Symbolbild für European Health Data Space

Datenschutz im digitalen Gesundheitsdatenraum (European Health Data Space)

Die EU will ihr Gesundheitssystem digitalisieren, damit alle EU-Bürger:innen elektronischen Zugriff auf ihre persönlichen Gesundheitsdaten haben. Auch die Nutzung medizinischer Daten für Forschungszwecke soll hierdurch erleichtert werden. Datenschützer:innen sehen diese Pläne allerdings kritisch.  

 

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2023-08-17

Logo
  • Author: Marcus Geck
    Marcus berät bei Proliance als Senior Privacy Manager Kunden bei der praktischen Umsetzung der komplexen datenschutzrechtlichen Vorgaben. Durch seine langjährige Tätigkeit als Rechtsanwalt sowie Unternehmensberater im Bereich Datenschutz kennt der Volljurist und Europajurist (Univ. Würzburg) die Herausforderungen, vor denen insbesondere kleine und mittlere Unternehmen stehen, genau.

Datenschutz im digitalen Gesundheitsdatenraum (European Health Data Space)

Die Europäische Union plant die Digitalisierung des Gesundheitswesens. Unter anderem sollen alle EU-Bürger:innen elektronisch auf personenbezogene Gesundheitsdaten zuzugreifen können. Für den Europäischen Raum für Gesundheitsdaten (European Health Data Space, kurz: EHDS) hat die EU-Kommission bereits einen Verordnungsentwurf veröffentlicht. 

Wie eine einheitliche Gesundheitsversorgung aussehen kann, welche Vorteile ein digitales Ökosystem innerhalb der EU mit sich bringen würde und was Datenschützer:innen dazu sagen, erfahren Sie in diesem Artikel. 

Datenschutz im Gesundheitsbereich

In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird.
Arbeiten auch Sie mit solchen Daten? Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert und unterstützen Sie gern. 

Jetzt mehr erfahren

European Health Data Space: Was ist das?

Der Europäische Raum für Gesundheitsdaten soll es EU-Mitgliedsstaaten zukünftig ermöglichen, das Gesundheitswesen mittels Digitalisierung zu vereinheitlichen. Ziel ist es, ein europaweites Ökosystem im Gesundheitssektor zu schaffen, das einen einheitlichen Rechtsrahmen vorsieht und EU-Bürger:innen sowie Gesundheitsunternehmen eine Vielzahl von Vorteilen bieten kann. 

Nach der Vision der EU-Kommission sollen die Mitgliedsstaaten an gemeinsam festgelegte Vorschriften gebunden sein, die unter anderem bestimmte gesundheitsspezifische Verfahren und Infrastrukturen definieren. Eine solche Entwicklung würde auch der Datenstrategie entsprechen, die die EU seit Jahren verfolgt und vorantreibt. 

Gut zu wissen: Sollte der Entwurf realisiert werden, ist die geplante Verordnung unmittelbar in jedem EU-Land gültig. Eine Umsetzung in nationales Recht wäre demnach nicht erforderlich. Der europäische Raum für Gesundheitsdaten würde alle EU-Länder verpflichten. 

Warum ist ein europäischer Gesundheitsdatenraum erforderlich?

Im Vergleich zu anderen Ländern liegen europäische Länder weit hinten, was die Digitalisierung im Gesundheitssektor und die Gesundheitsforschung betrifft. Dies liegt nicht zuletzt daran, dass relevante Daten aus dem Gesundheitswesen sowohl für Betroffene als auch für die Wissenschaft und Politik größtenteils unverfügbar sind. 

Dabei bräuchte es für eine Reform und die damit verbundenen politischen Entscheidungen gerade den unkomplizierten Zugang zu Gesundheitsdaten. Insbesondere während der Corona-Pandemie wurde dieser Missstand auch in Deutschland mehr als deutlich. 

Eine sinnvolle politische Auseinandersetzung mit den Herausforderungen unserer Zeit ist nur dann möglich, wenn sie faktenbasiert und empirisch geführt wird. Ohne den Zugang zu gesundheitsspezifischen Daten und Forschungsergebnissen aus dem Gesundheitswesen lässt sich das Gesundheitssystem innerhalb der EU nicht reformieren. 

Deshalb ist ein europäischer Raum für Gesundheitsdaten notwendig, der klare rechtliche Standards vorgibt und einen sicheren Umgang mit Gesundheitsdaten schafft. Um diese Vision zu realisieren, sind in allen Mitgliedsstaaten grundlegende Veränderungen erforderlich:  

  • Alle EU-Mitgliedstaaten müssen ihre nationalen Gesundheitssysteme an das digitale Zeitalter anpassen. Dies erfordert nicht nur eine effiziente Digitalisierungsstrategie, sondern unter Umständen auch eine große Umstrukturierung im Gesundheitswesen.
  • EU-Bürger müssen in der Lage sein, über elektronische Geräte jederzeit auf ihre personenbezogenen Daten zuzugreifen und diese eigenständig zu verwalten. Hierfür wäre ein grundlegendes Umdenken - insbesondere im Hinblick auf die ältere Generation - notwendig.

Was sind die Vorteile einer Gesundheitsunion innerhalb der EU?

Wer an einer europäischen Gesundheitsunion zweifelt, muss sich nur vor Augen führen, was passiert, wenn die EU den Gesundheitssektor nicht einheitlich reguliert: Aktuell greifen ausländische Unternehmen auf europäische Gesundheitsdaten zu, um wirtschaftliche Erfolge zu erzielen.

Dabei werden die Standards des EU-Datenschutzes, auf den sich alle Mitgliedstaaten geeinigt haben, größtenteils nicht eingehalten. Dies führt zu einem Kontrollverlust auf Seiten der EU-Länder - und zu unrechtmäßigen Datenverarbeitungen zu Ungunsten der EU-Bürger:innen. Ein einheitliches Gesundheitssystem innerhalb der EU würde die fehlende Datensouveränität wiederherstellen.

Darüber hinaus bietet ein europäisches Gesundheitswesen folgende Vorteile:

  • EU-Bürger:innen stehen im Mittelpunkt: Sie können grenzüberschreitend Gesundheitsdaten einsehen, kontrollieren und in Gebrauch nehmen (z.B. im Rahmen einer ärztlichen Behandlung im EU-Ausland). Durch einen direkten Zugriff auf Gesundheitsdaten könnten sich Bürger:innen flexibel dazu entscheiden, einer gesundheitsspezifischen Datenverarbeitung zuzustimmen oder zu widersprechen.
  • Ein europäischer Raum für gesundheitliche Daten fördert den Binnenmarkt und bildet die Grundlage für eine zwischenstaatliche Zusammenarbeit und einen Austausch von gespeicherten Gesundheitsdaten zwischen den Mitgliedstaaten, etwa zu Forschungszwecken.
  • Innerhalb einer Gesundheitsunion gelten einheitliche Standards und rechtsstaatliche Regelungen, die nicht nur die Anforderungen an den Datenschutz, sondern auch europäische Werte und Grundsätze berücksichtigen. Hierdurch kann einer rechtswidrigen Datennutzung durch außereuropäische Länder und Unternehmen entgegengewirkt werden. 
  • Gesundheitsdaten könnten – unter Berücksichtigung europäischer datenschutzrechtlicher Regeln – für verschiedene Zwecke verarbeitet werden (z.B. Forschungsprojekte, Entwicklung KI-basierter Behandlungsmethoden, gesundheitspolitische Entscheidungen, Statistiken zum Gesundheitswesen innerhalb der EU).  
  • Die geplante Verordnung untersagt eine werbliche Datenverarbeitung oder die nachteilige Nutzung personenbezogener Daten (etwa für gewerbliche Zwecke wie dem Abschluss von teuren Versicherungen). 
  • Klare Rechtsgrundlagen zur Digitalisierung ohne datenschutzrechtliche Unsicherheiten und ein klarer Rechtsrahmen für europäische Unternehmen, statt einem Untätigbleiben aus Angst vor Sanktionen (z. B. umsatzbezogene Geldstrafen). 

Austausch von Gesundheitsdaten: Braucht es ein Gesundheitsdatennutzungsgesetz? 

Gesundheitsdaten sind sensibel und stehen daher unter einem besonderen Datenschutz. Allerdings fehlen insbesondere im Hinblick auf digitale Systeme an vielen Stellen klare gesetzliche Regelungen, die diesen Schutz gewährleisten. Ein Gesundheitsdatennutzungsgesetz könnte hier eine verlässliche Rechtsgrundlage bilden. 

Ein Gesetz zur Nutzung von Gesundheitsdaten wurde bereits im Koalitionsvertrag angekündigt. Die Bundesregierung orientierte sich dabei an der Zielvorstellung, eine digitale Gesundheitsversorgung zu schaffen und dadurch das Gesundheitswesen auf ein zeitgemäßes Niveau anzuheben. 

Dabei geht es nicht nur um die Frage, wie und durch wen gespeicherte Gesundheitsdaten verarbeitet werden dürfen, sondern auch darum, unter welchen Voraussetzungen gesundheitsspezifische Informationen für Forschungszwecke etc. verfügbar gemacht werden können. 

 

Wie beurteilen Datenschützer:innen den EHDS? 

Ein Gesetz zur Datenverarbeitung im Gesundheitswesen wäre die ideale Voraussetzung für eine Interoperabilität im Gesundheitswesen und ein weiterer Schritt in Richtung Rechtsklarheit bei der Digitalisierung und der Sekundärnutzung (Weiterverwertung) von Gesundheitsdaten. Allerdings stehen sowohl die Pläne zum Gesundheitsdatennutzungsgesetz als auch der EHDS bei Datenschützer:innen in der Kritik. 

Die Datenschutzkonferenz von Bund und Ländern (DSK) hat eine gemeinsame Stellungnahme veröffentlicht und kritisiert, dass die Vorschläge der Kommission die Patient:innenrechte nicht ausreichend schützen und der EHDS das Schutzniveau der DSGVO aushöhle. 

Außerdem haben verschiedene Organisationen und Patient:innenverbände in einem offenen Brief mehr Schutz für Gesundheitsdaten und mehr Mitspracherechte für Patient:innen gefordert. Dabei geht es vor allem um die Sekundärnutzung – also die Nutzung medizinischer Daten für die Forschung oder für kommerzielle Zwecke, aber auch um die Primärnutzung von Daten, etwa im Rahmen von Behandlungen. 

Das EU-Parlament diskutiert in diesem Zusammenhang, ob Betroffene der Datennutzung in Form eines Opt-outs lediglich widersprechen oder explizit in die Nutzung einwilligen müssen (Opt-in). Erstere Lösung lehnen die Unterzeichner:innen ab. Auch die DSK bevorzugt ein Opt-in.

Expertenstimme: Kurzinterview mit Prof. Dr. Boris Paal 

Herr Prof. Paal, wie schätzen Sie die Datenschutzdiskussion rund um den EHDS ein? 

Prof. Boris Paal: Im Grundsatz wird zu entscheiden sein, ob und wie den Patientinnen und Patienten ein Zustimmungs- oder Widerspruchsrecht gegen die Weiterverwendung ihrer Daten zu Forschungs- und kommerziellen Zwecken eingeräumt werden soll. Die Einräumung von gesetzlichen Nutzungsrechten (wie es der Kommissionsentwurf und ein Opt-out-Verfahren vorsehen) wird sich insbesondere vor dem Hintergrund der grundrechtlichen Standards aus den Artikeln 7 und 8 Charta der Grundrechte der Europäischen Union (GRCh) an der Verhältnismäßigkeit messen lassen müssen.  

Was ist das Problem bei der geplanten Widerspruchslösung?  

Fraglich ist, wie ein verhältnismäßiger Interessenausgleich gelingen kann, wenn kein Widerspruchsrecht der Patientinnen und Patienten betreffend die Sekundärnutzung etabliert werden sollte. Aus juristischer Perspektive dürften sowohl ein niederschwelliges Widerspruchsrecht im Sinne eines Opt-out-Verfahrens wie auch erst recht ein vorgelagertes Zustimmungserfordernis (Opt-in) verhältnismäßig und rechtssicher umsetzbar sein. Welches Verfahren vorzugswürdig ist, wird auch und gerade in ethischer und technischer Hinsicht diskutiert und entschieden werden müssen.  

Welche datenschutzrechtlichen Punkte sollten Ihrer Meinung nach noch berücksichtigt werden? 

Es ist die grundsätzliche Kritik hinsichtlich einer möglichen Schwächung der nach der DSGVO besonders geschützten Gesundheitsdaten zu berücksichtigen. In diesem Kontext wird vor allem ein Blick auf die umfassende Regelung der Pseudonymisierung zu richten sein. Insgesamt darf die Ausgestaltung des Europäischen Gesundheitsdatenraums nicht den hohen Schutzstandard der DSGVO konterkarieren; denn für die vielfach hochsensiblen Gesundheitsdaten darf kein weniger weitreichendes Schutzregime greifen. 

EHDS: Wann sollten Unternehmen handeln? 

Lange Verfahren, komplizierte Prozesse, unnötige Bürokratie – all diese Altlasten sollen der Vergangenheit angehören. Doch sind die EU-Länder bereit, ihre Systeme an das digitale Zeitalter anzupassen? 

In Deutschland werden Gesundheitsdaten größtenteils analog verarbeitet und unter Verschluss gehalten. Das Gesundheitswesen ist konservativ aufgestellt und wenig flexibel. Eine Digitalisierungsstrategie ist allerdings schon seit Jahren fällig und wird durch die Bevölkerung auch zunehmend gefordert. 

Mit der geplanten Verordnung zum europäischen Gesundheitsdatenraum hat die Europäische Kommission den ersten Schritt in Richtung Gesundheitsunion getan. Dieser muss ggf. weiter ausgearbeitet und sodann vom Europäischen Parlament und dem Europäischen Rat beschlossen werden, bevor er für alle Mitgliedsstaaten gilt.  

Betroffene Unternehmen und Einrichtungen können sich schon heute auf die digitale Gesundheitsversorgung vorbereiten und interne Anpassungen treffen, um auch zukünftig rechtssicher Daten verarbeiten zu können. Eine Datenschutz-Software, die den rechtlichen Rahmen der EU berücksichtigt, kann bei der Umsetzung der neuen Regelungen unterstützen. 

Gerne beraten wir Sie zu den Möglichkeiten im Datenschutz und zu den technischen Voraussetzungen für eine rechtssichere Datenverarbeitung. Kommen Sie für ein unverbindliches Erstgespräch jederzeit auf uns zu. 

Fazit zum EHDS: Guter Ansatz mit offenen Datenschutzfragen

Langfristig wird die EU das Gesundheitswesen digitalisieren und auf diese Weise ein einheitliches Ökosystem schaffen. Der europäische Gesundheitsdatenraum wird dann als erste Anlaufstelle dienen, die es EU-Bürger:innen ermöglicht, eigenständig auf Gesundheitsdaten zuzugreifen und ihre Verwendung zu kontrollieren. Damit die Menschen allerdings von den Vorteilen eines EHDS profitieren können, müssen zuerst wichtige Fragen des Datenschutzes geklärt werden.  

Ein Gesundheitsdatennnutzungsgesetz soll in Deutschland die Verwendung von sensiblen Informationen im Gesundheitsbereich regulieren und eine bessere Forschung auf diesem Gebiet in die Wege leiten. Datenschützer:innen fordern allerdings, den Bürger:innen mehr informationelle Selbstbestimmung und mehr Kontrolle über ihre Daten zu geben. 

Für die Politik gibt es auf dem Weg zum EHDS also noch einiges zu tun. Unternehmen können sich am besten vorbereiten, indem sie sich weitestgehend digital ausrichten, um auch in Zukunft Sanktionen zu vermeiden. 

Sie haben Fragen zum Thema? Gerne leisten wir rechtliche sowie technische Unterstützung und beraten Sie in einem Erstgespräch. Dabei zeigen unsere Experten Ihnen Möglichkeiten und Chancen auf. Kontaktieren Sie uns jederzeit.

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 17.08.2023

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr