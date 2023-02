Der Entwurf der EU-Kommission für einen künftigen europäischen Datenraum Gesundheit (European Health Data Space – EHDS) ist nach Ansicht von Experten noch deutlich verbesserungsfähig. Das Europäische Parlament will sich ab Mitte März mit dem Vorschlag befassen, von dem sich Forschende Fortschritte bei personalisierten Behandlungen und damit eine bessere Gesundheitsversorgung von Patienten mit seltenen oder chronischen Krankheiten erhoffen.

Forschungsverbände fordern schon seit langem, Gesundheitsdaten zur Verfügung zu stellen. Im Zuge der Corona-Pandemie nahm das Thema an Fahrt auf. Im Kern dreht sich das Vorhaben EHDS um die Frage, inwieweit Gesundheitsdaten im Rahmen des internationalen Forschungswettbewerbs dem Gemeinwohl dienen können.

Auf dem Weg zu europäischen Datenräumen

Auf europäischer Ebene brachte die EU-Kommission in den letzten zwei Jahren mehrere neue Gesetzesvorhaben voran. Das Datengesetz (Data Act) und das Daten-Governance-Gesetz (Data Governance Act) sollen den Datenaustausch ankurbeln. Dienste, die Daten vermitteln, sollen in einem Register geführt werden. Vor allem für das Forschen mit KI-Methoden soll man dann leichter europaweit auf die Datenbestände in den Mitgliedstaaten zugreifen können. Das ginge etwa über das kommende Datenregister des Forschungsdatenzentrums FDZ, dem 2019 mit dem Digitale-Versorgung-Gesetz der Weg geebnet wurde.

Künftig sollen nach Vorstellungen der Kommission die Gesundheitsdaten aller Versicherten in Deutschland in diesen Gesundheitsdatenraum abfließen können. Ziel ist es, die europäische Forschung konkurrenzfähig zu den USA und China zu machen. Geplant ist, dass Datenbesitzer im Gesundheitsdatenraum ihre Daten für eine Primärnutzung und Sekundärnutzung zur Verfügung stellen.

Primärnutzung und Sekundärnutzung

Bei der Primärnutzung geht es vor allem darum, dass etwa eine Klinik einer anderen Klinik für die Behandlung die Patientendaten mit Klarnamen zur Verfügung stellt. Dafür müssen die Daten, Formate und Anwendungen standardisiert werden. Zu den Datenkategorien gehören zum Beispiel elektronische Patientenakten, bildgebendes Material, Laborbefunde oder Verschreibungen.

In der Sekundärnutzung geht es um Daten, die dem öffentlichen Gesundheitsdienst nützen, um die Entwicklung von Medizinprodukten und Gesundheitsdienstleistungen. Geliefert werden diese Daten von Kliniken, Forschungseinrichtungen, Medizinprodukte-Herstellern und allen, die Gesundheitsdaten im großen Stil sammeln. Diese sollen gesetzlich dazu verpflichtet werden, ein Register ihrer Datensätze zu erstellen und dieses den geplanten nationalen Zugangsstellen für Gesundheitsdaten zur Verfügung zu stellen.

In Deutschland sollen dann die Daten im Klartext an die nationale Zugangsstelle übermittelt werden, in diesem Fall an das Forschungsdatenzentrum FDZ Gesundheit. Es entscheidet dann je nach Antrag der Forschenden, ob es die Daten pseudonymisiert oder anonymisiert weitergibt. Über die Art und die Qualität des anzuwendenden Pseudonymisierungs- beziehungsweise Anonymisierungsverfahrens ist nichts bekannt, wie auch in einem jetzt ruhenden Gerichtsverfahren festgestellt wurde. Entsprechend ist bis heute das geplante Pseudonymisierungsverfahren eine Blackbox.

Patientengeheimnis keine oberste Priorität mehr

Von ärztlicher Schweigepflicht und Patientengeheimnis ist kaum noch die Rede: Die Daten sollen laut Kommissionsentwurf den nationalen Kontaktstellen so vorliegen, wie sie in der Gesundheitsakte stehen. Erst vor wenigen Tagen verlangte das Deutsche Netzwerk Versorgungsforschung (DNVF), nicht nur die Patientendaten gesetzlicher, sondern auch privat Versicherter für die Forschung "möglichst aktuell und vollständig" über das kommende Forschungsdatenzentrum (FDZ) verfügbar gemacht werden.

Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise zum EHDS, das heise online vorab vorliegt, stellt fest: "Der EHDS bricht mit einem uralten Grundsatz bei der Verarbeitung mit Gesundheitsdaten, wonach das Patientengeheimnis beziehungsweise die ärztliche Schweigepflicht, also die Wahrung der Vertraulichkeit im Verhältnis zwischen Hilfsbedürftigen und Helfenden oberste Priorität hat." Gutachter und Datenschutzexperte Thilo Weichert zeigt sich "verblüfft und erschreckt", dass das aktuelle Konzept des EHDS den "offensichtlich verfassungswidrigen Regelungen zum deutschen Forschungsdatenzentrum" so ähnlich sei.

Laut dem EHDS-Datenschutzgutachten sind Auskunfts- und Widerspruchsrechte der Patienten nicht berücksichtigt. Das kritisiert auch der bayerische Landesdatenschützer Thomas Petri. Weil die EU-Kommission die Datennutzung vorantreiben will, sieht sie für die Dateninhaber eine Übermittlungspflicht vor. Damit hätte der Patient allerdings kein Recht, dem Datentransfer zu widersprechen, betont Petri. Der Grund: Die Europäische Datenschutzgrundverordnung DSGVO sieht bei Verarbeitungspflichten keine Widerspruchsrechte vor.

In dem EHDS-Datenschutzgutachten wird kritisiert, dass die EU-Kommission in ihrem Entwurf nicht berücksichtige, dass besonders sensible Daten wie psychiatrische oder genetische Daten gesondert behandelt werden müssen. Sie hätten einen besonderen Bezug zur Menschenwürde, der Umgang mit ihnen würde den Kernbereich der privaten Lebensgestaltung betreffen: "Gesundheitsdaten werden von den Betroffenen oft als existenziell wahrgenommen und sie sind dies in vielen Fällen."

Die Initiative "Patientenrechte und Datenschutz" kritisiert den EHDS-Entwurf der Kommission denn auch als "Ermächtigungsgesetz". Notwendig sei zum Schutz des Arzt-Patientenverhältnisses die Zustimmung der Betroffenen zur Datenweitergabe "in jedem Einzelfall". Der EHDS dürfe nicht zum Einfalltor für den Datenhandel mit Patientenakten werden. Eine Auslagerung der Datenverarbeitung an US-Cloud-Anbieter sei nach aktuellem Regelungsstand nicht auszuschließen.

KBV lehnt geplante Eigenzertifizierung ab

Der Kommissionsvorschlag sieht zudem eine Selbstzertifizierung der EHR-Systeme (Electronic Healthcare Record – EHR) vor, in denen die digitalen Gesundheitsdaten geführt werden sollen. In Artikel 14 bis 32 werden die Anforderungen hinsichtlich Interoperabilität und Sicherheit geregelt. Auch werden die Pflichten der beteiligten Wirtschaftsakteure definiert. Wellness-Apps, die mit den Systemen kompatibel sind, sollen freiwillig gekennzeichnet werden.

Die Kassenärztliche Bundesvereinigung KBV lehnt die geplante Selbstzertifizierung in einer Stellungnahme (PDF) entschieden ab. Diese könne nicht den Sicherheitsanforderungen der Datenschutzgrundverordnung genügen. Die KBV unterstützt daher die Empfehlung des Europäischen Datenschutzausschusses, die EHR-Systeme einem Konformitätsbewertungsverfahren durch unabhängige Dritte zu unterziehen.

Paradigmenwechsel im Umgang mit Patientendaten wird nicht diskutiert

Der Paradigmenwechsel im Umgang mit den Gesundheitsdaten ist bereits in der DSGVO vorgezeichnet, da sie den Zwecken der Forschung denselben Rang zuweise wie dem individuellen Selbstbestimmungsrecht; der EHDS setze nun die Idee der Sozialpflichtigkeit von Gesundheitsdaten konsequent um, stellt das Gutachten des Netzwerks Datenschutzexpertise fest. Dieser Paradigmenwechsel sei in der öffentlichen Wahrnehmung und im gesellschaftlichen Bewusstsein noch nicht angekommen. "Er wird auch nicht als solcher klar benannt und diskutiert", kritisiert das Gutachten. Angesichts der Entwicklungen von Technik, Gesellschaft und Gesundheitswesen sei dieser Paradigmenwechsel "geboten". Auch die Datenethikkommission hatte für abwägende Regelungen zur Nutzung der Gesundheitsdaten für die Forschung plädiert.

