Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Paradigmenwechsel im Datenschutz: Opt-Out ja oder nein?

Opt-Out-Regeln sollen die Datennutzung für Forschungszwecke erleichtern. Bei Datenschutzexperten und Bürgerrechtsorganisationen gibt es dazu keine klare Linie.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen
Medical,Technology,Concept.,Remote,Medicine.,Electronic,Medical,Record.

(Bild: metamorworks/Shutterstock.com)

Lesezeit: 5 Min.
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Das Gesundheitswesen steht mit den geplanten Digitalisierungsvorhaben vor einem grundlegenden Wandel. Die Politik bereitet dazu gesetzliche Regeln vor, die das traditionelle Patientengeheimnis und die ärztliche Schweigepflicht auf den Kopf stellen: So sollen pseudonymisierte Patientendaten grundsätzlich für Forschungszwecke zur Verfügung stehen, außer die Betroffenen widersprechen mit einem Opt-out ausdrücklich. Für anonymisierte Daten war und wird weder eine Einwilligung noch ein Opt-Out erforderlich sein.

Setzt sich die Opt-Out-Regelung bei den hochsensiblen Gesundheitsdaten durch, werden weitere Bereiche wie etwa Mobilität folgen. Das Europäische Parlament will diese Woche zum Europäischen Gesundheitsdatenraum (EHDS) eine Abstimmungsvorlage vorstellen. Bundesgesundheitsminister Karl Lauterbach hat Pläne für ein Opt-Out für die elektronische Patientenakte (ePA) vorgestellt. Unter kritischen Datenschutzexperten und Bürgerrechtsorganisationen geht die Meinung eher dahin, ein Opt-Out zu befürworten. Eine klare Linie ist dazu nicht zu erkennen.

Opt-Out nur mit Widerspruchsrechten

Thilo Weichert vom Netzwerk Datenschutzexpertise hält es für möglich, dass die Risiken eines Opt-Outs rechtlich, aber insbesondere mit technisch-organisatorischen Vorkehrungen bewältigbar sind. Die Transparenzanforderungen für die Betroffenen müssten verbessert werden, verbunden mit der Möglichkeit, auch spezifischen Datennutzungen widersprechen zu können. Dabei sollten die Daten "selbstverständlich" in einer sicheren Umgebung verarbeitet werden.

Zentral für die Sekundärnutzung der Daten aus der ePA sei, "dass eine unabhängige Instanz hierüber entscheidet und gewährleistet wird, dass dabei nur öffentliche Gemeinwohlinteressen verfolgt und eine strenge Zweckbindung eingehalten werden". Daher müssten in die Diskussion dazu dringend die Datenschutzaufsichtsbehörden einbezogen werden. Genau hier jedoch will Lauterbach die Mitsprachrechte des Bundesdatenschutzbeauftragten auf eine reine Beratungstätigkeit zurückstutzen. Bislang muss er mit dem Bundesdatenschutzbeauftragten nämlich ein Einvernehmen herstellen.

Auch Bijan Moini von der Gesellschaft für Freiheitsrechte GFF hält ein Opt-Out bei hinreichenden Sicherheitsvorkehrungen für vertretbar. Wichtig sei aber, dass "ein umfassendes Widerspruchsrecht gewährleistet ist", erklärt er gegenüber heise online. Menschen, die der Nutzung ihrer Gesundheitsdaten nicht widersprechen, sollen außerdem sicher sein können, dass ihre Daten für ein bestimmtes Forschungsvorhaben wirklich benötigt werden und dass "alles derzeit Mögliche unternommen wird, um diese sensibelsten aller personenbezogenen Daten vor Zweckentfremdung und Diebstahl zu schützen".

Entscheidung für Opt-Out kann Patienten überfordern

Die europäische Bürgerrechtsorganisation EDRI hält hingegen eine "Opt-out"-Regelung, wie sie im Berichtsentwurf der Berichterstatter im Europäischen Parlament vorgeschlagen wird, für keine angemessene Lösung, da sie "die Last des Wissens, des Verstehens und der Entscheidung in unangemessener Weise den Patienten" aufbürde. EDRI fordert daher, dass die Weitergabe von Gesundheitsdaten an andere Personen als die an der Behandlung des Patienten beteiligten Leistungserbringer freiwillig bleiben muss. Überdies sei eine Pflicht zur Registrierung solcher hochsensiblen Daten in elektronischen Gesundheitsakten abzulehnen.

Das meint auch Patrick Breyer, Europaabgeordneter der Piratenpartei. Der Schattenberichterstatter im Europäischen Parlament zum EHDS-Vorhaben sagt: "Für viele Patienten, die nicht privilegiert sind, die wenig Zeit, begrenzte Sprachkenntnisse oder Bildung haben, die älter sind, ist es in der Praxis eine zu hohe Hürde, sich aktiv mit einer bestimmten Befugnis einmischen zu müssen – denken Sie nur an Ihre eigenen Eltern, Ihre Nachbarn." Er plädiert dafür sicherzustellen, dass jeder um seine Entscheidung gebeten wird, bevor er seine sehr sensiblen medizinischen Daten für verschiedene Zwecke offenlegt, was auch der Erklärung von Helsinki entspreche. Damit setzt er auf das klassische Instrument der freiwilligen und informierten Einwilligung.

Einwilligung – weder freiwillig, noch informiert

Das Problem mit der informierten und freiwilligen Einwilligung sei, so erklärt Stefan Brink – Direktor des wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt – gegenüber heise online, dass sie im Gesundheitsbereich an ihre Grenzen stoße. In Notfällen könne der Patient nämlich kaum freiwillig einwilligen. Überdies könne die Einwilligung kaum informiert erfolgen, da die Forschungsansätze dem Patienten häufig schwer vermittelbar und zugleich ständigen Anpassungen unterworfen seien. Wenn beispielsweise Blut- und Gewebeproben in der Krebsforschung auf bestimmte genetische Merkmale untersucht werden, könnte es sein, dass im Zuge der Forschung einige Jahre später weitere genetische Merkmale in das Forschungsinteresse rücken, in deren Untersuchung der Betroffene aber mangels Vorwissen gar nicht einwilligen konnte.

"Broad Consent" höhlt Datenschutz aus

Die von der Datenschutzkonferenz zugelassene "breite Einwilligung" (broad consent) soll diese wandelnde Forschungszwecke auffangen. Damit aber werde die Selbstbestimmung letztlich immer weiter ausgehöhlt, sagt Brink. Gleichzeitig sei die Einwilligung für die Forschungseinrichtungen ein aufwändiges Instrument. Daher müsse der Gesetzgeber, anstatt an der entkernten Einwilligung festzuhalten, einen fairen Ausgleich der unterschiedlichen Nutzungsinteressen herstellen.

Möglich werde das, weil die DSGVO ein starkes Forschungsprivileg enthält. Entsprechend müssten die Forschenden "geeignete Garantien" für die Betroffenen sicherstellen. Es genüge eine einfache Pseudonymisierung, bei der der Personenbezug zum Patienten nicht verloren geht. Außerdem reiche es, dass der Patient über die Nutzung seiner Daten vollständig informiert wird.

Brink betont, dass die DSGVO nach Artikel 89 Abs. 2 bei der Sekundärnutzung die Betroffenenrechte auf Auskunft, Lösung und Widerspruch aufhebt, worauf auch der bayerische Datenschutzbeauftragte Thomas Petri hinweist. Gleichzeitig bleibe die informationelle Selbstbestimmung der Patienten bei der ärztlichen Behandlung beziehungsweise der Primärnutzung unberührt.

(mack)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten