Gesundheitsdaten: Zu wenig Datenschutz, zu wenig Einheitlichkeit

Inhaltsverzeichnis

Der Grundkonflikt ist so alt wie der Datenschutz selbst: Patientendaten gehören zu den sensibelsten und damit schutzwürdigsten personenbezogenen Daten überhaupt, andererseits ist ohne valide Daten über Befunde, Diagnosen, Therapien und Behandlungsergebnisse medizinische Forschung unmöglich. In der DSGVO wurde aufgrund dieser Erkenntnis ansatzweise die Grundlage für so etwas wie ein "Forschungsprivileg" verankert. Die Frage, wie in Deutschland damit umgegangen wird, ist mittlerweile auch Gegenstand einer Standortdiskussion. Angesichts der strategischen wie auch wirtschaftlichen Bedeutung medizinischer Forschung und auch speziell der Pharmaforschung eine seit Langem überfällige Debatte.

Carina Richters

Carina Richters ist bei Rödl & Partner für Mandanten aus der Gesundheits- und Sozialwirtschaft als Rechtsanwältin vor allem bei datenschutzrechtlichen Fragestellungen tätig.

Christoph Naucke

Christoph Naucke beschäftigt sich bei Rödl & Partner mit Datenschutz- und GRC-Fragestellungen aus der Gesundheitswirtschaft und der Forschung.

Kürzlich wurde der Inhalt einer Studie des Wirtschafts- und Forschungsinstitutes Iges und Wifor im Auftrag des Bundesverbands der Deutschen Industrie (BDI) bekannt. Diese kam zu dem Ergebnis, dass die Bruttowertschöpfung der Gesundheitswirtschaft von aktuell 103 Milliarden Euro durch Fortschritte in der Digitalisierung um acht Milliarden Euro pro Jahr gesteigert werden könnte. Mediziner, Pharmaunternehmen und Politiker sprechen in diesem Zusammenhang von einem Datenschatz, der gehoben werden müsse, um Forschung und Therapiemöglichkeiten zu verbessern. Hindernis dafür ist jedoch unter anderem die beschriebene Konfliktlage zwischen Datenschutz und Datennutzung.

Was wird realistisch betrachtet möglich sein, wo wird es schwierig werden und warum? Die Verarbeitung personenbezogener Gesundheitsdaten ist an hohe Anforderungen geknüpft. Nach der DSGVO (Art. 9 Abs. 1) gehören diese Daten zu den besonders schützenswerten Daten, eine Verarbeitung ist im ersten Schritt grundsätzlich untersagt. Ausnahmen hiervon definiert Art. 9 Abs. 2 der DSGVO, der etwa Ausnahmen im Bereich der Forschung vorsieht (zum Beispiel in Art. Abs. 2 lit. j).

Luft nach oben beim eigentlichen Schutz

Dieser besonders hohe Schutz von Gesundheitsdaten ist sicherlich als richtig einzustufen. Ein Missbrauch genau solcher Daten stellt einen erheblichen Eingriff in die Privatsphäre des Einzelnen dar. Außerdem erhöhen größere Verarbeitungsmöglichkeiten auch das Missbrauchsrisiko. Anzumerken sind zwei grundlegende Punkte. Erstens: Solche Daten, die unumkehrbar anonymisiert sind, sind vom Datenschutz nicht (gar nicht!) erfasst. Zweitens: Das – schwächere – Mittel der Pseudonymisierung, mit dem Risiken erheblich reduziert werden können, wird nach Auffassung der Autoren in der Praxis beispielsweise der krankenhausindividuellen Forschung oft noch zu wenig eingesetzt. Da ginge mehr – völlig unabhängig von der Gesetzgebung.

Ein erhebliches, spezifisch deutsches Problem liegt in dem föderativen gesetzlichen Flickenteppich hinsichtlich der Gesundheitsdaten. Neben der DSGVO und dem BDSG sind je nach Fallkonstellation weitere Regelungen zu beachten, beispielsweise aus den Sozialgesetzbüchern (SGBs), den Landesdatenschutzgesetzen, den Landeskrankenhausgesetzen sowie den kirchlichen Datenschutzgesetzen. Für eine rechtssichere Umsetzung ist eine umfassende Auseinandersetzung mit sämtlichen gesetzlichen Regelungen notwendig.

Am 14. Dezember 2023 wurde zu dem Thema das Gesundheitsdatennutzungsgesetz (GDNG) im Bundestag verabschiedet. Hierdurch sollen Gesundheitsdaten für gemeinwohlorientierte Zwecke leichter und schneller nutzbar gemacht werden. Zu dem Zweck wird eine dezentrale Datenzugangs- und Koordinierungsstelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) aufgebaut, die als Mittler tätig werden soll, wenn Forschungsvorhaben länderübergreifend durchgeführt werden sollen. Den gesetzlichen Kranken- und Pflegekassen wird die stärkere Nutzung ihrer Daten ermöglicht, wenn dies der besseren Versorgung dient.

Fehlende Rechtssicherheit durch zu wenig Harmonisierung

Auch wenn dieser Vorstoß zu begrüßen ist, sind weiterführende und präzisere datenschutzrechtliche Regelungen und Anpassungen zu fordern, um eine rechtssichere Nutzung von Gesundheitsdaten für Forschungszwecke zu ermöglichen. So ergibt sich aus der Gesetzesbegründung nicht, inwieweit die Regelungen beispielsweise mit den Landeskrankenhausgesetzen in Einklang gebracht wurden. Das Krankenhausrecht als ein überschneidendes Rechtsgebiet ist Landesrecht. Die jeweiligen datenschutzrechtlichen Regelungen darin sind materiell höchst unterschiedlich. Erforderlich wären daher weit umfassender harmonisierte gesetzliche Bestimmungen, um tragfähige Rechtssicherheit für Gesundheitsforschung zu schaffen.

Das GDNG ist im Bundesrat nicht zustimmungspflichtig, da nur Regelungen für eine Koordinierungsstelle getroffen werden, während die eigentliche Zuständigkeit bei den Landesdatenschutzbehörden verbleibt.

Ein grundsätzliches Problem, das in der Wahrnehmung leider zu kurz kommt, ist die datenschutzrechtliche Verantwortung im Sinne des Zurechnungsprinzips auf den (gerade deswegen so bezeichneten) "Verantwortlichen" (Art. 24 DSGVO), die dauerhaft bei diesem verbleibt. Die im GDNG genannten "datenhaltenden Stellen" – die Liste der Beispiele ist nicht zufällig etwas kurz geraten – dürften als Verantwortliche nur über einen Bruchteil des tatsächlich forschungsrelevanten Datenvolumens verfügen. Die Verantwortlichkeit jedes Krankenhauses für die bei ihm entstehenden Patientendaten bleibt unverändert bestehen und muss sich (weiterhin) auch am jeweiligen Krankenhaus-Landesrecht und seinen Vorschriften für eine Nutzung von Patientendaten für Forschungszwecke ausrichten.

Hinzu kommt, dass nach Auffassung der Autoren die Gesetzesänderungen auch qualitativ zu kurz greifen. Der deutliche Schritt in Richtung einer systematisierten Pseudonymisierung ist selbstverständlich zu begrüßen. Aber gerade um dem Schutz sensibler Daten gerecht zu werden und andererseits die Haftungsrisiken der Gesundheitswirtschaft kalkulierbar zu machen, bedürfte es klarerer Regelungen, wie der Datenschutz in der Praxis genau auszusehen hat. Zu denken ist hier vor allem an bundeseinheitliche Handlungsvorgaben für die Praxis der Ausgestaltung der technischen und organisatorischen Maßnahmen oder der Ausgestaltung von Datenschutzfolgeabschätzungen.

Datenschützer fordern mehr Einheitlichkeit

Ähnlich sieht es die Datenschutzkonferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder, die im November bei ihrer 106. Tagung sowohl eine Entschließung zu "Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register" als auch eine Entschließung zum "Datenschutz in der Gesundheitsforschung" veröffentlicht hat.

Beide fordern bundeseinheitliche Regelungen, Vorgaben und Aufsichtsbehörden, um zum einen die Digitalisierung voranzutreiben, und zum anderen den Schutz des Einzelnen dennoch nicht zu vernachlässigen. Die Datenschutzbehörden haben bei der gesetzlichen Umsetzung ihre Unterstützung angeboten.

Man kann hoffen, dass diese auch wahrgenommen wird, damit die angestrebte Verbesserung in der Digitalisierung durch entsprechende Gesetzgebung langfristig tatsächlich erreicht wird und sich nicht stattdessen der Flickenteppich noch weiter verkompliziert.

Bewegung auf EU-Ebene

Auch das EU-Parlament hat sich zum Thema des Gesundheitsdatenschutzes geäußert. In einer Pressemitteilung wurde das Ziel eines europäischen Gesundheitsdatenraums formuliert. Hierüber sollen Bürger ihre persönlichen Gesundheitsdaten sicher und grenzüberschreitend nutzen können. Des Weiteren soll es ermöglicht werden, bereits gesammelte Daten im Sinne des "öffentlichen Interesse im Gesundheitsbereich" weiterzugeben.

Zusammenfassend bleibt der Eindruck, dass die Gesetzgeber die Notwendigkeit von Änderungen zwar erkennen, aber wichtige Hausaufgaben leider noch nicht gemacht haben.

(ur)