Positionspapier der Datenschutzkonferenz EDHS muss Schutzniveau der DSGVO gewährleisten

Die europäischen Pläne für den länderübergreifenden Gesundheitsdatenraum (EHDS) greifen laut den Datenschutzschützern von Bund und Ländern zu weit. Die geplanten Regelungen der EHDS-VO würden Betroffene nicht ausreichend schützen.

Gesundheitsdaten sollen künftig einfach von Leistungserbringern und Forschung genutzt werden können. Das sieht nicht nur die hiesige Digitalisierungsstrategie von Bundesgesundheitsminister Karl Lauterbach vor, auch auf europäischer Ebene wird an einer entsprechenden Lösung gearbeitet: dem European Health Data Space (EHDS). Verwunderlich ist das nicht, oftmals stehen für die Forschung nicht genug Daten bereit, gerade bei seltenen Erkrankungen.

Digital Health

Karl Lauterbach stellt die Digitalisierungsstrategie vor

Nun kommt das große Aber: Gerade bei Gesundheitsdaten handelt sich um sehr sensible personenbezogene Daten. Ihre Verwendung unterliegt demnach der DSGVO – davon hängt auch das Vertrauen der Patienten und Patientinnen in entsprechende Möglichkeiten ab. 2020 sagte die EU-Kommission daher in der Datenstrategie zu, dass auch beim EHDS die DSGVO sowie die Grundrechte nach Artikel 7, 8 der Charta der Grundrechte der Europäischen Union (GRCh) gewahrt werden. „In einer Gesellschaft, in der jeder Einzelne immer größere Datenmengen erzeugt, muss die Art und Weise, wie Daten gesammelt und verwendet werden, zuallererst den Interessen des Einzelnen entsprechen – ganz im Einklang mit den europäischen Werten, Grundrechten und Vorschriften“, hieß es in der Mitteilung des Kommission zur Datenstrategie.

Natürlich, die Rechte des Einzelnen sind nicht wichtiger als die Entwicklung einer lebensrettenden Therapie – und umgekehrt. Statt hier eine Gewichtung vorzunehmen, sollte es also darum gehen, beide Interessen in einen angemessenen Ausgleich zu bringen. Gerade die betroffenen Patienten und Patientinnen kommen beim aktuellen Entwurf des EHDS nicht gut weg. Laut Datenschutzkonferenz greift der aktuelle Verordnungsentwurf in diesem Punkt „deutlich zu kurz“.

Patienten brauchen Kontrolle über ihre Daten

Mit ihrer Kritik beziehen sich die Datenschützer vor allem auf die Bereitstellung der Gesundheitsdaten für die Sekundärnutzung, also für die Forschung. Der erste Entwurf des EHDS sah kein Widerspruchsrecht für Patienten und Patientinnen vor, ein Opt-out-Mechanismus steht zwar mittlerweile zur Diskussion, sicher ist aber nichts. Das sehen auch die Datenschützer so: „Hier ist bisher nicht erkennbar, ob und, wenn ja, inwieweit nach dem Regelungsentwurf den betroffenen überhaupt Rechte zustehen sollen“, monieren sie in der Stellungnahme.

Die Datenschutzkonferenz weist daher auch nochmal ausdrücklich darauf hin, dass „diejenigen, deren personenbezogene Daten den wissenschaftlichen und wirtschaftlichen Mehrwert zugrunde liegen, eingebunden und ihre Rechte aus der DSGVO auf einfache Weise und granular“ realisierbar sein müssen. Dafür ist es wichtig, dass betroffene Personen nicht nur „eine effektive Kontrolle über die Verarbeitung ihrer personenbezogenen Daten behalten“, es bedarf zudem „rechtsklarer Regelungen, die erkennen lassen, ob und in welchem Umfang die Verarbeitung personenbezogener Daten zulässig ist“.

Für die Datenschutzkonferenz ist dabei klar, dass das Schutzniveau der DSGVO auch weiterhin gewährleistet sein muss. Heißt, „die datenschutzrechtlichen Grundsätze“ müssen eingehalten werden – jener der Datenminimierung ebenso wie der Grundsatz der Speicherbegrenzung oder das Erfordernisprinzip. Hinzu kommen technische und organisatorische Maßnahmen wie eine Ende-zu-Ende-Verschlüsselung sowie die Pseudonymisierung beziehungsweise Anonymisierung der Daten.

Wie die Anonymisierung umgesetzt werden soll, ist jedoch bisher ungeklärt. Hier bedarf es laut der Stellungnahme „rechtsklarer Regelungen der Anforderungen an Methoden und Wirkungen der Anonymisierung“. Da zudem Risiken nie ganz auszuschließen seien, sollten laut den Datenschützern Methoden wie „Data Protection by Design“ und „Data Protection by Default“ zum Einsatz kommen. „Beispielsweise muss es den betroffenen Personen mittels digitaler Management-Systeme möglich sein, ihre elektronischen Gesundheitsdaten im EHDS unter angemessenen technischen und rechtlichen Bedingungen kontrollieren zu können“, erklären sie.

Datenkategorien begrenzen

Doch nicht nur der Schutz der Daten steht in der Kritik, auch in puncto Datenkategorien sieht die Datenschutzkonferenz Nachbesserungsbedarf: Laut Artikel 33 EHDS-VO-E müssen Dateninhaber beispielsweise Daten aus den elektronischen Patientenakten, Medizinprodukten und Wellness-Anwendungen sowie aus Biobanken bereitstellen. Ein buntes Potpourri an Informationen also, deren Richtigkeit und Qualität nicht immer gewährleistet sind. Besonders vor den Wellness-Anwendungen warnen die Datenschützer daher.

„Die Aufnahme von Daten zu gesundheitsrelevanten Faktoren, einschließlich sozialer, umweltbedingter und verhaltensbezogener Gesundheitsfaktoren, Lebensstil, Wohlbefinden und Verhaltensdaten, ist ebenfalls kritisch zu sehen“, heißt es weiter. Zudem greife die Bereitstellung von persönlichen Genomdaten „in den intimsten Bereich der betroffenen Person und ihrer Angehörigen“ ein und sei daher „von Grundrechts wegen“ zu streichen.

Die vollständige Stellungnahme der Datenschutzkonferenz können Sie hier einsehen:

(ID:49317471)