Düsseldorf Das Bundesgesundheitsministerium will ein Kernargument der Telematikinfrastruktur-Verweigerer entkräften: Ärzte, Krankenhäuser, Apotheker und andere Leistungserbringer sollen beim Datenschutz entlastet werden, wie aus dem Entwurf für ein „Digitale Versorgung und Pflege – Modernisierungs-Gesetz“ (DVPMG) hervorgeht.

Demnach will das Ministerium eine Datenschutz-Folgeabschätzung (DSFA) für die Telematikinfrastruktur (TI) erstellen. Die gesetzliche DSFA befreit Ärzte und Co. von der Pflicht, eigene Folgeabschätzungen erstellen zu müssen, wenn sie die TI verwenden. 815 Millionen Euro jährlich soll der Medizinsektor dadurch einsparen.

Eine DSFA braucht es, weil die TI Daten verarbeitet, die „ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Die europäische Datenschutz-Grundverordnung (DSGVO) eröffnet in Ausnahmefällen die Möglichkeit gesetzlicher DSFA.

Dass die Abschätzung der Datenschutzfolgen den Leistungserbringern aufgebürdet wird, war stets eines der Hauptargumente der TI-Verweigerer. „Hätten sich das Bundesgesundheitsministerium und die Gematik schon vor drei Jahren zum Start der TI mit dem Thema auseinandergesetzt, wären viel Unmut, Kritik und Widerstand aus den Reihen der Ärzteschaft vermeidbar gewesen“, sagt Pedro Schmelz, Vorstandsvize der Kassenärztlichen Vereinigung Bayerns. Theoretisch hätte der Gesetzgeber seit Einführung der DSGVO Mitte 2018 von der Öffnungsklausel für eine gesetzliche DSFA Gebrauch machen können.

Kein Freifahrtsschein für die IT-Sicherheit

Klar ist aber auch, dass die gesetzliche DSFA nicht mehr als eine Beruhigungspille ist. Sie entlaste Ärzte mehr oder weniger „nur von der Schreibarbeit“, sagt Benedikt Buchner, Direktor des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR).

Es bleibt die Aufgabe der Ärzte, so steht es im Gesetzentwurf, die sich aus der DSFA ergebenden Maßnahmen auch umzusetzen. „Möglicherweise ist also der Entlastungsfaktor eher überschaubar – oder die Überraschung groß, wenn Ärzte meinen, sie müssen dank gesetzlicher DSFA gar nichts mehr unternehmen, dann aber wegen fehlender Maßnahmen der Datensicherheit sanktioniert werden“, erklärt Buchner.

Dass das wahrscheinlich ist, zeigt die am Mittwoch von der Kassenärztlichen Bundesvereinigung (KBV) veröffentlichte Umfrage „Praxismonitor“, bei der mehr als 2000 Niedergelassene befragt worden waren. 45 Prozent der Ärzte gaben dabei an, nicht zu wissen, woran sich ihre Praxis bei der IT-Sicherheit orientiere.

Trotz DSFA müssten weiterhin Datenschutzmaßnahmen innerhalb des Praxisnetzwerks aufrechterhalten bleiben, beispielsweise die Absicherung der Hardware mittels Zugriffsbeschränkungen und die Absicherung der Software auf den Praxisrechnern mittels geeigneter Programme, erklärt die Medizinrechtlerin und Kanzleiinhaberin Alexandra Jorzig.

Gleichzeitig nimmt die gesetzliche DSFA den Ärzten aber auch Freiheiten. Wer nicht zertifizierte Anwendungen verwendet, kann sich auch nicht auf die DSFA verlassen. Die DSFA „rammt verstärkt Pflöcke ein, weil Abweichungen auf das eigene Risiko des Verantwortlichen, zum Beispiel des Arztes, gehen“, sagt der rheinland-pfälzische Landesdatenschutzbeauftragte Dieter Kugelmann. Die „Marke Eigenbau“, die bei der IT so mancher Arztpraxis noch bis heute vorherrscht, dürfte damit der Vergangenheit angehören.