E-Evidence-Verordnung: Patientendaten vor Zugriff ausländischer Behörden schützen
Mithilfe der geplanten E-Evidence-Verordnung soll die Herausgabe von elektronisch gespeicherten Daten an Ermittlungsbehörden anderer EU-Staaten erleichtert werden. Aus Sicht des 125. Deutschen Ärztetages gefährdet dies den Schutz von Patientendaten in Arztpraxen und das Arzt-Patient-Verhältnis. Bereits im Vorfeld des Ärztetages hatte die Bundesärztekammer die Bundesregierung mit Nachdruck aufgefordert, sich für eine Überarbeitung des Vorschlags einzusetzen. Keinesfalls dürfe der Rat der EU den Verordnungsvorschlag eins zu eins durchwinken.
Geht es nach dem Willen der EU-Kommission, sollen Ermittlungsbehörden bei Verdacht auf bestimmte Straftaten künftig europaweit Zugriff auf Daten von Internet-Unternehmen erhalten. Das geht aus dem aktuellen Entwurf der „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ (E-Evidence-Verordnung) hervor. So sollen Ermittlungsbehörden anderer EU-Länder etwa von Cloud-Anbietern und Internetdienstleistern verlangen können, dass diese bei ihnen gespeicherte elektronische Daten herausgeben. Auch Patientendaten können Gegenstand einer solchen Anordnung werden, wenn Arztpraxen diese beispielsweise in einer Cloud ablegen. Die Justizbehörden des anderen Mitgliedstaates bei der Umsetzung der Anordnung obligatorisch zu beteiligen, ist nach dem Willen der Kommission nicht vorgesehen.
„Big brother is watching you“
Bundesärztekammer-Präsident Dr. Klaus Reinhardt hatte bereits in seiner Eröffnungsrede des Deutschen Ärztetages gewarnt, dass sich Behörden anderer EU-Länder Zugriff auf die von Ärztinnen und Ärzten dokumentierten Patientendaten verschaffen könnten, wenn der Verordnungsentwurf unverändert in Kraft treten sollte. Der Ausspruch „Big brother is watching you“ bekomme so eine ganz neue Bedeutung, so Reinhardt. Gerade mit Blick auf das ärztliche Berufsträgergeheimnis sei das „fatal und absolut inakzeptabel“. Die Bundesärztekammer habe deshalb das Bundesjustizministerium angeschrieben und mit Vertretern des Europäischen Parlaments Kontakt aufgenommen und auf dieses Problem aufmerksam gemacht.
Der Verordnungsvorschlag sieht unter anderem vor, dass Ermittlungsbehörden von sogenannten Diensteanbietern fordern können, Daten ihrer Kunden preiszugeben – selbst wenn nach deutschem Recht keine Straftat vorliegt. So wäre es theoretisch möglich, in Deutschland vorgenommene Schwangerschaftsabbrüche strafrechtlich zu verfolgen, wenn im Herkunftsland der Frauen Abbrüche strafbar sind.
Aus Sicht der Ärzteschaft schränkt das ärztliche Berufsgeheimnis die strafprozessuale Verwendung von Patientendaten ein. Das aber werde durch das vorgeschlagene Verfahren unterlaufen. Es müsse deshalb sichergestellt werden, dass Daten bei Berufsgeheimnisträgern wie Ärztinnen und Ärzten und anderen Berufsgruppen im Gesundheitswesen besseren Schutz genießen.
Staatlich verantwortete Infrastrukturen (oder entsprechende Strukturen, die von staatlich Beauftragten betrieben werden), die für die Speicherung und den Austausch von Patientendaten konzipiert wurden, müssen vom Anwendungsbereich der Verordnung ausgenommen werden. Ferner muss gewährleistet sein, dass die Anfragen der Justizbehörden im Regelfall an die Arztpraxis gestellt werden und nicht an den Diensteanbieter, der kaum verlässlich einschätzen kann, ob besonders schützenwerte Daten betroffen sind. Schließlich muss der Mitgliedstaat des betroffenen Arztes oder der betroffenen Ärztin die Möglichkeit haben, einer Anordnung zu widersprechen.
Tritt die E-Evidence-Verordnung in ihrer geplanten Form unverändert in Kraft, werde „ein Instrument geschaffen, das geeignet ist, Vertrauen der Patientinnen und Patienten in digitale Lösungen im Gesundheitsbereich, wie zum Beispiel die elektronische Patientenakte, zu erschüttern“, betonten die Abgeordneten des Ärztetags. Dies stelle eine erhebliche Grundrechtsbeeinträchtigung dar und gefährde die ärztliche Schweigepflicht. Patientinnen und Patienten müssten sich auf die Sicherheit ihrer Daten verlassen können.
Auch trage der Verordnungsentwurf nicht dazu bei, Vertrauen in einen künftigen Europäischen Gesundheitsdatenraum zu schaffen. So sei nicht auszuschließen, dass Ärztinnen und Ärzte aus Sorge um die Sicherheit der sensiblen Patientendaten die Etablierung von digitalen Prozessen in ihren Praxen aussetzten, warnte Reinhardt Rede vor den Ärztetagsabgeordneten.
Unterdessen laufen die Trilog-Verhandlungen um einen Kompromiss zwischen EU-Rat und Europäischem Parlament weiter. Das Parlament hatte im Dezember 2020 eine Verhandlungsposition beschlossen, die eine bessere Einbeziehung des Mitgliedstaates vorsieht, in dem die Daten gespeichert sind.
Die Mitgliedstaaten im EU-Rat sind uneins. Während insbesondere die südeuropäischen Staaten den Vorschlag der Kommission im Sinne einer Verfahrensbeschleunigung unterstützen, setzt sich eine Allianz aus beispielsweise Deutschland und skandinavischen Ländern für stärkere Kontrollen und Verfahrensrechte ein.
Aktuell scheint es wahrscheinlich, dass zumindest bei der Abfrage von elektronischen Inhaltsdaten – hierzu zählen etwa Informationen über Patienten in einer Praxis-Cloud – der angefragte Mitgliedstaat informiert werden muss und die Möglichkeit bekommen soll, der Anordnung binnen 10 Tagen zu widersprechen – vorausgesetzt, die Abfrage verletzt das Berufsgeheimnis. Eine Einigung ist nach aktuellem Stand in den kommenden Wochen nicht zu erwarten.
In derPodcast-Folge „Die E-Evidence-Verordnung“ von Sprechende Medizin sprechen BÄK-Präsident Dr. Klaus Reinhardt und Moderator Daniel Finger darüber, an welchen Stellen der Verordnungsentwurf dringend nachgebessert werden muss, damit unter anderem das Arztgeheimnis unangetastet bleibt.