Datenschutzkonferenz: Klare Regelungen bei Gesundheitsdatennutzung gefordert
Die Datenschutzkonferenz fordert einheitliche und klare gesetzliche Regelungen für den Schutz sensibler Gesundheitsdaten und gibt zahlreiche Empfehlungen.
(Bild: Monster Ztudio/Shutterstock.com)
Seitdem die Bundesregierung plant, Forschung und Privatwirtschaft hochsensible Gesundheitsdaten ohne Widerspruchsrecht und nicht ausreichend geschützt EU-weit zur Verfügung zu stellen, sehen Datenschützer die Grundrechte in Gefahr. Geplante Gesetzesvorhaben, insbesondere das Gesundheitsdatennutzungsgesetz (GDNG), sollen den Weg zu den besonders schützenswerten Daten auf Bundesebene erleichtern. Für eine datenschutzrechtlich unbedenkliche Umsetzung der Vorhaben hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zwei Entschließungen verabschiedet. Unter anderem heißt es darin: "Die Verarbeitung solcher menschenwürderelevanter Daten kann selbst zu Forschungszwecken nicht auf Grundlage einer gesetzlichen Regelung legitimiert werden".
Forschungsprojekte werden oft länderübergreifend durchgeführt, was für unterschiedliche datenschutzrechtliche Anforderungen sorgt und die Forschung erschweren kann. Um dennoch für ein hohes Datenschutzniveau zu sorgen, sind in der Entschließung (PDF) "aufeinander abgestimmte, zeitnahe, rechtsklare und systematische Neustrukturierung der entsprechenden Regelungen" gefordert. Nur so könne der Datenschutz in der länderübergreifenden Forschung gestärkt werden.
Verhältnis zu Krankenhausgesetzen unklar
Mit dem GDNG will das Bundesgesundheitsministerium eine Rechtsgrundlage schaffen, damit Gesundheitseinrichtungen Daten laut § 6 GDNG im aktuellen Entwurf "zur Qualitätssicherung, zur Förderung der Patientensicherheit und zu Forschungszwecken" weiterverarbeiten dürfen. Das Verhältnis zu den Landeskrankenhausgesetzen sei aktuell jedoch noch nicht geklärt. Demnach sind "verschiedene Rechtsnormen anwendbar, die sich auch inhaltlich unterscheiden", erläutert DSK-Vorsitzende Marit Hansen gegenüber heise online.
Grundsätzlich gilt zwar das GDNG, allerdings sei verfassungsrechtlich noch nicht geklärt, inwiefern der Bundesgesetzgeber für gesetzliche Regelungen zur Forschung und Qualitätssicherung von Krankenhäusern zuständig ist, sagt Hansen. Daher wird angezweifelt, dass mit dem GDNG eine "rechtssichere und tragfähige" Neuregelung erreicht wird, die die Forschung auf Länderebene harmonisiert. Zudem regele der Paragraf nur die eigene Forschung von Gesundheitseinrichtungen wie Krankenhäusern und enthält laut Hansen "keine neuen Regelungen zur Forschung mit personenbezogenen Daten durch Dritte".
Mensch kein Objekt der Datenverarbeitung
Die Datenschützer haben bereits in vorherigen Stellungnahmen und in ihrer Petersberger Erklärung auf die Notwendigkeit entsprechender Regelungen hingewiesen und Hinweise für die Gesetzesvorhaben formuliert.
Demnach sollten Menschen "im Mittelpunkt der Forschung" stehen und nicht zum "Objekt der Datenverarbeitung" gemacht werden. Zudem sei wichtig, die Betroffenen immer mit in die Prozesse einzubeziehen, etwa über "digitale Managementsysteme", die "Informations-, Kontroll- und Mitwirkungsmöglichkeiten sicherstellen" sollen. Die gesetzlichen Regelungen müssten daher "wirksam den Schutz des Rechts auf informationelle Selbstbestimmung" gewährleisten und sowohl auf europäischer als auch auf nationaler Ebene die Anforderungen an den Datenschutz zu erfüllen. Dabei gilt: "Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten zu Forschungszwecken genutzt werden."
Spezifische Regeln bei nicht ausreichender Anonymisierung
Sofern eine ausreichende Anonymisierung nicht immer gewährleistet werden kann, etwa bei radiologischen Bilddaten, empfiehlt die DSK spezielle Regelungen, etwa weitere technische und organisatorische Maßnahmen. Außerdem fordert die DSK konkrete Maßnahmen wie die Erweiterung von Betroffenenrechten, etwa spezielle Widerspruchsrechte oder die Vernichtung von Bioproben. Obendrein sollten angemessene Sperrfristen für die Freigabe der Daten festgelegt werden, damit die Patienten noch vor der Datenweitergabe die Möglichkeiten haben, zu widersprechen. Zusätzlich brauche es eine Verschwiegenheitsverpflichtung und damit auch ein Beschlagnahmeverbot und ein Zeugnisverweigerungsrecht, die im GDNG nicht enthalten sind.
Unabhängige Treuhandstelle gefordert
Ebenso sollte eine "unabhängige Treuhandstelle" eingerichtet werden, die die Daten verlässlich verschlüsselt, anonymisiert oder pseudonymisiert. Aktuell liegen bereits Abrechnungsdaten beim Forschungsdatenzentrum, das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt ist und auch der Zugang zu den Daten soll den aktuellen Plänen zufolge über eine dort eingerichtete "nationale Kontaktstelle" laufen. Ebenfalls gefordert sind konkrete Details zur Gewährleistung der Datenminimierung und Vorgaben für die Datenschutz-Folgeabschätzung.
Ebenso müsse eine "uneingeschränkte Datenschutzaufsicht" für die Wahrung der Betroffenenrechte garantiert werden. Es sollten auch gegen öffentliche Stellen Bußgelder verhängt werden können. Dazu müssten die Datenschutzaufsichtsbehörden auch die Befugnisse erhalten und "etwaige Einschränkungen" aufgehoben werden.
Registerlandschaft vereinheitlichen
Auch die Daten aus über 300 sehr unterschiedlichen medizinischen Registern sollen künftig der Forschung bereitgestellt werden. Im kommenden Jahr soll beispielsweise das Organspenderegister veröffentlicht werden. Da die verschiedenen Register aktuell auch aus Datenschutzsicht sehr verschiedenen sind, werden von der DSK in einer weiteren Entschließung (PDF) ("Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinische Register"), ebenfalls klare Regelungen gefordert. Dabei unterstützt die DSK das Vorhaben der Bundesregierung, einen allgemeinen Rahmen für medizinische Register zu schaffen – sofern die Datenschutzvorgaben eingehalten werden. Mit einem Registergesetz will die Bundesregierung die zahlreichen Register vereinheitlichen und Daten für die Forschung "im öffentlichen Interesse" nutzbar machen.
Für die Register hat die Bundesregierung ein Gutachten in Auftrag gegeben. Die darin enthaltene Empfehlung, eine Zentralstelle für medizinische Register zu schaffen, die ein Registerverzeichnis führt und für die Auditierung und Zuordnung der Register verantwortlich ist, unterstützt die Datenschutzkonferenz ausdrücklich. Allerdings sollte diese Zentralstelle nach Ansicht der DSK eine "unabhängige Körperschaft des öffentlichen Rechts" sein, die Betroffenen auch bei der Erfüllung ihrer Rechte behilflich ist.
Unabhängige Vertrauensstellen
Die Datenschutzaufsichtsbehörden präzisieren datenschutzrechtliche Anforderungen und Bedingungen für die Regulierung medizinischer Register. Hierzu gehören klare gesetzliche Festlegungen, unter anderem zu Zweckänderungen der Datenverarbeitung, Aufbewahrungsdauer, Löschfristen, Einbindung der betroffenen Personen, und technisch-organisatorischen Maßnahmen. Weitere Empfehlungen umfassen die Schaffung von unabhängigen Vertrauensstellen, die auch bei der Anonymisierung und Pseudonymisierung von Gesundheitsdaten oder der Bereitstellung der Gesundheitsdaten für Forschende eine spezielle Rolle spielen könnten.
Gesetzliche Datenschutz-Folgenabschätzung
Bei besonderen Risiken, wie zum Beispiel einem Remotezugriff auf Gesundheitsdaten über digitale Portale, empfiehlt die DSK eine gesetzliche Datenschutz-Folgenabschätzung (DSFA). Mit dieser ließen sich globale Risiken der Registersysteme mit allen geplanten oder möglichen Datenabflüssen ermitteln und geeignete technische und organisatorische Maßnahmen (TOMs) zur Risikominimierung gesetzlich verankern. Das entlaste die Verantwortlichen zwar nicht von einer eigenen DSFA, trage aber zur Schaffung einheitlicher Mindeststandards bei. Die gesetzliche DSFA inklusive bereits ausgearbeiteter TOMs ist Hansen zufolge eine gute Grundlage "für ein Schutzniveau, von dem alle profitieren".
Abgeleitete Kennungen der Versichertennummern nutzen
Besondere Aufmerksamkeit sollte zudem der Rechtfertigung von Datensatzverknüpfungen für wissenschaftliche Forschungszwecke gelten. Ebenso empfiehlt die DSK, für die Registernummern keine einheitlichen Nummern wie die Krankenversichertennummer (KVNR) zu nutzen, mit der beispielsweise das Profiling erleichtert werden könnte. Denn so wären alle Informationen leicht miteinander verknüpfbar. Stattdessen sollten abgeleitete Kennungen auf Basis der KVNR zum Einsatz kommen, die "nicht über die einzelnen Register hinaus verknüpfbar sind". Diese bergen laut Hansen ein deutlich geringeres Risiko. Ebenso sollen den Betroffenen digitale Methoden für die Einwilligung bei der Datenweitergabe zur Verfügung stehen.
DSK steht beratend bereit
Die Datenschutzaufsichtsbehörden setzen sich insgesamt für eine klare, zeitnahe und systematische Neustrukturierung der rechtlichen Regelungen ein, um ein hohes Datenschutzniveau in der medizinischen Forschung zu gewährleisten. Sie bieten zudem an, die Gesetzgeber bei entsprechenden Gesetzesvorhaben in ihrer Beratungsfunktion zu unterstützen.
"Einheitliche Maßstäbe und standardisierte Verfahren helfen enorm, um ein hohes Datenschutzniveau sicherzustellen. So kann ein wirksamer Grundrechtsschutz gelingen", resümiert Hansen. "Insgesamt war es ein ereignisreiches Jahr mit spannenden Diskussionen, das von zahlreichen Gesetzesvorhaben mit Auswirkungen auf den Datenschutz geprägt war. Auch die Technikentwicklungen im Bereich der Künstlichen Intelligenz stellen uns vor Herausforderungen".
(mack)