Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Gesundheit vom 1. August 2019 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/12152 19. Wahlperiode 05.08.2019 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Uwe Schulz, Joana Cotar, Dr. Michael Espendiller und der Fraktion der AfD – Drucksache 19/11756 – Die Vereinbarkeit der elektronischen Patientenakte mit dem Datenschutz V o r b e m e r k u n g d e r F r a g e s t e l l e r Die elektronische Patientenakte wurde von der Bundesregierung vor knapp 15 Jahren geplant (§ 67 des Fünften Buches Sozialgesetzbuch – SGB V –, www.gesetze-im-internet.de/sgb_5/__67.html). Als zentrales Element einer vernetzten Gesundheitsvorsorge und der Telematikinfrastruktur können darin Patienteninformationen gespeichert werden. Zu diesen Patienteninformationen zählen beispielsweise Befunde, Diagnosen, Behandlungsberichte oder Impfungen . Eine dementsprechende Umsetzung wird bereits mit 1. Januar 2021 begonnen . Ab diesem Zeitpunkt müssen in Deutschland für jeden Versicherten die elektronischen Patientenakten zur Verfügung stehen (www.bundestag.de/presse/ hib/643992-643992). Dabei hat der Patient allerdings nicht die Möglichkeit, von Beginn an auszuwählen , welche persönlichen Daten von Ärzten, Therapeuten oder Apothekern eingesehen werden dürfen. Dies kommt nach Ansicht der Fragesteller einem Verlust der Datenhoheit der Versicherten gleich. Diese unfreiwillige Datentransparenz kann nur durch ein Verbot des Patienten, dass der behandelnde Arzt keine Daten und Befunde in die elektronische Patientenakte stellt, vermieden werden (www.heise.de/newsticker/meldung/Elektronische-Patientenakte- Datenhoheit-kommt-spaeter-4427379.html). Laut Medienberichten sollen Vertreter der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik), die für die Entwicklung der elektronischen Gesundheitsakte verantwortlich zeichnet, gegenüber mehreren Abgeordneten bekundet haben, dass aufgrund der kurzen Umsetzungsfrist und des Zeitdrucks durch den Bundesminister für Gesundheit Jens Spahn die Patientenakte Anfang 2021 eingeführt wird und erst dann die Rechte für Patienten eingeführt werden (www.sueddeutsche.de/politik/patientenakte-gesundheitspolitikspahn -1.4454860). Nach Ansicht der Fragesteller erscheint die Einführung der elektronischen Patientenakte nach 15 Jahren der Planung wesentlich wichtiger für den Bundesgesundheitsminister als der Schutz der Patienten und deren Datenhoheit. Aufgrund der Eile der Umsetzung, die der Bundesgesundheitsminister geboten hat, wird Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/12152 – 2 – Deutscher Bundestag – 19. Wahlperiode die Implementierung der elektronischen Patientenakte nach Auffassung der Fragesteller auf gläsernen datenschutzrechtlichen Grundpfeilern zu Lasten der Patienten errichtet. Die hohen Sicherheitsstandards, wie sie derzeit bei vergleichbaren analogen Patientenakten in Geltung sind, müssen nach Auffassung der Fragesteller auch bei einer digitalen Umsetzung der elektronischen Gesundheitsakte gelten. V o r b e m e r k u n g d e r B u n d e s r e g i e r u n g Die elektronische Patientenakte stellt nach Ansicht der Bundesregierung eine Schlüsselanwendung in einem digitalisierten Gesundheitswesen dar. Sicherheit und Datenschutz der elektronischen Patientenakte sind ebenso wie deren Benutzerfreundlichkeit wichtige Eckpfeiler einer elektronischen Patientenakte. Deshalb werden bei der Festlegung der Rahmenbedingungen auch das Bundesamt für Sicherheit in der Informationstechnik und der Bundesbeauftragte für den Datenschutz und die Informationssicherheit einbezogen. 1. Kann die Bundesregierung bestätigen, dass sich die Implementierung einer individuellen Einstellung durch den Patienten in der elektronischen Patientenakte durch die zu kurze Umsetzungsfrist und den Zeitdruck durch das Bundesgesundheitsministerium erklären lässt? Wenn ja, warum wurde eine zu kurze Frist bei der Umsetzung der elektronischen Patientenakte durch das Bundesministerium gesetzt? 2. Teilt die Bundesregierung die Ansicht der Fragesteller, dass eine nicht individuelle Einstellung der abrufbaren Daten durch den Patienten die Datensicherheit und Datenhoheit der Patienten gefährdet? 3. Wie kommentiert und bewertet die Bundesregierung die in der Vorbemerkung der Fragesteller erwähnte Aussage von Vertretern der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik), dass die Patientenakte Anfang 2021 eingeführt werden soll und danach die Rechte für Patienten nachzuliefern sind? 4. Kann die Bundesregierung darüber Auskunft erteilen, welche konkreten Patientenrechte zu welchem Zeitpunkt von der gematik nachgeliefert werden? 5. Handelt es sich bei diesen Patientenrechten um Datenschutzrechte der Patienten ? a) Wenn ja, wie bewertet die Bundesregierung einen nach Ansicht der Fragesteller etwaigen rechtswidrigen Zustand im Sinne der Datenschutz- Grundverordnung? b) Wenn nein, warum nicht? 7. Wann ist nach Kenntnis der Bundesregierung mit einer Umsetzung und der Implementierung einer individuellen Einstellung durch Patienten in der elektronischen Patientenakte zu rechnen? Die Fragen 1 bis 5 und 7 werden aufgrund des inhaltlichen Zusammenhangs gemeinsam beantwortet. Datenschutz und Datensicherheit waren und sind zentrale Anforderungen an die Telematikinfrastruktur und die elektronische Patientenakte; der Schutz der Gesundheitsdaten steht dabei im Mittelpunkt. Dabei werden auch das Bundesamt für Sicherheit in der Informationstechnik und der Bundesbeauftragte für den Datenschutz und die Informationssicherheit einbezogen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/12152 Die elektronische Patientenakte ist eine freiwillige Anwendung für die Versicherten , deren Spezifikation den gesetzlichen Vorgaben, insbesondere der Datenschutzgrundverordnung unterliegt. Ziel ist es, den Versicherten zum 1. Januar 2021 eine elektronische Patientenakte zur Verfügung zu stellen. Die elektronische Patientenakte wird dabei kontinuierlich weiterentwickelt. In einem eigenen Gesetzgebungsvorhaben, das derzeit vom Bundesministerium für Gesundheit erarbeitet wird, werden die datenschutzrechtlichen Anforderungen an die elektronische Patientenakte detailliert geregelt werden. 6. Hat die Bundesregierung Kenntnis, ob die derzeitigen hohen analogen Sicherheitsstandards durch die digitale Umsetzung der elektronischen Patientenakte gefährdet sind? Die Sicherheit beim Informationstausch von Gesundheitsdaten wird durch die Nutzung der elektronischen Patientenakte im Vergleich zu bisher genutzten Verfahren , wie Faxen, deutlich erhöht. Die Kommunikationswege, über die die Gesundheitsdaten mittels der Telematikinfrastruktur ausgetauscht werden, werden durch Verschlüsselungsverfahren nach dem Stand der Technik kryptografisch geschützt. Zusätzlich werden Informationen in der elektronischen Patientenakte ausschließlich kryptographisch verschlüsselt abgelegt, wobei patientenindividuelle Schlüssel Verwendung finden. 8. Welche Leistungserbringer im Gesundheitswesen werden nach Kenntnis der Bundesregierung zukünftig Einsicht in die elektronische Patientenakte nehmen können, und welche alternativen Authentifizierungsverfahren zum Zugriff auf die elektronische Patientenakte werden die Patienten zukünftig nutzen können? Die Zugriffsrechte auf die elektronische Patientenakte sollen schrittweise auf diejenigen Berufsgruppen ausgeweitet werden, deren patientenorientierte Berufsausübung durch die Kenntnis dieser Informationen weiter unterstützt werden kann. In einem ersten Schritt ist geplant, ein Zugriffsrecht für die Angehörigen der Pflegeberufe , Hebammen und Entbindungspfleger, Physiotherapeutinnen und Physiotherapeuten und das Hilfspersonal in Vorsorge- und Rehabilitationseinrichtungen vorzusehen. Neben den bisher vorgesehenen Zugriffsmöglichkeiten unter Einsatz der elektronischen Gesundheitskarte und des elektronischen Heilberufsausweises können Versicherte, die das wünschen, auch ein alternatives Authentifizierungsverfahren mittels eigener mobiler Endgeräte wie Smartphone oder Tablet zum Zugriff nutzen . Voraussetzung hierfür ist die vorherige umfassende Information des Versicherten durch die Krankenkassen über die Besonderheiten dieses Zugriffsweges und eine darauf basierende eindeutige Erklärung des Versicherten, dass er dieses Authentifizierungsverfahren nutzen möchte. 9. Wurde nach Kenntnis der Bundesregierung das elektronische Rezept als Anwendung der Telematikinfrastruktur schon spezifiziert und umgesetzt? Die Gesellschaft für Telematik wird die Spezifikationen und zulassungsrelevanten Unterlagen für das elektronische Rezept bis zum 30. Juni 2020 veröffentlichen . Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/12152 – 4 – Deutscher Bundestag – 19. Wahlperiode 10. Welche konkreten digitalen Sicherheitsvorkehrungen wurden nach Kenntnis der Bundesregierung getroffen, um datenschutzrechtlich relevante Inhalte der Patienten zu schützen? 11. Wie und wo werden nach Kenntnis der Bundesregierung die Daten der Patienten gesichert, gespeichert und verwahrt? 12. Kann die Bundesregierung ausschließen, dass die gespeicherten Inhalte der Patienten gehackt werden? Die Fragen 10 bis 12 werden aufgrund des inhaltlichen Zusammenhangs gemeinsam beantwortet. Die Daten der Patientinnen und Patienten werden patientenindividuell verschlüsselt auf dem Server des jeweiligen Betreibers gespeichert. Die entsprechenden Server müssen sich auf dem Gebiet eines Mitgliedstaates der Europäischen Union bzw. des Europäischen Wirtschaftsraums befinden. Für die Akte selbst, die Benutzerschnittstelle zu den Versicherten und den Konnektor werden darüber hinaus Sicherheitsnachweise gefordert. Aufgrund der patientenindividuellen Verschlüsselung und weiterer Sicherheitsmaßnahmen wie einer vertrauenswürdigen Ausführungsumgebung für die Suche innerhalb der Metadaten und einer chipkartenbasierten Public-Key-Infrastruktur sind die Daten vor Einsichtnahme sowohl durch den Anbieter bzw. Betreiber der elektronischen Patientenakte als auch durch Angreifer auf den Server und die Kommunikationswege geschützt. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333