Datenschützer zum EHDS: Zentrale Datenspeicherung unzulässig
Ungenügend, vage, unzulässig – so lautet die Kritik der Datenschutzkonferenz an den geplanten Regelungen zum geplanten europäischen Gesundheitsdatenraum.
Die europäischen Pläne für einen Gesundheitsdatenraum (European Health Data Space, EHDS) greifen zu weit, kritisiert die Datenschutzkonferenz von Bund und Ländern (DSK) in einer gemeinsamen Stellungnahme. Die geplanten Regelungen reichten nicht aus, um die Betroffenen wirklich zu schützen. Streckenweise hält die DSK sie sogar für unzulässig.
Aktuell wird die EHDS-Verordnung im Europaparlament diskutiert. Die Datenschützer sind sich bewusst, dass die geplanten Regeln "als Blaupause für weitere Datenräume" dienen werden. Die Kritik der deutschen Datenschützer kommt etwas spät, fällt dafür aber gründlich aus.
Der Vorschlag der EU-Kommission sieht vor, dass Gesundheitsdaten für die Forschung ohne Einwilligung der Betroffenen übermittelt werden dürfen. Ein Widerspruchsrecht ist nicht vorgesehen. Darauf machte der bayerische Landesdatenschützer Thomas Petri bereits früh aufmerksam, doch erst jetzt scheint er mit seiner Kritik auch unter weiteren Datenschützern Gehör gefunden zu haben.
Den Menschen in den Mittelpunkt stellen
So erinnern die Datenschutzbeauftragten von Bund und Ländern den Gesetzgeber daran, das öffentliche Interesse an wissenschaftlicher Forschung mit dem Grundrecht auf informationeller Selbstbestimmung "in einen angemessenen Ausgleich zu bringen". Der Verordnungsentwurf greife bei dieser Sekundärnutzung der Daten für die Forschung "deutlich zu kurz". "Bisher ist nicht erkennbar, ob und, wenn ja, inwieweit nach dem Regelungsentwurf den Betroffenen überhaupt Rechte zustehen sollen", kritisieren sie. Dabei müsse der Mensch eigentlich "erkennbar im Mittelpunkt stehen".
Entsprechend müssten die Betroffenen "eingebunden sein" und ihre Rechte "einfach" und "granular" umsetzen können: „Die Betroffenenrechte der Datenschutz-Grundverordnung dürfen nicht verkürzt werden", heißt es in der Stellungnahme. Also müssten die Betroffenen eine "effektive Kontrolle" über die Verarbeitung ihrer personenbezogenen Daten behalten. Für die Datenverarbeitung Verantwortliche müssen sie darüber "präzise und leicht verständlich" informieren. Sämtliche Übermittlungswege und Verarbeitungsprozesse müssen für die Betroffenen "transparent" sein.
Die Datenschutzkonferenz vermisst überdies "rechtsklare Regelungen". Es müsse deutlich sein, ob und in welchem Umfang eine Verarbeitung personenbezogene Daten umfasst und zulässig ist. Dazu müsse die Verordnung festlegen, in welchem Umfang, welcher Art und zu welchen Zwecken sie stattfinden soll.
Zentrale Zusammenführung von Klardaten unzulässig
Für schlicht "unzulässig" hält die Datenschutzkonferenz den Vorschlag der EU-Kommission, die Klardaten zentral aneiner Zugangsstelle zusammenzuführen. Das berge "hohe Risiken". Die Daten seien vor der Zusammenführung zu pseudonymisieren oder zu anonymisieren.
Die notwendigen technischen und organisatorischen Vorkehrungen sind im Verordnungsentwurf der Kommission sowie im aktuellen Berichtsentwurf des Parlaments zu vage formuliert: Sie lassen offen, wie die Daten anonymisiert werden können, kritisiert die DSK. Es brauche eine rechtsklare Regelung der Anforderungen an Methoden und Wirkungen der Anonymisierung.
Generell seien Methoden im Sinne von "Data Protection by Design" und "Data Protection by Default" anzuwenden. Zudem sollten Betroffene im EHDS über digitale Management-Systeme ihre elektronischen Gesundheitsdaten kontrollieren können. Im Moment ist all das nicht vorgesehen.
Deshalb verdeutlichen die Datenschützer, dass Grundsätze wie die der Datenminimierung, der Datenrichtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit und des Erforderlichkeitsprinzips der DSGVO gewährleistet werden müssen. Dazu gehört es im Übrigen auch, dass Strafverfolgungsbehörden keine Zugriffsrechte auf gesundheitsbezogene Daten ermöglicht wird. Daher sei die Zweckbindung klar zu regeln.
Blutwerte, Genomdaten, Wellness-Daten?
Die EHDS‐Verordnung will alle elektronische Gesundheitsdaten für die Förderung der individuellen Gesundheit und der öffentlichen Gesundheit im Rahmen von Forschungsvorhaben bereitstellen. Allerdings ist unklar, um welche Daten es hier genau geht. Die Datenschützer schlagen deshalb vor, Genomdaten komplett aus der Verordnung zu streichen, da diese in den intimsten Bereich eingreife.
Lesen Sie auch
Woher die medizinischen Forschungsdaten kommen
Auch Datensätze aus Wellness‐Anwendungen sollten nicht gesetzlich erfasst werden, zumal der Erkenntnisgewinn hier unklar bleibe. Kritisch seien auch Daten zu sozialen, umweltbedingten und verhaltensbezogenen Gesundheitsfaktoren, Lebensstil, Wohlbefinden und Verhaltensdaten. Sie sollten nur für bestimmte Zwecke verarbeitet werden dürfen.
Primärzweck und Sekundärzweck
Der primäre Zweck von Gesundheitsdaten besteht darin, die Behandlung zu unterstützen. Hier dürfe die Patientensouveränität nicht eingeschränkt werden, stellt die Datenschutzkonferenz fest. Die Betroffenen brauchten "effektive Kontrollmöglichkeiten" und müssten aktiv mitwirken können. Sie sollten über alle Datenübermittlungen informiert werden und darin einwilligen können. Die Einwilligung soll auch weiterhin für klinische Studien gelten.
Wenn für die Sekundärnutzung der Daten auf ein Opt-In verzichtet wird, muss den Betroffenen eine Opt-Out-Möglichkeit geboten werden. Dazu sollen digitale Managementsysteme verwendet werden. Damit unterstützt die Datenschutzkonferenz das vom Europaparlament derzeit diskutierte Opt-Out - die EU-Kommission hatte dieses in ihrem Entwurf nicht vorgesehen. Die Datenschutzkonferenz hält fest, dass die Nutzung dieser Daten "stets dem Allgemeinwohlinteresse dienen" muss. Entsprechend müssen die Nutzungsanträge sachgerecht überprüft werden, ob der vorgesehe Zweck zulässig und ob der gewünschte Datenumfang für diesen Zweck erforderlich ist.
Gesundheitssysteme absichern
Die Systeme, die elektronische Patientenakten verarbeiten, müssen von einer unabhängigen Stelle zugelassen werden, bevor sie in den Betrieb genommen werden, fordern die Datenschützen. Diese sogenannten Electronic Health Record-Systeme (EHR-Systeme) müssen eine sichere Ende‐zu‐Ende‐Verschlüsselung gewährleisten und Anonymisierungs‐ und Pseudonymisierungskomponenten enthalten. Authentifizierungen sollen auf einem hohen Sicherheitsniveau erfolgen. Gleichzeitig soll das Management der EHR-Systeme "effektiv und granular" sein und allen Betroffenen zur Verfügung stehen, auch wenn sie über keine mobilen Endgeräte verfügen oder sich im Digitalen nicht besonders gut auskennen. Das heißt, die Nutzung soll einfach und barrierefrei sein. Die Forderungen der Datenschützer zum EHDS gleichen damit den Forderungen zur elektronischen Patientenakte ePA.
(mack)