• Gut zu sehen, was schon geschafft ist. Besser zu wissen was noch vor uns liegt.
  • Präzision, perfektes Timing und der Blick für das Wesentliche.
  • Im richtigen Moment das Richtige tun. Das unterscheidet die Besten von den Guten.
  • Ziele erreichen mit einem zuverlässigen Partner an der Seite.
E Health und Datenschutz

Rath Michael 1

Digital Health und Datenschutz

Die Digitalisierung wird auch den Gesundheitssektor nachhaltig verändern – in Forschung, Prävention und Therapie. Digitalisierung wird die strukturierte Nutzung der großen im Gesundheitssektor verfügbaren Datenmengen ermöglichen und kann so einen entscheidenden Beitrag zur Steigerung von Effizienz, Qualität und Sicherheit liefern. Da Gesundheitsdaten sensibel sind , muss das Datenschutzrecht mit den neuen technologischen Möglichkeiten Schritt halten, um den berechtigten Anliegen des Einzelnen nach hohen Datenschutzstandards zu entsprechen ohne die Chancen für die Optimierung von Forschungsprozessen und Versorgung zu verbauen.

Das Ende 2015 in Kraft getretene „E-Health-Gesetz“ soll eine digitale Kommunikation zwischen den behandelnden Ärzten und Einrichtungen ermöglichen und so den Austausch über Patientendaten vereinfachen. Dazu wurden insbesondere das SGB I, V und XI, aber auch weitere relevante Gesetze (wie etwa das BSI-Gesetz) überarbeitet und geändert. Diese neuen Vorgaben werden seitdem Schritt für Schritt umgesetzt. Die wichtigsten Neuerungen stehen aber erst noch bevor: Ab den 01.01.2018 besteht für Versicherte die Möglichkeit, notfallrelevante Informationen (z.B. Diagnosen, Medikation, Allergien, Unverträglichkeiten etc.) auf ihrer elektronischen Gesundheitskarte (eGK) eintragen zu lassen. Ab dem 01.01.2019 wird dann die elektronische Patientenakte eingeführt, in der wichtige elektronische Dokumente wie Arztbriefe, Medikationsplan, Notfalldatensatz, Impfausweis etc. aufbewahrt werden können. Um auf diese elektronische Akte zugreifen zu können, wird seitens der behandelnden Personen oder Einrichtungen ein eArztausweis benötigt. Die Akte liegt nicht beim Arzt bzw. dem Krankenhaus, sondern in der Hand des Patienten. Im günstigsten Fall kann durch diese Maßnahmen den Patienten effizienter geholfen und die Anzahl der Behandlungserfolge erhöht werden.

Smart und Big Data im Bereich Healthcare

Allein in Deutschland sollen 2017 knapp 400 Mio. € im Sektor „eHealth“ umgesetzt werden, bis 2020 soll der Markt weltweit auf ein Volumen von ca. 200 Milliarden € anwachsen (https://mednic.de/conhit-e-health-markt-macht-400-millionen-umsatz/3889). Die Wachstumsraten liegen teilweise im zweistelligen Prozentbereich. Das ruft selbstverständlich Anbieter von Smart und Big Data-Anwendungen auf den Plan. Insbesondere IBM mit seinem KI-System „Watson“ (https://www.ibm.com/watson/health/), aber auch die Google-Mutter Alphabet Inc. bzw. einige ihrer Tochterunternehmen (z.B. Verily Life Science) oder die Telekom-Tochter Telekom Healthcare Solutions sind in diesem Segment aktiv.

Durch die Nutzung von Smart und Big Data-Anwendungen sollen die potentiell riesigen Mengen an Gesundheitsdaten der Patienten erfasst, entsprechend verarbeitet und genutzt werden. Neben der Krankenhaus-Organisation wird sich durch die Datenmengen insbesondere ein Vorteil für die Forschung und daraus resultierend für die Behandlung der Patienten versprochen. So kann z. B. IBM Watson nicht nur alle Patientendaten für Anamnese, Differentialdiagnostik und Online-Services (z.B. Zweitmeinung und Patienteninformationen) auswerten und übersichtlich aufbereiten. Das „smarte“ System kann auch bereits die Plausibilität der Patientendaten überprüfen und die wahrscheinlichsten Diagnosen zu den aktuellen Beschwerden mit Berücksichtigung der Patientenhistorie vorschlagen. Es versteht sich von selbst, dass für ein „lernendes“ KI-System eine umfassende Verarbeitung von Daten nahezu zwingende Voraussetzung zur Verbesserung der Leistung ist.

eHealth und Datenschutz – ein „Labyrinth“

Bei all den medizinischen und geschäftlichen Chancen muss jedoch auch stets der Datenschutz bedacht werden. Denn Gesundheitsdaten (wie auch genetische und biometrische Daten) sind nach der ab 25.05.2018 vorrangig anzuwendenden Datenschutzgrundverordnung (DSGVO) gem. Art. 9 Abs. 1 DSGVO „besondere Kategorien personenbezogener Daten“, die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind. Dabei sind im Gesundheitsbereich, neben den genuinen Datenschutznormen der DSGVO, eine Vielzahl von anderen Normen zu beachten, so etwa das BDSG-neu, eIDAS-Verordnung sowie weitere Spezialregelungen. Durch diverse Öffnungsklauseln der DSGVO - für den Gesundheitsbereich ist insbesondere Art. 9 Abs. 4 DSGVO relevant, der zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht – ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen. Durch diese Komplexität ähnelt der Datenschutz im Gesundheitsbereich einem „Labyrinth“. Zu unterscheiden sind hierbei vornehmlich zwei Anwendungsfälle: Zum einen die Verwendung der elektronischen Gesundheitskarte/Patientenakte und der darin enthaltenen Informationen sowie zum anderen die Verwendung von Gesundheitsdaten in Smart und Big Data-Anwendungen.

Elektronische Gesundheitskarte und Elektronische Patientenakte

Die Nutzung der elektronischen Gesundheitskarte (inklusive der Notfalldaten) und der elektronischen Patientenakte für bestimmte Anwendungen richtet sich nach § 291a SGB V. Das Erheben, Verarbeiten und Nutzen von Daten ist danach für den Patienten/Versicherten freiwillig und darf nur mit dessen Einwilligung erfolgen. Die Einwilligung zu einer Anwendung erteilt der Versicherte dem entsprechenden Heilberufler schriftlich, ein Verweis darauf wird auf der elektronischen Gesundheitskarte gespeichert. Ob aber dann z. B. schon in der Abgabe der elektronischen Gesundheitskarte beim Arzt eine Einwilligung zu sehen ist, kann derzeit noch nicht abschließend beantwortet werden. Denn es ist unklar, ob diese Vorgehensweise den Aufsichtsbehörden und Gerichten ausreicht. Auch wenn der vorrangige Zweck des Gesetzes die Vereinfachung der Kommunikation und der Behandlung ist, so muss jedoch allein schon aufgrund der Formulierung des § 291a SGB V stets auch der Datenschutz beachtet werden. Aufgrund des hohen Stellenwerts der Gesundheitsdaten könnte hier somit ein sehr strenger Maßstab angelegt werden.

Die Einwilligung ist außerdem auf Anwendungen gem. § 291a Abs. 3 S. 1 SGB V beschränkt und kann nur durch einen eingeschränkten Personenkreis – Angehörige der Heilberufe und deren autorisierten Mitarbeitern – vorgenommen werden. § 291 a Abs. 8 SGB V legt dabei fest, dass niemand vom Inhaber der eGK verlangen darf, den Zugriff auf Daten der Fachanwendungen anderen als den im Gesetz genannten Personen oder zu anderen Zwecken zu gestatten. Auch Vereinbarungen mit dem Versicherten über Derartiges sind unzulässig. In der Folge ist es ausdrücklich verboten, Versicherte zu bevorzugen oder zu benachteiligen, falls sie einem Zugriff zugestimmt oder ihn verweigert haben.

Ohne eine Einwilligung dürfen Gesundheitsdaten nur dann verarbeitet werden, wenn eine der Privilegierungen des Art. 9 Abs. 2 DSGVO vorliegt. Hier sind insbesondere lit. h) und lit. i) zu nennen, die für Zwecke der Gesundheitsvorsorge und -behandlung sowie der öffentlichen Gesundheit eine Befreiung vom Einwilligungserfordernis vorsehen.

Smart und Big Data im eHealth-Bereich – Ist die Einwilligung Pflicht?

Davon zu unterscheiden ist die Weitergabe von Gesundheitsdaten im Rahmen von Smart und Big Data-Anwendungen. Aufgrund der Sensibilität der Daten ist nach Art. 9 Abs. 1 EU-DSGVO auch hier stets die Einwilligung des Patienten/Versicherten erforderlich. Dies betrifft z. B. die bereits dargestellte Arbeitsweise von IBM Watson hinsichtlich der Analyse von Gesundheitsdaten und entsprechende Diagnosevorschläge. Ärzte, Krankenhäuser und andere Heilberufler, die sich solcher KI-Systemen bedienen, müssen also grundsätzlich den Patienten/Versicherten vor der Datenverarbeitung über diese informieren und sein Einverständnis einholen. Darüber hinaus müssen, falls die Daten an Stellen außerhalb er EU/EWR übermittelt werden, die Regelungen zur Auftragsdatenverarbeitung (https://www.computerwoche.de/a/grenzueberschreitender-datenverkehr-unter-der-lupe,3327003) beachtet werden. Ebenso dürfte aufgrund der Verarbeitung „sensibler“ Daten und dem Einsatz neuer Technologien in Form von KI-Systemen stets eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO erforderlich sein (https://www.computerwoche.de/a/das-muessen-sie-noch-zur-dsgvo-wissen,3331262).

Ausweg Forschungsprivileg?

Dieser Weg zur Verbesserung medizinischer Anwendungen erscheint aufgrund der datenschutzrechtlichen Regelungen jedoch mühsam und bei der Menge an Patienten/Versicherten nicht gangbar. Eine Lösung könnte das sogenannte „Forschungsprivileg“ darstellen: durch die Öffnungsklausel des Art. 9 Abs. 4 EU-DSGVO in Verbindung mit §§ 22, 27 BDSG-neu (https://www.computerwoche.de/a/das-bundesdatenschutzgesetz-wird-europaeisiert,3330647) kann unter Umständen das Erfordernis der Einwilligung entfallen. Grundvoraussetzung für die Datenverarbeitung ist jedoch die Gewährleistung eines hohen Schutzniveaus durch die Umsetzung der in § 22 BDSG-neu genannten Maßnahmen. Eine Einwilligungsfreiheit kann dann nach § 27 BDSG-neu vorliegen, wenn wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke verfolgt werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Außerdem müssen die Daten anonymisiert werden, falls dies nicht den Forschungszweck beeinträchtigt.

Das bedeutet, dass die Datenverarbeitung für Forschungsprojekte grundsätzlich einer Abwägung zu unterziehen ist. Relevant ist dies insbesondere für die zahlreichen neuen Plattformen, auf denen Daten zu wissenschaftlichen Zwecken geteilt werden. Beispielhaft genannt seien hier nur die bereits 2014 gestartete Transparenzinitiative der pharmazeutischen Industrie, Clinical Study Data Request, oder das OncoTrack Project im Rahmen der Innovative Medicines Initiative als paneuropäisches Projekt zur Identifizierung relevanter genetischer Biomarker. Nahezu ein Terabyte medizinischer Daten wird hier voraussichtlich per Studienteilnehmer generiert werden.

Für die klinische Forschung wird allerdings auch künftig die Einwilligung das Mittel der Wahl sein, zumal hier vorrangig die Bestimmungen der EU-Verordnung Nr. 536/2014 gelten. Solche Einwilligungen könnten allerdings auch weit ausgestaltet werden und zukünftige Forschungszwecke einbeziehen.

Ob das Forschungsprivileg jedoch auch auf die Sammlung von Daten zur Verbesserung der KI-Systeme selbst (Stichworte „Deep-Learning“ und „Machine-Learning“) angewendet werden kann, ist zweifelhaft. Zwar könnte damit argumentiert werden, dass KI-Systeme ihrerseits ein Forschungsgebiet darstellen bzw. statistische Zwecke erfüllen können. Aufgrund der Absätze 2 und 3 des Art. 9 DSGVO erscheint dies aber zweifelhaft, gerade wenn Gesundheitsdaten verarbeitet werden und bei den Betreibern von KI-Anwendungen kein medizinisches, dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegendes Fachpersonal vorhanden ist. Es bleibt somit festzuhalten, dass Unternehmen, die Gesundheitsdaten mit Hilfe von Smart und Big Data-Anwendungen verarbeiten, grundsätzlich nur mit der Einwilligung der jeweiligen Patienten/Versicherten auf der sicheren Seite sind. Darüber hinaus dürfte lediglich die Verarbeitung von für ein (medizinisches) Forschungsprojekt relevanten Gesundheitsdaten einwilligungsfrei sein aufgrund des Forschungsprivilegs.

Vielfältige datenschutzrechtliche Fragestellungen ergeben sich zudem aus der Nutzung von Echtzeitdaten, sei es in der klinischen Forschung oder auch im Rahmen der Nutzenbewertung pharmazeutischer und medizintechnischer Produkte oder der Pharmakovigilanz. Viele dieser Daten werden heute über sogenannte Wearable Devices generiert, die überwiegend noch als Lifestyle-Produkt zum Einsatz kommen. Zunehmend werden solche digitalen Biomarker aber auch gezielt für medizinische Zwecke über Apps oder Sensorik gesammelt. Die Validierung dieser Daten, die Frage wie ihre klinische Signifikanz für Zulassung und Nutzenbewertung belegt und welche datenschutzrechtlichen Standards zu beachten sind, wird sich in der nahen Zukunft vielfach nur Schritt für Schritt im engen Dialog mit den Zulassungs- und Aufsichtsbehörden klären lassen.

Dr. Michael Rath
Partner
michael.rath(at)luther-lawfirm.com
Telefon +49 221 9937 25795