Die EU ist dabei, einen gemeinsamen europäischen Datenraum zu schaffen. Sie beginnt mit dem schwierigsten Teilbereich, den Gesundheitsdaten. Der Gesundheitssektor feiert das Projekt als lange überfälligen Innovationstreiber. Doch die Frist ist ambitioniert, besonders im unterdigitalisierten deutschen Gesundheitswesen, und datenschutzrechtlich sei noch „Polen offen“.
Warum die Europäische Kommission ausgerechnet mit Gesundheitsdaten beginnt, weiß Maria Bäcklund-Hassel vom Schwedischen eGesundheitsamt nicht. „Das ist der komplizierteste Bereich von allen“, sagt die Internationale Koordinatorin und Senior-Beraterin für eGesundheit. „Jeder Andere wäre im Vergleich ein Spaziergang gewesen.“
Bislang ist die EU-Verordnung über den europäischen Raum für Gesundheitsdaten (EHDS) noch ein Vorschlag. Einerseits geht es um die Primärnutzung von Gesundheitsdaten. Die Kommission rechnet damit, dass die Mitgliedsstaaten dafür bis 2025 die Plattform MyHealth@EU einführen. Darüber soll eine deutsche Patientin zum Beispiel ihr E-Rezept in Portugal einlösen können. Andererseits beabsichtigt die EU, das Teilen von Daten für deren Sekundärnutzung zu erleichtern. Die nationalen Zugangsstellen sollen sich an eine Plattform namens HealthData@EU anschließen. Über diese Plattform können Forschung, Wirtschaft und Politik dann europaweit auf Gesundheitsdaten zugreifen. „Die Daten verlassen nie das Land“, betont Bäcklund-Hassel. Das sei „sehr elegant.“
Frist zu knapp
Der Plan sei gut, aber die Ausführung habe ihre Tücken, gibt die Schwedin zu. Die Zeit für die Implementierung sei sehr kurz. Darin stimmt ihr Christoph Wagenblast aus dem deutschen Bundesministerium für Gesundheit (BMG) zu.
„Kein erster Vorschlag ist perfekt“, sagt Wagenblast. Aber der EHDS sei eine wesentliche Forderung der deutschen EU-Ratspräsidentschaft 2020 gewesen. „Wir wollen einen Mehrwert aus diesen Daten ziehen“, erklärt Wagenblast. Ein Datenkreislauf solle entstehen.
Sein Ministerium schätze in dieser Hinsicht den Fokus der Verordnung auf Verwendungszwecke. Laut dem EHDS-Verordnungsvorschlag soll jede natürliche oder juristische Person einen Antrag auf die Datenzugang stellen können. Hauptsache, sie beabsichtigt, die Daten zugunsten des Gemeinwohls zu nutzen.
Kritisch sieht das BMG laut Wagenblast jedoch die Datenkategorien, die der Vorschlag definiert. Sie seien „sehr weit“. Die EHDS-Verordnung definiert 15 Kategorien von Daten, die zu teilen seien. Darunter fallen Informationen aus der elektronischen Patientenakte, „Daten zu gesundheitsrelevanten Faktoren“, aber auch „gesundheitsbezogene Verwaltungsdaten“.
Rückenwind für die Digitalisierung
In Deutschland mangele teilweise die Infrastruktur, um überhaupt Teil des EHDS zu werden, kritisiert Dr. med. Markus Leyck Dieken. Er weiß, wovon er redet, denn als Geschäftsführer der Gematik GmbH ist er der Hauptverantwortliche für die Digitalisierung des Gesundheitswesens. „Der EHDS ist der Rückenwind, den wir in Deutschland brauchen, um aufzuholen“, urteilt Leyck Dieken. „Wenn wir zum Beispiel die elektronische Gesundheits-ID nicht einführen, können wir nicht am EHDS teilnehmen.“ In diesem Sinne verteile die EU-Verordnung „wunderbar Rechte an die Bürgerinnen und Bürger“. Er hofft, dass nun die Nutzbarkeit von Daten und digitalen Gesundheitslösungen mehr in den Fokus rückt als deren Schutz.
Dafür erntet er heftigen Widerspruch. Die elektronische Gesundheits-ID und die elektronische Patientenakte (ePA) seien nicht am Datenschutz gescheitert, sagt Peter Schaar, ehemaliger Bundesbeauftragter für den Datenschutz und nunmehr bei der Europäischen Akademie für Informationsfreiheit und Datenschutz e.V. (EAID). Das Problem läge viel mehr bei den vielen Shareholdern der Gematik mit ihren unterschiedlichen Interessen.
Schwerwiegende Webfehler
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) Prof. Dr. Thomas Petri sieht in der EHDS-Verordnung „einige schwerwiegende Webfehler“. Die Sekundärnutzung von Daten schaffe eine Art Vorratsdatenspeicherung von Gesundheitsdaten bei den nationalen Zugangsstellen. Denn wenn eine Stelle solche Daten einsehen will, dann muss der Datenbesitzer sie an die nationale Zugangsstelle übertragen. Dorthin sollen laut dem EHDS-Entwurf Klardaten übertragen werden. Diese blieben ohne Anonymisierung dort liegen, fürchtet Petri. Im Zweifel so lange, wie der ursprüngliche Antragsteller ein Einsichtsrecht hat. Das müsse nicht so sein, aber man könne den EHDS-Vorschlag so verstehen. Petri hält es dann nicht für ausgeschlossen, dass die Zugangsstelle die Daten dann auch an Stellen außerhalb des Gesundheitssektors geben müsse. Vielleicht sogar an Sicherheitsbehörden, sorgt sich der Datenschutzbeauftragte. „Dann ist datenschutzrechtlich Polen offen“, kommentiert er.
„Laut Datenschutz-Grundverordnung dürfen Klardaten nur so lange gespeichert werden, bis der Zweck erfüllt ist“, widerspricht Christoph Wagenblast aus dem Bundesgesundheitsminsterium (BMG) dem Datenschützer. Er widerspricht der Vision einer Gesundheitsdatenvorratsspeicherung: „Ein zentrales Patientenregister wird nicht geschaffen. Wir haben weiterhin ein dezentrales System.“
Opt Out
„Wenn Sie das so sehen, sorgen Sie dafür, dass das klargestellt wird“, fordert Petri daraufhin. Sein Vorschlag: „Außer Pandemiebekämpfung kommen alle wichtigen Zwecke mit einer Widerspruchslösung aus.“ In Bayern würden nur etwa zwei Prozent aller Krebspatientinnen und -patienten der Übertragung ihrer Gesundheitsdaten ins Krebsregister widersprechen. Und das Alpenbundesland gelte als renitent. Nach Petris Ansicht ist eine Widerspruchslösung für die Sekundärnutzung der Daten deshalb nicht nur datenschutzkonform, sondern auch effektiv.
In jedem Fall solle der Opt In bzw. Opt Out einfach sein, fordert Bäcklund-Hassel. Sie hat klare Vorstellungen: „Man sollte keinen Brief schreiben müssen.“
