DigitalisierungsgesetzeDauerbaustelle Datenschutz

Die Digitalisierung in der Praxis erhält einmal mehr neue Vorgaben: sowohl in Form des dritten Digitalisierungsgesetzes als auch der IT-Richtlinie. Welche Folgen sich daraus für Praxen ergeben – und Tipps, worauf es beim Datenschutz nun zu achten gilt.

Die Themen Digitalisierung und Datenschutz sind für viele Praxen Dauerbaustellen. Das zeigt nicht nur die steigende Durchnummerierung der einzelnen “Digitalisierungsgesetze” aus dem Bundesgesundheitsministerium, sondern vor allem auch deren Folgen im Praxisalltag. Aktuell treten diese in zweierlei Form zu Tage:

  • Das “Gesetz zur digitalen Modernisierung von Versorgung und Pflege” (DVPMG) – das sogenannte dritte Digitalisierungsgesetz –, das sich bei Redaktionsschluss noch im parlamentarischen Verfahren befand, soll noch Mitte dieses Jahres in Kraft treten. Das Gesetz knüpft quasi nahtlos an das Digitale-Versorgung- Gesetz (DVG, 2019) und das Patientendaten-Schutzgesetz (PDSG, 2020) an.
  • Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) ist in großen Teilen bereits zum 1. April in Kraft getreten. “Bestellt” hatte der Gesetzgeber die Richtlinie mit Beschluss des DVG.

Zwar nehmen beide Bausteine völlig unterschiedliche Bereiche in den Blick: Während die KBV-Richtlinie ganz konkret die IT-Sicherheit in Praxen verbessern will, also etwa Vorgaben rund um Virenschutz, Firewall und Sperrcodes macht, bleibt das DVPMG naturgemäß mehr auf der “Meta-Ebene”: Es soll die Grundlage für die Anbindung der Pflege an die Telematik- Infrastruktur (TI) legen und die Telemedizin stärken.

Doch bei einem genauen Blick in den Gesetzestext finden sich auch hier konkrete Aussagen für Arztpraxen.

Drittes Digitalisierungsgesetz: Folgen in der Praxis

Denn in der Tat enthält das DVPMG eine für Praxen wichtige Klarstellung: Die nach der Datenschutz-Grundverordnung (DSGVO) notwendige Datenschutz-Folgenabschätzung für die Verarbeitung personenbezogener Daten in Komponenten der TI, etwa Konnektoren und Kartenlesegeräten, soll künftig der Gesetzgeber übernehmen.

Die Arztpraxen müssen sich somit auch formal-rechtlich nicht mehr damit befassen.

Wichtig: Arztpraxen müssen somit – zumindest für die Arbeit in der TI – keinen Datenschutzbeauftragten mehr benennen. Soweit aufgrund anderer Vorgänge, etwa innerhalb des Praxisverwaltungssystems (PVS), eine Folgenabschätzung nötig ist, bleibt diese jedoch explizit bestehen, stellt das Gesundheitsministerium auf Anfrage gegenüber “Der Hausarzt” klar.

Für den Betrieb der TI wird übrigens klar die Gematik als Verantwortliche benannt; sie kann die Verantwortung damit nicht mehr auf einen Dienstleister abschieben.

Insgesamt, lässt sich sagen, wird die Telemedizin weiter gestärkt: Videosprechstunden, Telekonsile und telemedizinische Leistungen sollen durch eine bessere Vergütung gefördert werden. Der Gemeinsame Bundesausschuss (G-BA) wird beauftragt, die Feststellung der Arbeitsunfähigkeit bei ausschließlicher Fernbehandlung zu ermöglichen. Und die Terminservicestellen der Kassenärztlichen Vereinigungen (KVen) sollen künftig auch Videosprechstunden vermitteln.

Folgen an der Schnittstelle zur Praxis

  • Nach Ärzten und Zahnärzten, Apotheken, Kliniken und Pflege sollen auch Heil- und Hilfsmittelerbringer, Soziotherapeuten und zahnmedizinische Labore an die TI angebunden werden.
  • Entsprechend den digitalen Gesundheitsanwendungen (DiGA), den “Apps auf Rezept” (“Der Hausarzt” 20/20), sollen auch im Bereich der Pflege digitale Anwendungen (DiPA) eingeführt und durch die Pflegeversicherung finanziert werden. Prüfung und Listung übernimmt auch hier das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Mit den Apps sollen Pflegebedürftige den eigenen Gesundheitszustand stabilisieren oder verbessern, etwa in Form einer Sturzrisikoprävention oder personalisierten Gedächtnisspielen für Menschen mit Demenz.
  • DiGA-Daten sollen direkt in die E-Patientenakte (ePA) einfließen können.
  • Versicherte und Leistungserbringer erhalten ab 2023 “digitale Identitäten”, um sich für Videosprechstunden zu authentifizieren.
  • Die künftig auch kontaktlos einlesbare elektronische Gesundheitskarte soll nicht mehr als Datenspeicher dienen. E-Medikationsplan und elektronische Notfalldaten werden in die ePA integriert.

IT-Sicherheitsrichtlinie: Folgen in der Praxis

Die Vorgaben der Richtlinie sollen Praxen ganz konkret helfen, Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. Die KBV-Vertreter hatten im Nachgang an ihre Versammlung im Dezember zugestimmt (“Der Hausarzt” 2/21).

Wichtig: Im Gegensatz zur Datenschutz-Klarstellung des DVPMG mit Blick auf die TI sind hier explizit die Praxisinhaber verantwortlich, dass die vorgeschriebenen Standards eingehalten werden. Laut der Präambel können sie Risiken bei der Umsetzung aber auch “an Dritte, wie IT-Dienstleister (…), übertragen”.

Dabei ist zwar die Richtlinie selbst neu, die Vorgaben darin gelten jedoch “bereits mindestens seit Mai 2018, als die DSGVO in Kraft getreten ist”, ordnet Ralf Bungartz, IT-Sicherheitsbeauftragter der HÄVG Rechenzentrum GmbH, ein. Vielmehr spezifiziere die Richtlinie nun Details in Abhängigkeit von der Praxisgröße: Unterschieden wird zwischen kleinen, mittleren und großen Praxen.

Das A und O sei unabhängig von der Größe ein aktuelles Betriebssystem, unterstreicht Bungartz eine der Forderungen der IT-Sicherheitsrichtlinie. “Das PVS wird oft sehr aktuell gehalten”, weiß er (s. Interview S. 21/22). “Aber das Betriebssystem, das quasi dahinter liegt, ist oft so alt, dass gar keine Wartung mehr möglich ist.” Ein Beispiel: Windows 7. Hierfür stehe seit über einem Jahr keine Wartung mehr zur Verfügung, trotzdem sei es noch häufig im Einsatz.

Praxis-Tipp: “Der Hausarzt” hat die sieben wichtigsten To-Dos aus der Richtlinie herausdestilliert: www.hausarzt.link/dmToq

Ob Praxen alle Vorgaben selber umsetzen können oder sich besser professionelle Hilfe holen, hänge in erster Linie von der IT-Affinität und Zeit des Praxischefs ab, beobachtet Bungartz.

Dienstleister sollten zertifiziert sein

Ein Vorteil der Richtlinie: Für Dienstleister sei nun eine Zertifizierung vorgesehen, was Praxen bei der Auswahl helfen könne. Eine Liste der zertifizierten Anbieter finden Praxen auf www.hausarzt.link/RbFhR. In beiden Fällen jedoch empfiehlt Bungartz, aktuelle Entwicklungen im Blick zu behalten. “Die Richtlinie soll vom Gesetzgeber jährlich überarbeitet werden”, betont er.

Aufgrund der Wichtigkeit im Praxisalltag sei es daher zentral, diese Dauerbaustelle auch in Zukunft wachsam zu verfolgen.

E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.

Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärzte, VERAH® und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Deutschen Hausärzteverband profitieren außerdem von zahlreichen Extras.

Hier erfolgt die Registrierung für das Portal und den Newsletter.


Persönliche Daten

Ihr Beruf

Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Mit der Registrierung als Mitglied im Hausärzteverband stimmen Sie zu, dass wir Ihre Mitgliedschaft überprüfen.

Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.
Newsletter abbestellen

Wenn Sie den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.