gematik Digitalbeirat

Bearbeitung Themenvorschlag Nr. 1: „Risiko unberechtigter Zugriffe zugunsten besserer Notfallversorgung“

1. Skizzierte Problemstellung

Das Recht des Patienten auf informationelle Selbstbestimmung kann in einem Konflikt mit den berechtigten Interessen der Datenverarbeitung stehen. Gesundheitsdaten sind in dieser Interessenabwägung aufgrund ihrer besonderen Sensibilität als besonders schutzwürdig einzustufen. In Notsituationen kann es notwendig und interessengerecht sein, zur Erfüllung von Aufgaben der Notfallversorgung auf gespeicherte Gesundheitsdaten zuzugreifen, die unter anderem auch in der ePA hinterlegt sein können. Um Rechtssicherheit zu gewährleisten und unberechtigte Zugriffe auf Patientendaten zu vermeiden, sollen belastbare Anforderungen erarbeitet werden.

2. Ausgangslage und Informationsbasis

Darstellung der Bundesärztekammer zum Notfalldatenmanagement: https://www.bundesaerztekammer.de/themen/aerzte/digitalisierung/digitale-anwendungen/telematikinfrastruktur/nfdm

Zentrale Aspekte & Probleme des NFDM:

• Es gibt das Konzept Notfalldatensatz (NFD) als Teil der ePA
• Diese Daten sind Bestandteil des NFD
• Zugriff auf NFD kann in beschriebenen Szenarien nur durch Stecken der eGK erfolgen
• Anwendung des NFD auf eGK des/der Patient/in freiwillig (vgl. NFDM 1.6.0/S.10, 2.1.3, Informationsmodell Notfalldaten-Management (NFDM))

• NFDM ist nicht angenommen wurden, unterschiedliche Gründe:

  • Wie viele NFD sind auf eGK vorhanden (wenn möglich Datenbasis ergänzen)
  • Technische Ausstattung: Arztpraxen benötigen ein eigenes Modul, um NFD auf eGK zur Verfügung zu stellen (gematik, Leitfaden Notfalldaten auf der Gesundheitskarte, S. 20, gemLF_NFDM_Produktivbetrieb_V1.0.0.pdf)
  • Vergütung: ist die Vergütung für Aktualisierung der NFD ausreichend gestaltet? (vgl. KBV, Notfalldatenmanagement, S.5, https://www.kbv.de/media/sp/Praxisinformation_NFDM.pdf)
  • Haftungsfrage: Notfalldatenmanagement ist durch Ärzte in der Praxis mitrechtsverbindlichem Gewährleistungsanspruch verbunden

  Es gibt in Deutschland derzeit keine Möglichkeit für medizinisches Personal im Notfall auf die medizinischen Daten aus der ePA ohne Mitwirken des Patienten zuzugreifen.

• Nutzung der Daten des NFD setzt Einverständnis des Patienten ggü. dem Leistungserbringer voraus (vgl. NFDM 1.6.0/S.10, 2.1.3, gemspec.gematik.de/downloads/gemSpec/gemSpec_InfoNFDM/gemSpec_InfoNFDM_V1.6.0.pdf)
• NFD normalerweise nicht mit PIN des Patienten geschützt, Möglichkeit besteht (vgl. gematik, Notfalldaten auf der eGK, S. 222, www.gematik.de/media/gematik/Medien/Notfalldaten/Dokumente/gemLF_NFDM_Produktivbetrieb_V1.0.0.pdf)
• KBV spezifiziert es im Kontext einer "Behandlung" → Einlesen der eGK(vgl. KBV, Notfalldatenmanagement, S.2, www.kbv.de/media/sp/Praxisinformation_NFDM.pdf)
• SGB V § 358 Elektronische Notfalldaten, elektronische Patientenkurzakte und elektronischer Medikationsplan: keine Regelung zum Zugriff Dritter im Notfall
• Gesetzentwurf zur Reform der Notfallversorgung (laufendes Verfahren, letzter Stand: 1.Lesung 09.10.2024): keine Inhalte zum Zugriff Dritter im Notfall enthalten (https://www.bundesgesundheitsministerium.de/service/gesetze-und-verordnungen/detail/notfallreform.html)
• DGINA und DIVI setzen sich im Sinne der Patientensicherheit und Versorgungsqualität im Notfall für eine Notfallreform ein (das_Krankenhaus_1078-Politik-Notfallreform-12-2024.pdf)

Europäischer Kontext: Patientenkurzakte (PKA) als medizinisches Informationsobjekt(MIO):

https://mio.kbv.de/display/PKA1X0X0/Patientenkurzakte+1.0.0

• Befindet sich in grundlegender Überarbeitung (Stand: 22.01.2025)
• NFD ist als Datenstruktur Teil der PKA und kann auf der eGK gespeichert werden

• Auch die PKA setzt für den Zugriff das Einverständnis des Patienten voraus

  Es existieren in Europa verschiedene Ansätze "Von Ärzte können immer zugreifen" über "Break the Glass" bis hin zu "gar nicht möglich":

• Bsp. Österreich/ELGA: Gesetzesänderung in Planung → lesender Zugriff für Rettungsdienste im Rahmen von Notfallversorgung geplant (Gesetzesänderung in Planung: Anbindung der Rettungsdienste an ELGA-öGERN)
• Bsp. Dänemark: Zugriff ist möglich, außer Patient hat widersprochen (https://www.bundestag.de/resource/blob/900612/145770ee5734b7%2049af78a3f1f1e2bb63/WD-9-023-22-pdf-data.pdf und www.aerzteblatt.de/archiv/238605/Blickwinkel-Digitale-Patientenakte-im-Ausland)
• Bsp. in weiteren Ländern: Estland, Frankreich, Schweden, Israel:(https://www.bundestag.de/resource/blob/900612/145770ee5734b749af78a3f1f1e2bb63/WD-9-023-22-pdf-data.pdf)
• Umfangreiche Studie mit internationalem Vergleich und Bsp. zum Stand der Digitalisierung im Gesundheitswesen: www.bertelsmann-stiftung.de/de/publikationen/publikation/did/smarthealthsystems

3. Inhaltliche Erwägungen aus dem Digitalbeirat der Gematik

• Unterschiedliche Regelungen und Best Practices zum Umgang mit der ePA in Notsituationen europaweit erschweren ein einheitliches Verständnis, können aber auch sinnvolle Vergleiche liefern (generelles Zugriffsverbot/generelle Zugriffsmöglichkeit / Zwischenlösung „Break the Glass“ System ermöglicht Zugriff in Notfällen durch Ärzte, bedarf aber späterer Rechtfertigung)  Gem. DSGVO haben die EU-Mitgliedstaaten hier eigene Handlungsspielräume, bislang ist in Deutschland kein „Break the glass“ Szenario vorgesehen.
• Hausärztliche Sichtweise: Unterscheidung zwischen zwei Fallkonstellationen:
  1.) Notfallsituation mit bewusstlosen Menschen;
  2.) Notfallsituation mit ansprechbaren Menschen ohne eGK/Dokumente/ePA App
• Mit der eGK erfolgt der Nachweis des Behandlungskontexts und damit auch die Möglichkeit, im Notfall auf die gesamte ePA zugreifen zu können. Dies lässt sich bereits jetzt aus den gesetzlichen Vorschriften im SGB V ableiten. → Daher vor allem diejenige Fallkonstellation relevant, in der ein Notfallzugriff ohne eGK erfolgen muss. Da die eGK in den Notfallkonstellationen nicht immer vorliegt, ist dies ein relevanter Fall. Zudem ist die Verarbeitung von Notfalldaten freiwillig (Hinweis: Bei Widerspruch gegen die ePA kann die Speicherung von Notfalldaten auf der eGK eine Alternative sein).
• Mögliches Problem bei der elektronischen Patientenkurzakte (ePkA) und dem Notfallzugriff als Alternative zu Notfalldaten auf der eGK: Technischer Zugriff und rechtliche Zulässigkeit gegenwärtig noch zu klären, soweit keine eGK vorhanden ist.
• Auch Notfallsanitäter sind explizit zum Datenzugriff auf ePA und ePkA berechtigt. Die Regelungen zum Zugang auf die ePkA entsprechen der ePA, weil sie ein Teil der ePA ist

4. Lösungsvorschläge aus dem Digitalbeirat der Gematik

• Zusätzliche Informationen sind auch in definierten Prozessen der Notfallmedizin hilfreich. Dazu gehören Medikationsplan, Allergien, Vorerkrankungen, Kontaktpersonen und Patientenverfügung.
  • Vorschlag: Definition eines Notfalldatensatzes aus der ePA, der zur Nutzung mit geringeren Sicherheitsstandards freigegeben ist
• Die Auswahl von generellem Zugriffsverbot/genereller Zugriffsmöglichkeit sowie das „Break the Glass“ System sind nicht ausreichend, es sollten weitere Lösungen vorgesehen werden.
  • Vorschlag: Definition einer besonderen Gruppe von Ärzten wie zB Notfallmediziner, die auf die Inhalte der ePA auch ohne Mitwirkung des Patienten zugreifen können (ggf. dann, wenn der Patient im Vorfeld eine solche Möglichkeit eröffnet hat)

5. Beschluss

1.) Definition eines Notfalldatensatzes aus der ePA, der zur Nutzung mit dem Anwendungsszenario angemessenen Sicherheitsstandards freizugeben ist. Die einschlägigen Regelungen des EHDS sind zu berücksichtigen. Es ist eine technische Lösung zu entwerfen, bei der redundante, oder widersprüchliche Datensätze innerhalb der ePA weitestgehend vermieden werden.

2.) Definition einer Gruppe von Personen, die in spezifischen Szenarien auf die Inhalte dieses Notfalldatensatzes auch ohne Mitwirkung der Patient:innen zugreifen dürfen, wenn die Patient:innen eine solche Möglichkeit freiwillig eröffnet haben.

3.) Evaluierung notwendiger Anpassungen der gesetzlichen Regelungen des SGB unter Berücksichtigung der datenschutzrechtlichen Vorgaben