0 Rechtsentwicklung
Rz. 1
Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 339 regelt den Zugriff auf Daten in Anwendungen der Telematikinfrastruktur. Die Vorschrift übernimmt in Teilen die bisher in § 291a Abs. 4 bis 5a enthaltenen Vorgaben zu den Zugriffsvoraussetzungen auf Daten in Anwendungen der Telematikinfrastruktur. Außerdem strukturiert sie diese neu.
Rz. 1a
Art. 1 Nr. 45 des Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG) v. 3.6.2021 (BGBl. I S. 1309) hat die Vorschrift mit Wirkung zum 9.6.2021 in den Abs. 1, 3, 4 und 5 geändert. Die Änderungen tragen der Überführung des elektronischen Medikationsplans in eine eigene Online-Anwendung, der Einführung der neuen Anwendung "elektronische Patientenkurzakte" in § 334 Abs. 1 Satz 2 Nr. 7 und der Einführung der digitalen Identität für Versicherte und Leistungserbringer in § 291 Abs. 7 und § 340 Abs. 6 Rechnung.
Rz. 1b
Art. 1 Nr. 41 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat mit Wirkung zum 26.3.2024 und 15.1.2025 Abs. 1 und 4 neu gefasst und Abs. 1a neu eingefügt.
Abs. 1 (mit Wirkung zum 15.1.2025)
Die Verarbeitungsbefugnis von Versichertendaten wird beschränkt, indem die Daten nur von Fachpersonal verarbeitet werden.
Abs. 1a (mit Wirkung zum 26.3.2024)
Leistungserbringer des öffentlichen Gesundheitsdienstes sowie in der Betriebsmedizin Tätige erhalten erst nach vorheriger Einwilligung des Versicherten Zugriff auf die Versichertenverfahren.
Abs. 4 (mit Wirkung zum 26.3.2024)
Vertrauensleistungserbringern ist es möglich, über das Endgerät eines Versicherten auf dessen elektronische Patientenakte zuzugreifen.
1 Allgemeines
Rz. 2
Die Norm gibt vor, unter welchen Voraussetzungen berechtigte Dritte (z. B. Leistungserbringer) auf Daten in Anwendungen der Telematikinfrastruktur zugreifen dürfen. Die Zugriffe sind zu protokollieren. Damit kann der Versicherte seine Rechte im Rahmen der Patientensouveränität wahrnehmen und kontrollieren (BT-Drs. 19/18793 S. 110). Den Protokolldaten ist zu entnehmen, welche Institution zugegriffen hat und welche Daten verarbeitet wurden. Die zugreifende Person wird durch die Institution protokollierte und ist innerorganisatorisch nachprüfbar zu dokumentieren. Der Versicherte hat darüber einen Auskunftsanspruch. Die Daten sind nach der regelmäßigen Verjährungsfrist des Bürgerlichen Gesetzbuchs nach 3 Jahren durch die Verantwortlichen unverzüglich zu löschen. Dies schließt nicht aus, dass die Versicherten ihre Daten weiterhin auf eigenen Speichermedien vorhalten. Die durch die Norm umschriebene "Bestimmungsmacht" der Versicherten über die sie betreffenden Datensammlungen ist Ausdruck der Datenhoheit und damit des Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG bzw. Art. 8 GRCh), womit die eigenverantwortliche und aktive Entscheidung der Versicherten in den Mittelpunkt gestellt wird (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 339 Rz. 13 m. w. N.).
Rz. 2a
Die Zugriffsberechtigung berücksichtigt die Verordnung (EU) 2016/679 (DSGVO), insbesondere im Hinblick auf die Ausnahmevorschrift des Art. 9 Abs. 2 DSGVO zur Verarbeitung von Gesundheitsdaten der betroffenen Person (BT-Drs. 20/9048 S. 110). Die Verarbeitung ist mit Wirkung zum 15.1.2025 für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich (Art. 9 Abs. 2 Buchst. h DSGVO). Die Beschränkung der Verarbeitungsbefugnis auf die in § 352 genannten Leistungserbringer stellt sicher, dass die Daten der Versicherten nur von Fachpersonal, das dem Berufsgeheimnis unterliegt, oder unter dessen Verantwortung verarbeitet werden (Art. 9 Abs. 2 Buchst. h i. V. m. Art. 9 Abs. 3 DSGVO).
2 Rechtspraxis
2.1 Einwilligung des Versicherten (Abs. 1 in der bis zum 14.1.2025 gültigen Fassung)
Rz. 3
Zugriffsberechtigte (Leistungserbringer und andere zugriffsberechtigte Personen, z. B. berufsmäßige Gehilfen oder Apotheker) dürfen auf personenbezogene Daten der Versicherten in einer Anwendung der Telematikinfrastruktur zugreifen, soweit die Versicherten hierzu ihre vorherige Einwilligung erteilt haben (Satz 1). Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Der Kreis der zugriffsberechtigten Personen sowie die Voraussetzungen für den Zugriff ergeben sich aus §§ 352, 356, 357 und 359. Die Einwilligung des...