Elektronische Patientenakte: "CCC machte zu Recht auf Probleme aufmerksam"

Der European Health Data Space (EHDS) ist nicht mehr nur eine Zukunftsvision der EU, sondern verändert bereits den Umgang mit sensiblen Gesundheitsdaten in Forschung und Versorgung. In Behörden, Kliniken und Forschungseinrichtungen zeigt sich: Der Regelungsrahmen wird dichter, die Anforderungen werden komplexer, die Unsicherheit wächst. Gleichzeitig tendieren Unternehmen dazu, Datenökosysteme aufzubauen, oft ohne Wissen der Betroffenen. Über verschiedene Regelungen im Umgang mit Gesundheitsdaten, die nicht immer zueinanderpassen, sprachen wir mit Prof. Tobias Keber, dem Landesdatenschutzbeauftragten von Baden-Württemberg.

Macht sich der European Health Data Space (EHDS) in Ihrer Behörde schon bemerkbar?

Ja, in der Beratung von Gesundheitsprojekten oder bei der Gesundheitsdatenforschung spielt der EHDS bereits eine Rolle. Wir sind in Projekte eingebunden, in denen es darum geht, wie künftig geforscht wird – auch KI-gestützt. Da sind diese Regelungen natürlich relevant.

Kommen da auch schon Forschungsunternehmen oder Krankenhäuser auf Sie zu?

Ja, etwa Forschungskonsortien, in denen zum Beispiel Landeskrankenhäuser oder Unikliniken beteiligt sind. Dort beraten wir auch.

Welche Herausforderungen sehen Sie aktuell?

Die größte Herausforderung ist derzeit, im besonders sensiblen Bereich der Gesundheitsdaten und -forschung europäisches und nationales Recht kohärent abzubilden. Wir haben den EHDS, die Datenschutz-Grundverordnung (DSGVO), die KI-Verordnung, den Data Act – und das ist nur die EU-Ebene. Hinzu kommen auf Bundesebene das Gesundheitsdatennutzungsgesetz (GDNG) und auf Landesebene die Krankenhausgesetze sowie spezielle Sozialdatenschutzregelungen. Es existiert also kein einheitliches "Gesundheitsdatengesetzbuch". Vieles läuft nicht kohärent zusammen, was in der Praxis zu vielen Auslegungsfragen führt. Wir wollen durch unsere Beratung vor Ort dabei helfen, hier rechtlich tragfähige Lösungen zu finden.

Gibt es konkrete Beispiele, bei denen es rechtlich besonders kompliziert wird?

Es gibt ein großes Forschungsprojekt namens "Medicus", wo es um eine komplette Gesundheitsdateninfrastruktur geht. Da sind viele Akteure beteiligt und es ist herausfordernd, alle Vorschriften der verschiedenen Ebenen übereinanderzulegen. Vieles wäre einfacher, wenn man zuverlässig anonymisieren könnte. Oder – noch ein Schritt vorgelagert – wenn man pseudonymisiert; dabei sind aber besondere Aspekte zu berücksichtigen und es ist auch ratsam, die absehbare europäische Rechtsprechung im Blick zu haben.

Bei wirksamer Anonymisierung fallen die Daten – im Gegensatz zur Pseudonymisierung – jedoch nicht mehr unter die DSGVO. Die große und spannende Frage ist aber, wann genau Anonymisierung erreicht wird – und mit welchen technischen Verfahren. Klar ist: Je sensibler die Daten, desto komplexer müssen die technisch-organisatorischen Maßnahmen zur Absicherung sein.

Gibt es denn verbindliche Vorgaben zur Anonymisierung?

Der Europäische Datenschutzausschuss arbeitet an Guidelines dazu. Die zur Pseudonymisierung sind bereits veröffentlicht, zur Anonymisierung steht eine Veröffentlichung kurz bevor. Diese Guidelines enthalten auch Use Cases. Parallel arbeitet die Datenschutzkonferenz unter Federführung von Berlin an einem praxisnäheren "Werkzeugkoffer". Es gibt zwar noch kein abschließendes "Rezeptbuch" – aber wir kommen dem Schritt für Schritt näher.

Wird es dazu auch eine Entscheidung des Europäischen Gerichtshofs geben?

Der EuGH befasst sich mit der Frage, wann eine Pseudonymisierung für Außenstehende faktisch einer Anonymisierung gleichkommt. Das Urteil wird noch im Sommer erwartet und dürfte für die Praxis wegweisend sein.

Werden Versicherte ausreichend über den Umgang mit Gesundheitsdaten informiert?

Nein. Trotz einer aufwändigen Kampagne zur elektronischen Patientenakte ist die Informationslage nicht adressatengerecht. Die DSGVO verpflichtet den "Verantwortlichen" zur Aufklärung – doch in einem so komplexen System müssten mehrere Akteure verständlich und am besten auch über verschiedene Kanäle informieren. Vertrauen entsteht nur, wenn die Technik sicher ist und nachvollziehbar erklärt wird. Zum Start der elektronischen Patientenakte (ePA) machte der Chaos Computer Club zu Recht auf Probleme aufmerksam. Wenn ich als Patient nicht sicher bin, ob meine sensiblen Daten in diesem System sicher sind, dann ist das ein Problem. Ich vertraue auch nur dann einem System, wenn ich verstehe, was es macht. Und verstehen kann ich erst, wenn ich ordentlich informiert werde.

Viele Menschen stellen sich beispielsweise bei der ePA Fragen zu den Zugriffsbefugnissen, etwa: Sieht mein Orthopäde, dass mir mein Zahnarzt eine Krone gesetzt hat? Es braucht adressatengerechte, transparente Kommunikation, idealerweise nicht nur in Textform, sondern auch mit Icons, Videos und klaren Benutzeroberflächen.

Es gibt auch die Kritik, dass gerade in Praxen oder Krankenhäusern Patientendaten genutzt werden, ohne dass die Betroffenen ausreichend informiert werden. Wird dieses Problem durch die neuen Gesetze verschärft?

Ärztinnen und Ärzte stehen unter enormem Effizienzdruck, greifen auf digitale Infrastruktur zurück – oft ohne die datenschutzrechtlichen Implikationen genau zu kennen. Das ist kein böser Wille, sondern schlicht Zeit- und Ressourcenmangel. Die Aufklärung fehlt oft, sowohl bei Behandelnden als auch bei Patientinnen und Patienten. Beschwerden, dass Anwendungen ohne ausreichende Information genutzt werden, sind keine Seltenheit.

Gibt es Konflikte zwischen dem GDNG und den Landeskrankenhausgesetzen?

Ja, insbesondere bei den Paragrafen 5 und 6 des GDNG treten Überschneidungen auf. § 5 regelt die Zuständigkeit für länderübergreifende Datenverarbeitungen – entscheidend für die Aufsichtsbehörden. § 6 betrifft die Weitergabe von Gesundheitsdaten zu Forschungszwecken, was in Spannungsverhältnis zu den Regelungen der Landeskrankenhausgesetze treten kann. Die zentrale Frage lautet: Gilt Bundesrecht oder Landesrecht? Diese Verteilung ist nicht abschließend geklärt.

Wie ist das verfassungsrechtlich einzuordnen?

Unsere Verfassung sieht die Gesetzgebungskompetenz grundsätzlich bei den Ländern. Der Bund darf nur dann Regelungen treffen, wenn es eine ausdrückliche Kompetenzgrundlage gibt. Ob und wie weit das im Fall von § 6 GDNG gegeben ist, wird möglicherweise gerichtlich geklärt werden müssen.

Was bedeutet das für die Praxis?

Für Krankenhäuser, Forschungseinrichtungen und auch Datenschutzbehörden bedeutet das derzeit Rechtsunsicherheit. Deshalb braucht es dringend Klarheit und eine abgestimmte Umsetzung zwischen Bund und Ländern.

Welche Rolle spielen dabei die Landesdatenschutzbehörden?

Wir helfen nach Kräften baden-württembergischen Verantwortlichen dabei, dass sie wirksam die Grundrechte der Bürgerinnen und Bürger wahren und zugleich innovativ sein können. Ich bin überzeugt, dass das föderale System funktioniert – auch wenn es Schwächen hat. Gerade im Gesundheitsbereich ist die Vor-Ort-Kompetenz der Landesbehörden bei Beratung und Kontrolle unverzichtbar. Eine Zentralisierung an einer Stelle würde hier eher zu einem Verlust an Praxisnähe führen. Es wäre viel wirksamer für die lokalen Verantwortlichen, wenn die Landesdatenschutzbehörden länderübergreifende Projekte begleiten würden. Das kann man rechtlich regeln, das würde allen Beteiligten helfen.

Die Krankenkassen wünschen sich mehr Datenzugriff, um individualisierte Angebote zu machen. Kritiker befürchten Diskriminierung. Wie schätzen Sie das ein?

Ganz unbesorgt wäre ich da nicht. Die Krankenkassen stehen unter ökonomischem Druck, was verständlich ist. Aber wenn Gesundheitsdaten dazu genutzt werden, um Versicherte zu selektieren oder gezielt zu steuern, wird das Prinzip der Solidarität gefährdet. Es besteht das Risiko versteckter Diskriminierung – etwa durch Risikoprofile oder differenzierte Tarife.

Zudem beobachten wir, dass viele Akteure KI-Systeme zur Bearbeitung von Anträgen oder internen Prozessen einsetzen. Aber: Wenn ich das alles in eine KI kippe – und im schlimmsten Fall weiß ich nicht, ob Daten abfließen oder ob damit weitertrainiert wird – dann habe ich ein Problem. Es braucht klare Regeln, Transparenz und Kontrolle.

Die Forschungsdatenweitergabe aus der ePA und anderen Datenquellen erfolgt künftig automatisch, ohne Einwilligung – außer bei besonders sensiblen Daten. Was ist dabei zu beachten?

Das Gesundheitsdatenschutzsystem unterscheidet zwischen primärer Nutzung (Behandlung) und sekundärer Nutzung (Forschung). Für die sekundäre Nutzung gibt es verschiedene Legitimationsmechanismen. Neben der klassischen Einwilligung ist auch der "Broad Consent" zulässig, also eine allgemeinere Zustimmung.

Darüber hinaus kann die Weitergabe auch gesetzlich geregelt werden – ohne individuelle Einwilligung. Entscheidend ist dann, dass die Datenverarbeitung durch technische und organisatorische Maßnahmen abgesichert ist. Wichtig ist da auch eine niedrigschwellige Widerspruchsmöglichkeit. Wer nicht möchte, dass seine Daten verwendet werden, muss das einfach sagen können.

Der Umgang mit Gesundheitsdaten darf nicht zu einer "Goldgräberstimmung" führen, in der alles verwertet wird, was verfügbar ist. Es braucht klare Grenzen – und eine Kultur des Respekts vor der Sensibilität dieser Daten.

Welche Rolle spielt die Pseudonymisierung in Zukunft?

Pseudonymisierung ist oft realistischer als vollständige Anonymisierung, vor allem wenn Rückführbarkeit in der Forschung wichtig ist. Deshalb wird es künftig Forschungspseudonyme geben – etwa im Rahmen des Registergesetzes. Vertrauensstellen sollen dafür sorgen, dass der Personenbezug nur unter klaren Bedingungen wiederhergestellt werden kann.

Wie verhindern Sie Interessenkonflikte bei diesen Vertrauensstellen?

Treuhandmodelle funktionieren nur, wenn die zwischengeschalteten Stellen unabhängig sind. Es darf keine Eigeninteressen an den Daten geben. Die rechtliche und organisatorische Absicherung dieser Stellen ist deshalb essenziell.

Es gibt Kritik an der langen Speicherfrist der Daten im Forschungsdatenzentrum Gesundheit – von bis zu 100 Jahren. Wie sehen Sie das?

Solche Speicherfristen sind hochbegründungspflichtig – besonders, wenn über genetische Daten auch Aussagen über Angehörige möglich sind. Am Ende entscheidet der Gesetzgeber. Sollte es verfassungsrechtliche Bedenken geben, wird sich das Bundesverfassungsgericht damit befassen müssen.

Den Gang zum Bundesverfassungsgericht scheut das BMG ja nicht … regelmäßig wird Datenschützern auch vorgeworfen, Innovation zu verhindern. Ist das so?

Nein. Wenn Datenschützer frühzeitig eingebunden werden, können gute Systeme entstehen. Es ist wichtig, nachhaltige und vertrauenswürdige Lösungen zu bauen und unsere Werte nicht aufzugeben.

Zum Abschluss: Wie stehen Sie zur zunehmenden Nutzung von US-Anbietern im Gesundheitsbereich?

Das ist ein sensibles Thema. Drittstaatentransfers müssen sorgfältig geprüft werden. Digitale Souveränität gibt es nicht zum Nulltarif – sie kostet Geld, Zeit, Ressourcen. Aber sie ist notwendig. Gerade im Gesundheitsbereich sollten wir in Europa ordentliche Lösungen haben.

(mack)