Gesundheitsdaten können viel über Menschen verraten und sind deshalb besonders schützenswert. Anlässlich des Europäischen Datenschutztages erklären Dr. Michael Friedewald und Greta Runge von der Plattform Privatheit, welche Aspekte die Forschung aktuell besonders beschäftigen. Auch bei der Nationalen Konferenz IT-Sicherheitsforschung im März steht das Thema auf der Tagesordnung.
Gesundheitsdaten sollen in der Europäischen Union (EU) zukünftig effektiver genutzt werden: bei der Versorgung der Menschen, in der Forschung und Entwicklung sowie für die Weiterentwicklung des Gesundheitswesens. Im März 2024 ist eine Einigung zwischen den EU-Mitgliedstaaten, dem EU-Parlament und der Europäischen Kommission zur Verordnung über die Schaffung eines Europäischen Raums für Gesundheitsdaten erzielt worden. Die Datenstrategie der EU etabliert hierdurch ein neues Rechtsgebiet: das Datenwirtschaftsrecht.
Auch bei der Nationalen Konferenz IT-Sicherheitsforschung im März steht das Thema Datenschutz auf der Tagesordnung.
Während im Datenrecht bislang vor allem der Schutz von personenbezogenen Daten und zuletzt auch die Sicherheit der Dateninfrastruktur im Vordergrund standen, zielen die neuen Rechtsakte (Data Act, Data Governance Act und die sektorspezifischen Datenräume) vor allem auf eine effiziente Datennutzung durch das Teilen von Daten. Es wird damit ein europäischer Binnenmarkt für Daten geschaffen.
Im Interview erklären Dr. Michael Friedewald und Greta Runge, wohin diese Entwicklung führen soll und ob sich dadurch die Sicherheit personenbezogener Daten in Europa ändern wird. Dr. Michael Friedewald ist Geschäftsfeldleiter Informations- und Kommunikationstechniken beim Fraunhofer-Institut für System- und Innovationsforschung (ISI) und Projektkoordinator der vom Bundesforschungsministerium geförderten Plattform Privatheit. Greta Runge ist wissenschaftliche Mitarbeiterin bei Fraunhofer ISI und der Plattform Privatheit.
Dr. Michael Friedewald: Gesundheitsdaten bieten ein großes Potenzial für Verbesserungen im Gesundheitswesen, sowohl für das Individuum als auch für die Gesellschaft als Ganzes. Erstens ermöglichen sie eine bessere Versorgung, zum Beispiel wenn Ärzt:innen auf umfassende Gesundheitsdaten zugreifen können, die in einer elektronischen Patientenakte vorliegen. Dies kann zu verbesserten Behandlungen führen, die auf den individuellen Bedarfen der Patient:innen basieren. Zweitens sind Gesundheitsdaten eine wichtige Grundlage für die Forschung und Entwicklung neuer Therapien und Medikamente. Drittens können Gesundheitsdaten auch für die Überwachung von Krankheitsausbrüchen und Trends in der öffentlichen Gesundheit eine Rolle spielen. Und viertens helfen Gesundheitsdaten, Abläufe im Gesundheitssystem zu optimieren, Ressourcen effizienter zu nutzen und Kosten zu senken, etwa durch die Vermeidung unnötiger Mehrfachuntersuchungen.
Allerdings gibt es wenige Daten, die so persönlich sind wie Gesundheitsdaten. Ein Missbrauch oder die unbefugte Offenlegung von Gesundheitsdaten, insbesondere über chronische und psychische Krankheiten oder von genetischen Daten, kann zu erheblichen Schäden führen. Für die Patient:innen besteht insbesondere die Gefahr der Diskriminierung. Etwa, wenn Personen nur noch mit hohen Beiträgen oder gar nicht versichert werden. Oder wenn Personen aufgrund ihres Gesundheitszustands soziale Ausgrenzung oder Stigmatisierung erfahren. Aus diesem Grund gelten Gesundheitsdaten im Datenschutzrecht als besonders schützenswert. Diejenigen, die diese Daten sammeln und verarbeiten, müssen daher auch erhöhte Anforderungen an den technischen und organisatorischen Schutz erfüllen.
Greta Runge: Der Aufbau von Dateninfrastrukturen für den Gesundheitsbereich ist aufgrund der Vielfalt an Datenquellen, der bereits erwähnten Sensibilität der gesundheitsbezogenen Daten sowie der Komplexität des Gesundheitssystems herausfordernd. Kooperation und Wissenstransfer sind wichtige Anforderungen für die Entstehung eines datenschutzkonformen Gesundheitsdatenraums in Deutschland. Interorganisationale Datennutzung im Gesundheitsbereich bietet auch Chancen, wie die Integration von Gesundheitsdaten für personalisierte Behandlungskonzepte, und wird daher priorisiert und gefördert. Verschiedene Akteure des Gesundheitssektors kommen in Gaia-X-Leuchtturmprojekten, wie HEALTH-X dataLOFT und TEAM-X, unter dem Schirm der Domäne Gesundheitswesen des Gaia-X Hub Germany zusammen, um Vernetzungspotenziale zu erschließen.
Der Datenraumaufbau erfolgt hierbei nach festgelegten Gaia-X-Standards und -Komponenten sowie den Grundsätzen: Dezentralisierung, Föderation und Offenheit. Auf dieser Basis sollen Datenräume nicht nur sicher, sondern auch transparent gestaltet werden. Das heißt, dass Bürgerinnen und Bürger umfassend über die Verarbeitungen ihrer Gesundheitsdaten informiert und sogar aktiv in den Aufbau von Datenräumen einbezogen werden sollen. Das fördert nicht nur die Akzeptanz neuer Technologien, sondern auch die Qualität der technischen Lösung.
Greta Runge: Auf europäischer Ebene wird seit 2022 der European Health Data Space (EHDS) aufgebaut. Ziel des Datenraums ist es, den Zugang und die Kontrolle über persönliche Gesundheitsdaten, den Binnenmarkt für elektronische Patientendatensysteme, Medizinprodukte und KI-Systeme zu fördern und einen Rahmen für die vertrauensvolle Nutzung von Gesundheitsdaten für Forschung und Innovationsentstehung im öffentlichen Interesse zu schaffen. Neben den deutschen Vorhaben sind die Entwicklungen im Nachbarland Schweiz interessant. Der Verein Gesundheitsdatenraum Schweiz (GdS) wurde 2022 mit dem Ziel der „menschenzentrierten Digitalisierung des Gesundheitswesens“ durch Privatakteure gegründet. Die Datenraumteilnehmenden fordern bei diesem Vorhaben ihre bestehenden Daten aus Gesundheitsdatenkonten und/oder den elektronischen Patientendossiers an und führen sie im persönlichen „GdS Logbuch“ zusammen. Hierin vermerken sie Feedback zur Auffindbarkeit, Interoperabilität und Integration der Daten. Am Datenraum teilnehmende Ärzt:innen nutzen diese Daten für etwaige Gesundheitschecks. Wir finden hier eine Interpretation des Konzepts Datenraum, die einen aktiven Umgang mit den eigenen Gesundheitsdaten umsetzt. Eine weitere Interpretation und Realisierung eines Datenraums ist in den Niederlanden zu beobachten. Der Health Data Space Amsterdam (HDSA) basiert auf dem Zusammenschluss Amsterdamer Krankenhäuser, um medizinische Daten von Patient:innen auszutauschen und die Versorgungsqualität zu verbessern.
Das Personal im Gesundheitswesen soll so effektiver arbeiten können und der Zugang zu Daten für medizinische Forschungszwecke erleichtert werden. Allein an diesen beiden Beispielen wird die Vielfältigkeit der Interpretation des Konzepts Datenraum deutlich. Gemeinsam ist in ihrer Ausgestaltung jedoch die Systematisierung und Integration von verschiedenen Datenquellen und Akteursgruppen zur Verbesserung von gesundheitsbezogenen Systemen und Diensten.
Dr. Michael Friedewald: Mobile Endgeräte wie Smartphones oder Smartwatches können heute gesundheitsbezogene Daten wie körperliche Bewegung, Puls oder Schlafmuster messen oder ableiten. Darüber hinaus gibt es spezielle Geräte wie beispielsweise Fitnesstracker, Blutdruck- oder Diabetes-Sensoren, die ausschließlich zur Erfassung von Vitaldaten entwickelt wurden. Apps, die solche Vitaldaten verarbeiten, fallen überwiegend in die Kategorie der sogenannten Lifestyle- oder Wellness-Apps, die nicht als Gesundheitsanwendungen im engeren Sinne behandelt werden und deshalb nicht der strengeren Regulierung für Medizinprodukte unterliegen.
Trotzdem müssen solche Anwendungen die Anforderungen des Datenschutzrechts erfüllen. Regelmäßige Untersuchungen zeigen aber, dass sie sich häufig in einem Graubereich bewegen, wo es an Transparenz fehlt, insbesondere, wenn Vitaldaten für die Verarbeitung in eine Cloud geladen werden. Hier haben wir Datenschützer:innen immer mindestens ein Unbehagen, was dort mit den Daten tatsächlich geschieht. Anders sieht es bei den Gesundheits-Apps aus, die als Medizinprodukte gelten und von Ärzt:innen verschrieben und von der Krankenkasse erstattet werden – die sogenannten Digitalen Gesundheitsanwendungen (DiGA). Diese werden von einer Zulassungsbehörde umfassend auf die Einhaltung der strengen Datenschutzanforderungen für Gesundheitsdaten überprüft. Aktuell sind allerdings nur 57 DiGA zugelassen.