Versorgungsmanagement, E-Health und Datenschutz Aktuelle Themen und Entwicklungen careon-gesundheitsforum Tübingen, 19.06.2015 Dr. Uwe K. Schneider Rechtsanwalt Fachanwalt für Medizinrecht 2
Agenda Versorgungsmanagement und E-Health Risiken und Nebenwirkungen Beispiel: So wird meine Krankenversicherung gekapert Grundsätze des Datenschutzes Versichertenakquise für Versorgungsprogramme Datenverarbeitung in Versorgungsprogrammen Datenverarbeitung nach Ausscheiden eines Versicherten E-Health-Gesetz (Entwurf der BReg) Datenschutz-Grundverordnung der EU (Verhandlungsstand) Fazit und Ausblick 3
Versorgungsmanagement und E-Health Steuerung des Behandlungsgeschehens / Gesundheitsverhaltens insbesondere Koordinierung mehrerer Leistungserbringer Titelmasterformat kombinatorische durch Klicken bearbeiten beziehungen, n Behandler => Koordinierung n * (n-1) gerichtete durch Zentralstelle Kommunikations- (Versorgungsmanager, ggf. auch Patient selbst) kann Explosion Kommunikation vereinfachen Chancen: Verbesserung von Qualität und Wirtschaftlichkeit der Versorgung z.b. über einheitliche Datenbasis, bessere Entscheidungsgrundlagen Vermeidung von Doppeluntersuchungen Voraussetzung: intensivere Kommunikation, Vernetzung nicht zwingend elektronisch, aber oft am effizientesten => E-Health 4
Risiken und Nebenwirkungen Diffusion von Daten, Verantwortung und Vertrauen im Netz Vgl. schon BVerfG Volkszählungsurteil (1983) : Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, [...] kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Sie wollen ungesunde Verhaltensweisen notieren und abstellen? Geht nur in den Grenzen des Datenschutzrechts! 5
Risiken und Nebenwirkungen Verhaltensabhängige Tarife: Rabatte für Gesundheitsdaten Generali: Vitalitiy-Programm (Planung öffentl. seit 12/2014) Prämienrabatte bei gesundem Lebensstil (ausreichend Bewegung, ) Rückgriff auf Daten aus Smartphones und Fitness-Armbändern YouGov-Umfrage (veröff. 01/2015) immerhin 1/3 der Deutschen wären grds. bereit, entsprechende Gesundheitsdaten gegen Rabatte zu liefern auch in GKV nicht generell ausgeschlossen, aber limitiert Bonusprogramme für gesundheitsbewusstes Verhalten ( 65a SGB V) vgl. Fit2Go-Programm der BGEK (für die bloße Nutzung der App) Wahltarife ( 53 III SGB V) für Teilnahme an Versorgungsprogrammen Datenoffenlegung zumindest gegenüber Leistungserbringern 6
So wird meine Krankenversicherung gekapert Schlagzeile in der Rheinische Post vom 26.06.2014 zur BGEK, auch: So unsicher sind Patientendaten Was ist passiert? Versicherter (Redakteur) gibt Drittem Versichertennr. u. Namen Dritter ruft im CC der BGEK an, ändert so die Adresse des Versicherten Lässt sich Zugangscode für Onlinekonto mit Leistungsdaten zusenden Risiko Imageverlust Schlagzeilen in den Medien von der Rheinischen Post bis zu den Hauptabendnachrichten auf ARD und ZDF Risiko Aufsichtsbehörde Bundesversicherungsamt ermittelt und fordert allgemein höhere Standard für die Online-Authentifizierung Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist eingeschaltet 7
Grundsätze des Datenschutzes Rechtsgrundlage für jede Datenverarbeitung Verbot mit Erlaubnisvorbehalt: Einwilligung od. Rechtsvorschrift GKV: SGB I, V, X PKV und private Dienstleister: BDSG (+ VVG für PKV) DV nur soweit zulässig, wie für die Zwecke der RGrl erforderlich Transparenz der Datenverarbeitung Aufklärung vor Einwilligung ( informed consent ) Datenschutzhinweise auch bei gesetzlichen Erlaubnissen individuelle Auskünfte an Betroffene, ggf. Korrekturansprüche Verarbeitungsübersichten, Verfahrensverzeichnisse Technische und organisatorische Maßnahmen der Datensicherheit Verschlüsselung bei Datentransport über offene Netze (Internet) z.b. auch Authentifizierung der Kunden bei Registrierung 8
Versichertenakquise für Versorgungsprogramme Datenanalyse Zielgerichtete Akquise aufgrund der Analyse vorhandener Daten Rechtsgrundlage bei personenbezogenen Daten? Einwilligung vor Identifizierung schwierig gesetzliche Erlaubnis sicherer, wo vorhanden GKV Einwilligung ohnehin nicht beliebig nutzbar; aus dem Gesetz: für Gewinnung DMP-Vers. klar zulässig ( 284 I 1 Nr. 14 SGB V ) wohl auch noch i.r.d. Vorbereitung von Modellvorhaben (Nr. 13) schwierig für die Durchführung v. VM, IGV, spz. amb. Versorg. PKV noch unklarere Rechtslage: keine klaren gesetzlichen Erlaubnisse VVG: sieht für PKV solche Programme nicht explizit vor BDSG: restriktive Sonderregeln für Gesundheitsdaten evtl. Abdeckung durch Generaleinwilligung bei Vertragsschluss 9
Versichertenakquise für Versorgungsprogramme Outsourcing Auslagerung der Akquise (Datenanalyse, Versichertenansprache) auf Dritte (spezialisierte Dienstleister) rechtlich sehr schwierig GKV PKV BVA zu DMP (Rundschreiben v. 1.4.2009, DAK./. Healthways) Outsourcing ohne Einwilligung nicht zulässig vor Akquise keine Einwilligung möglich => Outsourcing unzulässig Auftragsdatenverarbeitung ( 80 SGB X)? hierfür keine Einwilligung erforderlich aber jedenfalls engmaschige Steuerung durch Kasse nötig Spezielle Schweigepflicht für PKV-Unternehmen ( 203 StGB) AuftragsDV( 11 BDSG) keine Befugnis zu deren Durchbrechung Konkrete Schweigepflichtentbindung vor Akquise nicht möglich Generaleinwilligung hier wg. Strafbarkeitsrisiken gefährlicher 10
Datenverarbeitung in Versorgungsprogrammen Einwilligung als Basis GKV: Einwilligung nur im gesetzlichen Rahmen zulässig nur für die gesetzlich geregelten Programme nur für die Datenverarbeitung im dort vorgesehenen Rahmen Warnung der BfDI in Tätigkeitsbericht 2013/14: Kassen betreiben Fallmanagement über gesetzlichen Auftrag hinaus z.b. Versorgungsmanagement gem. 11 Abs. 4 SGB V v.a. an Schnittstellen, nur Koordinierung Leistungserbringer unterstützen PKV: Einwilligung recht flexibel einsetzbar für Versicherten bestimmt genug (Datenverarbeitung erklärend) und freiwillig (kein Druck) Einwilligung jederzeit widerruflich (=> Ausscheiden aus Programm) 11
Datenverarbeitung nach dem Ende der Teilnahme an Versorgungsprogrammen Zweck Versorgungssteuerung erledigt => eigentlich Löschung aber: Aufbewahrungsfristen für andere Zwecke (z.b. Evaluation) z.b. DMP-Aufbewahrungsfristen-Richtlinie des GBA: 15 Jahre => Daten aus Berichtsjahr 2003 bis Ende 2018 Schreiben der BfDI v. 19.11.2014 an GKV-Spitzenverband Datenverarbeitungsprogramme müssen Löschung ermöglichen Löschungskonzepte müssen vorliegen fehlende Löschungsmöglichkeiten/-konzepte werden beanstandet Löschung physisch, z.b. durch Überschreiben von Datenträgern nicht einfach logische Löschung mit normalen Betriebssystemmitteln Anonymisierung als Alternative zur Löschung nur was ist wirklich anonym, u.a. abhängig v. Kontext f. Mustervergleich 12
E-Health-Gesetz: Entwurf der Bundesregierung Entwurf der Bundesregierung vom 27.05.2015 (BR-Drucks. 257/15) Forcierung des Versichertenstammdatendienstes (VSDD) Incentivierung von elektronischen Arztbriefen (Kassen zahlen) Öffnung der Telematikinfrastruktur für neue Anwendungen wie den elektronischen Arztbrief unabhängig von der egk Medikamentenplan soll perspektivisch auch auf die egk Datenschutzregeln selbst nicht geändert: VSDD bleibt Pflicht Medikamentenplan ist freiwillig (für den Vers.) der Versand eines (elektronischen) Arztbriefes setzt die zumindest stillschweigende Einwilligung des Patienten voraus 13
E-Health-Gesetz: Stellungnahme zum Entwurf Stellungnahme der Konferenz der Datenschutzbeauftragten von Bund und Ländern vom 18.03.2015 (zum Referentenentwurf, aber noch aktuell) Erprobung Patientenzugriff sollte auch forciert werden bei Interoperabilitätsverzeichnis sollten Datenschutzexperten mitwirken Berufsgeheimnisträger sollten IT-Dienstleister in engen gesetzlichen Grenzen (ohne Einwilligung) einschalten dürfen, Änderungen z.b. in 203 StGB vorgeschlagen 14
EU-Datenschutz-Grundverordnung: Verhandlungsstand I Ziel: stärkere Vereinheitlichung des Datenschutzes in der EU durch unmittelbar geltende Verordnung Entwurf der Kommission vom 25.01.2012 Standpunkt des Europäischen Parlamentes vom 12.03.2014 Ausrichtung des Rates der Innen- und Justizminister vom 15.06.2015 nun Trilog zwischen Parlament und Rat unter Vermittlung der Kommission Plan: Einigung bis Ende 2015, Geltung ab Anfang 2018 15
EU-Datenschutz-Grundverordnung: Verhandlungsstand II durch alle Entwürfe hindurch: im öffentlichen Bereich (GKV) Datenverarbeitung i.d.r. nicht allein durch DS-GVO gerechtfertigt gesetzliche Erlaubnisse im Rahmen der DS-GVO können auch durch Mitgliedstaaten erlassen werden in Tendenz sogar verstärkt (Rat: weitgehende Öffnungsklausel) in BRD wird es wohl im Wesentlichen bei SGB I, V, X bleiben u.u. aber weitergehende Befugnisse für BfDI (z.b. Bußgelder bis 1 Mio. EUR oder 2 % des Jahresumsatzes, vgl. Voßhoff 17.6.2015) 16
EU-Datenschutz-Grundverordnung: Verhandlungsstand III im nicht-öffentlichen Bereich (PKV) Öffnungsklausel für Mitgliedstaaten u.u. auch auf Gesundheitswesen (besondere Verarbeitungssituation) anwendbar insgesamt aber eher unmittelbare Wirkung der DS-GVO gesetzliche Erlaubnisse bei Gesundheitsdaten aber restriktiv Einwilligung wird wohl zentrales Instrument bleiben aber evtl. Erleichterung Outsourcing (Art. 9 Abs. 4 DS-GVO nach der Ratsausrichtung) Auslegung vieler Klauseln aber noch unklar wer damit nicht leben will / mehr Rechtssicherheit möchte: noch Einflussmöglichkeiten im Rahmen des Trilogs 17
Fazit / Ausblick im Spannungsfeld von Datenschutz und Versorgungsmanagement bleibt es spannend mehr oder weniger neue rechtliche Anforderungen: DS-GVO Umsetzung bestehender Anforderungen: mehr Druck u.a. durch Echtbetrieb Telematikinfrastruktur und egk durch BVA und BfDI in jedem Fall einiges an Datenschutz zu beachten dann einiges an Versorgungsmanagement machbar 18
Vielen Dank für Ihre Aufmerksamkeit! Fragen? Dr. Uwe K. Schneider Vogel & Partner Rechtsanwälte mbb Technologiepark Karlsruhe Emmy-Noether-Straße 17 76131 Karlsruhe us@vogel-partner.eu www.vogel-partner.eu 19