Ob elektronische Patientenakte, Digitale Gesundheitsanwendungen, vernetzte medizinische Geräte, smarte Inkontinenzprodukte oder der Telenotarzt: Durch die Nutzung solcher Systeme entstehen große Mengen an Daten, die wiederum vielfältige Nutzungsmöglichkeiten bieten.
Die Verarbeitung dieser Daten ist zum einen für den Betrieb dieser Systeme und die unmittelbare Gesundheitsversorgung erforderlich. Das ist die sogenannte Primärnutzung. Aber auch eine darüber hinausgehende Auswertung der Daten für Sekundärzwecke – etwa die Verbesserung der Gesundheitsvorsorge und -systeme, Forschung und Innovation oder Gesundheitsberichterstattung – wird in immer größer werdendem Umfang möglich.
Datennutzung ist ein kompliziertes Unterfangen
Doch gerade im Gesundheitsbereich besteht ein Spannungsfeld zwischen Datennutzung und Datenschutz, welches das Potenzial der digitalen Transformation beschränken kann.
Derzeit bestehen erhebliche praktische Hindernisse für Forschung, Wirtschaft und Innovatoren, wenn sie Gesundheitsdaten zur Produktentwicklung oder -verbesserung oder zur Überwachung von Nebenwirkungen verarbeiten wollen. In vielen Fällen ist eine datenschutzrechtliche Einwilligung des Patienten erforderlich oder wird als erforderlich erachtet. Die Datenverarbeitung auf Einwilligungsbasis ist aber administrativ aufwendig, kostspielig und unzuverlässig, weil sie verweigert oder nachträglich widerrufen werden kann.
Die Gesetzgeber in Deutschland und auf EU-Ebene haben dieses Spannungsfeld erkannt und in verschiedenen Bereichen Lösungsmöglichkeiten erarbeitet, wie die folgenden Beispiele zeigen.
Beispiel 1: Die rechtliche Grundlage für den Telenotarzt
Bayern oder auch Nordrhein-Westfalen haben bereits ihre Landesgesetze angepasst, um den Telenotarzt einzuführen. Rettungswagen und -personal sollen so ausgestattet werden, dass der Notarzt per Zugriff auf die Daten der medizinischen Geräte im Rettungswagen und am Einsatzort sowie mittels Video- und Sprachübertragung die Patientenversorgung durch das Rettungspersonal unterstützen kann, ohne selbst anwesend zu sein. Dadurch soll eine schnellere und effizientere Notfallversorgung erreicht werden.
Durch die telenotärztliche Patientenversorgung entstehen aber auch große Mengen an Daten. Diese sollen künftig weitergehend genutzt werden. So sieht beispielsweise das Bayerische Rettungsdienstgesetz (BayRDG) als Sekundärnutzung unter anderem vor, dass die personenbezogenen Daten der Patienten aus einer Notfallversorgung für Qualitätsmanagement, Planung der notfallmedizinischen Versorgung und wissenschaftliche Forschung verwendet werden dürfen.
In einem Notfallregister werden hierfür die Notfalldaten des Rettungsdiensts mit den Notfalldaten aus den Krankenhäusern zusammengeführt (Art. 53 ff. BayRDG). An der Notfallversorgung beteiligte – also die Rettungsdienste, Krankenhäuser oder die Betreiber der Telenotarztstandorte – sind verpflichtet, die Notfalldaten an das Notfallregister zu melden. Vor Übermittlung müssen die Notfalldaten pseudonymisiert werden.
Organisationen und Einrichtungen wie die Ärztlichen Leiter des Rettungsdiensts, Krankenhäuser oder das Landesamt für Statistik dürfen die Notfalldaten aus dem Notfallregister für die Sekundärzwecke nutzen. Darüber hinaus dürfen öffentliche und nicht-öffentliche Stellen diese Daten zur wissenschaftlichen Forschung in der Notfallversorgung verarbeiten – vorausgesetzt, sie haben erfolgreich einen Antrag auf Datennutzung gestellt.
Um den datenschutzrechtlichen Anforderungen gerecht zu werden, wird das Notfallregister von einem wissenschaftlichen Dienst als Datentreuhänder betrieben. Da Auswertungen der Daten zu den Sekundärzwecken nur mit anonymisierten Daten aus dem Notfallregister erfolgen dürfen, hat der wissenschaftliche Dienst auch die Aufgabe, die Notfalldaten so aufzubereiten, dass sie als anonymisiert gelten. Insbesondere sollen potenziell identifizierbare Merkmale entfernt werden und die Fall-ID durch eine neu erzeugte, nicht rückführbare Register-ID ersetzt werden.
Datenschutzrechtliche Aspekte der Sekundärnutzung beim Telenotarzt
Da Organisationen und Einrichtungen Notfalldaten aus dem Notfallregister nur in anonymisierter Form auswerten und nutzen dürfen, versucht das BayRDG, den Anwendungsbereich der DSGVO zu vermeiden.
Fraglich ist allerdings, ob die Einschaltung des wissenschaftlichen Diensts als Datentreuhänder zusammen mit den Maßnahmen zur Entfernung der identifizierbaren Merkmale in allen Fällen dazu führen wird, dass die Notfalldaten als anonymisierte Daten im Sinne der DSGVO gelten und somit von deren Anwendungsbereich ausgeschlossen sind. Denn das BayRDG regelt keine darüber hinausgehenden Maßnahmen, die für eine Anonymisierung ergriffen werden müssen. Und so bleibt es unklar, ob die Entfernung von potenziell identifizierbaren Merkmalen und das Ersetzen der Fall-ID mit einer nicht rückführbaren Register-ID ausreichend ist.
Sollten diese Maßnahmen für eine Anonymisierung im Sinne der DSGVO ausreichend sein, dann bedürften die Nutzungen der Notfalldaten zu Sekundärzwecke keiner datenschutzrechtlichen Rechtsgrundlage nach Art. 6 und 9 DSGVO und dann müssten die Betroffenen auch keine entsprechende datenschutzrechtliche Information erhalten.
Beispiel 2: Der Europäische Gesundheitsdatenraum
In der europäischen Datenstrategie wurde die Schaffung bereichsspezifischer gemeinsamer europäischer Datenräume vorgeschlagen. Der Europäische Gesundheitsdatenraum (EHDS) soll den Anfang machen. Dessen Primärzweck ist die Stärkung der Patienten durch bessere Kontrolle über und digitalen Zugriff auf ihre elektronischen Gesundheitsdaten. Außerdem können Patienten ihre Gesundheitsdaten Angehörigen der Gesundheitsberufe innerhalb der EU grenzüberschreitend zugänglich machen, damit ihre Krankengeschichte auch bei einer Behandlung außerhalb des Heimatlands berücksichtigt werden kann. Das soll über die zentrale Infrastruktur MyHealth@EU geschehen.
Der Entwurf der Verordnung über den EHDS definiert als Sekundärzwecke Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten. Dazu soll auch das Trainieren und die Erprobung von Algorithmen etwa in Medizinprodukten, KI-Systemen und digitalen Gesundheitsanwendungen gehören. Insbesondere Forschende und Branchenmitglieder (auch aus Drittländern) sollen als Datennutzer Zugang zu anonymisierten Gesundheitsdaten erhalten. Der Zugang muss bei einer nationalen Zugangsstelle beantragt werden und unterliegt strengen Voraussetzungen.
Wird der Antrag genehmigt, sind die Dateninhaber – also Gesundheits- oder Pflegeeinrichtungen, Forschungseinrichtungen im Gesundheits- oder Pflegebereich oder auch Medizinprodukte- und Pharmaunternehmen – verpflichtet, die erforderlichen Gesundheitsdaten an die nationale Zugangsstelle in pseudonymisierter Form herauszugeben. Die nationale Zugangsstelle wird dann wiederum die Gesundheitsdaten dem Datennutzer bereitstellen.
Kann der Zweck der Verarbeitung durch den Datennutzer nicht mit anonymisierten Gesundheitsdaten erreicht werden, genehmigen die Zugangsstellen auch Zugang zu den Informationen in pseudonymisierter Form. Die Zugangsstelle soll dann als Datentreuhänder fungieren, denn nur ihr sollen die Informationen zugänglich sein, die für die Rückgängigmachung der Pseudonymisierung erforderlich sind.
Datenschutzrechtliche Aspekte für die Sekundärnutzung von Gesundheitsdaten im EHDS
Auch wenn der Entwurf der Verordnung für den EHDS im Einklang mit der DSGVO stehen soll, ist derzeit unklar, auf welcher Rechtsgrundlage Dateninhaber etwaige pseudonymisierte Gesundheitsdaten an Datennutzer herausgeben dürfen und auf welcher Rechtsgrundlage Datennutzer diese pseudonymisierten Gesundheitsdaten auswerten dürfen.
Der Datennutzer ist laut Entwurf nachweispflichtig, wie er Art. 6 DSGVO (Erfordernis einer Rechtsgrundlage) befolgen will. Auf Art. 9 DSGVO (Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten) nimmt der Entwurf derzeit noch keinen Bezug. Insofern ist unklar, auf welcher datenschutzrechtlichen Grundlage Sekundärzwecke wie Forschung und Innovation mit elektronischen Gesundheitsdaten im EHDS verfolgt werden können.
Beispiel 3: Förderrichtlinie zur Erforschung und Entwicklung von Verfahren zur Anonymisierung personenbezogener Daten
Im Dezember 2021 hat das Bundesforschungsministerium die Richtlinie zur Förderung von Forschungsvorhaben für ein „Forschungsnetzwerk Anonymisierung für eine sichere Datennutzung“veröffentlicht.
Infolge der digitalen Transformation fallen überall Daten an, deren Potenzial bestmöglich genutzt werden sollte. Und die Covid-19-Pandemie hat gezeigt, dass erfolgreiches Krisenmanagement nur mit richtigen, aktuellen und aussagekräftigen Daten erfolgen kann. Aber das Spannungsfeld zwischen Datennutzung und Datenschutz führt gerade im Gesundheitsbereich dazu, dass die Akteure unsicher sind, ob und wie sie Gesundheitsdaten für sekundäre Forschungszwecke im Einklang mit dem Datenschutzrecht verarbeiten können.
Dem Ansatz des BayRDG folgend, dass bei anonymisierten Daten die datenschutzrechtlichen Vorgaben nicht zur Anwendung kommen und insbesondere keine Rechtsgrundlage nach der DSGVO erforderlich ist, soll ein Forschungsnetzwerk errichtet werden, dass Technologien, Verfahren und Methoden zur Anonymisierung von personenbezogenen Daten erforschen und entwickeln soll.
Sollten sich hieraus tatsächlich Technologien, Verfahren und Methoden ergeben, die zu einer von den Datenschutzbehörden bestätigten Anonymisierung von personenbezogenen Daten führen, könnten diese zu einem Standortvorteil bei Forschung und Innovation führen.
Beispiel 4: Das geplante Gesundheitsdatennutzungsgesetz
Auf Antrag Baden-Württembergs hat der Bundesrat am 16. Dezember 2022 eine Entschließung zur Ausgestaltung eines Gesundheitsdatennutzungsgesetzes gefasst. Um den erwarteten Paradigmenwechsel durch den EHDS für die Verbesserung der Gesundheitsversorgung und für Forschung und Innovation zu beschleunigen, soll ein Gesundheitsdatennutzungsgesetz zeitnah beschlossen werden. In diesem Gesetz soll nach der Vorstellung des Bundesrats insbesondere Folgendes geregelt werden:
- Die Telematikinfrastruktur soll zu einer Gesundheitsdateninfrastruktur ausgebaut werden, die wiederum für den künftigen EHDS genutzt werden kann.
- Mittels der elektronischen Patientenakte soll eine niedrigschwellige und unkomplizierte Datennutzung für Forschung ermöglicht werden.
- Um das Vertrauen der Patienten zu erhalten, sollen Gesundheitsdaten für Forschungszwecke ausschließlich in einer sicheren Verarbeitungsumgebung zur Verfügung gestellt werden. Hierfür soll ein Forschungsdatenzentrum aufgebaut werden. Durch entsprechende Regelungen soll sichergestellt werden, dass nur eine Datenschutzbehörde in Deutschland für das jeweilige Forschungsvorhaben zuständig ist.
- Der Zugang zu Gesundheitsdaten soll an Nutzungszwecke – beispielsweise medizinische Innovation, Produktsicherheit oder Gesundheitsberichterstattung – geknüpft werden und jedem möglich sein. Zugangsberechtigte sollen verpflichtet sein, die Forschungsergebnisse zu veröffentlichen.
Statt ausdrücklicher Einwilligung, wie sie derzeit in der DSGVO vorgesehen ist, soll geprüft werden, ob auch Widerspruchsmöglichkeiten – die sogenannte Opt-out-Einwilligung – für die Nutzung von Gesundheitsdaten ausreichend sein können. Auch die Nutzung des „broad consent“ soll weiter geprüft werden. Zudem soll das Konzept des Datentreuhänders in Erwägung gezogen werden, um die Akzeptanz und das Vertrauen der Patienten zu stärken.
Wie kann eine sinnvolle Sekundärnutzung von Gesundheitsdaten ermöglicht werden?
Der deutsche und der europäische Gesetzgeber haben erkannt, dass Gesetzesvorhaben erforderlich sind, um das Potenzial der möglichen Sekundärnutzung dieser Gesundheitsdaten für Forschung und Entwicklung besser ausschöpfen zu können. Wie diese Gesetzesvorhaben aber in Einklang mit der DSGVO gebracht werden können, ist weiterhin unklar. Sowohl die hohen Anforderungen an die Anonymisierung von Gesundheitsdaten als auch die begrenzten Erlaubnistatbestände der DSGVO für die Verarbeitung von Gesundheitsdaten stellen weiterhin ein Problem dar.
Ob der Ansatz des Bayerischen Rettungsdienstgesetz zur Anonymisierung der Gesundheitsdaten ausreicht, ob Datentreuhänder die Lösung sind und ob die geplante Verordnung für den EHDS oder das Gesundheitsdatennutzungsgesetz eine ausreichende Rechtsgrundlage im Sinne des Art. 9 DSGVO für die Verarbeitung von pseudonymisierten Gesundheitsdaten schaffen können, bleibt derzeit unklar.
Vielleicht wird ja die Wissenschaft im Rahmen des „Forschungsnetzwerk Anonymisierung für eine sichere Datennutzung“ Technologien oder Methoden zur Anonymisierung von Gesundheitsdaten entwickeln, sodass hierdurch Daten außerhalb des Anwendungsbereichs der DSGVO zu Forschungs- und Innovationszwecken verarbeitet werden können.