Daten sollen fließen
EU: Digitalisierungsschub durch gemeinsamen Gesundheitsdatenraum?
Innerhalb Europas sollen bald Patientenakten und sonstige Gesundheitsdaten über Ländergrenzen hinweg digital zugänglich sein. Die EU verspricht sich davon eine bessere medizinische Versorgung und mehr Forschung und KI-Training mit realen Daten. Doch noch sind nicht alle datenschutzrechtlichen Fragen geklärt.
Was denken Sie zum Zustand der Digitalisierung von Gesundheitsdaten? Dauerbaustelle oder doch eher Umbruch oder gar Aufbruch? Hört man sich unter Experten um, kommt ein ziemlich heterogenes Meinungsbild heraus. Längst nicht jeder beschreibt die Lage so negativ wie Karl Lauterbach. Der Bundesgesundheitsminister sieht Deutschland auf diesem Feld „um Jahrzehnte zurück“. Dies könne er nicht weiter verantworten, deshalb müsse ein „Neustart“ kommen – wieder einmal, jetzt aber wirklich.
Diesen Mitte März vorgestellten Neustart nennt die Bundesregierung „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Unter anderem sollen bis 2025 mindestens 80 Prozent der Bürger eine elektronische Patientenakte (ePA) haben, so das Ziel. Die rechtlichen Grundlagen schaffen den Plänen zufolge ein „Digitalgesetz“ und insbesondere ein „Gesundheitsdatennutzungsgesetz“ [1].
Der Aufschlag des Ministers rief ein enormes Echo hervor. In Zeitungskommentaren belächelten einige Journalisten Lauterbachs plötzlichen Elan, Datenschützer kritisierten die vorgesehene Widerspruchslösung, nach der Patienten nur dann keine ePA verpasst bekommen, wenn sie aktiv „nein“ sagen.
Lauterbach und sein Bundesgesundheitsministerium (BMG) inszenierten sich als Antreiber der Digitalisierung. Doch in Wahrheit sind sie Getriebene, die unter höchstem Zeitdruck ein rückständiges System so weit aufmöbeln müssen, dass sie es halbwegs kompatibel bekommen zu den noch viel größeren Plänen der Europäischen Union: Den Takt, dem sich die Bundesregierung beugt, bestimmen weder die Bürger noch der Markt. Stattdessen gibt ihn die EU-Kommission in Brüssel vor.
Die Uhr tickt
Spätestens vor knapp einem Jahr, nämlich am 3. Mai 2022, begann die Uhr zu ticken. An diesem Tag präsentierte die EU-Kommission ihre Vorstellungen eines Europäischen Gesundheitsdatenraums (European Health Data Space, EHDS) als Vorschlag einer Verordnung. Sie soll in allen Mitgliedsstaaten nationale Regelungen überschreiben [2]. Viele der Vorschriften im EHDS-Entwurf will die Bundesregierung nun insbesondere mit dem Gesundheitsdatennutzungsgesetz proaktiv umsetzen, um halbwegs gerüstet zu sein.
Der Gesundheitsdatenraum EHDS entspringt der 2020 postulierten Digitalstrategie der Von-der-Leyen-Kommission. Er bildet den ersten Aufschlag eines größeren Vorhabens, mit sogenannter vertikaler Regulierung Daten für Bürger, Forschung und Wirtschaft besser verfügbar zu machen. Damit will die EU im weltweiten Wettbewerb konkurrenzfähiger werden. Vertikal deshalb, weil nach und nach einzelne Sektoren reguliert werden sollen, ohne allgemeine (horizontale) Gesetzeswerke zu unterminieren. So betonte die EU-Kommission wiederholt, dass sich der EHDS auf die DSGVO und den Data Governance Act (DGA) stütze.
Nach dem Gesundheitsdatenraum plant die Kommission acht weitere sektorale Regulierungen. Sie will eigene Datenräume beispielsweise für Industrie, Mobilität, Finanzen und Agrar schaffen. Mit dem EHDS soll eine Blaupause entstehen: Gelingt es, den innereuropäischen Fluss von Gesundheitsdaten trotz aller datenschutzrechtlichen Stolpersteine unfallfrei zu regulieren, sollte es in den anderen Sektoren schneller klappen – so die Hoffnung. Der EHDS ist außerdem als Erstes an der Reihe, weil EU-Kommissionspräsidentin Ursula von der Leyen ihn als wichtigen Teil der von ihr 2020 ausgerufenen Gesundheitsunion postuliert hat. Als Lehre aus der Coronapandemie hatte sie gefordert, dass die 27 Länder „bei Prävention, Diagnostik und Reaktion an einem Strang ziehen“.
Gegen die Silobildung
Bislang liegen die Gesundheitsdaten von Bürgern in unterschiedlichen, meist zueinander inkompatiblen Formaten an diversen Orten, die oft nicht miteinander vernetzt sind. Zugriffsregeln unterscheiden sich von Staat zu Staat, genauso wie der Digitalisierungsgrad: Die Daten lassen sich oft nicht bewegen.
Kritiker aus der universitären Forschung sprechen gerne von hermetischen Silos, aus denen kaum jemand zum Wohle des Einzelnen und der Gesellschaft schöpfen kann. Damit meinen sie beispielsweise die vielen verschiedenen Praxisverwaltungs- und Krankenhausinformationssysteme mit ihrer jeweils proprietären Datenhaltung.
Der EHDS soll erzwingen, dass diese Silobildung aufhört und alle Gesundheitsdaten zwar nicht an einem Ort liegen, aber abgesehen von (derzeit heiß diskutierten) rechtlichen Einschränkungen überall verfügbar sind. Ein wichtiger Schritt dorthin ist die europaweit einheitliche digitale Patientenakte (Electronic Health Record, EHR). Sie soll in einem bislang noch nicht ausformulierten European Electronic Health Record Exchange Format (EEHRxF) durch die europäischen Datennetze sausen.
Geplant ist, dass jeder Bürger seine Akte über Apps einsehen, verwalten und ergänzen kann. Ein Beispiel: Jemand befindet sich im Urlaub auf Mallorca in zahnärztlicher Behandlung. Nun kann er dem Arzt vom Smartphone aus gezielt die Historie seiner Blutverdünnermedikation freigeben, die sein behandelnder Kardiologe führt. So verhindert er Komplikationen während der Zahn-OP. Derlei Vorgänge laufen unter dem Begriff Primärnutzung. Für diese Primärnutzung sieht der EHDS eine EU-weite eHealth-Diensteinfrastruktur (eHDSI) vor.
Diese Primärstruktur soll an der Marke MyHealth@EU von außen erkennbar sein. In einem ersten Schritt sollen die Gesundheitssysteme aller Mitgliedsstaaten ab 2025 Patientenkurzakten der Bürger in der eHDSI bereitstellen, die beispielsweise Allergien, Vorerkrankungen und Operationen enthalten. Hinzu kommen Verschreibungen und Medikationspläne. Bis 2030 folgt nach den EU-Plänen die komplette digitale Akte mit medizinischen Bilddaten, Laborergebnissen und Krankenhausentlassungsberichten.
Organisiert wird der Austausch von Daten über sogenannte nationale Kontaktstellen für digitale Gesundheit, die jeder Mitgliedsstaat benennen muss. Die EU evaluiert derzeit permanent, welche der benötigten Dienste einzelne Staaten bereits einsatzbereit haben. Während Länder wie Portugal, Spanien und Estland 2023 bereits Gesundheitsinfos und E-Rezepte via MyHealth@EU austauschen können, ist Deutschland noch völlig außen vor.
Sekundärnutzung
Unter dem Label HealthData@EU läuft im EHDS die sogenannte Sekundärnutzung von Daten. Dabei handelt es sich nicht nur um Gesundheitsdaten, sondern etwa auch um Sozialdaten, Verwaltungsdaten und genetische Daten. All diese liegen beispielsweise in Systemen von Kliniken und Forschungseinrichtungen. Sie sollen anonymisiert oder mindestens pseudonymisiert im EHDS zur Verfügung stehen. Dazu will die EU alle Inhaber dieser Daten (also etwa die Kliniken) verpflichten, ihre Silos mittels Registern nationalen Zugangsstellen zu öffnen.
In Deutschland kommt als Zugangsstelle aller Voraussicht nach das Forschungsdatenzentrum (FDZ) in die Verantwortung. Das FDZ ist beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt und befindet sich gerade im Aufbau. Es sammelt aber bereits Abrechnungs- und Gesundheitsdaten der 73 Millionen gesetzlich Krankenversicherten, um sie zu Forschungszwecken weitergeben zu können.
Derlei datenschutzrechtlich bedenkliche Sammelei soll mit dem EHDS unnötig werden. Der Entwurf sieht vor, dass die Zugangsstelle nur bei konkreten Anfragen von Forschungseinrichtungen in den Registern nachsieht, welche relevanten Daten sie anbieten könnte. Sie würden erst abgerufen und beim FDZ für maximal fünf Jahre vorgehalten, wenn die Anfrage genehmigt ist.
In Artikel 34 definiert der EHDS-Entwurf Zwecke, für die ein Abruf der Daten genehmigt werden kann. Dazu zählen statistische Erhebungen, die Überwachung der öffentlichen Gesundheit und öffentliche oder kommerzielle Gesundheits- und Arzneimittelforschung. Erlaubt sein soll außerdem das Abschöpfen von realen Patientendaten für „Training, Erprobung und Bewertung von Algorithmen, auch in Medizinprodukten, KI-Systemen und digitalen Gesundheitsanwendungen“.
Eine Zweck-Verbotsliste findet sich komplementär in Artikel 35 des Entwurfs. Nicht erlaubt sind demnach etwa „Werbe- oder Vermarktungstätigkeiten, die auf Angehörige der Gesundheitsberufe, Organisationen im Gesundheitswesen oder natürliche Personen abzielen“. Auch wer schädliche Produkte wie illegale Drogen, alkoholische Getränke oder Tabakerzeugnisse entwickeln will, muss auf den Datenfundus verzichten.
Während es in Stellungnahmen und Anhörungen am EHDS-Kapitel zur Primärnutzung kaum Kritik gab, fordern vor allem Bürgerrechtler Änderungen bei der Sekundärnutzung. Der Entwurf sieht beispielsweise keine Informationspflichten der Zugangsstelle gegenüber dem Bürger vor, um dessen Daten es geht. Betroffene sollen der Weitergabe ihrer Daten nicht widersprechen können (Opt-out), geschweige denn um Zustimmung gebeten werden (Opt-in). Die EU-Kommission hielt dies nicht für nötig und auch nicht für datenschutzrechtlich problematisch, da die Zugangsstelle ja anonymisierte oder pseudonymisierte Datensätze vermittele.
In der Systematik des EDHS greift deshalb bei der Sekundärnutzung Artikel 89 DSGVO, der für pseudonymisierte Daten Ausnahmen bei der „Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken“ vorsieht. Bei derlei Datenverarbeitungen gelten demnach datenschutzrechtliche Betroffenenrechte wie Widerspruch, Auskunft und Löschung nicht.
Interoperabilität
Damit der Europäische Gesundheitsdatenraum funktionieren kann, müssen einheitliche Standards her. „Interoperabilität“ heißt das Zauberwort, das gerade ganze Heerscharen von IT-Fachleuten im Gesundheitsbereich elektrisiert. Ein Beispiel: Der EHDS-Entwurf sieht vor, dass sich Anbieter von Verwaltungssystemen für digitale Patientenakten (EHRs) selbst nach EHDS zertifizieren dürfen. Allerdings müssen sie dazu alle Kriterien aus Anhang I und II der EHDS-Verordnung erfüllen.
Anhang I definiert Datenkategorien, Anhang II Absatz 2 allgemeine Anforderungen an die Interoperabilität von EHRs. Unter anderem bezieht sich diese Interoperabilität auf „Datensatzinhalt, Datenstrukturen, Formate, Vokabulare, Taxonomien, Austauschformate, Standards und Spezifikationen“. Der Datenaustausch müsse „in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format“ stattfinden können.
Hier gibt es ein klitzekleines Problem: Die zahlreichen Standards für Datenstruktur, Syntax und Datenaustausch sind noch nicht konkret benannt. Parallel zur EHDS-Initiative hat die EU viele Stakeholder aus dem Gesundheitssektor zu einer „Joint Action Towards the European Health Data Space“ (TEHDAS) zusammengetrommelt. Unter der Koordination des finnischen Thinktanks „Sitra“ evaluieren sie, wie der EHDS in die Praxis umgesetzt werden könnte. Aus Deutschland beteiligen sich die Gesundheitsagentur Gematik und das bereits erwähnte FDZ.
In ihrer Analyse „Recommendations to enhance interoperability within HealthData@EU“ vom Dezember 2022 hat TEHDAS Datenstandards auf ihre Tauglichkeit hin geprüft. Für den Datenaustausch zwischen Systemen im Gesundheitswesen, etwa von digitalen Patientenakten, hat der Kommunikationsstandard Fast Healthcare Interoperability Resources (FHIR) Bestnoten erhalten. FHIR wird beispielsweise von Unikliniken zum Transfer von Daten untereinander und in Richtung externer Forschungseinrichtungen gern genutzt. Man kann davon ausgehen, dass der Standard in der engen Auswahl ist.
FHIR dürfte auch eine Rolle beim XpanDH-Projekt (“Expanding Digital Health through a pan-European EHRxF-based Ecosystem“) spielen, das Ende Februar in Lissabon sein Kick-off-Meeting hatte: Ein Konsortium aus Forschungseinrichtungen, Unternehmen, zwischenstaatlichen Verbänden und Interessengruppen will darüber bis Ende 2024 „interoperable digitale Gesundheitslösungen auf der Grundlage einer gemeinsamen Übernahme des europäischen Formats für den Austausch elektronischer Gesundheitsdaten (EEHRxF)“ schaffen. Dieses Projekt lässt sich die EU immerhin zwei Millionen Euro Fördergeld kosten.
Damit die Standardisierung auch legislativ rasch anläuft, räumt sich die Kommission im EHDS-Entwurf selbst starke Befugnisse ein und verfolgt hier augenscheinlich – anders als etwa in der DSGVO – einen Top-Down-Ansatz. Ein EHDS-Ausschuss soll gemäß Artikel 65 des Verordnungsentwurfs die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedsstaaten erleichtern, indem er beispielsweise die nationalen Gesundheitsbehörden zusammenschaltet. Hier sollen thematische Untergruppen und Untergruppen von Untergruppen gebildet werden können.
Entscheidend sind aber die geplanten „Gruppen der gemeinsam Verantwortlichen für Infrastrukturen“ (Artikel 66), die unter anderem die Standards festlegen sollen. Diese Gruppen richtet demnach die EU-Kommission selbst ein. Ihnen gesteht der Entwurf zu, Gesetze in Form sogenannter „delegierter Rechtsakte“ zu erlassen. Diese Befugnis sei nötig, „um sicherzustellen, dass der EHDS seine Zwecke erfüllt“, heißt es im Entwurfstext. Immerhin gesteht Artikel 67 dem EU-Parlament und dem Europäischen Rat ein Vetorecht zu.
Opt-out oder Opt-in?
Wie eingangs erwähnt hat die EU-Kommission einen extrem ambitionierten Zeitplan vorgelegt. Ziel ist es, dass der EHDS bereits 2025 beginnt zu wirken. Deshalb müsste die Verordnung bereits Anfang 2024 in Kraft treten, um noch angemessene Übergangsfristen zu gewährleisten, bevor sie wirksam wird. Stellungnahmen von vielen Seiten zum Entwurf liegen bereits vor; derzeit beraten die beiden Gesetzgebungsorgane Rat und Parlament den Entwurf der Kommission.
Die Arbeitsgruppe Öffentliche Gesundheit des Ministerrats beschäftigt sich seit Januar mit dem EHDS und hat bereits einige Änderungen am Entwurf vorgeschlagen. So mahnt sie an, dass die Sekundärnutzung von Gesundheitsdaten für den Bereich der öffentlichen Sicherheit, der Verteidigung und der nationalen Sicherheit explizit verboten wird. Außerdem geht dem Rat der Ermessensspielraum der Kommission beim Erlass delegierter Rechtsakte zu weit. Beispielsweise möchte er verhindern, dass die Kommission Datenkategorien für die Sekundärnutzung nach Belieben ändern kann.
Im EU-Parlament sollte sich zunächst nur der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) mit dem EHDS-Entwurf auseinandersetzen. Mittlerweile hat sich aber der Ausschuss für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit (ENVI) hinzugesellt, was die Koordinierung von Änderungsvorschlägen erschweren dürfte. Anfang März haben die beiden Ausschüsse immerhin eine konsolidierte Version mit bislang 158 Änderungen gegenüber dem Kommissionsentwurf vorgestellt.
Von den Ausschüssen gab es kaum Kritik am Kapitel zur Primärnutzung, dafür forderten sie fundamentale Änderungen an der Sekundärnutzung von Gesundheitsdaten. Die Bürger sollen der Verwendung ihrer Gesundheitsdaten zu Forschungszwecken auch dann widersprechen können, wenn diese pseudonymisiert werden. Der Opt-out-Mechanismus soll „zugänglich und leicht verständlich“ sein, fordern die Parlamentarier. Eine Opt-in-Lösung würde ihr zu weit gehen, betonte die italienische Abgeordnete Annalisa Tardino (Lega), die als Berichterstatterin für den LIBE-Ausschuss die Verhandlungen koordiniert.
Dem widersprach Patrick Breyer, Europaabgeordneter der Piratenpartei und Schattenberichterstatter zum EHDS-Vorhaben: „Für viele Patienten, die nicht privilegiert sind, die wenig Zeit, begrenzte Sprachkenntnisse oder Bildung haben, die älter sind, ist es in der Praxis eine zu hohe Hürde, sich aktiv mit einer bestimmten Befugnis einmischen zu müssen – denken Sie nur an Ihre eigenen Eltern, Ihre Nachbarn.“ Breyer setzt auf das aus der DSGVO bekannte Instrument der freiwilligen und informierten Einwilligung.
Das Parlament soll den Vorschlägen der Ausschüsse zufolge außerdem beschließen, dass Gesundheitsdaten nur im EU-Hoheitsgebiet gespeichert werden dürfen. Cloud-Anbieter außerhalb der EU sollen tabu sein.
Noch stehen die Positionen der beiden Ausschüsse nicht endgültig. ENVI und LIBE planen die abschließenden Abstimmungen für Juli dieses Jahres. Die fertige Parlamentsposition soll dann nach der Sommerpause im Plenum verabschiedet werden. Die berühmt-berüchtigten abschließenden Trilog-Verhandlungen zwischen Kommission, Parlament und Rat dürften also im Herbst anstehen. Vieles spricht derzeit dafür, dass der Europäische Gesundheitsdatenraum tatsächlich ab 2025 einen kräftigen Digitalisierungsschub für Patienten, Forschung und Wirtschaft bringt. (hob@ct.de)
EHDS-Verordnungsentwurf und erwähnte Stellungnahmen: ct.de/y7ey