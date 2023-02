Die Digitalisierung des Gesundheitswesens geht der medizinischen Forschungsgemeinde nicht schnell genug voran. Mit Blick auf das kommende Gesundheitsdatennutzungsgesetz verlangt sie einen weitgehend unbeschränkten Zugriff auf die Patientendaten im Klartext. Für die Analyse von Routinedaten sollten Forschende Zugang zu personenbezogenen Gesundheitsdaten erhalten, verlangt das Deutsche Netzwerk Versorgungsforschung (DNVF) in einer aktuellen Stellungnahme. Synthetische oder "verrauschte" Daten oder verteiltes Rechnen seien für die Planung und Durchführung von Routinedatenanalysen derzeit nicht geeignet.

Das Netzwerk vertritt 26 medizinische, pflegerische und gesundheitswissenschaftliche Fachgesellschaften. Die Nutzung der bei der medizinischen Regelversorgung erhobenen Daten gesetzlich Versicherter (versorgungsnahe Routinedaten) soll möglichst einfach sein, verlangt das DNVF. Es fordert den Gesetzgeber auf, auch die Versorgungsdaten von privat Versicherten einzubeziehen.

"Breite Einwilligung" für alle Patientendaten

Aktuell haben Patienten das Recht, eine Datenweitergabe zu untersagen. Deshalb kann es dazu kommen, dass ein Patient sich von mehreren Ärzten untersuchen lässt, ohne dass die Ärzte von den vorhergehenden Untersuchungen erfahren. Das DNVF will jedoch erreichen, dass von allen Versicherten "möglichst aktuelle und vollständige Daten" über das sich im Aufbau befindende Forschungsdatenzentrum (FDZ) verfügbar gemacht werden. Dazu soll das Rechtsinstrument der "breiten Einwilligung" zum Einsatz kommen, das den Verwendungszweck nicht näher bestimmt.

Für den Aufwand, die Einwilligung einzuholen, wollen die Forschenden Geld sehen. Die Möglichkeit, dass Patienten der Datennutzung widersprechen, soll gesetzlich festgelegt werden. Damit gehen sie immerhin weiter als die EU-Kommission, die den Patienten für den europäischen Gesundheitsdatenraum (EHDS) überhaupt keine Widerspruchsrechte einräumen will. Die Europäische Datenschutzgrundverordnung (DSGVO) sieht nämlich kein Recht auf Widerruf vor, wenn eine Pflicht zur Datenübermittlung gesetzlich geregelt ist, wie der bayerische Landesdatenschutzbeauftragte Thomas Petri kritisiert.

Das DNVG behauptet, dass bei Fragen der Nutzung der Gesundheitsdaten "theoretische und teilweise konstruierte Datenschutzrisiken" vorgeschoben würden und der gesellschaftliche Nutzen der Forschung mit den Routinedaten dabei außer Blick gerate. Es gebe "nachweisbare Nachteile für die Gesundheit vieler Patient:innen". Dazu verweist das DNVF auf Schul- und Kita-Schließungen in der Pandemie. Es sei nicht möglich, mit Daten aus Israel oder Großbritannien eine verlässliche Versorgungsforschung in Deutschland durchzuführen. Das Forschungsnetzwerk spricht allerdings nicht an, dass die Digitalisierung des öffentlichen Gesundheitswesens in Deutschland noch immer am Anfang steht.

Der Bundesdatenschutzbeauftragte Ulrich Kelber sieht das Ansinnen der Forschungslobby kritisch. Im Vordergrund müsse zunächst einmal stehen, dass durch die unzureichende Digitalisierung hilfreiche Daten nicht erhoben werden, brachte er kürzlich in die Diskussion ein. Dabei müssten Datenschutz und IT-Sicherheit mehr berücksichtigt werden, damit Daten nicht in falsche Hände gerieten.

Bund-Länder-Chaos beseitigen

Das Forschungsnetzwerk weist auch auf die "forschungsfeindlichen Landeskrankenhausgesetze", die den Datenzugang von Bundesland zu Bundesland anders regeln, hin und fordert vom Bund eine "einheitliche gesetzliche Regelung" hinsichtlich Datenschutz und dem Zugang zu Forschungsdaten. Denn bei der Freigabe der Patientendaten für die Forschung kommen unterschiedliche gesetzliche Vorgaben zur Geltung, wenn bundesländerübergreifende Studien anstehen. Hier plädiert das Netzwerk, dass darüber jeweils eine Ethikkommission und eine Datenschutzbehörde entscheiden können sollen.

IT-Sicherheit ja, Datenschutz nein?

Das Thema IT-Sicherheit wird vom Forschungsnetzwerk separat vom Datenschutz gedacht, obwohl es integraler Bestandteil des sanktionsbewehrten Datenschutzrechts ist. Anstatt von technisch-organisatorischen Maßnahmen für den Datenschutz zu sprechen, wünscht sich das Netzwerk ihn nur für die Datensicherheit – mit Blick auf mögliche Angreifer von außen. Hier halten die Forschenden eine "absichtsvolle Reidentifizierung" für nicht ausgeschlossen, die "überwacht und klar sanktioniert werden" müsse. Datenpannen können auf interne und externe Angreifer zurückgeführt werden. Sind dabei personenbezogene Daten betroffen, liegt eine Datenschutzverletzung vor, die nach Artikel 33 DSGVO an die Aufsichtsbehörden unverzüglich gemeldet werden muss.

Außerdem sind die Betroffenen zu informieren. In Folge müsse technisch-organisatorisch alles dafür getan werden, dass entsprechende Angriffe nicht mehr möglich sind. Nach der EU-Richtlinie zur Netz- und Informationssicherheit (NIS) gegenüber dem Bundesamt für Sicherheit in der Informationstechnik ist das der Fall, wenn Unternehmen aus dem Bereich der kritischen Infrastrukturen betroffen sind. Dazu zählen auch Unternehmen aus dem Bereich Gesundheit. Beide Regelungen sehen empfindliche Bußgelder bis zu 20 Millionen Euro vor, im Falle des Datenschutzes können auch Bußgelder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes verhängt werden.

(mack)