Die Europäische Kommission hat im Mai 2022 einen Verordnungsentwurf zur Regulierung eines sogenannten European Health Data Space vorgestellt, aufgrund dessen der Zugang zu medizinischen Forschungsdaten erleichtert werden soll. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu nun Ende März 2023 Stellung genommen.
Der Inhalt im Überblick
Was ist der European Health Data Space
Der auf Deutsch „Europäischer Gesundheitsdatenraum“ genannte European Health Data Space soll der Eckpfeiler der Europäischen Gesundheitsunion werden und den ersten gemeinsamen EU-Datenraum in einem spezifischen Bereich darstellen, der aus der sogenannte EU-Datenstrategie hervorgeht.
Durch die Europäische Gesundheitsunion soll dem Schutz der Gesundheit der Europäer und Europäerinnen dienen und eine gemeinsame Reaktion auf grenzüberschreitende Gesundheitskrisen sein. Zentrale Initiative ist – neben beispielsweise der gemeinsamen Krisenvorsorge und Arzneimittelstrategie – der European Health Data Space. Dieser Datenraum soll nach dem Ziel der EU-Kommission
- Einzelpersonen dabei unterstützen, die Kontrolle über ihre eigenen Gesundheitsdaten zu bewahren,
- die Nutzung von Gesundheitsdaten für eine bessere medizinische Versorgung, für Forschung, Innovation und Politikgestaltung fördern und
- es der Europäischen Union ermöglichen, das Potenzial von Austausch, Nutzung und Weiterverwendung von Gesundheitsdaten unter gesicherten Bedingungen voll auszuschöpfen.
Regelungsinhalt des Verordnungsentwurfes zum European Data Health Space
Konkret soll nach dem Verordnungsentwurf eine sogenannte primäre und sekundäre Verwendung der Gesundheitsdaten geschaffen werden. Das Ziel der primären Verwendung von Gesundheitsdaten ist die Stärkung des Rechts des Einzelnen, indem dieser ein Recht auf kostenlosen und umfänglichen Zugang zu seinen persönlichen Gesundheitsdaten haben soll. Im Rahmen der Sekundärnutzung der Daten soll es ermöglicht werden, die Gesundheitsdaten Forschern, Innovatoren und politischen Entscheidungsträgern zur Nutzung verfügbar zu machen.
Weitergehende Informationen zu den Zielen der Verordnung im Einzelnen, der bisherigen Regulierung der Digitalisierung im Gesundheitswesen sowie eine Bewertung der Stellungnahme des EDSA und EDSB finden Sie in unserem früheren Artikel zu diesem Thema: European Health Data Space – Vorschlag der EU-Kommission.
Stellungnahme der Datenschutzkonferenz
Am 27. März diesen Jahres – ein Dreivierteljahr nach der gemeinsamen Stellungnahme von EDSA und EDPB – hat nun auch die DSK ihre Gedanken und Bedenken zum European Data Health Space veröffentlicht.
Allen Erwägungen übergreifend stellt die DSK klar, dass für die Errichtung des Europäischen Gesundheitsdatenraum das Grundrecht auf Informationelle Selbstbestimmung insbesondere mit dem öffentlichen Interesse an wissenschaftlicher Forschung in Einklang zu bringen ist. Im Folgenden sind (nicht abschließend) die Gedanken und rechtlichen Ausführung der DSK aufgegriffen worden.
Gewährleistung des Schutzniveaus der Datenschutz-Grundverordnung
Die Gesundheitsdaten der Patientinnen und Patienten sind besonders sensible Daten. Die Datenschutzkonferenz hält es daher für essenziell, dass die datenschutzrechtlichen Grundsätze der DSGVO eingehalten werden. Das Schutzniveau, das die Verordnung den Mitgliedsstaaten vorgibt, dürfe nicht unterlaufen werden – auch nicht für altruistische Zwecke.
Hierzu gehöre laut der DSK auch, dass die Grundsätze der Datenminimierung und der Zweckbindung beachtet werden müssten. Bisher statuiert Art. 33 Abs. 1 EHDS-VO den Anwendungsbereich der Datenkategorien wie folgt:
„Die Dateninhaber stellen die folgenden Kategorien elektronischer Daten für die
Sekundärnutzung gemäß den Bestimmungen dieses Kapitels zur Verfügung:
a) elektronische Patientenakten;
b) Daten zu gesundheitsrelevanten Faktoren, einschließlich sozialer, umweltbedingter und verhaltensbezogener Gesundheitsfaktoren;
[…]
f) personengenerierte elektronische Gesundheitsdaten, einschließlich Medizinprodukten, Wellness-Anwendungen oder sonstiger digitaler Gesundheitsanwendungen;
[…]“
Nach Ansicht der DSK sollten nur solche Gesundheitsdaten auf rechtlicher Grundlage der EHDS-VO in den European Health Space übertragen werden, wenn für die den Anwendungsbereich der Verordnung auch geeignet sind. Insbesondere der Erkenntnisgewinn aus „Wellnessanwendungen“ gemäß Art. 33 Abs. 1 lit. f) EHDS-VO erschließt sich der DSK wohl nicht, denn sie fordert deren Streichung aus dem Verordnungsentwurf mit der Begründung, die Richtigkeit und Qualität der Daten könne voraussichtlich mitunter nicht gewährleistet sein. Aber auch die in lit. b) der Norm aufgelisteten Daten(-kategorien) seien kritisch zu betrachten, wenn nicht die Zwecke, zu denen sie verarbeitet werden würden, näher bestimmt sind.
Technische und organisatorische Maßnahmen
Bei der Verarbeitung von besonderen personenbezogenen Daten gemäß Art. 9 DSGVO, zu denen auch Gesundheitsdaten gehören, ist ein erhöhter Schutzbedarf gegeben. Nach Ansicht der DSK sind daher technische und organisatorische Maßnahmen wie die Ende-zu-Ende-Verschlüsselung, die Pseudonymisierung bzw. Anonymisierung und auch ein wirksames Löschkonzept umzusetzen.
Die Datenschutzkonferenz betont dabei, dass der Verordnungsentwurf offenlässt, in welcher Form Daten anonymisiert werden können. Im Gegensatz zur Pseudonymisierung meint die Anonymisierung, dass der Personenbezug derart aufgehoben wird, dass eine Re-Identifizierung praktisch nicht durchführbar ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Im Übrigen bleibt es auf der gesetzlichen Ebene jedoch offen, welche Anonymisierungstechniken angemessen und hinreichend sind, um die Identifizierung der Betroffen faktisch unmöglich zu machen. Es stellt sich hier die Frage, welche Maßnahmen getroffen werden müssen, um beispielsweise medizinische Bilddaten, wie CT- oder MRT-Scans, in einer Weise zu bearbeiten, dass keine Re-Identifizierungsmöglichkeit mehr gegeben ist. Zurecht wünscht sich die DSK zum Schutz der Gesundheitsdaten also rechtsklare Regelungen zu den Anforderungen an Methoden und Wirkungen der Anonymisierung
Auch fordert die DSK vor dem Hintergrund der sicheren und vertraulichen Verarbeitung der Gesundheitsdaten die Kontrollmöglichkeit der betroffenen Personen mittels eines digitalen Management-Systems unter angemessenen technischen und rechtlichen Bedingungen.
Datenverarbeitung durch Electronic Health Record Systeme
Im Zusammenhang mit dem European Health Data Space sind Electronic-Health-Record-Systeme solche Geräte oder Software, die elektronische Patientenakten speichern, vermitteln, importieren, exportieren, konvertieren, bearbeiten oder anzeigen können. Nach Ansicht der DSK sollten diese durch eine unabhängige Stelle unter Beteiligung der datenschutzrechtlichen Aufsichtsbehörden zugelassen werden.
Neben der Beachtung der Grundsätze der DSGVO stellt die DSK heraus, dass Patientinnen und Patienten auf leichte Art und barrierefrei Nutzungsbeschränkungen und Berechtigungen einrichten können sollten. Aus Sicht der technischen und organisatorischen Maßnahmen spricht sich die Datenschutzkonferenz für eine Ende-zu-Ende Verschlüsselung sowie Anonymisierungs- und Pseudonymisierungskomponenten nebst eines technisch getrennt aufbewahrten Notfalldatensatzes aus.
Umsetzung der Betroffenenrechte
Bei der Ausgestaltung des European Health Data Space zieht sich ein noch ungeklärtes Thema durch alle Verwendungen und Zwecke: Wie können Maßnahmen zur Wahrung von Betroffenenrechten hinreichend und einfach implementiert werden, dass die Patientinnen und Patienten ihre Rechte unproblematisch ausüben können?
Den Betroffenen sollte nach der DSK eine effektive Kontrollmöglichkeit über ihre personenbezogenen Daten eingeräumt werden, insbesondere sollten ihnen die Übermittlungswege und Verarbeitungsprozesse transparent dargelegt sein. Zudem seien präzise und dennoch leicht verständliche Informationen der Verantwortlichen wichtig.
Auch die Primärnutzung der Gesundheitsdaten, die zuvörderst den Patienten und Patientinnen selbst dienen soll, solle nach Auffassung der DSK nur unter Mitwirkung der Patientinnen und Patienten zulässig sein. Voraussetzung hierfür seien die umfassende Information und das Einverständnis der Betroffenen.
Im Rahmen der Sekundärnutzung der Daten sei bisher noch nicht erkennbar, ob und in welcher Form den Betroffenen die Rechte aus Kapitel 3 der DSGVO zustehen sollen. Da die Einbindung der Betroffenen aus datenschutzrechtlicher Sicht unumgänglich sein sollte, spricht sich die DSK – wenn schon auf ein Opt-In verzichtet werden soll – zumindest für die Möglichkeit des Opt-Outs, also ein Widerspruchsrecht gegen die Verarbeitungen, aus.
Die tatsächliche Ausgestaltung steht noch am Anfang
Auch wenn die normative Ausgestaltung der European Health Data Space Verordnung bereits als Konstrukt schon weitreichend zu sein scheint, zeigt doch der Blick auf die tatsächliche Umsetzung, dass die Vorschrift einige Lücken mit hinreichenden praktischen Auswirkungen hat.
Zu Recht weist die Datenschutzkonferenz auf die bisher mitunter gänzliche Regelungslücke zu den Betroffenenrechten hin. Auch wäre es wünschenswert, wenn der unionale Verordnungsgeber nicht die Chance verpasst, im Bereich der Anonymisierung von Gesundheitsdaten mehr Rechtsklarheit zu schaffen. Denn eine unklare rechtliche Ausgestaltung – zum Thema Anonymisierung aber auch im Übrigen – für zu Unsicherheiten und möglichen datenschutzrechtlichen Risiken bei der (technischen) Umsetzung des Europäischen Gesundheitsdatenraums.
Der Erfolg des Projekts European Health Data Space wird von der Granularität der Verordnung und gleichzeitig der Praktikabilität der Ausführung abhängen, denn nur so kann das notwendige Vertrauen der Patientinnen und Patienten gewonnen werden, dass das Vorhaben sowohl ihnen selbst als auch dem Allgemeinwohl dient.
