Anonymisierung von Gesundheitsdaten im EHDS

Europäischer Gesundheitsdatenraum Anonymisierung von Gesundheitsdaten im EHDS

30.08.2023 Ein Gastbeitrag von Simone Rosenthal und Maximilian Wagner Lesedauer: 5 min

Die vorgeschlagenen Regelungen zum EHDS bewerten unsere Gastautoren als zu ungenau, was die rechtssichere Anonymisierung der Daten angeht – welche Fragen noch zu klären sind und wie die technische Umsetzung aussehen kann.

Durch Randomisierung und Generalisierung können Gesundheitsdaten anonymisiert werden
(© tippapatt – stock.adobe.com)

Im Mai 2022 veröffentlichte die Europäische Kommission den Vorschlag einer Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (European Health Data Space, EHDS). Die geplante Verordnung verfolgt vor allem zwei Ziele: Einerseits verspricht sie Patienten mehr Kontrolle über ihre Gesundheitsdaten. Andererseits soll der Entwurf das Potential der bisher nur schwer zugänglichen und kaum nutzbaren Daten für Forschung und Versorgung freisetzen. Dieses Ziel stellt die Inhaber elektronischer Gesundheitsdaten vor besondere Herausforderungen, denn diese Daten sind besonders sensibel. Sie enthalten oft intime Details über die körperliche und geistige Verfassung einer Person. Ihre Verarbeitung ist daher datenschutzrechtlich verboten und nur unter bestimmten engen Voraussetzungen erlaubt.

Folgerichtig verpflichtet der Entwurf zur Schaffung eines EHDS die Inhaber elektronischer Gesundheitsdaten nicht nur dazu, Daten in großem Umfang zugänglich zu machen – unter bestimmten Umständen sollen sie Gesundheitsdaten auch anonymisieren, pseudonymisieren, in einer sicheren Verarbeitungsumgebung bereitstellen oder sonst Maßnahmen zu ihrem Schutz ergreifen.

Adressaten der geplanten Verordnung

Der aktuelle Verordnungsentwurf zur Schaffung eines EHDS basiert auf der Unterscheidung zwischen der Primärnutzung und der Sekundärnutzung elektronischer Gesundheitsdaten. Damit ist gemeint, dass Gesundheitsdaten entweder im Rahmen der medizinischen oder psychologischen Versorgung genutzt oder zu sonstigen Zwecken verarbeitet werden können. Ausgehend von diesen beiden Möglichkeiten unterscheidet der Entwurf weiter zwischen Inhabern, Primärnutzern und Sekundärnutzern elektronischer Gesundheitsdaten. Datennutzer wie Ärzte oder Forscher sollen künftig einen Antrag auf Datenzugang stellen können. Dateninhaber wie Krankenhäuser oder Krankenkassen sollen in Zukunft dazu verpflichtet werden können, die beantragten Daten sicher bereitzustellen.

Darüber hinaus richtet sich der Entwurf aber auch an die europäische Öffentlichkeit und an die einzelnen EU-Mitgliedstaaten. Unionsbürgern soll beispielsweise ermöglicht werden, überall in der EU auf ihre elektronische Patientenakte zuzugreifen. Zu diesem Zweck sollen die Mitgliedstaaten ihrerseits dazu verpflichtet werden, die nötige Infrastruktur bereitzustellen.

Welche Möglichkeiten gibt es, Daten unkenntlich zu machen?

Wer elektronische Gesundheitsdaten beispielsweise für die Forschung nutzen möchte, soll künftig einen Antrag bei einer sogenannten Zugangsstelle für Gesundheitsdaten stellen können. Der Verordnungsentwurf sieht aber auch die Möglichkeit vor, sich direkt an die Person oder Organisation zu wenden, die die begehrten Daten verwaltet. In diesem Fall muss der Inhaber die Daten sicher bereitstellen, die Daten also nicht nur zugänglich machen, sondern besondere Vorkehrungen zu ihrem Schutz treffen. Dazu zählt der Verordnungsentwurf ausdrücklich auch die Anonymisierung oder Pseudonymisierung der Daten. Die Daten sind also so zu bearbeiten, dass nicht mehr oder nur mit Zusatzwissen erkennbar ist, auf welche Person sie sich beziehen. Kann der Personenbezug nicht (mehr) mit verhältnismäßigem Aufwand hergestellt werden, handelt es sich um anonyme bzw. anonymisierte Daten. Kann ein Datum unter Hinzuziehung zusätzlicher Informationen (weiter) einer Person zugeordnet werden, handelt es sich um pseudonyme Daten.

Auf der nächsten Seite: Technische Möglichkeiten der Anonymisierung

Im Wesentlichen lassen sich zwei Techniken zur Aufhebung des Personenbezugs voneinander unterscheiden: die Randomisierung und die Generalisierung. Bei der Randomisierung werden Merkmalswerte zufällig verändert, um die Möglichkeit einer Kombination zu verringern. So kann ein Datum zum Beispiel durch die zufällige Addition oder Subtraktion von bis zu sieben Tagen randomisiert werden. Bei der Generalisierung werden Daten vergröbert dargestellt. So kann statt des genauen Datums ein ungefährer Zeitraum angegeben werden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

In der Praxis werden oft mehrere Techniken nacheinander und nebeneinander angewendet, um ein bestmögliches Ergebnis zu erzielen. Beispielsweise könnte der Geburtstag einer Person erst randomisiert und dann so generalisiert werden, dass nicht mehr eindeutig erkennbar ist, ob die Person im Sommer oder im Herbst geboren ist. Die Herausforderung liegt darin, den Bezug zu einer Person zu entfernen, ohne die Aussagekraft und Qualität der Daten zu beeinträchtigen. Eine zu weit getriebene Anonymisierung kann die Daten nutzlos machen, eine nicht ordnungsgemäß durchgeführte Anonymisierung Bußgelder und zivilrechtliche Schadensersatzansprüche nach sich ziehen.

Welchen rechtlichen Anforderungen muss eine zuverlässige Anonymisierung genügen?

Welchen rechtlichen Anforderungen eine zuverlässige Anonymisierung genügen muss, ist noch immer nicht abschließend geklärt. Durchweg fehlt es an genauen und verbindlichen Vorgaben, wie ein Personenbezug rechtssicher zu entfernen ist. Inzwischen liegen diverse Stellungnahmen und Leitlinien deutscher und europäischer Aufsichtsbehörden sowie wegweisende Urteile des Europäischen Gerichtshofs und des Gerichts der Europäischen Union vor, die sich auch zu Anonymisierung und Pseudonymisierung verhalten. Allerdings ist die Unkenntlichmachung personenbezogener Daten nach wie vor durch Rechtsunsicherheit geprägt. Unklar ist beispielsweise weiterhin, auf wen im Hinblick auf die Identifizierbarkeit einer Person abzustellen ist. Reicht es für die Bejahung des Personenbezuges aus, dass irgendjemand eine Person identifizieren kann? Oder genügt es für die Annahme relativer Anonymität, dass gerade die datenverarbeitende Stelle den Personenbezug nicht herstellen kann? Umstritten ist auch, ob dabei ein subjektiver oder objektiver Maßstab angelegt werden muss. Kann es eine Rolle spielen, dass die datenverarbeitende Stelle technisch besonders unbedarft ist? Oder muss ein einheitlicher Standard gelten? Wie ist bei der Anonymisierung von Bilddaten wie Röntgen-, MRT- oder CT-Aufnahmen zu verfahren? Handelt es sich überhaupt um eine Verarbeitungstätigkeit im datenschutzrechtlichen Sinne und wie lässt sich diese Verarbeitung gegebenenfalls rechtfertigen? Der Aufwand und das Risiko einer Anonymisierung oder Pseudonymisierung richtet sich nach den Umständen des Einzelfalls und danach, wie diese und ähnliche Fragen beantwortet werden.

Der EHDS hat das Potential, das Gesundheitswesen zu revolutionieren. Besonders die Inhaber großer Datenmengen sollten sich umfassend mit den geplanten Regelungen vertraut machen und sich frühzeitig auf die Erfüllung umfassender Bereitstellungspflichten einstellen. Dazu kann es notwendig sein, eine Dateninventur durchzuführen und vorhandene oder geplante (Anonymisierungs-)Prozesse – zum Beispiel im Rahmen einer Datenschutz-Folgenabschätzung – rechtlich zu evaluieren. Die Erfahrung mit der DSGVO zeigt, dass Risiken sich insbesondere dann verwirklichen, wenn Anpassungen zu spät erfolgen.

Simone Rosenthal
ist Gründungspartnerin der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das IT-, Datenschutz- sowie Vertragsrecht.

Bildquelle: Schürmann Rosenthal Dreyer Rechtsanwälte

Maximilian Wagner ist Rechtsanwalt der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das Datenschutz- und IT-Recht.

(ID:49673270)