Master Patient Index und Datenschutz

Die bereichs- und sektorenübergreifende Zusammenarbeit gewinnt im Gesundheitswesen zunehmend an Bedeutung. Doch Vorsicht: Auch bei der MPI-Nutzung müssen datenschutzrechtliche Vorgaben beachtet sein.

Ein Master Patient Index (MPI) macht Daten von Patienten zwischen Gesundheitsversorgern innerhalb eines Sektors aber auch über Sektorgrenzen hinweg verfügbar. Da diese Versorger in der Regel eigenständige Rechtspersonen sind, handelt es sich um eine Übermittlung im datenschutzrechtlichen Sinne. Unterliegen die MPI-Daten zudem der ärztlichen Schweigepflicht, handelt es sich im Sinne der einschlägigen Ärztlichen Berufsordnung und im Sinne von § 203 Strafgesetzbuch um eine sogenannte Offenbarung. Diese erfordert – neben der datenschutzrechtlichen Erlaubnis – auch eine spezifische Genehmigung gemäß des „Zwei-Schranken-Prinzips“.

Suche nach Rechtsgrundlagen
Eine Übermittlung zwischen zwei Rechtspersonen ist immer dann zulässig, wenn ein Gesetz dies ausdrücklich erlaubt oder eine informierte Einwilligung des Betroffenen vorliegt. Handelt es sich dabei um Patientendaten, die der Schweigepflicht unterliegen, muss sich das herangezogene Gesetz oder die informierte Einwilligung explizit auf Patienten- bzw. Gesundheitsdaten beziehen. Derzeit regeln überwiegend die krankenhaus- bzw. gesundheitsdatenspezifischen Landesgesetze (Beispiele: Datenschutzabschnitt des Landeskrankenhausgesetzes Baden-Württemberg, Gesundheitsdatenschutzgesetz Nordrhein-Westfalen), wie Krankenhäuser Patientendaten übermitteln und offenbaren dürfen.

Das ändert sich spätestens ab dem 25. Mai 2018. Dann gilt die am 25. Mai 2016 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO) bzw. die entsprechenden nationalen Ausführungsgesetze zu bestimmten Bereichen wie z.B. das (im Entwurf bereits vorliegende) neue Bundesdatenschutzgesetz. Ob neue Regelungen unter Umständen neue Erlaubnistatbestände für MPI-Daten bieten werden, ist unklar. Ebenso, inwieweit die bisherigen Landes-/Krankenhaus-/Gesundheitsdatenschutzregelungen erhalten bleiben.

MPI-Daten – Demografische Daten versus Patientendaten
Interessant ist die Frage, inwieweit es sich bei den übermittelten i.d.R. nur demografischen Daten um Patientendaten handelt und inwieweit diese der Schweigepflicht unterliegen. Die übermittelten Datensätze mögen zwar nur demografische Daten beinhalten; sobald sie aber die Information enthalten, dass eine Person Patient eines bestimmten Versorgers ist oder war, sollte von Patientendaten ausgegangen werden. Und: Bereits die Tatsache, dass eine Person Patient eines Krankenhauses oder Arztes war, unterliegt der Schweigepflicht.

Einige einschlägige Gesetze erlauben zwar prinzipiell, Patientendaten an externe Stellen zu übermitteln und zu offenbaren. Allerdings nur, wenn der Datenempfänger den Patienten im aktuellen Fall mit- oder weiterversorgt bzw. für die Versorgung an sich die entsprechenden Informationen benötigt. Die Übermittlung demografischer Patientendaten an eine externe Institution ohne dass der Patient dies wünscht oder weiß, dürfte durch diese Gesetze aber nicht ohne weiteres abgedeckt sein – selbst wenn der Patient durch die optimierte Kommunikation der unterschiedlichen Versorger (meist dauerhaft) profitieren würde. Daher – und auch aufgrund der künftig von der EU-Datenschutzgrundverordnung geforderten Transparenz gegenüber dem Betroffenen – wird für die Übermittlung der für den MPI erforderlichen Daten stets eine informierte Einwilligung des Patienten erforderlich sein.

Chancen und Risiken eines MPI aus Datenschutzsicht
Aus Datenschutzsicht bietet ein MPI sowohl Chancen als auch Risiken. So lässt sich die Kommunikation zwischen unterschiedlichen Versorgern mit Hilfe sektorenübergreifender oder regionaler elektronischer Patientenakten effizienter gestalten. Die Zustimmung des Patienten vorausgesetzt, stehen behandlungsrelevante Informationen so selbstbestimmt und transparent zur richtigen Zeit am richtigen Ort auf Knopfdruck zur Verfügung.

Und das auf eine sichere und datenschutzgerechte Weise. Übermittlungen mit E-Mail, Telefax, Datenträgern sowie die damit verbundenen Sicherheitsrisikenkönnten der Vergangenheit angehören. Hier bieten sich Chancen für den Datenschutz. Die Risiken bestehen dagegen darin, dass an zentralen Stellen einer MPI-unterstützten Kooperation ein großes Kollektiv an demografischen Patientendaten vorhanden ist. Allerdings haben diese Stellen ihrerseits keinen Zugriff auf sämtliche Patientendaten. Diese verbleiben in der Regel bei den jeweiligen Versorgern.

Mit geeigneten technischen und organisatorischen Maßnahmen wäre dann noch sicherzustellen, dass die Verarbeitungen, Übermittlungen und Nutzungen wirklich sicher und datenschutzkonform sind. Unbefugte sollten also definitiv außen vor bleiben; Daten sollten nur erwünschten Empfängern zum vorgesehenen Zweck zur Verfügung stehen.

Trotzdem bleibt ein Restrisiko: Womöglich kann nicht jeder Patient hinreichend einschätzen, welche Tragweite die Selbstbestimmung seiner Daten hat. Umso wichtiger ist es, dass Anbieter und Versorger Informationen und Angebote entsprechend gestalten sowie Beratung und Unterstützung anbieten. Die EU-DSGVO verlangt an dieser Stelle eine Verarbeitung mit Transparenz für den
Betroffenen und nach „Treu und Glauben“ (englisch: Fairness). Das sollte die Richtschnur sein.