäß Art. 9 Abs. 1 DS-GVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt. Zu den vom Verarbeitungsverbot des Art. 9 Abs. 1 DS-GVO erfassten Gesundheitsdaten zählen gemäß Erwägungsgrund 35 Satz 1 DS-GVO alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören gemäß Erwägungsgrund 35 Satz 2 DS-GVO auch Informationen über die natürliche Person, Informationen, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der EU-Patientenmobilitätsrichtlinie10 für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen. Die im Zuge des E-Rezeptes verarbeiteten Angaben zur behandelten Person und zur verschriebenen Medikation stellen Gesundheitsdaten im vorgenannten Sinne dar. Ihre Verarbeitung durch Komponenten der Anwendung E-Rezept wie die E-Rezept-App und den E-Rezept Fachdienst ist gemäß Art. 9 Abs. 1 Satz 1 DS-GVO mithin grundsätzlich unzulässig.
Jedoch enthält Art. 9 Abs. 2 DS-GVO eine Reihe von Ausnahmetatbeständen zu dem in Art. 9 Abs. 1 Satz 1 DS-GVO normierten Verarbeitungsverbot. So gilt das Verbot des Art. 9 Abs. 1 DS-GVO nicht in Fällen, in denen die betroffene Person in die Verarbeitung ihrer Gesundheitsdaten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat, es sei denn, das Verbot kann nach Unionsrecht oder dem Recht der Mitgliedstaaten nicht durch die Einwilligung der betroffenen Person aufgehoben werden (vgl. Art. 9 Abs. 2 Buchst. a i.V.m. Art. 6 Abs. 1 Buchst. a DS-GVO). Daran anknüpfend verlangt § 361a Abs. 2 SGB V speziell für die Übermittlung von Daten aus dem E-Rezept nach § 361a Abs. 1 SGB V die Einwilligung des Versicherten.
Für andere Verarbeitungsvorgänge hingegen kommt es auf die Einwilligung des Betroffenen nicht an, wenn eine andere Ausnahme, welche die Datenverarbeitung erlaubt, einschlägig ist.
Eine Ausnahme vom Verarbeitungsverbot gilt gemäß Art. 9 Abs. 2 Buchst. h, Abs. 3 i.V.m. Art. 6 Abs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DS-GVO auch dann, wenn die Verarbeitung für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Art. 9 Abs. 3 DS-GVO genannten Bedingungen und Garantien (dazu näher unten unter 4.2.) erforderlich ist. Als Aufgaben im öffentlichen Interesse werden in der Norm beispielhaft Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, die Beurteilung der Arbeitsfähigkeit des Beschäftigten, die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich genannt. Die Verarbeitung von Gesundheitsdaten ist für den Betrieb und die Nutzung der Anwendung E-Rezept zwingend erforderlich.
Sie dient der Verwaltung von Systemen und Diensten im Gesundheitsbereich und somit einer im öffentlichen Interesse liegenden Aufgabe. Ferner überträgt § 307 Abs. 4 Satz 1 SGB V als mitgliedstaatliche Norm den jeweiligen Anbietern die Aufgabe, die Dienste der Anwendungsinfrastruktur zu betreiben. Die Verarbeitung von Gesundheitsdaten durch die E-Rezept-App und den E-Rezept-Fachdienst kann mithin auf Art. 9 Abs. 2 Buchst. h, Abs. 3 i.V.m. Art. 6 Abs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DS-GVO gestützt werden.
Einschlägig dürfte vorliegend auch Art. 9 Abs. 2 Buchst. i i.V.m. Art. 6 Abs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DS-GVO sein. Danach ist die Verarbeitung von Gesundheitsdaten zulässig, wenn dies aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist und auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erfolgt. Ausführungen zu den vorgeschriebenen Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person sind unten unter Punkt 4.2. zu finden. Die übrigen Voraussetzungen liegen, wie im vorstehenden Absatz bereits dargelegt, vor, so dass auch Art. 9 Abs. 2 Buchst. ii.V.m. Art. 6 Abs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DS-GVO eine taugliche Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten durch die Anwendung E-Rezept darstellt.
3.3. § 22 BDSG
Gemäß Art. 9 Abs. 4 DS-GVO können die Mitgliedstaaten zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von Gesundheitsdaten betroffen ist. Von dieser landesrechtlichen Öffnungsklausel hat Deutschland mit dem Erlass von § 22 BDSG Gebrauch gemacht. § 22 Abs. 1 BDSG bestimmt verschiedene Konstellationen, in denen die Verarbeitung von Gesundheitsdaten abweichend von dem grundsätzlichen Ver-bot in Art. 9 Abs. 1 Satz 1 DS-GVO zulässig ist. Allerdings zeichnen die in § 22 Abs. 1 Buchst. b bis d BDSG aufgeführten Fälle weitestgehend nur den Wortlaut einiger Ausnahmetatbestände aus Art. 9 Abs. 2 DS-GVO nach, so dass ihnen kaum eigenständige normative Bedeutung zukommt.11
So dient § 22 Abs. 1 Nr. 1 Buchst. b BDSG der Ausfüllung von Art. 9 Abs. 2 Buchst. h DS-GVO und übernimmt weitestgehend dessen Wortlaut.12 Der Wortlaut von § 22 Abs. 1 Nr. 1 Buchst. c BDSG entspricht dem von Art. 9 Abs. 2 Buchst. i DS-GVO, so dass auch dieser mitgliedstaatlichen Vorschrift kein eigenständiger Gehalt zukommt.13
4. Übermittlung von Gesundheitsdaten an Dritte im In- und Ausland
Werden personenbezogene Daten aus dem E-Rezept zwecks weiterer Verarbeitung an Dritte im In- oder Ausland übermittelt und von diesen verarbeitet, so gelten für diese Vorgänge neben den vorstehend erläuterten allgemeinen Bestimmungen die Vorschriften der §§ 360 ff. SGB V. Soweit diese Regelungen die Übermittlung von Gesundheitsdaten an Dritte und die von diesen bei der Verarbeitung einzuhaltenden Anforderungen an Datenschutz und Datensicherheit betreffen, werden diese im Folgenden näher dargestellt. Im Übrigen wird auf die oben unter Punkt 2. erwähnten und verlinkten Arbeiten der Wissenschaftlichen Dienste verwiesen.
4.1. Vorgaben zur Übermittlung an Dritte im In- oder Ausland
Zunächst ist festzuhalten, dass die Komponenten und Dienste des E-Rezept-Systems ausweislich der gemäß Art. 35 DS-GVO erstellten Datenschutz-Folgenabschätzung14 keine Daten in Drittländer außerhalb des Geltungsraums der DS-GVO übermitteln. Tatsächlich müssen Anbieter von mittels der TI erreichbaren Diensten aufgrund der für sie geltenden technischen Spezifikationen15 sicherstellen, dass sich die Betriebsumgebungen ihrer Dienste auf dem Gebiet eines EU-Mitgliedstaates befinden. Für Datentransfers im Zusammenhang mit dem E-Rezept sind die Vorgaben über die Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen in den Art. 44 ff. DS-GVO daher unbeachtlich.
Übermittlung und Verarbeitung von Daten aus dem E-Rezept richten sich nach §§ 360 ff. SGB V.
§ 361 SGB V regelt den Zugriff auf ärztliche Verordnungen in der TI. Der Kreis der zugriffsberechtigten Personen wird in den ersten drei Absätzen der Vorschrift näher bestimmt. Diese lauten wie folgt16:
(1) Auf Daten der Versicherten in vertragsärztlichen elektronischen Verordnungen dürfen ausschließlich folgende Personen zugreifen:
1. Ärzte, Zahnärzte sowie Psychotherapeuten, die in die Behandlung der Versicherten eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten, die von ihnen nach § 360 übermittelt wurden, ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist;
2. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 1 auch Personen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit der Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht einer Person nach Nummer 1 erfolgt,
a) bei Personen nach Nummer 1,
b) in einem Krankenhaus oder
c) in einer Vorsorgeeinrichtung oder Rehabilitationseinrichtung nach § 107 Absatz 2 oder in einer Rehabilitationseinrichtung nach § 15 Absatz 2 des Sechsten Buches oder bei einem Leistungserbringer der Heilbehandlung einschließlich medizinischer Rehabilitation nach § 26 Absatz 1 Satz 1 des Siebten Buches oder in der Haus- oder Heimpflege nach § 44 des Siebten Buches;
3. Apotheker mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Versorgung des Versicherten mit verordneten Arzneimitteln erforderlich ist und ihnen die für den Zugriff erforderlichen Zugangsdaten nach § 360 Absatz 9 vorliegen;
4. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 3 auch zum pharmazeutischen Personal der Apotheke gehörende Personen, deren Zugriff
a) im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und
b) unter Aufsicht eines Apothekers erfolgt, soweit nach apothekenrechtlichen Vorschriften eine Beaufsichtigung der mit dem Zugriff verbundenen pharmazeutischen Tätigkeit vorgeschrieben ist;
5. sonstige Erbringer ärztlich verordneter Leistungen nach diesem Buch mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Versorgung der Versicherten mit der ärztlich verordneten Leistung erforderlich ist und ihnen die für den Zugriff erforderlichen Zugangsdaten nach § 360 Absatz 9 vorliegen.
Auf Dispensierinformationen nach § 360 Absatz 11 dürfen nur die Versicherten zugreifen.
(2) Auf Daten der Versicherten in vertragsärztlichen elektronischen Verordnungen dürfen zugriffsberechtigte Leistungserbringer und andere zugriffsberechtigte Personen nach Absatz 1 und nach Maßgabe des § 339 Absatz 2 nur zugreifen mit
1. einem ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen,
2. einem ihrer Berufszugehörigkeit entsprechenden elektronischen Berufsausweis in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen oder
3. einer digitalen Identität nach § 340 Absatz 6 in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen.
Es ist nachprüfbar elektronisch zu protokollieren, wer auf die Daten zugegriffen hat.
(3) Die in Absatz 1 genannten zugriffsberechtigten Personen, die weder über einen elektronischen Heilberufsausweis noch über einen elektronischen Berufsausweis verfügen, dürfen nach Maßgabe des Absatz 1 nur zugreifen, wenn
1. sie für diesen Zugriff von Personen autorisiert sind, die verfügen über
a) einen ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis oder
b) einen ihrer Berufszugehörigkeit entsprechenden elektronischen Berufsausweis und
2. nachprüfbar elektronisch protokolliert wird,
a) wer auf die Daten zugegriffen hat und
b) von welcher Person nach Nummer 1 die zugreifende Person autorisiert wurde.
Werden Daten der Versicherten, auf die nach § 360 Abs. 2 SGB V zugegriffen werden darf, an einen in einem anderen EU-Mitgliedstaat nach dem Recht des jeweiligen Mitgliedstaats zum Zugriff auf Verordnungsdaten berechtigten Leistungserbringer zum Zweck der Unterstützung einer Behandlung des Versicherten übermittelt, so bedarf dies gemäß § 361 Abs. 5 Satz 1 SGB V der vorherigen Einwilligung durch den Versicherten in die Nutzung des Übermittlungsverfahrens.
Zusätzlich ist gemäß § 361 Abs. 5 Satz 2 SGB V erforderlich, dass der Versicherte zum Zeitpunkt der Einlösung der Verordnung die Übermittlung an die nationale eHealth-Kontaktstelle des Mitgliedstaats, in dem die Verordnung eingelöst wird, durch eine eindeutige bestätigende Handlung technisch freigibt. Ferner bestimmt § 361 Abs. 5 Satz 3 SGB V, dass für die Verarbeitung der Daten durch einen Leistungserbringer in einem anderen EU-Mitgliedstaat die Bestimmungen des Mitgliedstaats Anwendung finden, in dem die Verordnung eingelöst wird. Hierbei finden gemäß § 361 Abs. 5 Satz 4 SGB V die gemeinsamen europäischen Vereinbarungen zum grenzüberschreitenden Austausch von Gesundheitsdaten17 Berücksichtigung. Des Weiteren hat der Spitzenverband Bund der Krankenkassen, Deutsche Verbindungsstelle Krankenversicherung – Ausland, die Versicherten gemäß § 361 Abs. 5 Satz 5 SGB V über die Voraussetzungen und das Verfahren bei der Übermittlung und Nutzung von Daten der elektronischen Verordnung zum grenzüberschreitenden Austausch von Gesundheitsdaten über die nationale eHealth-Kontaktstelle zu informieren.
Im Übrigen müssen Daten aus elektronischen Verordnungen von verschreibungspflichtigen Arzneimitteln gemäß § 361a Abs. 1 Satz 1 SGB V an die folgenden an die Telematikinfrastruktur angeschlossenen und mit den Mitteln der Telematikinfrastruktur authentifizierten Berechtigten übermittelt werden können18:
1. Hersteller von digitalen Gesundheitsanwendungen nach § 33a, sofern die Daten für den bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die jeweiligen Versicherten erforderlich sind und die jeweiligen Versicherten diese digitale Gesundheitsanwendung nutzen,
2. Krankenkassen der jeweiligen Versicherten, soweit dies für individuelle Angebote zur Verbesserung der Versorgung der jeweiligen Versicherten sowie zur Bewilligung von Leistungen vor einer Inanspruchnahme verordneter Leistungen erforderlich ist,
3. Unternehmen der privaten Krankenversicherung der jeweiligen Versicherten, soweit dies für individuelle Angebote zur Verbesserung der Versorgung oder zu Abrechnungszwecken erforderlich ist,
4. Apotheken, sofern die Daten im Rahmen des Apothekenbetriebs zur Unterstützung der Versorgung der Patienten erforderlich sind,
5. Vertragsärzte und Vertragszahnärzte, die in einem Behandlungsverhältnis mit den jeweiligen Versicherten stehen, soweit dies zur Unterstützung der Behandlung erforderlich ist,
6. Krankenhäuser, die in einem Behandlungsverhältnis mit den jeweiligen Versicherten stehen, soweit dies zur Unterstützung der Behandlung erforderlich ist,
7. Vorsorgeeinrichtungen und Rehabilitationseinrichtungen, die in einem Behandlungsverhältnis mit dem jeweiligen Versicherten stehen, soweit dies zur Unterstützung der Behandlung erforderlich ist.
Während dabei die elektronischen Zugangsdaten, die die Einlösung eines E-Rezeptes für verschreibungspflichtige Arzneimittel ermöglichen, gemäß § 361a Abs. 1 Satz 2 SGB V nicht übermittelt werden dürfen, ist dies gemäß § 361a Abs. 2 SGB V für die übrigen in einer solchen ärztlichen Verordnung enthaltenen Daten mit Einwilligung der versicherten Person möglich.
4.2. Vorgaben zur Datensicherheit bei Übermittlung und Verarbeitung von Gesundheitsdaten
Vorgaben zur Datensicherheit bei der Übermittlung und der Verarbeitung von Gesundheitsdaten finden sich zunächst in der DS-GVO. So dürfen Gesundheitsdaten gemäß Art. 9 Abs. 3 DS-GVO für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich nur verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
Des Weiteren treffen der für eine Datenverarbeitung Verantwortliche (wie z.B. die Gesellschaft für Telematik oder IBM Deutschland, vgl. oben Punkt 3.1.) und der Auftragsdatenverarbeiter (z.B. ein Subunternehmer, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet) gemäß Art. 32 Abs. 1 DS-GVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Diese unionsrechtliche Vorgabe wird speziell für die Verarbeitung von Gesundheitsdaten nach § 22 Abs. 1 BDSG (vgl. oben Punkt 3.3.) in § 22 Abs. 2 BDSG näher spezifiziert. Dort heißt es:
In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
1. technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4. Benennung einer oder eines Datenschutzbeauftragten,
5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
6. Pseudonymisierung personenbezogener Daten,
7. Verschlüsselung personenbezogener Daten,
8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.
Ferner bestimmt § 361a Abs. 3 Satz 2 SGB V, dass die Verarbeitung von Daten, die nach § 361a Abs. 1 SGB V übermittelt wurden, die Wirksamkeit der Maßnahmen zur Gewährleistung von Datensicherheit und Datenschutz sowie die Verfügbarkeit und Nutzbarkeit der vertragsärztlichen elektronischen Verordnung nicht beeinträchtigen darf. Die Gematik GmbH veröffentlicht gemäß § 361a Abs. 3 Satz 3 SGB V im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die durch die in § 361a Abs. 1 SGB V genannten Berechtigten zu erfüllenden Vorgaben bezüglich Datensicherheit und Datenschutz. Die Veröffentlichung dieser Vorgaben ist nach Auskunft der Gematik GmbH bislang nicht erfolgt, da das Bundesministerium der Gesundheit (BMG) zunächst im Wege einer Rechtsverordnung gemäß § 361a Abs. 5 SGB V einige technische Festlegungen vornehmen müsse. Bislang hat das BMG lediglich einen Referentenentwurf19 für eine Verordnung über Schnittstellen des E-Rezept-Fachdienstes veröffentlicht.
5. Freiwilligkeit und Informiertheit der Einwilligung
Eine Einwilligung in die Anwendung E-Rezept ist grundsätzlich nicht erforderlich, da mit Art. 9 Abs. 2 Buchst. h, Abs. 3 i.V.m. Art. 6 Abs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DS-GVO bzw. Art. 9 Abs. 2 Buchst. i i.V.m. Art. 6 Abs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DS-GVO gesetzliche Grundlagen für die Verarbeitung von Gesundheitsdaten eingreifen (siehe oben unter Punkt 3.2.).
Eine Datenübermittlung gemäß § 361a Abs. 1 SGB V erfordert hingegen eine Einwilligung des Versicherten (vgl. Art. 9 Abs. 2 Buchst. a i.V.m. Art. 6 Abs. 1 Buchst. a DS-GVO i.V.m. § 361a Abs. 2 SGB V). Die Einwilligung wird in Art. 4 Nr. 11 DS-GVO definiert als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Als freiwillig ist die Einwilligung nur dann anzusehen, wenn sie ohne jeden Druck oder Zwang abgegeben werden kann.20 Der Freiwilligkeit könnte daher der Umstand entgegenstehen, dass die Nutzung der Telematikinfrastruktur für die vertragsärztliche Verordnung apothekenpflichtiger Arzneimittel sowie sonstiger in der vertragsärztlichen Versorgung verordnungsfähiger Leistungen gemäß § 360 Abs. 1 bis 7 SGB V grundsätzlich zwingend vorgeschrieben ist. Dies könnte bedeuten, dass die Versicherten eine vertragsärztliche Verordnung nur noch dann erhalten und verwenden können, wenn sie in die Datenübermittlung im Rahmen der Anwendung E-Rezept einwilligen. Allerdings enthalten § 360 Abs. 2 bis 7 SGB V Ausnahmen von der Pflicht zur Nutzung der Telematikinfrastruktur, wenn dies aus technischen Gründen im Einzelfall nicht möglich ist.
Dies wäre beispielsweise dann der Fall, wenn die Versicherten nicht über ein geeignetes Endgerät für die Nutzung der Anwendung E-Rezept verfügen oder die App nicht installiert haben. Daher besteht kein Zwang zur Einwilligung in die Datenübermittlung gemäß § 361a Abs. 2 SGB V, so dass diese freiwillig erfolgt.
Die Informiertheit der Einwilligung setzt voraus, dass den betroffenen Personen vor Abgabe der Einwilligungserklärung sämtliche Informationen zur Verfügung gestellt wurden, die notwendig sind, um die Umstände der Datenverarbeitung sowie ihre Auswirkungen und damit die Tragweite ihrer Einwilligung überblicken zu können.21 Dabei muss der Verantwortliche die Information so abfassen, dass sie für die Betroffenen unter Berücksichtigung ihrer (inhaltlichen) Vorkenntnisse, ihres Verständnisniveaus sowie ihrer Sprachkenntnisse verständlich ist; daher darf die Information auch nur so umfangreich sein, dass die Einwilligenden sie auch tatsächlich zur Kenntnis nehmen können, weshalb gerade bei komplexen Datenverarbeitungen eine gewisse Unschärfe bei der Information erforderlich sein kann.22 Es muss jedoch stets sichergestellt werden, dass die Information für die Betroffenen so leicht zugänglich ist, dass sie diese in zumutbarer Weise aufnehmen können.23 Zur Form der Information (z.B. schriftlich, in Textform, mündlich, elektronisch) macht die DS-GVO keine Vorgaben.24
Für jeden der in § 361a Abs. 1 SGB V aufgeführten Übermittlungsvorgänge müssen den Betroffenen vor ihrer Einwilligung daher Informationen über die übermittelten Daten, Zweck und Umfang der Datenverarbeitung, die datenverarbeitende Stelle und über ihre Betroffenenrechte erteilt werden.
1 Bundesministerium für Gesundheit (BMG), Gemeinsam digital, Digitalisierungsstrategie für das Gesundheitswesen und die Pflege, März 2023, abrufbar unter: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/D/Digitalisierungsstrategie/BMG_Broschuere_Digitalisierungsstrategie_bf.pdf.
2 Das Fünfte Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung (SGB V), Artikel 1 des Gesetzes vom 20.12.1988 (BGBl. I S. 2477, 2482), zuletzt geändert durch Artikel 9 des Gesetzes vom 16.08.2023 (BGBl. I Nr. 217).
3 Gematik GmbH, Bericht zur Datenschutz-Folgenabschätzung für die E-Rezept-Anwendung, Version 1.0, 4.5.2 Fachanwendung E-Rezept, S. 29, abrufbar unter: https://www.das-e-rezept-fuer-deutschland.de/media/erezept/Medien/Dokumente/DSFA_E-Rezept-App.pdf.
4 Gematik GmbH, Bericht zur Datenschutz-Folgenabschätzung für die E-Rezept-Anwendung, Version 1.0, 4.5.2.1 E-Rezept-App, S. 29, abrufbar unter: https://www.das-e-rezept-fuer-deutschland.de/media/erezept/Medien/Dokumente/DSFA_E-Rezept-App.pdf.
5 Gematik GmbH, Bericht zur Datenschutz-Folgenabschätzung für die E-Rezept-Anwendung, Version 1.0, 4.5.2.2 E-Rezept-Fachdienst, S. 29, abrufbar unter: https://www.das-e-rezept-fuer-deutschland.de/media/erezept/Medien/Dokumente/DSFA_E-Rezept-App.pdf.
6 Wissenschaftliche Dienste des Deutschen Bundestages, Einzelfragen zur Digitalisierung im Gesundheitswesen, Sachstand vom 10.02.2023, WD 9 – 3000 – 008/23, abrufbar unter: https://www.bundestag.de/resource/blob/942570/e12c93e8b064a8f3cf682f
94f6ff7fa0/WD-9–008–23-pdf-data.pdf.
7 Wissenschaftliche Dienste des Deutschen Bundestages, Rechtsrahmen für die elektronische Übermittlung und Verarbeitung von E-Rezepten in der Telematikinfrastruktur, Kurzinformation vom 12.09.2023, WD 9 – 3000 – 066/23, abrufbar unter: https://www.bundestag.de/resource/blob/973718/9987cdfdc470d56660dba4bc9439c76b/
WD-9–066–23-pdf-data.pdf.
8 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DS-GVO), Amtsblatt L 119 vom 04.05.2016, S. 1, ber. Amtsblatt L 314 vom 22.11.2016, S. 72, Amtsblatt L 127 vom 23.05.2018, S. 2, in Geltung seit dem 25.05.2018.
9 Bundesdatenschutzgesetz (BDSG), Artikel 1 des Gesetzes vom 30.06.2017 (BGBl. I S. 2097), in Kraft getreten am 25.05.2018, zuletzt geändert durch Gesetz vom 23.06.2021 (BGBl. I S. 1858, ber. 2022 S. 1045) m.W.v. 01.12.2021.
10 Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 09.03.2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (Richtlinie über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung – Patientenmobilitätsrichtlinie), ABl. L 88 vom 04.04.2011, S. 45.
11 Albers/Veit, in: BeckOK DatenschutzR,
45. Ed. 01.08.2023, BDSG § 22 Rn. 26.
12 Albers/Veit, in: BeckOK DatenschutzR,
45. Ed. 01.08.2023, BDSG § 22 Rn. 28.
13 Albers/Veit, in: BeckOK DatenschutzR,
45. Ed. 01.08.2023, BDSG § 22 Rn. 29; Frenzel, in: Paal/Pauly, BDSG, 3. Aufl. 2021, § 22 Rn. 8.
14 Gematik GmbH, Bericht zur Datenschutz-Folgenabschätzung für die E-Rezept-Anwendung, Version 1.0, 7.4.4 Drittlandübermittlung, S. 89, abrufbar unter: https://www.das-e-rezept-fuer-deutschland.de/media/erezept/Medien/Dokumente/DSFA_E-Rezept-App.pdf.
15 Gematik GmbH, Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Anbieter, Version 1.3.0, 3.1 Modul „Basis-IS“, S. 12, abrufbar unter: https://fachportal.gematik.de/fachportal-import/files/gemSpec_DS_Anbieter_V1.3.0.pdf.
16 Hervorhebung durch Verf.
17 Die genannten europäischen Vereinbarungen beruhen auf Art. 14 der Richtlinie 2011/24/EU und sind in einer Guideline des sogenannten „eHealth Network on the electronic exchange of health data under Cross Border Directive 2011//24/EU Release 2 ePrescriptions and eDispensions“ dokumentiert, abrufbar unter: (https://health.ec.europa.eu/ehealth-digital-health-and-care/electronic-cross-border-health-services_de, letzter Abruf am 6.4.2022).
18 Hervorhebung durch Verf.
19 Referentenentwurf für eine E-Rezept-Fachdienst-Schnittstellen Verordnung (EFSVO), Stand: 22. Mai 2023, ab-rufbar unter: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/E/230612_EFSVO_Referentenentwurf____361a_Abs._6_SGB_V.pdf.
20 Schulz, in: Gola/Heckmann/Schulz, DS-GVO, 3. Aufl. 2022, Art. 7 Rn. 19.
21 Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 335.
22 Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 344.
23 Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 345.
24 Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 346.