Wie könnte ein grenzüberschreitendes, digitales Gesundheitswesen aussehen, dass die Interessen von Patient:innen in den Mittelpunkt stellt? Der Europäische Gesundheitsdatenraum (European Health Data Space – EHDS) soll genau dies definieren und umsetzen. Anfang Mai hat die Europäische Kommission den Entwurf für eine Verordnung zur Regulierung dieses Datenraums vorgelegt und damit eine Vision zukünftiger Gesundheitsversorgung in Europa geschaffen.
Der EHDS soll als Teil der europäischen Datenstrategie durch effizienten Austausch und direkten Zugriff auf bestimmte Gesundheitsdaten das europäische Gesundheitswesen reformieren und in Teilen harmonisieren. Ob auch eine Revolution drin ist, bleibt abzuwarten. Eine ausführliche, deutschsprachige Zusammenfassung des EHDS-Entwurfes ist auf der EHDS-Website von Honic hinterlegt.
Gesundheitswesen der Zukunft
Die EU-Kommission gibt mit dem Verordnungsentwurf einen Vorgeschmack, wie ein europäisches Gesundheitswesen über Landesgrenzen hinweg und abseits nationaler Eigensinnigkeiten sowie proprietärer Standards aussehen kann. Der Entwurf skizziert einen gesetzlichen Rahmen für den Austausch von Gesundheitsdaten und legt auch fest, wer diese Daten nutzen können soll: Neben den Patient:innen selbst sollen die Daten auch für Forschung, für die Gesundheitspolitikgestaltung oder für statistische Zwecke verfügbar gemacht werden. Die Mitgliedstaaten werden verpflichtet, ihre Gesundheitsversorgung zu digitalisieren und für Patient:innen elektronische Zugangswege zu ihren Gesundheitsdaten zu schaffen. Patient:innen sollen zu jeder Zeit die Speicherung und Weitergabe ihrer Gesundheitsdaten digital kontrollieren können.
Worum es geht – Datennutzung durch Verfügbarkeit und Zugang
Die Kommission plant einen großen Schritt in Richtung einer Harmonisierung gesetzlicher Vorgaben im Gesundheitsbereich – das zeigt bereits die Wahl des Instruments: Eine Verordnung gilt unmittelbar in den EU-Mitgliedstaaten und muss nicht in nationales Recht umgesetzt werden. Dabei ist es das erklärte Ziel, Gesundheitsdaten von hoher Qualität, die in der EU massenhaft anfallen, nutzbar zu machen. Verfügbarkeit von Daten und der elektronische Zugang zu ihnen sind dafür die Grundvoraussetzung. Neben der Nutzung in der Gesundheitsversorgung selbst (Primärnutzung) sollen die Daten unter strengen Bedingungen auch für die Gesundheitsforschung und Gesundheitspolitik zur Verfügung stehen (Sekundärnutzung).
Wieso brauchen wir einen europäischen Gesundheitsdatenraum?
Die Corona-Pandemie hat gezeigt, was es bedeutet, wenn der Zugang zu Gesundheitsdaten nicht möglich ist oder die Prozesse für den Zugang zu Daten zu lange dauern. Viele europäische und nationale politische Entscheidungen in der Pandemie basieren auf Studien aus dem Ausland, etwa aus Israel und den USA, wo Forscher:innen und Unternehmen unbürokratisch und schnell auf Gesundheitsdaten zugreifen konnten.
Bis heute ist es in Deutschland etwa nicht möglich, Impfdaten mit den Krankenkassendaten der Patient:innen zu verknüpfen, um herauszufinden, wie die Corona-Impfung gewirkt hat oder wie viele Patient:innen trotz Impfung weiter versorgt werden mussten. Das ist nicht nur aus medizinischer Sicht ein Problem, sondern führt auch zu einem Vertrauensverlust der Bevölkerung in das Gesundheitssystem. Auch das hat die Corona-Krise eindrucksvoll gezeigt.
Die EU-Kommission hat die Zeichen erkannt; der EHDS kann auch als Antwort auf Fragen, die in der Corona-Pandemie immer drängender geworden sind, verstanden werden. Politische Entscheidungen brauchen belastbare Daten als Grundlage. Der EHDS ist ein wichtiges Zeichen dafür, dass Europa eigenständige Lösungen für komplexe technische Fragestellungen entwickeln kann – und zwar nach europäischen Werten und Grundsätzen. Gerade im Gesundheitsbereich bietet ein Europäischer Datenraum die Möglichkeit, die besonders sensiblen und aussagekräftigen Daten nach europäischen Standards zu verarbeiten, statt auch hier Datensouveränität an nicht-europäische Tech-Konzerne zu verlieren.
Der Wille zur Digitalisierung ist da
Viele Leistungserbringer:innen im Gesundheitswesen wollen sich heute schon digitalisieren, ihnen fehlt aber häufig die Möglichkeit, auf rein europäische Cloud-Services zurückzugreifen, die dieselben Leistungen erbringen können wie AWS, Google und Co. Dabei ist seit den EuGH-Entscheidungen in Sachen Schrems I und Schrems II nun auch gerichtlich geklärt, dass die Übermittlung personenbezogener Daten in Drittländer unter der DSGVO höchst problematisch ist. Neben dem fehlenden Schutz vor einem Zugriff der US-Geheimdienste hat der EuGH auch kritisiert, dass die großen Tech-Konzerne erhobene Daten häufig zu nicht begrenzten Zwecken weiterverarbeiten. Schon heute können außerhalb der EU Profile erstellt werden, die etwa für Werbung und Marketing im Gesundheitsbereich genutzt werden oder weitaus schlimmer für Betroffene zu höheren Versicherungszahlungen oder dem Ausschluss aus Leistungen führen.
Die Verwendung der Gesundheitsdaten zum Nachteil der Patient:innen oder zu Werbezwecken wird die Verordnung nach derzeitigem Stand ausdrücklich verbieten. Deutschland sollte mit der Digitalisierung des Gesundheitswesen aber nicht warten, bis die EU den EHDS vollständig reguliert und eingerichtet hat: Heute schon benötigen diejenigen, die Daten bereitstellen wollen und dazu auch faktisch in der Lage sind, eine (rechts)sichere und vertrauenswürdige Umgebung, in der die Interessen der Patient:innen im Mittelpunkt stehen.
Der Blick nach Deutschland: Risiko und Chancen
Dass Deutschland in Sachen Digitalisierung gerade im Gesundheitswesen hinterherhinkt, ist kein Geheimnis. Ironischerweise birgt diese Ausgangssituation im Rahmen des künftigen europäischen Gesundheitsdatenraums aber auch eine Chance: Gerade, weil die meisten Gesundheitsdaten in Deutschland häufig noch lokal gespeichert werden, sind sie so etwas wie die letzte Bastion von Daten, die nicht bereits unkontrolliert global zirkulieren und für zweckfremde Bereiche verwertet werden (können).
Doch dieser Vorteil ist schnell verspielt, wenn nicht auch hierzulande umgehend ein eigener sicherer Datenraum geschaffen wird. Leistungserbringer:innen werden nach wie vor in ihren Digitalisierungsbestrebungen ausgebremst, weil es an Rechtssicherheit und einheitlicher Rechtsgrundlagen für die Zweitverwendung medizinischer Daten, insbesondere für die Forschung, fehlt. Hinzu kommen oftmals berechtigte datenschutzrechtliche Bedenken und die Sorge vor hohen Bußgeldern.
Zuletzt hat auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) bestätigt, dass dieser regulatorische Flickenteppich für datengetriebene Forschung eine problematische Ausgangssituation ist. Sie hat die Überlegungen der Bundesregierung in einer im März veröffentlichten Entschließung begrüßt, ein allgemeines Forschungsdatengesetz auf den Weg zu bringen, das das Recht auf informationelle Selbstbestimmung wahrt. Flankiert werden soll es nach Ansicht der DSK durch Forschungsregelungen in einzelnen Bereichen.
Nun hat der EHDS-Entwurf ein ambitioniertes Programm vorgegeben. Zwar muss der Entwurf noch vom EU-Parlament und dem Rat beschlossen werden, was sich realistisch bis Mitte beziehungsweise Ende 2023 ziehen kann. Danach geht es aber sehr schnell. Wenngleich einige Regelungen erst schrittweise zur Anwendung kommen, ist die allgemeine Umsetzungsfrist mit 12 Monaten kurz. Der in den letzten Jahren mühsam begonnene digitale Transformationsprozess in Deutschland müsste in beeindruckender Geschwindigkeit fortgeführt werden, um bereits im Jahr 2024 oder spätestens 2025 die Anforderungen des EHDS erfüllen zu können. Die bisherigen Schritte rund um ePA, eRezept oder die Diskussion um die Weiterentwicklung der Telematik-Infrastruktur waren eher zaghaft. Sie sind aber essenzielle Module einer Infrastruktur, in der Daten interoperabel ausgetauscht werden können.
Warum es zusätzlich ein Gesundheitsdatennutzungsgesetz braucht
Der Entwurf der Kommission geht mit großen Schritten in Richtung digitale Gesundheitsversorgung voraus. Erfahrungsgemäß folgen noch viele weitere, bevor die Verordnung zum Schluss unmittelbar in den EU-Mitgliedstaaten Anwendung findet. Auf Deutschland kommt eine große Aufgabe zu: Um einen Austausch der Daten, wie im EHDS-Entwurf beschrieben, leisten zu können, muss erst einmal identifiziert werden, wo Daten aktuell gespeichert sind und wie sich diese heute schon nutzen lassen. Das im Koalitionsvertrag bereits angekündigte Gesundheitsdatennutzungsgesetz könnte die Brücke schlagen, um auch Deutschland fit für die europäische Vision eines patientenzentrierten digitalen Gesundheitswesens zu machen.
Wie kann also das europäische Regulationsvorhaben durch ein deutsches Gesundheitsdatennutzungsgesetz vernünftigerweise ergänzt werden?
· Erlaubnistatbestände schaffen
Ein wichtiger Punkt wird die Einschränkung des in der DS-GVO verankerten „Verbotsprinzips” sein. „Datennutzung“ bedeutet, Erlaubnistatbestände zu schaffen. Diese müssen klar formulierte Voraussetzungen für die Nutzung von Gesundheitsdaten für Zwecke, die die allgemeine und persönliche Gesundheitsversorgung verbessern, normieren. Werden diese Voraussetzungen erfüllt, muss die Datennutzung ohne Sorge vor einem Bußgeld möglich sein. Das bedeutet auch, dass es erlaubt sein sollte, in der Forschung pseudonymisierte und kombinierbare Daten zusammenzuführen, und anschließend als anonyme Daten bereitzustellen.
Auch sollte es für Patient:innen einfacher und transparenter möglich sein, ihre Daten zu Forschungszwecken zur Verfügung zu stellen. Eine Einwilligung im Einzelfall kann das nicht leisten – das hat auch der EHDS-Entwurf erkannt. Immer häufiger sind sich Betroffene der Tragweite ihrer Entscheidungen und der Auswirkungen, die diese auch auf ihr Persönlichkeitsrecht haben, nicht mehr bewusst oder können die Komplexität technischer Prozesse nicht mehr einschätzen. Die deutsche Gesetzgebung sollte daher gewisse Grundsatzentscheidungen treffen, wie Gesundheitsdaten genutzt können – in bestimmten Fällen sollte insbesondere die Widerspruchslösung („Opt-out“) gelten.
Andere Mitgliedstaaten gehen hier schon deutlich progressiver voran. Die Rechte der Patient:innen könnten über einfach zugängliche Datenmanagmentsysteme ausreichend geschützt werden. So könnten den Patient:innen Apps angeboten werden, über die sie ggf. einen Widerspruch zu einer bestimmten Verarbeitung erklären könnten. Oder das Datenmanagement wird in die ePA integriert. Dabei müssen diejenigen besonders geschützt werden, die nicht so selbstverständlich mit Apps und sonstigen digitalen Angeboten umgehen. Es sollte auch vermehrt auf den Einsatz von vertrauenswürdigen Datentreuhändern gesetzt werden.
· Interoperabilität herstellen
Das deutsche Gesundheitswesen muss endlich in der Fläche interoperabel werden. FHIR, MIOs und weitere spezifische Datenformate müssen in der Breite und Tiefe genauso unabdingbar genutzt werden wie einheitliche Definitionen von Schnittstellen; Daten müssen grundsätzlich portabel sein.
Haftungsrisiken einschränken
Die Ärzteschaft sollte ermutigt werden, daten-basierte Entscheidungen zu treffen. Derzeit ziehen Ärzt:innen aus Sorge vor Regressansprüchen und Datenschutzverstößen möglichst keine externen Daten zu Rate.
· Rechtssicherheit schaffen
Ein deutsches Datennutzungsgesetz könnte ein einheitliches Verständnis von „Pseudonymisierung“ und „Anonymisierung“ fördern und die Begriffe endlich mit Leben füllen. Wichtig ist allerdings, dass sich die deutsche Gesetzgebung dabei nicht in Widerspruch zu der für dieses Jahr angekündigten Stellungnahme des Europäischen Datenschutzausschusses zur Anonymisierung und Pseudonymisierung setzt.
Für die Begriffsdefinitionen bedarf es eines pragmatischen Ansatzes: So könnten Datensätze dann als anonym gelten, wenn diese keine identifizierenden Merkmale enthalten und es gesetzlich verboten ist, diesen Datensätzen identifizierende Merkmale hinzuzufügen. Ein gesetzliches Verbot der Re-identifizierung von Personen wird bereits seit längerem zu Recht gefordert. Die Pseudonymisierung wird in der DS-GVO zwar an einigen Stellen erwähnt, für die Digitalisierung des Gesundheitswesens wäre es allerdings hilfreich, Methoden anzubieten, die zu einer effektiven Pseudonymisierung der Gesundheitsdaten führen, damit diese dann für spezifische Zwecke verarbeitet werden können.
· Potenziale erkennen und Verarbeitungszwecke privilegieren
Ein differenzierter Blick lohnt sich auf die bislang ungenutzten Potenziale: Ein zu restriktives Verständnis vom Begriff der „Forschung“ verhindert Innovation in Deutschland. Eine einfache Differenzierung zwischen „guter“ (universitärer oder wissenschaftlicher) und „schlechter“ (privatwirtschaftlicher) Forschung verbietet sich hier. Zudem kann die Auswertung von Patient:innendaten auch einen großen Erkenntnisgewinn für die Steuerung der Gesundheitsversorgung und die Gesundheitspolitik in Deutschland bieten und so Versorgungziele besser erreichbar machen.
· Datenlokalisierung
Zu überlegen ist auch, ob zum Schutz der in Deutschland vorhandenen Daten und den europäischen Werten, die Übermittlung bestimmter Daten in Drittländer grundsätzlich verboten sein sollte. Andere Länder wie beispielsweise China gehen diesbezüglich bereits sehr protektionistisch vor.
Yes we can – and we have to
Keiner der genannten Punkte ist neu und erst recht nicht unmöglich. Ein Gesundheitsdatennutzungsgesetz kann die lang erwartete Zündung für ein zukunftsträchtiges, visionäres deutsches Gesundheitswesen sein – im Einklang mit unserem europäischen Grundverständnis von Datenschutz.
Weitere Informationen:
European Health Data Space: Verordnungsentwurf und weitere Informationen
https://ec.europa.eu/commission/presscorner/detail/de/ip_22_2711
Europäische Datenstrategie
Entschließung der 103. Konferenz der Datenschutzbehören vom 23. März 2022 https://datenschutzkonferenz-online.de/media/en/DSK_6_Entschliessung_zur_wissenschaftlichen_Forschung_final.pdf
Arbeitsprogramm 2022 des Europäischen Datenschutzausschuss
https://edpb.europa.eu/system/files/2021-03/edpb_workprogramme_2021-2022_en.pdf
EHDS Webseite mit vielen weiteren Informationen von HONIC
https://www.honic.eu/de/european-health-data-space/
Zu den Autor:innen:
Maya El-Auwad, Rechtsanwältin für Datenschutz und IT-Recht und Legal Counsel bei Honic
Elena Lehrke, Rechtsanwältin für Datenschutz und IT-Recht
Dr. Henrik Matthies, Gründer und CEO von Honic