Von Dr. Thomas Fuchs, Hamburgischer Datenschutzbeauftragter
Wenn ein Datenschützer etwas zu Gesundheitsdaten sagt, dann schwant vielen nichts Gutes. Oft wird Datenschutz gerade in Hinblick auf die Datenschutzgrundverordnung (DSGVO) als Verhinderer der Digitalisierung im Gesundheitssystem angesehen. Dabei ist das Gegenteil richtig: Nur gelungene Digitalisierung kann Patientenrechte wirksam ermöglichen und zugleich schützen.
Für mich steckt in der anstehenden Gesundheitsdaten-Reform viel Potenzial. Sei es für die medizinische Forschung, sei es beim Erkennen von Medikamenten-Nebenwirkungen, sei es beim Einleiten lebensrettender Maßnahmen, wenn Ärztinnen und Ärzte in einer Notsituation Zugriff auf eine zentrale Patientenakte haben.
Auch die DSGVO hat, neben dem Datenschutz, die Ermöglichung von Datenverkehr und -austausch als erklärtes Ziel. Die entscheidende Frage ist also nicht ob, sondern wie wir das Teilen von Daten gestalten. Wir brauchen faire, praktische und klare Regeln für den Umgang mit Gesundheitsdaten, die so persönlich und sensibel wie wenige andere Daten sind, und mit denen – geraten sie in die falschen Hände – großer Missbrauch betrieben werden kann. Die Europäische Union hat hierzu in ihrer Datenstrategie eine klare Haltung entwickelt: Datennutzung soll vor allem der Gesellschaft dienen, im konkreten Fall der Gesundheit aller Menschen in der EU.
Der Wettbewerb in der Medizinforschung ist groß. Auch hier hat die EU den Anspruch, eine wichtige Rolle zu spielen. Dabei geht es neben wirtschaftlichen Interessen auch darum, die bestmögliche medizinische Versorgung und die Unabhängigkeit von anderen Märkten zu gewährleisten. Geplant ist der European Health Data Space (EHDS), ein Gesundheitsdatenraum. Er soll EU-Bürgerinnen und -bürgern einen sicheren und einheitlichen Zugang gewähren sowie einen Datenbinnenmarkt für Forschende und Institutionen, Gesundheitsdienste und -produkte generieren. Der Datenschutz ist hier kein Innovationshemmnis, sondern Innovationstreiber für kluge und austarierte Lösungen. Ohne Vertrauen der Patientinnen und Patienten in Prozesse, die ihre Rechte hinreichend berücksichtigen, wird der EHDS nicht gelingen. Für europäische und deutsche Vorhaben ist das ernst genommene Patientengeheimnis ein Marktvorteil – gerade weil der Datenschutz eine wichtige Rolle spielt.
Parallel zu den Entwicklungen in der EU entstehen auf Bundesebene derzeit ein Digital-Gesetz, in dem es unter anderem um die digitale Patientenakte geht, und ein Gesundheitsdatennutzungsgesetz, das sich mit der Verwendung von Gesundheitsdaten zu Forschungszwecken befasst. Eine wichtige Neuerung in beiden Gesetzen besteht darin, die bisherigen Einwilligungslösungen in eine Opt-out-Lösung umzuwandeln. Das ist – auch nach den Erfahrungen der letzten Jahre – nachvollziehbar.
Aktuell werden Gesundheitsdaten überwiegend auf der Basis einer Einwilligung der Patienten verarbeitet. Das ist in meinen Augen nicht die beste Variante, weil sie Patienten mit ihrer Entscheidung und mit deren Folgen allein lässt. Der Gesetzgeber ist in der Pflicht, die Gesundheitsdatennutzung zu gestalten. Garantien und Beschränkungen können gesetzlich besser gesichert werden. Dazu gehören gut durchdachte und einheitliche Regelungen zur Verschlüsselung und Pseudonymisierung. Bei sensiblen Daten ist ein Widerspruchsrecht notwendig, über das Patienten transparent und aktiv aufgeklärt werden müssen.
Wir setzen uns bei diesen Rechtsakten für klare, für die Nutzerinnen und Nutzer leicht handhabbare Regeln ein, auch bei der Sekundärnutzung zu Forschungszwecken. 2022 hat die Datenschutzkonferenz in der "Petersberger Erklärung" Maßstäbe für einen solchen Rahmen formuliert und Empfehlungen für die Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung ausgesprochen. Besonders geschützte Vertrauensstellen können dabei als Bindeglied fungieren, um zu gewährleisten, dass Forschende (nur) diejenigen Informationen bekommen, die sie tatsächlich benötigen. Mithilfe dieser Maßnahmen können aus unserer Sicht weitreichende Datennutzungsbefugnisse erteilt werden, um die Medizinforschung zu erleichtern.
Je umfassender die Medizindatennutzung ausfällt, desto genauer muss der Datenschutz jedoch bei den Details der Ausgestaltung hinsehen. Wenn wir, wie geplant, weggehen von der individuellen Einwilligungslösung und stattdessen Opt-out-Modelle gestalten, müssen den Patienten auch einfache und differenzierte Widerspruchsmöglichkeiten zur Verfügung stehen. Das ist auch technisch anspruchsvoll, denn es müssen dann geeignete technische und organisatorische Maßnahmen ergriffen werden, um in der Praxis durch Verschlüsselung, Pseudonymisierung und Berechtigungskonzepte ein hohes Schutzniveau zu gewährleisten. Das ist grundsätzlich machbar, wenn Datenschutz und Datensicherheit bereits bei Auswahl einer Telematikinfrastruktur (TI) mitgedacht werden.
Um die richtige Balance aus Forschungsinteressen und Privatsphäre kümmern wir uns ganz konkret vor Ort. Mit dem Universitätsklinikum Eppendorf und der Hamburgischen Politik treiben wir die Bildung von Treuhandstellen voran. Hamburg ist zudem Modellregion für den Einsatz von TI. In Workshops und Gesprächen begleiten wir hier aktiv bei der Gestaltung der Vernetzung medizinischer Akteurinnen und Akteure – mit Ausstrahlungswirkung auf ganz Deutschland. Hand in Hand mit Ärzten, Krankenhäusern und Versicherungen ermöglichen wir eine vertrauenswürdige Basis für den Austausch sensibler Informationen. Gestaltender Datenschutz wird so zum unterstützenden Freund einer guten digitalen Medizin.