Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, hat am 20.03.2024 seinen 32. Tätigkeitsbericht übergeben. Hierin fasst er die Arbeit der Behörde im vergangenen Jahr zusammen und arbeitet wichtige Entwicklungen und Herausforderungen im Datenschutz heraus. (mehr …)
Das EU-Parlament und der Rat der EU haben am 15.03.2024 über den Europäischen Gesundheitsdatenraums (European Health Data Space, EHDS) eine Einigung erzielt. Dieser soll den Zugang zu persönlichen Gesundheitsdaten erleichtern und deren sichere Weitergabe im öffentlichen Interesse fördern soll. Dies soll die Patientenrechte stärken und die medizinische Forschung unterstützen. (mehr …)
Am 23.02.2024 hat in Bonn eine Medizindaten-Tagung des neuen Zentrums für Medizinische Datennutzbarkeit und Translation (ZMDT) stattgefunden. Die Nutzung von Gesundheitsdaten zur Erforschung von Krankheiten und zur Verbesserung von Therapien ist von enormer Bedeutung. Doch gleichzeitig birgt sie auch Risiken im Bereich des Datenschutzes. Zu diesem Thema haben sich auf der Veranstaltung verschiedene Experten geäußert. (mehr …)
Die Digitalisierung im Gesundheitswesen soll voranschreiten. Nun beschließt auch der Bundesrat am 02.02.2024 mit dem Gesetz zur beschleunigten Digitalisierung im Gesundheitswesen die neuen digitalen Gesundheitsgesetze. (mehr …)
Mit dem neuen Jahr wollen viele ihren Vorsatz zu mehr Bewegung umsetzen. Dafür werden mittlerweile immer häufiger digitale Geräte verwendet, um personalisiert die Aktivität und Gesundheit zu tracken und zu motivieren. Diesen Trend verstärken auch die neu verabschiedeten Digitalgesetze, indem Krankenkassen die Nutzung solcher Anwendungen teilweise fördern. In einer Mitteilung vom 04.01.2024 warnt der TÜV allerdings vor solchen smarten Fitnessgeräten. Laut ihm können solche Gadgets, unter die z. B. Wearables oder intelligente Körperwaagen fallen, ein unerwünschtes Einfallstor für Cyberkriminelle darstellen. (mehr …)
Kurz vor Weihnachten hat der Europäische Gerichtshof (EuGH) in einem Urteil Stellung zum Gesundheitsdatenschutz bezogen. Zuvor hatte er bereits wegweisende Entscheidungen zum Schufa-Scoring und den Verschuldensanforderungen bei der Bußgelderteilung erlassen. Mit Urteil vom 21.12.2023 (C-667/21) hat der EuGH sich nun mit dem Gesundheitsdatenschutz im Arbeitsverhältnis auseinandergesetzt. (mehr …)
Am 14.12.2023 hat der Deutsche Bundestag zwei wegweisende Digitalgesetze für die Gesundheitsversorgung verabschiedet. Das Digital-Gesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG) markieren einen entscheidenden Schritt in Richtung eines modernen and angepassten Gesundheitssystems. Ziel ist es, durch digitale Innovationen den Versorgungsalltag zu verbessern und die Forschungsmöglichkeiten in Deutschland zu stärken. (mehr …)
Nachdem es sich in den letzten Wochen immer wieder um Gesundheitsdatenschutz gedreht hat, äußert sich auch das Europäische Parlament (EU-Parlament). Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und der Ausschuss für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit (ENVI) des EU-Parlaments drücken in einer Pressemitteilung vom 28.11.2023 seinen Wunsch nach einem europäischen Gesundheitsdatenraum (European Health Data Space (EHDS)) aus. Das geschieht parallel zu den deutschen Bestrebungen nach der E-Patientenakte und den Forderungen der Datenschutzkonferenz (DSK) für einheitliche medizinische Register und mehr Datennutzung zu Forschungszwecken.
Primärnutzung: Steigerung des individuellen Gesundheitsschutzes
Mitglieder des Parlaments haben mit überragender Mehrheit einen Entwurf angenommen, der es den Bürgern ermöglichen soll, ihre persönlichen Gesundheitsdaten sicher und grenzüberschreitend nutzen zu können. Zu den betroffenen Daten sollen Rezepte, die Krankheitsgeschichte, Bildmaterial oder Laborergebnisse gehören. Für die Datennutzung soll über die MyHealth@EU-Plattform ein Zugang eingerichtet werden. Im Gegenzug sollen effektive Sicherheitsmechanismen zum Schutz sensibler personenbezogener Daten geschaffen werden.
Sekundärnutzung: Datenweitergabe für das Gemeinwohl
Diese momentane Entwicklung verspräche auch eine verbesserte Portabilität von Gesundheitsdaten und ein sicheres Teilen für „öffentliche Interessen im Gesundheitsbereich“. Das neue Gesundheitssystem soll es nämlich ermöglichen, bereits gesammelte Daten weiterzugeben. Hiervon umfasste Daten könnten Informationen zu Krankheitserregern, Erstattungsansprüche oder genetische Daten sein. Zum „öffentlichen Interesse im Gesundheitsbereich“ sollen etwa Forschungsförderung, Innovation, Politikgestaltung, Bildung, Patientensicherheit und regulatorische Zwecke gehören.
Andererseits sollen strenge Datenschutzbestimmungen festgelegt werden, um sicherzustellen, dass sensible Daten nur unter klaren Bedingungen und für definierte Zwecke geteilt werden dürfen. Deswegen soll die Verwendung für Werbung oder den Ausschluss von Versicherungsleistungen verboten sein. Für die Weitergabe und Anonymisierung oder Pseudonymisierung von Daten wäre eine staatliche Stelle zuständig. Für besonders sensible Daten soll es für die Sekundärnutzung zudem ein Einwilligungserfordernis geben und einen Widerspruchsmechanismus für sonstige Daten. Außerdem sollen Bürger das Recht erhalten, Entscheidungen von Stellen zur Gesundheitsdatenzugriff anzufechten.
Fazit
Der Wunsch nach einem europäischen Gesundheitsdatenraum ist bis zu einem gewissen Punkt nachvollziehbar. Zweifellos verspricht das neue System einen grenzüberschreitenden Fortschritt in der Patientenversorgung und in der medizinischen Forschung.
Dennoch sind einige kritische Gedanken zu berücksichtigen, insbesondere im Hinblick auf die Privatsphäre der Patienten. Zum einen stellt sich die Frage, ob die Primärnutzung tatsächlich einen signifikanten Vorteil für die Patienten darstellt. Auch jetzt schon ist es dem Individuum möglich seine Gesundheitsdaten mit Ärzten zu teilen, wenn auch vielleicht nicht ganz so komfortabel. Zudem kommt die Vielfalt der in der Pressemitteilung erwähnten Daten und potenziellen Nutzungszwecke. Dies birgt Missbrauchspotential in sich. Auch die erwähnte Widerspruchslösung bedeutet im Umkehrschluss eine pauschale Weitergabe von Daten. Im Übrigen könnte hiermit – genau wie mit dem neuen Data Act – eine weitere kritische Schwelle im Umgang mit personenbezogenen Daten überschritten werden. Ein zu leichtfertiger Umgang mit diesen sensiblen Informationen könnte langfristig das Vertrauen der Öffentlichkeit in solche Systeme untergraben.
Insgesamt müssen die Einführung des EHDS mit einem kritischen Auge betrachten und sichergestellt werden, dass Datenschutz und individuelle Rechte weiterhin im Mittelpunkt stehen. Die Potenziale dieser Initiative sind enorm, aber es muss ein Ausgleich mit der Privatsphäre der Patienten gewährleistet sein. Nun bleibt zunächst abzuwarten, wie die Vollversammlung des Europäischen Parlaments im Dezember über den Entwurf abstimmen wird.
Am 22. und 23. November 2023 hat in Lübeck die 106. Tagung der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) stattgefunden. Bei der DSK tauschten sich Experten unteranderem zum Datenschutz in medizinischen Registern aus. In diesem Zusammenhang hat die DSK eine Entschließung zu „Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register“ formuliert. Im Übrigen veröffentlichte sie auch eine Entschließung zum Datenschutz in der Gesundheitsforschung.
Vielfalt medizinischer Register in Deutschland
Hintergrund der Debatte ist, dass die Landschaft medizinischer Register in Deutschland äußerst vielfältig mit verschiedenen Strukturen und Arten ist. Deswegen stützen sich die meisten bezüglich der Datenverarbeitung auf Einwilligungen, während nur wenige auf eine gesetzliche Grundlage zurückzuführen sind. Die Zwecke der Register sind ebenso heterogen und reichen von Forschungsvorhaben zu Patienteninitiativen.
Hier setzt die Forderung der Bundesregierung nach einer einheitlichen gesetzlichen Regulierung in Form des Registergesetzes an. Durch allgemeine Regeln könnte man Daten besser und umfassender im öffentlichen Interesse verwenden, um mehr Struktur und Qualität zu gewährleisten. Laut der DSK ist hierbei allerdings stets ein hohes Datenschutzniveau zu gewährleisten. Zu beachten sei insbesondere Art. 9, 25, 32 und ggf. 89 Abs. 1 der Datenschutzgrundverordnung (DSGVO).
Die Rolle der Zentralstelle für medizinische Register
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden befürwortet die Schaffung einer Zentralstelle für medizinische Register. Diese soll nicht nur ein Registerverzeichnis führen, sondern auch für die Auditierung und Zuordnung der einzelnen Gesundheitsregister je nach Qualitätsstufe verantwortlich sein. Nach Ansicht der DSK soll die Einteilung in die verschiedenen Kategorien „die Datenqualität, die Datenstruktur und die Standards bei der Verarbeitung“ beachten. Die Kompetenzen der Zentralstelle sollen entscheidend für die Weiterverarbeitung der in den Registern gespeicherten Daten sein. Deswegen fordert die DSK, die Stelle als unabhängige Körperschaft des öffentlichen Rechts einzurichten.
Konkret geforderte Rahmenbedingungen aus Datenschutzsicht:
Die DSK schließt sich der Bundesregierung mit dem Wunsch nach mehr Struktur und Einheit bei medizinischen Registern an. Um dies zu erreichen, hat sie in Ihrem Entschluss eine Liste von Rahmenbedingungen veröffentlicht, die wir im folgendem zusammengefasst haben.
Rechtsgrundlage der Datenerhebung: Werden personenbezogene Daten an das Register übertragen, die nicht hierfür erhoben wurden, bedürfe es für diese Zweckänderung einer klaren gesetzlichen Regelung gemäß Art. 6 Abs. 4 DSGVO. Die konkreten Aufbewahrungs- und Löschfristen müssten auf eindeutigen und verhältnismäßigen Regelungen unter Einhaltung der Grundsätze der Datenminimierung und Speicherbegrenzung beruhen.
Voraussetzungen für die Datenverarbeitung: Jedenfalls sei eine medizinisch-fachliche Erforderlichkeit für einen der in Art. 9 Abs. 2-4 DSGVO genannten Zwecke und bei Forschungszwecken ein allgemeines, voraussetzungsloses Widerspruchsrecht“ notwendig. Im Übrigen müssten die Öffnungsklausel nach Art. 9 Abs. 2 DSGVO und eventuell Art. 89 Abs. 1 DSGVO eingehalten werden. Wolle man für Forschungszwecke Daten verknüpfen, sei dies nur anlassbezogen und temporär zulässig. Nicht zu vergessen sei auch das Grundrecht auf Datenschutz. Die Rechtmäßigkeit der Datenverarbeitung müsse zudem differenziert und abhängig je nach dem konkreten Verarbeitungszweck bewertet werden. Hinsichtlich etwaiger Identifikationskennzeichen müsse darauf geachtet werden, dass bereichsspezifisch unterschiedliche und nicht rückrechenbare Bezeichnungen verwendet werden, um eine nachhaltige Pseudonymisierung sicherzustellen.
Technisch-organisatorische Maßnahmen: Weiterhin wünscht die DSK eine Standardisierung und Harmonisierung der Regeln zu technisch-organisatorischen Maßnahmen abhängig vom spezifischen Risiko. Hierzu solle auch die Anforderung an eine dezentrale Speicherung und Verarbeitung zählen. Bei einem sehr hohen Risiko empfiehlt die DSK zudem eine gesetzliche Datenschutzfolgenabschätzung (DSFA). Man solle sich zusätzlich auch für ein digitales Einwilligungsmanagement und eine digitale Ausübung der Betroffenenrechte einsetzen.
Zulassungsverfahren und unabhängige Vertrauensstellen: Zudem hält es die DSK für sinnvoll für „qualitätsgesicherte Register“ ein Zulassungsverfahrens einzuführen, um ihnen bestimmten Datenverarbeitungsbefugnisse zu gewähren. Daneben solle eine unabhängiger Vertrauensstellen erschaffen werden, die für die Anonymisierung und Kennzeichnung zuständig ist. In diesem Zusammenhang sollte auch ein System für die kontinuierliche Überprüfung von Qualitätsstandards und der Einhaltung des Schutzniveaus implementiert werden.
Fazit
Die gesetzliche Regulierung von Gesundheitsregistern ist notwendig, um Struktur und Qualität zu schaffen. Doch dabei darf Datenschutz nicht aus dem Blick verloren werden, weshalb die DSK verständlicherweise auch in medizinischen Registern dessen Beachtung fordert. Deswegen werden klare Vorgaben zu Zweckänderungen, Aufbewahrung, Datenübermittlung und technisch-organisatorischen Maßnahmen betont. Daher ist eine ausbalancierte Regulierung, die den Schutz der Gesundheitsdaten gewährleistet und gleichzeitig die wissenschaftliche Forschung ermöglicht, von entscheidender Bedeutung. Der Weg zu qualitätsgesicherten und transparenten medizinischen Registern erfordert eine sorgfältige Abwägung der Interessen und eine enge Zusammenarbeit zwischen Datenschutzbehörden, Registern und der Zentralstelle. Ob die Gesetzgebung diese Aufgabe meistern wird, bleibt abzuwarten.
Am 22. und 23. November 2023 hat in Lübeck die 106. Tagung der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) stattgefunden. Bei der DSK haben sich Datenschutzexperten unteranderem zum Datenschutz in der Gesundheitsforschung ausgetauscht. Hierzu hat die DSK eine Entschließung unter dem Titel „Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“ veröffentlicht. Morgen berichten wir zudem über eine weitere Entschließung der DSK über „Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register“.
Hintergrund: Heterogene Datenschutzanforderungen als Forschungshemmnis
Hintergrund der Entschließung ist, dass sich medizinische Forschungsprojekte oft über Bundeslandesgrenzen hinweg erstrecken und verschiedene Forschungseinrichtungen aus unterschiedlichen Ländern involvieren. Da je nach Standort allerdings andere datenschutzrechtliche Regeln gelten, wird die Forschungsarbeit erschwert. Im Übrigen entstehen so auch datenschutzrechtliche Nachteile für betroffenen Personen. Die DSK wendet sich deswegen and Bundes- und Landesgesetzgeber. Sie fordert aufeinander abgestimmte gesetzliche Bestimmungen mit einem effektivem Datenschutzstandard, der länderübergreifende Forschung erleichtert.
Gesundheitsdatennutzungsgesetz (GDNG) – Ein erster Schritt?
Das Bundesgesundheitsministerium könnte mit dem Gesetzentwurf eines Gesundheitsdatennutzungsgesetzes (GDNG) zu einer einheitlichen Rechtsgrundlagen für die Datenweitergabe zu Forschungszwecken und zur Förderung der Patientensicherheit beitragen. Die DSK äußert jedoch Zweifel an der Rechtssicherheit der Neuerung. Es bestünden Unsicherheiten bezüglich des Verhältnisses zu den Landeskrankenhausgesetzen, da eine Auseinandersetzung mit der Gesetzgebungskompetenz der Länder im Krankenhausbereich fehle.
Notwendigkeit konkreter Garantien und Maßnahmen
Die DSK betont den Grundsatz: „Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten zu Forschungszwecken genutzt werden.“. Deswegen müsse man möglichst genaue Regelungen schaffen, um eine weitreichende Datennutzung zu ermöglichen. Der Schutzumfang solle dabei abhängig von der jeweiligen Datenart festgelegt werden. Laut der DSK muss man, wenn eine hinreichende Anonymisierung nicht sichergestellt werden kann (z. B. bei Röntgenbildern), durch geeignete Vorschriften – etwa Form besonderer technischer und organisatorischer Maßnahmen – einen angemessenen Schutzumfang gewährleisten.
Vorschlag spezifischer Maßnahmen
Die DSK schlägt verschiedene Maßnahmen vor, um einen angemessenen Schutz der Grundrechte und Interessen der betroffenen Personen zu gewährleisten. Dazu gehören Vorgaben für die Betrachtungstiefe und Aufgabenzuweisungen für die Datenschutz-Folgenabschätzungen. Weiterhin müsse man zusätzlich zu Art. 15 ff. Datenschutzgrundverordnung (DSGVO) Betroffenenrechte, wie spezifische Widerspruchsrechte oder einen Anspruch auf die Vernichtung von Bio-Proben, implementieren. Auch die Festlegung angemessener Sperrfristen zur Ausübung der Betroffenenrechte könne helfen. Zudem solle man eine unabhängige Treuhandstellen zur Verschlüsselung einbinden sowie gesonderte Einrichtungen etablieren. Zuletzt sei an Verschwiegenheitspflichten, Zeugnisverweigerungsrechten und Ausgestaltungen zur Datenminimierung zu denken. Diese Aufzählung sei nicht abschließend. Vielmehr müsse die Legislative die vollumfängliche Ausgestaltung dieser Regelungen übernehmen.
Kernbereichsschutz
Die DSK hebt weiter hervor, dass bestimmte Gesundheitsdaten je nach den Gegebenheiten dem absoluten Schutz des Kernbereichs privater Lebensgestaltung zugeordnet werden müssen. Infolgedessen dürfe auch ein Forschungsinstitut solche medizinischen personenbezogenen Daten nicht für wissenschaftliche Zwecke verwenden.
Uneingeschränkte Datenschutzaufsicht
Zuletzt sei eine uneingeschränkte Datenschutzaufsicht unabdingbar für den notwendigen Schutz betroffener Personen. Einschränkungen der Befugnisse der Datenschutzbehörden müssten aufgehoben werden, um eine effektive Überwachung zu gewährleisten.
Fazit
Die Forderungen der DSK sind klar: Ein einheitlicher Datenschutz in der länderübergreifenden Gesundheitsforschung ist dringend erforderlich. Der vorgeschlagene GDNG-Gesetzentwurf ist ein erster Schritt, doch es bedarf weiterer präziser Regelungen und Anpassungen, um einen effektiven Datenschutz zu gewährleisten. In diesem Zusammenhang haben die Datenschutzbehörden ihre Unterstützung angeboten, um die Gesetzgeber bei der Schaffung eines hohen Datenschutzniveaus in der medizinischen Forschung zu begleiten.
datenschutzticker.de -
Blog zu Datenschutz und Datensicherheit der KINAST Rechtsanwälte.
Weitere Informationen über unsere Kanzlei finden Sie unter www.kinast.eu.
