Europäischer Gesundheitsdatenraum
Sicherheit von Patientendaten im freien Fall?
Von: Britta Rybicki
Durch den europaweiten Zugriff auf Patientendaten soll die Patientenversorgung verbessert und die medizinische Forschung vorangetrieben werden.
Patientendaten
Der Europäische Gesundheitsdatenraum (EHDS) soll nationale Gesundheitssysteme miteinander vernetzen.
Bild: www.imago-images.de
Düsseldorf Sich überall in Europa behandeln lassen, als wäre man im eigenen Land. Medizinische Unterlagen sind digitalisiert und werden in die Sprache des Arztes übersetzt. Auf eine europäische Datensammlung können auch Forscher zugreifen, um neue Erkenntnisse zu gewinnen und schweren Krankheiten vorzubeugen. Um einen Missbrauch ihrer intimsten Geheimnisse müssen sich Patienten nicht sorgen, weil sie die Kontrolle über ihre Daten behalten.
Das ist die grobe Idee eines europäischen Gesundheitsdatenraums (EHDS), für den die Europäische Union bis 2025 alle Voraussetzungen schaffen möchte. Bereits der Gesetzentwurf, den die Europäische Kommission am 3. Mai 2022 vorgelegt hat, sorgte für Diskussionsstoff. Patientenorganisationen fürchten einen „freien Fall“ bei der kommerziellen Nutzung von medizinischen Daten. Industrievertreter halten bestimmte Datenschutzvorschriften hingegen für kaum praktikabel.
Jan Penfrat ist bei European Digital Right, einer Vereinigung aus verschiedenen Bürgerrechtsorganisationen. Er kritisiert, dass man sich beim EHDS zu wenig um den Patientenschutz gekümmert habe: „Daten können weitergegeben werden, ohne dass Patienten das wissen.“ Der Gesetzesentwurf verpflichtet zunächst Krankenhäuser und Arztpraxen Daten an einen „Health Data Access Provider“ weiterzugeben, der in Deutschland ein Forschungsdatenzentrum ist.
Unwissenheit bei Patienten
Daten werden dort gespeichert und auf Anfrage an Dritte weitergegeben, ohne Verpflichtung zur Pseudonymisierung oder Anonymisierung. „Jede juristische Person kann ein Interessent sein und eine Anfrage stellen, wenn ein Forschungsziel genannt und erklärt werden kann“, sagt Penfrat. Ein Grund kann die Entwicklung eines Medikamentes oder das Training einer Künstlichen Intelligenz in einer Wellness-App sein. Ein gemeinnütziges Forschungsziel ist hier nicht notwendig. Der EHDS-Vorschlag sieht vor, dass die staatlichen Stellen dann entscheiden, ob der jeweilige Forschungsantrag eine Anonymisierung zulässt.
Möglich wird der weniger eingeschränkte Datenzugriff durch Artikel 9 Datenschutz-Grundverordnung (DSGVO). Demzufolge sind Ausnahmen der Datennutzung in Sonderfällen wie dem EHDS erlaubt. Grundsätzlich sieht die DSGVO zum Beispiel eine Einwilligung durch Besitzer der sensiblen Daten vor. „Der EHDS wird aber zum Lex Specialis für die DSGVO und baut so ein riesiges Loch in den Schutzbereich“, sagt Penfrat. Obwohl die DSGVO bei allen Datenschutzfragen also als zu erfüllende Priorität betrachtet wird, geht ihr der EHDS als Sonderfall voraus.
Opt-Out bei Datenvergabe
Der zuständige Ausschuss im Europäischen Parlament für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit hat ein Opt-Out-Verfahren vorgeschlagen. Patienten stellen ihre Daten also automatisch zur Verfügung, haben aber die Möglichkeit, dies zu verneinen. „Viele wissen über dieses Verfahren nicht Bescheid und nutzen es dann auch nicht“, sagt der Digitalexperte.
Industrievertreter bemängeln rechtliche Probleme beim EHDS. In einem Positionspapier, das dem Handelsblatt vorliegt, wird ein leichteres Nutzungsrecht für Daten, die nicht unter Artikel 9 DSGVO fallen, vorgeschlagen. Damit sind Insidern zufolge keine Gesundheitsdaten, aber personenbezogene Daten wie der berufliche Status einer Person gemeint.
Einwilligung wird für Industrie zum Problem
Handlungsempfehlungen hat der Softwarekonzern SAP im Rahmen des Projektes CLINIC 5.1 „Daten als Wirtschaftsgut“ formuliert, das durch das Bundesministerium für Wirtschaft und Klimaschutz gefördert wird.
Ein Vorschlag aus dem Positionspapier lautet, eine einfachere Nutzung unter der Voraussetzung zu ermöglichen, dass IP-Adresse oder andere rückverfolgbare Maschinendaten aus Datensätzen ausgeklammert werden. Ebenso wird gefordert, die Voraussetzungen und die Bedeutung der Anonymisierung von Daten klarer zu definieren.
In komplexen Datenwertschöpfungsketten sollte es praktikablere Verantwortlichkeiten und Pflichten geben, sodass nicht alle Beteiligten eine Einwilligung der Patienten einholen müssten.
Der Konzern nennt eine Gesundheitsplattform, auf die Kliniken, Forschungseinrichtungen und Unternehmen zugreifen können, als Beispiel für einen Anwendungsfall. Hier sei die aktuelle Rechtsgrundlage unpraktikabel.
Direkt vom Startbildschirm zu Handelsblatt.com
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×