Digitalisierung im Gesundheitswesen: Das Datenschutzrecht ebnet den Weg

Datenschutz

Veröffentlicht 03.07.2023 08:10, Kim Wehrs

Immer wieder wird „der Datenschutz“ als wesentlicher Grund dafür angeführt, dass Deutschland bei der Digitalisierung des Gesundheitswesens „international den Anschluss verloren“ habe. Schaut man hingegen genauer hin, sind es in der Regel andere Gründe, insbesondere die über die Jahre gewachsenen Strukturen im deutschen Gesundheitswesen, wo jede der Interessengemeinschaften der Selbstverwaltung im Gesundheitswesen entsprechend ihrem gesetzlichen Auftrag eher die eigenen Ziele als das Allgemeinwohl verfolgt. „Datenschutz“ wird in diesen Fällen oft vorgeschoben, um die dahinter stehenden Interessen zu verschleiern.

Um dies zu verdeutlichen, wird im Folgenden zunächst dargestellt, was „Datenschutz“ eigentlich bedeutet und wie Datenschutz in Beziehung zur Weiterentwicklung der Digitalisierung und speziell der medizinischen Forschung steht und diese fördert.

1.  Datenschutz und Forschung: Zwei Grundrechte im Spannungsverhältnis

Die informationelle Selbstbestimmung aller Menschen beruht rechtlich in Deutschland auf Art. 1 und 2 des Grundgesetzes: Das allgemeine Persönlichkeitsrecht umfasst laut Bundesverfassungsgericht den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten. Einschränkungen dieses Rechts auf „informationelle Selbstbestimmung“ sind zulässig, aber nur im überwiegenden Allgemeininteresse. Auch Forschung wird im Grundgesetz adressiert: Nach Art. 5 Grundgesetz sind Kunst und Wissenschaft, Forschung und Lehre frei. Im Europarecht findet sich der Schutz personenbezogener Daten in Art. 8 der Charta der Grundrechte sowie die Forschung in Art. 13. Sowohl Datenschutz als auch Forschung stellen somit Grundrechte dar.

Das Datenschutzrecht ist nicht deckungsgleich mit dem Recht auf informationelle Selbstbestimmung. Und eine Fehlinterpretation wäre, dass es die Verarbeitung von personenbezogenen Daten verhindern soll. Das Datenschutzrecht dient vielmehr dem Ausgleich zwischen den Interessen der mit der Verarbeitung der personenbezogenen Daten befassten staatlichen und privatwirtschaftlichen Stellen auf der einen Seite sowie den Interessen betroffener Personen auf der anderen Seite: Nur durch die im Datenschutzrecht verankerten organisatorischen und verfahrensrechtlichen Vorkehrungen wird eine Verarbeitung von personenbezogenen Daten erst ermöglicht, d. h. ohne Datenschutzrecht ist eine Verarbeitung personenbezogener Daten grundsätzlich nur mit Einwilligung möglich. Voraussetzung ist aber, dass es eine rechtliche Grundlage für die Verarbeitung gibt, die dem rechtsstaatlichen Gebot der Normenklarheit genügt und dabei zugleich die Verhältnismäßigkeit des Grundrechtseingriffes gegenüber den betroffenen Personen hinreichend berücksichtigt. Insbesondere müssen betroffene Personen die Tragweite einer Verarbeitung auf Grundlage des Gesetzes für sich selbst begreifen und einschätzen können.

Wie das Bundesverfassungsgericht feststellte: Einschränkungen des Rechts auf informationelle Selbstbestimmung sind nur im überwiegenden Allgemeininteresse zulässig. Aktuell liegt der Nachweis, dass beispielsweise ein medizinisches Forschungsvorhaben im überwiegenden Allgemeininteresse erfolgt, bei den forschenden Personen selbst. Dies erweist sich als schwierig, da keine Kriterien dafür vom Gesetzgeber vorgegeben werden.

Natürlich liegt nicht jedes Forschungsvorhaben im überwiegenden Allgemeininteresse. Daher müssen seitens des Gesetzgebers nachvollziehbare Kriterien benannt werden, wann bei medizinischer Forschung von einem überwiegenden Allgemeininteresse ausgegangen werden kann, z. B.:

-          Das Forschungsvorhaben adressiert eine Verbesserung der medizinischen Versorgung für einen signifikanten Anteil von an einer Erkrankung leidenden Menschen, auch bei seltenen Erkrankungen.

-          Das Forschungsvorhaben könnte die Kosten einer Behandlung spürbar reduzieren und somit das Sozialwesen entlasten.

2. Digitalisierung des Gesundheitswesens und medizinische Forschung

Sekundärnutzung von Gesundheitsdaten aus Krankenhäusern oder auch aus Arztpraxen bedeutet, dass die Daten über den unmittelbaren Behandlungszusammenhang hinaus ausgewertet werden. Am Beispiel der COVID-19-Pandemie wurde deutlich, wie wichtig es wäre, zeitnah einen bevölkerungsweiten Überblick über das Krankheitsgeschehen zu erhalten, und seien es nur zuverlässige Fallzahlen. Aber auch viele weitere Nutzungen von Gesundheitsdaten sind denkbar bis hin zum Training von KI-Methoden, die den diagnostischen Prozess unterstützen sollen. In den Worten des Wissenschaftsrats: „Die Digitalisierung von Gesundheitsforschung und Versorgung eröffnet völlig neue Möglichkeiten des wissenschaftlichen Erkenntnisgewinns über Entstehungsmechanismen von Krankheiten und Wirksamkeit von Therapien sowie damit zusammenhängend völlig neue Möglichkeiten der öffentlichen und individuellen Gesundheitsvorsorge, der zielgenauen Diagnose, der personalisierten Behandlung, des Zugangs zu hochqualitativen, innovativen Versorgungsangeboten.“

Nun handelt es sich bei diesen Gesundheitsdaten um personenbezogene Daten, die sogar zusätzlich besonderem Schutz unterliegen:

  • Einmal definiert die DS-GVO personenbezogene Daten als „besondere Kategorien“, die besonders strengem Schutz unterliegen, was eine weitere Verwendung an sehr strenge Auflagen knüpft.
  • Zum anderen unterliegen diese der beruflichen Schweigepflicht der Behandelnden, die im Strafrecht festgeschrieben ist und eine Weitergabe an Personen verbietet, die nicht dem direkten Behandlungsteam angehören.

Damit bewegen wir uns in einem Bereich, wo verschiedene Gesetze und Grundrechte im Spannungsverhältnis miteinander stehen. Juristisch gesprochen bedeutet das, dass verschiedene Rechtsgüter gegeneinander abgewogen werden müssen: Die Persönlichkeitsrechte, die grundgesetzlich garantiert und durch das Datenschutzrecht konkretisiert werden, die Pflicht des Staates, die Gesundheit seiner Bürger bestmöglich zu schützen, und die Wissenschaftsfreiheit, die hier dem medizinischen Fortschritt dienen soll und somit auch im öffentlichen Interesse steht. Dieses Spannungsverhältnis aufzulösen, kann nicht die Aufgabe des einzelnen Forschungsprojekts sein. Vielmehr sind möglichst klare Kriterien seitens des Gesetzgebers und Leitlinien etwa von Fachgesellschaften unverzichtbar.

Die Digitalisierung des Gesundheitswesens und der Aufbau einer Dateninfrastruktur mit möglichst umfassendem Zugriff auf Gesundheitsdaten wie etwa Patientenakten sollen zu einem Fortschritt der medizinischen Versorgung beitragen: Man könnte aktuelles Krankheitsgeschehen bevölkerungsweit überblicken und damit die Ressourcensteuerung im Gesundheitswesen optimieren, man könnte Zusammenhänge zwischen Behandlungsmethoden und Therapieerfolgen zeitnah erkennen, man könnte die Leistungen verschiedener Einrichtungen mit dem Ziel der medizinischen Qualitätssicherung vergleichen, man könnte wissensbasierte Therapieunterstützung anbieten, man könnte mühelos geeignete Probanden und Probandinnen für klinische Therapiestudien finden, und vieles mehr.

Soweit jedenfalls die Wunschvorstellungen, die aber noch weitgehend utopisch sind. Der Weg zur Umsetzung ist mühsam. Diese Mühe wird oft „dem Datenschutz“ angelastet. Dieser Vorwurf ist nicht ganz ohne Substanz, bildet aber, wie eingangs dargestellt, nur einen sehr kleinen Teil der Realität ab. Sicher, Datenschutzanforderungen erschweren einige allzu naive Ansätze. Viele andere Hindernisse sind aber mindestens genauso gravierend. Beispielsweise wird häufig eine Digitalisierung im Gesundheitswesen vom „grünen Tisch“ geplant, ohne dass eine entsprechende Fach- und Sachkenntnis zu den bei den Leistungserbringern vorhandenen Workflows vorliegt, was dann zur Folge hat, dass die von Gesetzgebern bzw. deren Organen geplanten Digitalisierungsbemühungen eher zu Behinderungen bei der Patientenversorgung führen, als diese zu unterstützen. Auch die mangelnde Datenqualität behindert die Digitalisierung: Aus Datenhalden kann man nur dann zuverlässiges Wissen extrahieren, wenn diese Daten korrekt, sorgfältig erfasst und gepflegt sowie möglichst verzerrungsfrei sind.

Die nächsten massiven Hindernisse auf dem Weg in eine brauchbare Dateninfrastruktur erschweren oder verhindern sogar die übergreifende Auswertung: Auf der technischen Ebene sind Systeme nicht interoperabel, es kostet große Mühe, ihnen Daten zu entlocken. Und auf der Datenebene sind die Daten aus verschiedenen Systemen nicht kompatibel, es mangelt an syntaktischer und semantischer Interoperabilität, an Standards und Normen - die nicht nur definiert, sondern auch eingehalten werden müssen. Besonders kontraproduktiv ist, dass viele relevante Daten noch gar nicht digital, sondern auf Papier erfasst werden. Und dort, wo Daten digital erfasst sind, sind die Daten oftmals weder syntaktisch noch semantisch aufbereitet und somit nicht automatisiert auswertbar.

Schließlich wird der Fortschritt auch durch Vorbehalte bei den Mitwirkenden behindert, die Zusatzaufwand bei der Anpassung eingeübter und funktionierender Prozesse scheuen.

Insgesamt ist die Digitalisierung des Gesundheitswesens ein hochkomplexer Prozess, der nur langsam vorankommt, erhebliche Kosten nach sich zieht und neben großen Chancen auch Risiken birgt. Regelungen des Datenschutzrechts lassen viele Wege zur Datennutzung im öffentlichen Interesse offen, verlangen aber, und hier verursachen sie tatsächlich Mühe, große Sorgfalt und besondere Maßnahmen, insbesondere auch zum Schutz der Patientinnen und Patienten. Für die beabsichtigte Nutzung muss die Erforderlichkeit nachvollziehbar begründet sein - was bei medizinischen Fragestellungen und Projekten nicht allzu schwerfallen sollte - und die Angemessenheit der Maßnahmen dokumentiert werden. Insbesondere ist auf Datensparsamkeit zu achten. Das bedeutet, dass die Prozessabläufe und die dabei benötigten Daten sorgfältig definiert werden.

3. Handlungsbedarf

Auf der rechtlichen Seite sollte Folgendes getan werden:

1)      Homogenisierung des nationalen Datenschutzrechts

Versorgung im Krankenhaus wird in jedem Bundesland anders geregelt, jedes Bundesland hat spezielle Datenschutzregelungen. Diese unterschiedlichen, bundeslandspezifischen Regelungen behindern sowohl die (länderübergreifende) Patientenversorgung als auch die medizinische Forschung. Grundsätzlich könnte der Bundesgesetzgeber ein Gesetz zur medizinischen Forschung erlassen, welches auch einen Erlaubnistatbestand zur Nutzung von zur Patientenversorgung erhobenen patientenbezogenen Daten beinhaltet. Dieses Bundesgesetz stünde ggf. jedoch in Konkurrenz zu den jeweiligen landesgesetzlichen Krankenhausgesetzen, die die Verarbeitung von zur Versorgung erhobener Patientendaten abschließend regeln. Aus Gründen der Rechtsunsicherheit würden Verantwortliche die Patientendaten daher nicht für Forschungsvorhaben bereitstellen, welche nicht im Einklang mit dem jeweiligen Landesrecht stehen. Sollen die länderübergreifende Versorgung ermöglicht und die medizinische Forschung gefördert werden, so müssen die deutschen Bundes- und Landesgesetzgeber eine Homogenisierung der datenschutzrechtlichen Regelungen herbeiführen.

2)      Forschung mit Biomaterial und anderen Daten, welche Informationen von Dritten beinhalten

Insbesondere ist eine (harmonisierte) nationale Regelung zur Verarbeitung von solchen Daten, welche die Verarbeitung unabhängig von der Einwilligung regelt, wünschenswert. Derartige Daten wie z. B. Biomaterial oder vererbbare Erkrankungen, welche prinzipiell auch Daten über verwandte Personen wie beispielsweise Kinder, Eltern, Enkel enthalten, sind im Rahmen der Vorgabe der DS-GVO mittels Einwilligung kaum zu verarbeiten, da eine Einwilligung immer nur für die eigenen Daten, nicht aber für die Daten Dritter gegeben werden kann.

3)      Definition, wann von einem „überwiegenden Allgemeininteresse“ ausgegangen werden kann

Forschungsvorhaben müssen durch eine unabhängige Institution bewertet und Daten bei Vorliegen eines überwiegenden Allgemeininteresses für das Forschungsvorhaben ausdrücklich von der Institution freigegeben werden. Dabei müssen Sanktionen vorgesehen sein, d. h. Akteure der Institution haften für ihre Entscheidung, z. B. durch entsprechende Strafvorschriften für unlautere Handlungen wie beispielsweise Entscheidung einzelner Personen bei Befangenheit aufgrund einer eigenen Erkrankung.

4)      Erleichterung der Forschung mit nicht-anonymen Daten

Einerseits ist eine Anonymisierung im medizinischen Kontext bei einer ausreichend großen Datenmenge kaum realisierbar. Andererseits ist eine Anonymisierung in diversen Forschungsprojekten auch nicht umsetzbar, weil Rauschen und Vergröberungen der Daten Ergebnisse verfälschen, z. B. wenn Beobachtungen am Randbereich erforderlich sind, um Fragestellungen wie „Warum sprechen 0,5 % der Patienten nicht auf die Gold-Standard-Therapie an?“ zu bearbeiten, und ein konkreter Zusammenhang und nicht nur statistische Angleichungen zur Forschung erforderlich sind.

5)      Schutz durch Sanktionen, auch für Forscher

Es sollte Strafvorschriften für Forscher bei Datenmissbrauch geben. Dies kann angelehnt an § 203 StGB erfolgen, jedoch sollte dies kein reines Antragsdelikt sein:

  1. Betroffene Personen erfahren vielleicht nichts vom Missbrauch, können daher also keinen Antrag stellen.
  2. Verbraucherschutzverbände, Selbsthilfegruppen usw. sollten Anträge stellen können, da die Forschung ja im entsprechenden Allgemeininteresse erfolgt und diese Gruppen entsprechende Interessen der betroffenen Personen vertreten.
  3. Medizinische Forschung, insbesondere im Falle von Künstlicher Intelligenz (KI), braucht häufig Daten von sehr vielen Patienten, d. h. es ist auch ein entsprechendes Interesse des Volkes an Aufklärung vorhanden. Daher sollte eine Staatsanwaltschaft in derartigen Fällen selbstständig, d. h. ohne vorherige Antragstellung, ermitteln dürfen.

Hindernisse, die durch Datenschutzregelungen bedingt sind und beseitigt werden sollten, sind vor allem der föderale Wirrwarr im gesetzgeberischen Bereich, allgemein das komplexe Regulierungsgeflecht sowie fehlende gesetzliche Erlaubnistatbestände wie z. B. ein Forschungsdatengesetz, Registergesetze sowie die Etablierung eines Forschungsgeheimnisses (mit entsprechenden Sanktionen bei Verstößen). Bei der Bearbeitung dieser Punkte darf das Regulierungsgeflecht nicht noch weiter aufgebläht werden. Insbesondere muss Bundes- und Landesrecht unter Beachtung der Vorgaben des Grundgesetzes und der Grundrechtecharta der Europäischen Union miteinander abgestimmt werden, damit endlich deutschlandweit einheitliche Rahmenbedingungen für im überwiegenden Allgemeininteresse liegende medizinische Forschung geschaffen werden, die auch Bestand haben und nicht bei der ersten Klage vom Bundesverfassungsgericht als für nicht vereinbar mit geltendem Recht bewertet werden, wie es in den letzten 20 Jahren mit einer Vielzahl von hastig verabschiedeten Gesetzen geschah.

Auf der technischen Seite müssen DV-Systeme der Krankenhäuser und Arztpraxen oder allgemeiner elektronische Patienten- und Gesundheitsakten den Aufbau einer Dateninfrastruktur unterstützen. Dazu gehören:

  • Interoperabilität, insbesondere mit Datenintegrationszentren und Registern oder einem Gesundheitsforschungsdatenportal, aber auch zwischen den Systemen von Gesundheitsdienstleistern wie Krankenhäusern, Arztpraxen oder Apotheken; dies umfasst u. a.
    • einheitliche technische Schnittstellen, welche sektorenübergreifend einen Datenaustausch ermöglichen,
    • aber auch Definitionen, die eine syntaktische und semantische einheitliche Interpretation beim Austausch von Gesundheitsdaten gewährleisten,
  • Werkzeuge zur datenschutzgerechten Sekundärnutzung wie Anonymisierungs- und Pseudonymisierungstools,
  • die Unterstützung verteilter Auswertungen,
  • elektronische Verfügbarkeit von abgestuften und differenzierten Einwilligungen,
  • ...

IT-Sicherheitsanforderungen werden zwar auch durch den Datenschutz definiert, sind aber davon völlig unabhängig essenziell für alle beteiligten Stellen des Gesundheitswesens zwingend einzuhalten.

4. Fazit

  • Unter den vielen Hindernissen auf dem Weg zur Digitalisierung des Gesundheitswesens ist der Datenschutz im Vergleich zu anderen Problemen eher weniger entscheidend.
  • Im Gegenteil - das Datenschutzrecht zeigt Wege, wie mit personenbezogenen Daten umgegangen werden kann.
  • Ernst genommener Datenschutz ist außerdem eine wesentliche Voraussetzung, um das Vertrauen der Öffentlichkeit in die Digitalisierungsprozesse zu gewinnen.
  • Die mit der Umsetzung von Datenschutzmaßnahmen betrauten Einrichtungen des Gesundheitswesens und insbesondere deren IT-Personal müssen durch klare gesetzliche Regelungen, leicht verständliche Leitlinien, unkompliziert funktionierende und sicher einsetzbare Infrastruktur sowie nachvollziehbare Musterlösungen unterstützt werden.
  • Um diese Erleichterungen zu schaffen, sind der Staat als Gesetz- und Geldgeber und die medizinischen Fachgesellschaften als Ideengeber in der Pflicht.


Autoren: Bernd Schütze, Düsseldorf; Klaus Pommerening, Mainz
Foto: Adobe Stock / Zerbor

 


Lesen Sie mehr zum Thema "Aktuelle Entwicklungen"

IHE und FHIR - Konkurrenz oder Kooperation?
Aktuelle Entwicklungen
FHIR
Umsetzung des Krankenhauszukunftsgesetzes
Aktuelle Entwicklungen
KHZG:

Lesen Sie hier die neuesten Beiträge

Diese Webseite verwendet Cookies.   Mehr Info.      oder