Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens – kurz Digital-Gesetz (DigiG) – ist Teil der nationalen Digitalisierungsstrategie für das Gesundheitswesen und die Pflege. Wir beleuchten die durch das DigiG zu erwartenden Änderungen und zeigen auf, wer davon wie betroffen ist.
Aktueller Stand des DigiG
- Das DigiG wurde im Bundesgesetzblatt veröffentlicht und trat am 26. März 2024 in Kraft.
- Das Gesetz soll an einigen Stellen durch Rechtsverordnungen bzw. Richtlinien ergänzt werden, die noch abzuwarten sind.
Inhalt und Zielsetzung des DigiG
Das Digital-Gesetz soll die digitale Transformation des Gesundheitswesens und der Pflege konsequent weiterentwickeln und schneller vorantreiben. Insbesondere soll hierdurch eine effizientere, qualitativ hochwertige und patientenzentrierte gesundheitliche und pflegerische Versorgung gewährleistet werden.
Im Einzelnen verfolgt das Gesetz folgende Detailziele:
Elektronische Patientenakte (ePA) besser nutzbar machen
Die Potenziale der elektronischen Patientenakte (ePA) sollen zur Steigerung der Patientensicherheit und der medizinischen und pflegerischen Versorgungsqualität nutzbar gemacht werden.
Die ePA wird Anfang 2025 für alle gesetzlich Versicherten eingerichtet. Alle Versicherten können der Nutzung mittels Opt-out widersprechen. Für privat Versicherte können die jeweiligen Unternehmen der privaten Krankenversicherung hierzu ein gleiches Vorhaben durchführen. Der Nutzen für die Versicherten soll bspw. in einer digitalen Medikationsübersicht liegen.
Weiterentwicklung des E-Rezeptes
Das E-Rezept wird künftig mit der ePA verzahnt, wodurch eine bessere Abstimmung von Arzneimitteln für den Patienten durch dessen Behandler erfolgen soll. Das e-Rezept wird mittels ePA-App abrufbar sein.
Effektivitätssteigerung von digitalen Gesundheitsanwendungen (DiGA)
Die Integration von DiGA in Versorgungsprozesse wird einschließlich des Leistungsanspruchs für anspruchsvollere medizinische Produkte verstärkt werden. Damit können auch Medizinprodukte für komplexere Behandlungsprozesse genutzt werden, darunter beispielsweise das Telemonitoring. Es wird ein transparenter Qualitätswettbewerb etabliert. Für alle im Verzeichnis gelisteten DiGA wird eine anwendungsbegleitende Erfolgsmessung verpflichtend. Deren Ergebnisse werden an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) gemeldet und im Verzeichnis veröffentlicht werden.
Videosprechstunden und Telekonsilien qualitätsorientiert weiterentwickeln
Telemedizin soll integraler Bestandteil der Gesundheitsversorgung sein, insbesondere durch die erweiterte Nutzung und den leichteren Zugang zu Videosprechstunden und Flexibilisierung der Begrenzung von Anwendungen. Mit einer assistierten Telemedizin wird zudem ein niedrigschwelliger Zugang zur Versorgung geschaffen. Hierdurch sollen auch neue telemedizinische Leistungen für Einrichtungen wie Hochschulambulanzen oder Psychiatrische Institutsambulanzen sowie psychotherapeutische Sprechstunden ermöglicht werden können.
Digitale Versorgungsprozesse in strukturierten Behandlungsprogrammen ermöglichen
Es werden neue strukturierte Behandlungsprogramme für Diabetes mit digitalisierten Versorgungsprozessen eingeführt. Hierdurch sollen eine datengetriebene Therapie ermöglicht und die bisher getrennten Datenwelten von Patienten und Leistungserbringern miteinander verknüpft werden.
Interoperabilität verbessern
Interoperable Informationssysteme sind grundlegend für eine hochwertige Gesundheitsversorgung. Angesichts der noch weitläufig fragmentierten Leistungserbringung und vielfältigen Informationssysteme im deutschen Gesundheitssystem drohen Probleme beim Austausch behandlungsrelevanter Daten.
Bisherige Maßnahmen zur Förderung der Interoperabilität waren unzureichend, daher wird die Verbindlichkeit von Standards, Profilen und Leitfäden erhöht, um die Datenverfügbarkeit zu verbessern, die Behandlungsqualität zu steigern und den Schutz der Gesundheit und informationellen Selbstbestimmung der Versicherten zu erhöhen.
Cybersicherheit im Gesundheitswesen erhöhen
Die erhöhten Cybersicherheitsrisiken erfordern vom Gesundheitswesen organisatorische und technische Maßnahmen zur Stärkung der Informationssysteme und allgemein eine Risikoreduzierung.
Die Bewusstseinsbildung der Nutzerinnen und Nutzer gegenüber verschiedenen Angriffsvektoren soll gestärkt werden. Hierfür werden Awareness-Maßnahmen durch Leistungserbringer verpflichtend. Während cloudbasierte Informationssysteme im Gesundheitswesen Vorteile bieten, aber auch Cybersicherheitsrisiken bergen, sollen verbindliche Mindestanforderungen durch Kriterienkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) regulativ sichergestellt werden. Durch den neu eingefügten § 393 des Fünften Buches Sozialgesetzbuch (SGB V) wird sichergestellt, dass bei der Verarbeitung gesundheits- und/oder personenbezogener Daten mithilfe von cloudbasierten Informationssystemen, diese Mindestanforderungen künftig zu erfüllen sind. Der in weiten Teilen gleichlautende § 75c SGB V wird gestrichen.
Innovationsfonds verstetigen und weiterentwickeln
Der Innovationsfonds hat die GKV-Versorgung vorangetrieben und wird nun dauerhaft etabliert, um innovative sektorenübergreifende Versorgungsansätze sowie praxisnahe Versorgungsforschungsprojekte zu fördern und zu beschleunigen, während die kontinuierliche Bewertung der Effektivität des Fonds beibehalten wird.
Auswirkungen des DigiG auf Verantwortliche und Betroffene
Mittels des reinen Artikelgesetzes soll fast ausschließlich das Fünfte Buch Sozialgesetzbuch (SGB V) erweitert, ergänzt oder geändert werden. Adressaten sind demnach regelmäßig Krankenkassen, Leistungserbringer, aber auch Datenverantwortliche einer digitalen Gesundheitsanwendung.
Betroffene Datensubjekte sind die Versicherten, deren Sozial- und Gesundheitsdaten im Behandlungskontext verarbeitet werden. Ein zeitlich beschränkter Zugriff auf in der ePA gespeicherten Daten soll für in Art. 9 Abs. 2 lit. H) DSGVO aufgeführte Zwecke rechtlich auch ohne Einwilligung ermöglicht werden. Dementsprechend wird in Abkehr der bisherigen Einwilligungsvoraussetzung in § 352 SGB V künftig via Neufassung auf die Widerspruchslösung gesetzt.
Der relevante, bisherige § 75 c SGB V regelte die IT-Sicherheit in Krankenhäusern. Der Paragraf wird inhaltlich in § 391 SGB V aufgehen. Auch hiernach sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zu treffen. Ein diesbezügliches Informationssicherheits-Managementsystem (ISMS) wird demnach nach wie vor für Krankenhäuser essenziell sein. Ferner wird künftig die Durchführung von Sensibilisierungen zur Steigerung der Security-Awareness verpflichtend (§ 391 Abs. 2 SGB V).
Die Regelung des bisherigen § 75 c Abs. 2 SGB V, wonach die Geeignetheit der technischen und organisatorischen Maßnahmen mittels Anwendung des branchenspezifischen Sicherheitsstandards für Krankenhäuser nachgewiesen werden konnte, bleibt bestehen. Dieser wird in unmittelbarer Zukunft überarbeitet werden (derzeit Version 1.2). Dies ist regelmäßig der Fall, da die nach § 8a Absatz 2 Satz 2 BSIG vorgesehene Eignungsfeststellung durch das BSI im Regelfall auf zwei Jahre begrenzt ist und dann erneuert werden muss.
Aus Datenschutzsicht ist auch der neue § 393 SGB V besonders relevant, da er eine bedingte Rechtsgrundlage für die Verarbeitung von Sozialdaten mittels Cloud-Computing schafft. Man findet darin Vorgaben an die Geolokalität, angemessene Sicherheitsmaßnahmen sowie an ein Vorliegen eines aktuellen Testats nach Maßgabe des BSI C5 Kriterienkatalogs. § 393 SGB V wird nach Maßgabe des Art. 9 Abs. 4 DigiG am 01.Juli 2024 in Kraft treten.
Fazit
Aufgrund der Vielzahl an Änderungen wird abzuwarten sein, was den größten Einfluss auf die künftige Praxis haben wird.
Durch die Widerspruchslösung hinsichtlich ePA kann die Akzeptanz der Versicherten leiden. Der einzelne Betroffene wird erst dann sinnvoll eine Entscheidung treffen wollen, wenn er mögliche Vorzüge durch die versprochene Interoperabilität auch spürt – ohne im Gegenzug ein Verlust an Sicherheit hinnehmen zu müssen. Die Datenhoheit leidet zweifelsfrei. Vieles wird sich für den Einzelnen erst mit der tatsächlichen Umsetzung entscheiden. Allerdings ist zu erwarten, dass ein aktiver Opt-out durch die Versicherten nicht flächendeckend stattfindet, da dies eine Abwägung voraussetzt, die die Versicherten in der Regel mangels thematischer Einarbeitung nicht leisten wollen.
Aus Datenschutzsicht bleiben präzise Vorgaben an elektronische Systeme nicht selten vage oder sollen erst noch mittels Rechtsverordnungen bzw. in noch zu erstellenden Richtlinien folgen. Prägnantes Beispiel sind hier die beabsichtigten technischen Verfahren für strukturierte Behandlungsprogramme im Falle der Diabetesbehandlung.
Derzeit noch höchst umstrittene Fragen zu Verantwortlichkeiten und Datennutzungsmöglichkeiten zwischen Herstellern, Versorgern und Cloudprovidern, werden nicht beantwortet, sondern bleiben weiterhin offen.
Es wird Vorgaben geben, die durch den Leistungserbringer selbst nicht rechtsicher zu erfüllen sind. So soll die freiwillige Entscheidung des Versicherten für die Behandlungsprogramme verpflichtend sein, wenngleich nicht klar ist, wie die Freiwilligkeit durch den Leistungserbringer gewährleistet werden soll.
Die Weichen für rechtskonform nutzbare elektronische Systeme und Medizinprodukte – insbesondere im Falle der Diabetesbehandlung – fällt oft bereits mit der Entscheidung der Kassen darüber, welche Produkte verschrieben werden und welche nicht.
Spannend wird auch die Wechselwirkung mit den europäischen Anforderungen zu beobachten sein. Mit den Gesetzesentwürfen wird der Grundstein gelegt, auch die Anforderungen an den kommenden European Health Data Space (EHDS) erfüllen zu können.