Dass in Sachen Gesundheitsdaten in Deutschland gesetzlich etwas passieren muss, war seit Jahren klar. Durch die Pandemie erhielt die Sache eine neue Dringlichkeit. Mit Neid blickte Deutschland nach Großbritannien, Israel oder Katar, wo COVID-bezogene Versorgungsdaten in großen Mengen mit teils sehr kurzem Vorlauf analysiert wurden und randomisierte Studien im Dutzend liefen, während das große Deutschland froh war, wenn es mal die eine oder andere kleinere Studie beisteuern konnte.
„Ein Quantensprung“
Schon Ex-Minister Jens Spahn brachte vor diesem Hintergrund ein Datengesetz ins Gespräch. Die Ampelkoalition schrieb dann das Gesundheitsdatennutzungsgesetz (GDNG) in den Koalitionsvertrag. Danach dauerte es nochmals mehr als anderthalb Jahre, aber seit Juni liegt jetzt ein erster GDNG-Entwurf vor. Bis Jahresende soll das Gesetz zusammen mit dem ebenfalls im Juni als Entwurf vorgelegten Digital-Gesetz sowie einem weiteren „gematik-Gesetz“ verabschiedet werden.
Grundsätzlich wird das GDNG auf breiter Front begrüßt: „Es ist das erste Gesetz, bei dem es nicht primär um Schutz, sondern um Nutzung von Daten geht, und das schon im Titel. Das ist ein Quantensprung, man kann das gar nicht hoch genug schätzen“, sagt Dr. Henrik Matthies, Geschäftsführer und Mitgründer des Berliner Unternehmens Honic. Eine andere Frage ist, ob der GDNG-Entwurf schon den Ansprüchen genügt, den Wissenschaftler:innen in der Gesundheitsforschung und auch Entwickler:innen in der Gesundheitsindustrie an ein funktionierendes Gesundheitsdatenökosystem stellen. Hier sind viele noch nicht zufrieden. Doch der Reihe nach.
Das steht drin im GDNG-Entwurf
Der GDNG-Entwurf adressiert viele Punkte. Unter anderem sollen die Krankenkassen sehr viel mehr Rechte als bisher bekommen, die eigenen Versichertendaten zu analysieren, und sie sollen das Recht erhalten, auf Basis dieser Analysen ihre Versicherten direkt anzusprechen. Dieser Teil des GDNG ist hier nicht Thema. Im Hinblick auf die Forschung mit Gesundheitsdaten ist der Aufbau einer zentralen Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten die wichtigste infrastrukturelle Maßnahme. Diese Stelle soll, so der Gesetzentwurf, beim BfArM eingerichtet werden. Dafür werden jährlich eine Million Euro an Personalkosten veranschlagt, zuzüglich 150 000 Euro beim Forschungsdatenzentrum (FDZ), das ebenfalls am BfArM angesiedelt ist und bleibt.
Datenzugangsstelle und FDZ werden bewusst getrennt. Während das FDZ die Abrechnungsdaten sammelt, ist die Datenzugangs- und Koordinierungsstelle für die praktische Umsetzung des konkreten Datenzugriffs und für die Zusammenführung der FDZ-Daten mit Daten anderer Datenquellen zuständig. Die Grundidee ist, dass Forschende, die mit Gesundheitsdaten aus unterschiedlichen Quellen forschen wollen, nur eine einzige Anlaufstelle benötigen.
Konkrete Aufgaben der Datenzugangs- und Koordinierungsstelle gemäß § 2 GDNG sollen sein: die Pflege eines öffentlichen Metadatenkatalogs, der einen Überblick über Datenquellen und Datentypen gibt, die Beratung bei Anträgen auf Zugang zu Gesundheitsdaten, die Erstellung von Konzepten für sichere Verarbeitungsumgebungen für die Sekundärdatennutzung und die Verknüpfung der Daten des Forschungsdatenzentrums mit denen anderer Datenquellen.
Der GDNG-Entwurf enthält auch klare Aussagen dahingehend, welche Arten der Verarbeitung von Daten verboten sind. Dazu gehören Auswertungen, die auf Abschluss oder Ausgestaltung von Versicherungsverträgen zielen, Datenabfragen, die auf die Entwicklung schädlicher Produkte oder Dienstleistungen – „insbesondere illegale Drogen, alkoholische Getränke und Tabakerzeugnisse“ – zielen sowie Datennutzung zu Marktforschung, Werbung und Vertriebszwecken.
Neu: Ein anlassbezogenes Forschungspseudonym
Die Verknüpfung der Daten des FDZ mit denen anderer Datenquellen ist aus Forschungssicht das eigentlich Spannende am GDNG-Entwurf. Sie soll zunächst prototypisch für das FDZ gemäß § 303d SGB V und die klinischen Krebsregister der Länder gemäß § 65c SGB V erfolgen. Die Datenzugangs- und Koordinierungsstelle muss diese Verknüpfung für jede individuelle Anfrage genehmigen, und sie ist auch dafür zuständig, die Genehmigungen der originalen Datenhalter einzuholen. Antragsteller:innen sollen sowohl gemeinnützig als auch kommerziell agierende Forschende sein dürfen, Letzteres nachdrücklich eingefordert von sowohl Pharma- als auch Medizinprodukteindustrie.
Zur Verfügung gestellt werden die Daten pseudonymisiert mit einer „anlassbezogen zu erstellenden Forschungskennziffer“ auf Basis der Krankenversichertennummer (KVNR). Die beim Robert Koch-Institut (RKI) angesiedelte Vertrauensstelle nach § 303c SGB V soll daran mitwirken. Zum genauen technischen Verfahren der Verknüpfung von FDZ-Daten und Krebsregisterdaten äußert sich der GDNG-Entwurf nicht, dies soll Gegenstand einer eigenen Rechtsverordnung sein. In den Erläuterungen zum Gesetzentwurf wird betont, dass das Verknüpfungsverfahren auf weitere Datenhalter:innen ausgeweitet werden kann, „insofern diese auch Krankenversichertennummern halten“. Ein Szenario ist hier die Nutzung der ePA-Daten für Forschungszwecke. Dies regelt das GDNG in § 363 SGB V. Hier taucht auch der „Forschungs-Opt-out“ auf, der besagt, dass ePA-Daten für die Forschung zugänglich gemacht werden, sofern der oder die Versicherte nicht aktiv widerspricht.
Zeugnisverweigerungsrecht und Beschlagnahmeverbot für die Forschung
Um dem Missbrauch mit Gesundheitsdaten in Forschungskontexten vorzubeugen, sieht der GDNG-Entwurf Änderungen im Strafgesetzbuch und in der Strafprozessordnung vor. Für die Offenbarung fremder, personenbezogener Gesundheitsdaten wird eine Freiheitsstrafe oder Geldstrafe fällig. Strafbar ist auch, wenn andere als die Forschenden Daten zum Zweck der Identifizierung verarbeiten. In der Strafprozessordnung wiederum soll das existierende Zeugnisverweigerungsrecht auf Personen ausgedehnt werden, die mit personenbezogenen Gesundheitsdaten forschen. Entsprechend gibt es dann bezüglich der Informationen auch einen Beschlagnahmeschutz.
Was den Datenschutz angeht, will der GDNG-Entwurf das Dickicht der Oberbehörden insofern lichten, als Verantwortlichkeiten zum Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hin verschoben werden. Der BfDI soll künftig die alleinige Aufsicht über Stellen erhalten, die Sozialdaten nach § 67 SGB X verarbeiten, außerdem über die Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, alle Kassenärztlichen Vereinigungen sowie das Zentralinstitut für die kassenärztliche Versorgung. Auch die Prüfstellen für klinische Prüfungen und registrierte Ethikkommissionen sollen in den Verantwortungsbereich des BfDI fallen. Kommt das alles so, lägen die Zuständigkeiten für weite Teile der kliniknahen Forschung künftig allein beim BfDI.
Die Lücken des GDNG
Wer das GDNG genauer studiert und mit den Bedürfnissen wichtiger Akteure abgleicht, dem stellen sich relativ rasch viele Fragen. Da gibt es zum einen die akademische Gesundheitsforschung. Hier wurde für einen mittleren dreistelligen Millionenbetrag im Rahmen der Medizininformatik-Initiative (MII) bereits vieles von dem konzipiert, was jetzt (noch mal?) am BfArM entstehen soll. Sebastian C. Semler, Geschäftsführer der Technologie- und Methodenplattform für die vernetzte medizinische Forschung (TMF), geht in seinem Gespräch mit E-HEALTH-COM (https://e-health-com.de/thema-der-woche/noetig-ist-ein-gesamtkonzept/) ausführlich auf dieses Thema ein.
Die zweite große Lücke im GDNG-Entwurf ist die privatwirtschaftliche Forschung und Entwicklung inklusive privatwirtschaftlicher Versorgungsforschung und Qualitätssicherung. Zwar ist bei der GDNG-Forschung via Datenzugangs- und -koordinierungsstelle explizit auch ein Zugang für die privatwirtschaftliche Forschung vorgesehen. „Das ist zu begrüßen, aber es adressiert längst nicht alle Anforderungen, die privatwirtschaftliche Unternehmen an die Forschung und Entwicklung mit Gesundheitsdaten haben“, so Matthies, dessen Unternehmen eine Forschungs- und Entwicklungsplattform aufgebaut hat, die Versorgungsdaten in großem Umfang zur Verfügung stellen kann. Dies geschieht – nach langer Abstimmung mit dem zuständigen Landesdatenschutzbeauftragten – DSGVO-konform ohne explizite Einholung einer Einwilligung der Patient:innen. Eine solche einwilligungsfreie Nutzung von Gesundheitsdaten haben andere EU-Länder auf Basis der DSGVO längst ermöglicht. In Deutschland hat sich daran politisch noch keiner herangewagt.
Was heute schon geht …
Honic zeigt, dass es auch hierzulande funktioniert. Der Weg zu einer privatwirtschaftlichen, einwilligungsfreien Forschung mit Gesundheitsdaten führt über eine Vielzahl ineinandergreifender Maßnahmen, die dafür sorgen, dass das Unternehmen keinerlei Zugriff auf personenidentifizierende Daten hat. Kernkomponenten sind eine sichere Verarbeitungsumgebung und eine starke Pseudonymisierung direkt an der Datenquelle. „Dabei kommen nur die medizinischen Daten zu uns. Der Rest geht gehasht an die Bundesdruckerei, die als externer Datentreuhänder fungiert“, so Matthies.
Ein anderes deutsches Unternehmen, das im privatwirtschaftlichen Kontext DSGVO-konform forscht und entwickelt, ist Tiplu. Es steht für Softwarelösungen, die im Medizincontrolling, in der klinischen Entscheidungsunterstützung und der Prozessautomatisierung angesiedelt sind und mit maschinellem Lernen entwickelt werden. Basis für das KI-Training ist eine strukturierte elektronische Patientenakte, die Daten aus den Primärsystemen der Krankenhäuser zugänglich macht. „Wir haben diese interoperable Datenbasis, bestehend aus Laborwerten, Vitalparametern, Medikamenten und schriftlichen Behandlungsdokumenten, in über 400 Krankenhäusern aufgebaut“, so Tiplu-Geschäftsführer Dr. Moritz Augustin. Insgesamt rund 140 dieser Krankenhäuser haben sich zu einem Machine-Learning-Netzwerk zusammengeschlossen, mit dem KI-Algorithmen trainiert werden können, die dann für Softwareprodukte genutzt werden.
… und warum das nicht reicht
Die Beispiele Honic und Tiplu zeigen: Privatwirtschaftliche Forschung mit Gesundheitsdaten und Entwicklung von KI-basierten Produkten sind in Deutschland möglich, auch ohne dass in großem Stil Daten im Ausland eingekauft werden müssen. Es ist aber nach wie vor extrem mühsam, weil diese Art Datennutzung ein Reputationsproblem hat: „Viele medizinische Einrichtungen schauen uns immer noch mit großen Augen an, wenn wir ihnen erklären, dass das, was wir machen, unter Einhaltung aller regulatorischen Anforderungen rechtlich nicht nur erlaubt, sondern seitens des Gesetzgebers gewollt ist und in Zukunft zur Regel wird“, sagt Matthies.
Es geht dabei nicht nur um das viel zitierte Training von KI-Algorithmen. Krankenhausträger, die über Bundeslandgrenzen hinweg agieren, würden ihre eigenen Daten gerne sehr viel intensiver auswerten, sei es für Controlling, Qualitätssicherung oder Prozessautomatisierung. In der stark föderalen Regulationslandschaft in Deutschland ist das aber nicht ohne Weiteres möglich. Nicht jeder kann oder will den Aufwand betreiben, den Honic oder Tiplu betrieben haben, und entsprechende Anliegen mit viel Zeit und viel Kommunikation in Richtung Datenschützern immer wieder aufs Neue durchsetzen. „Wir müssen doch in der Lage sein, mit geringerem zeitlichem Vorlauf nachvollziehen zu können, wie im deutschen Gesundheitswesen in wesentlichen Indikationen mit welchen Ergebnissen intersektoral versorgt wird. Es kann doch nicht sein, dass das nicht oder nur nach jahrelangen Diskussionen geht“, so Matthies.
Zu verliebt in Staatsprojekte?
Aber soll nicht genau das mit dem GDNG erreicht werden? Ja und nein. „Das Problem ist, dass das GDNG den Bereich der privatwirtschaftlichen Forschung und vor allem auch Entwicklung komplett ausklammert“, erläutert Augustin. Das GDNG fokussiere auf ganz spezifische Forschungsszenarien – die Verknüpfung von Krebsregisterdaten mit den Abrechnungsdaten des FDZ und, später, die Verknüpfung von Daten der elektronischen Patientenakte (ePA) mit FDZ-Daten und Krebsregistern. Das ist besser als nichts. Aber letztlich sind es sehr spezielle Projekte, bei denen die Bundespolitik einen regulatorischen Hebel hat und die deswegen vergleichsweise einfach umzusetzen sind.
Für eine KI-Entwicklung, wie Tiplu sie betreibt, wäre schon der Umfang der Daten, die da (irgendwann einmal) über das BfArM zugänglich gemacht werden sollen, viel zu klein. Datensätze, die es erlauben würden, einen Algorithmus für die Entscheidungsunterstützung auf zum Beispiel Intensivstationen bzw. generell im Behandlungsverlauf zu trainieren, wird eine BfArM-zentrierte Datenzugangsstelle nach aktueller Planung niemals liefern können. Mit dem aktuellen GDNG-Entwurf entstehen am ehesten registerartige, grob gerasterte Forschungsstrukturen, die ihre Berechtigung haben mögen, die aber weit entfernt sind von dem, was die deutsche Gesundheitswirtschaft und letztlich die medizinische Versorgung insgesamt bräuchten, um international konkurrenzfähig zu bleiben.
Jenseits von Art und Umfang der Daten ist auch der sture (und sehr deutsche) Fokus auf „Forschung“ eine Lücke des GDNG-Entwurfs. KI-Training für Produktentwicklung ist schlicht nicht vorgesehen. Diese Vernachlässigung des „E“ von „F & E“ ist schon länger ein Problem. Hier, nicht in der Forschung im engeren Sinne, werden in großem Umfang Datensätze aus dem Ausland eingekauft. Wer das nicht will oder kann, der „tarnt“ ein KI-Entwicklungsprojekt irgendwie als Forschungsprojekt. Aber das stößt an immer härtere Grenzen, je näher es ans reale Produkt geht. Es ist die alte Leier: Deutschland bearbeitet Grundlagen und baut Prototypen, marktfähige Produkte entstehen woanders.
Was die privatwirtschaftliche Versorgungsforschung und auch forschungsfernere Themen wie Qualitätssicherung und Patientensteuerung angeht: Auch das kommt im GDNG-Entwurf praktisch nicht vor. Bundesgesundheitsminister Karl Lauterbach hat mit Blick auf das GDNG immer wieder das Beispiel BioNTech genannt, das in der Corona-Pandemie den Impfstoff deswegen primär in Israel ausgerollt hat, weil dort die Dateninfrastrukturen ein effizientes Monitoring von Wirksamkeit und Verträglichkeit ermöglichten. Der GDNG-Entwurf adressiert diese Art der Datennutzung aber praktisch gar nicht, sofern man sich nicht der naiven Lauterbach’schen Illusion hingibt, mit gespendeten Daten aus der gematik-ePA ließe sich irgendwie ein Impfstoff-Rollout monitoren.