TK: Der Megatrend der Digitalisierung ist auch für das Gesundheitswesen von großer Bedeutung. Wie schätzen Sie die Chancen digitaler Anwendungen ein, das Gesundheitswesen zukunftssicher zu gestalten?

Prof. Dr. Dieter Kugelmann: Zunächst müssen wir uns bewusst machen, dass die Digitalisierung mittlerweile auch im Gesundheitswesen längst Einzug gehalten hat und der Umgang mit digitalen Patienten- oder Versichertendaten für Leistungserbringer wie Kostenträger alltäglich ist. Während dies bislang allerdings eher administrativen Zwecken wie der Patientenverwaltung oder der Leistungsabrechnung diente, werden künftige digitale Anwendungen gerade auch die direkte oder mittelbare Unterstützung medizinischer Behandlungsprozesse im Blick haben.

Diese zunehmende Digitalisierung im Gesundheitswesen bietet wesentliche Chancen für eine bessere und schnellere Versorgung der Versicherten, birgt allerdings durchaus auch Risiken. So kann etwa die Telemedizin einen Beitrag dazu leisten, die Versorgung im ländlichen Raum flächendeckend zu sichern. Allerdings werden in diesem Zusammenhang die Anforderungen an die Ärzteschaft oder sonstige Leistungserbringer zum effektiven Schutz der von ihnen übermittelten oder genutzten Patientendaten steigen. Es gilt daher, bei der künftigen Ausgestaltung des Gesundheitswesens nicht nur das mit der Digitalisierung verbundene Potential für eine optimale oder kostengünstige Versorgung zu sehen, sondern auch die damit einhergehenden zusätzlichen Risiken für die Vertraulichkeit der Heilbehandlung zu erkennen und diesen effektiv zu begegnen.

Bei aller Euphorie sollten wir auch hier maßvoll mit den technischen Möglichkeiten umgehen: Das Gesundheitswesen kann durch Vernetzung der Akteure sicherlich gewinnen. Es stellt sich aber die Frage, an welcher Stelle man Verfahren vernetzt und an welcher Stelle man dies besser lässt. Letztlich ist der persönliche Kontakt zwischen Arzt und Patienten unverzichtbar. Wie in anderen Bereichen auch, können aber digitale Technik und Anwendungen eine Hilfe sein, um Prozesse zu beschleunigen. 

Prof. Dieter Kugel­mann

Prof. Dieter Kugelmann, Landesbeauftragter für den Datenschutz Das Bild ist noch nicht vollständig geladen. Falls Sie dieses Bild drucken möchten, brechen Sie den Prozess ab und warten Sie, bis das Bild komplett geladen ist. Starten Sie dann den Druckprozess erneut.

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

TK: Welche Voraussetzungen müssen Ihres Erachtens nach erfüllt sein, damit Sie als Jurist einen sicheren Datenaustausch und den Schutz der persönlichen Freiheit des Patienten gewährleistet sehen?

Kugelmann: Aus meiner Sicht als Landesdatenschutzbeauftragter sind datenschutzrechtliche Vorgaben für den Einsatz digitaler Anwendungen, soweit Patienten- oder Versichertendaten verarbeitet werden sollen, natürlich unverzichtbar. Mit dem E-Health-Gesetz hat der Gesetzgeber die im Zusammenhang mit der Einführung der elektronischen Gesundheitskarte (eGK) vorgesehene Einrichtung einer sicheren digitalen Infrastruktur sowie nutzbringender Fachanwendungen wie z.B. der elektronischen Patientenakte oder dem Patientenfach vorangetrieben.

Die datenschutzrechtlichen Leitplanken hierfür gibt es bereits seit Jahren: so enthält das Gesetz detaillierte Vorgaben zur technischen Ausgestaltung der Telematikinfrastruktur, auf der die mit der eGK eingerichteten Anwendungen laufen sollen, und zu den rechtlichen Anforderungen an die damit einhergehende Verarbeitung von Patientendaten. Sichere und vor dem Zugriff Unbefugter geschützte Übertragungswege und vertrauenswürdige Systeme und Dienste sind hier ein wesentlicher Bestandteil. Diese Rahmenbedingungen sind aus der Sicht der staatlichen Datenschutzbeauftragten durchaus geeignet, den mit der Digitalisierung verbundenen Gefährdungen für das informationelle Selbstbestimmungsrecht und die Vertraulichkeit der ärztlichen Heilbehandlung entgegenzutreten.

Ich halte es für sinnvoll, das im Zusammenhang mit der elektronischen Gesundheitskarte etablierte Schutzniveau auch für andere Anwendungen zu errichten. Man muss klären, ob und in welchem Maße hier der Gesetzgeber noch ergänzend tätig werden muss. Auf jeden Fall ist auch der im kommenden Jahr wirksam werdenden Europäischen Datenschutz-Grundverordnung der Schutz von Gesundheitsdaten ein wichtiges Anliegen.

Gestatten Sie mir noch folgende allgemeine Bemerkungen: Die wichtigste Voraussetzung für einen effektiven Schutz von Gesundheitsdaten ist die Sensibilität aller Beteiligten. Es muss jedem Mitarbeiter in einer Arztpraxis und jedem Angehörigen eines Patienten deutlich sein, dass es bei der Übermittlung und dem Austausch von Gesundheitsdaten anders zugeht, als wenn man sich im privaten Bereich für den Abend ins Kino verabredet. Der Austausch besonders sensibler Daten erfordert technische Vorkehrungen, etwa besondere Verschlüsselungen. Diese sind häufig gar nicht so kompliziert, aber sie müssen eben auch angewendet werden. Automatisierungen können hier sicherlich an einigen Stellen helfen.

Auch wenn Datenschutz die informationelle Selbstbestimmung eines jeden Einzelnen bedeutet und damit eine von den Betroffenen selbst abgegebene Einwilligung in die Datenverarbeitung regelmäßig als erstrebenswert erscheinen mag, ist aus meiner Sicht die Interessenlage im Gesundheitsbereich eine andere. Denn wenn es um die eigene Gesundheit geht, wird man vielleicht das eine oder andere Mal in die Preisgabe von Daten einwilligen ohne dies genauer zu überdenken. Auch hier sind deshalb klare Vorgaben durch den Gesetzgeber gefordert, wann eine Einwilligung als geeignete Legitimation für die Datenverarbeitung herangezogen werden kann. Die Rahmenbedingungen müssen auch durch die beteiligten Träger, also etwa die gesetzlichen Krankenkassen, gesichert werden. Ergänzend können auch gemeinsame Verhaltensregeln und Abreden eine wichtige Hilfestellung sein.

TK: Die TK fordert eine Risikoklassifizierung für Health-Apps, um Nutzern die Möglichkeit zu geben, diesen heterogenen Markt hinsichtlich Nutzen und Risiken einschätzen zu können. Halten Sie persönlich die Systematisierung solcher Anwendungen für notwendig.

Kugelmann: Gesundheits-Apps sind in der Tat sehr vielfältig. Eine Systematisierung der Anwendungen erscheint mir sehr sinnvoll und nahezu zwingend. Denn es gibt inzwischen ja schon medizinische Apps, die einem besonderen Verfahren unterliegen oder als Medizinprodukte einzuordnen sind. Daneben gibt es frei zugängliche Gesundheits-Apps, deren Qualität schwer zu sichern ist. Hier müssen die Ärzte und Ärztinnen sicherlich in ihrem spezifischen Bereich auch informiert und zu Beratung in der Lage sein.

Auf jeden Fall darf das Risiko für eine unzureichende Funktionsweise der Apps oder gar eine durch diese verursachte nicht autorisierte Übermittlung von Gesundheitsdaten an Dritte nicht zu Lasten der Patienten gehen. Deshalb müssen Lösungen gefunden werden, wie - zumindest in der vertragsärztlichen Versorgung - generell nur zuverlässige und datenschutzrechtlich akzeptable Anwendungen zum Einsatz kommen. Eine Verschreibungspflicht für die eine oder andere App erscheint mir in diesem Zusammenhang durchaus nicht ausgeschlossen zu sein. Eine entsprechende Risikoklassifizierung könnte also eine Hilfestellung dafür sein, ob eine App frei herunterzuladen ist oder eine Beratungsleistung erforderlich ist. Ein TÜV für Apps in einer sinnvollen und handhabbaren Form kann einen wesentlichen Beitrag dazu leisten, die Spreu vom Weizen zu scheiden. Denn es gibt auch viele Apps, die ebenso sinnlos wie überflüssig sind.

TK: Die Bürger sind gewohnt im Alltag zunehmend mit einer digitalen Signatur zu zeichnen. Wäre das für das Gesundheitswesen nicht auch sinnvoll? Oder droht dieses Ansinnen Ihres Erachtens nach auf eine mangelnde Akzeptanz zu stoßen? 

Kugelmann: Im Bereich der Telematikinfrastruktur sind digitale Signaturlösungen Kernelemente für die Vertrauenswürdigkeit von Systemen und Diensten und die Datenintegrität. Ärzte sind durch den elektronischen Heilberufsausweis legitimiert. Sollte im Hinblick auf die Patientinnen und Patienten außerhalb des gesicherten Bereichs digitaler Gesundheitsanwendungen ein Bedarf an dem Einsatz digitaler Signaturen bestehen, stellen sich allgemeine Probleme.  Die entscheidende Frage ist hier, ob und inwieweit die Bequemlichkeit des Einzelnen überwunden werden kann. Natürlich sind zunehmende Sicherheitsmechanismen ein wichtiger Aspekt bei der Digitalisierung.

Die Gestaltung dieser Anforderung muss allerdings darauf Rücksicht nehmen, dass es möglichst einfach und bequem handhabbar sein soll, wenn einfachere Daten ausgetauscht werden. Digitale Signaturen sind sicherlich eine Möglichkeit. Zumal wenn die Bürgerin und der Bürger daran gewöhnt ist, dass etwa wie im Bankwesen oder bei der elektronischen Verwaltung entsprechende Dinge notwendig sind. Allerdings besteht auch dort das Problem, dass die Akzeptanz leidet, wenn es zu kompliziert wird. Deshalb scheint mir auch hier eine Staffelung sinnvoll. Bei geringerem Risiko für die Grundrechte des Einzelnen und seine Persönlichkeit können einfachere Sicherheitsmechanismen reichen, etwa ein Passwort. Bei höheren Risiken wird man auch Verschlüsselungen und weitere Sicherheitsmechanismen benötigen, bis hin zu Erfordernissen einer entsprechenden digitalen Signatur.

TK: Vielen Dank für das Gespräch.

Zur Person:

Professor Dr. Dieter Kugelmann studierte Rechtswissenschaft in Mainz und Dijon. 1991 promovierte er am Fachbereich Rechts- und Wirtschaftswissenschaften der Johannes Gutenberg-Universität Mainz. Die Habilitation erfolgte neun Jahre später ebenfalls in Mainz. Seit 2008 ist er Universitätsprofessor für Öffentliches Recht, mit Schwerpunkt Polizeirecht einschließlich des internationalen Rechts und des Europarechts an der Deutschen Hochschule der Polizei in Münster. Zudem fungiert Kugelmann als Sachverständiger in Anhörungen von Parlamenten auf Landes- und Bundesebene. Seit dem 1.10.2015 ist er Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.