Digital Healthcare

Das eHealth-Datenschutz-Labyrinth

20.09.2017
Von   , Silvia C. Bauer und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.


Cornelia Yzer ist Managerin, Rechtsanwältin und Politikerin. Von 1992 bis 1997 war sie parlamentarische Staatssekretärin in der Bundesregierung. Von 2012 bis 2016 war sie Senatorin für Wirtschaft, Technologie und Forschung im Senat von Berlin. Darüber hinaus war Cornelia Yzer zwischen 1997 und 2012 als Hauptgeschäftsführerin des Verbandes forschender Arzneimittelhersteller (vfa) tätig.
Big Data Analytics liefern auch im Healthcare-Sektor wichtige Einblicke und Erkenntnisse. Allerdings muss in Sachen Datenschutzrecht noch Einiges passieren.

Die Digitalisierung wird auch den Gesundheitssektor nachhaltig verändern - in Forschung, Prävention und Therapie. Digitalisierung wird die strukturierte Nutzung der großen verfügbaren Datenmengen im Gesundheitssektor ermöglichen und kann so einen entscheidenden Beitrag zur Steigerung von Effizienz, Qualität und Sicherheit liefern.

Da Gesundheitsdaten ohne Frage sensibel sind, muss das Datenschutzrecht mit den neuen technologischen Möglichkeiten Schritt halten, um den berechtigten Anliegen des Einzelnen nach hohen Schutzstandards zu entsprechen - ohne dabei die Chancen für die Optimierung von Forschungsprozessen und Versorgung zu verbauen.

Wenn Datenschutz auf Big-Data-Anwendungen in der Healthcare-Branche trifft, wird es kompliziert. Wir zeigen Ihnen den Weg durch den Datenschutzrecht-lrrgarten.
Wenn Datenschutz auf Big-Data-Anwendungen in der Healthcare-Branche trifft, wird es kompliziert. Wir zeigen Ihnen den Weg durch den Datenschutzrecht-lrrgarten.
Foto: Mopic - shutterstock.com

Das bringt das eHealth-Gesetz

Das Ende 2015 in Kraft getretene eHealth-Gesetz soll eine digitale Kommunikation zwischen den behandelnden Ärzten und Einrichtungen ermöglichen und so den Austausch über Patientendaten vereinfachen. Dazu wurden insbesondere das SGB I, V und XI, aber auch weitere relevante Gesetze (wie etwa das BSI-Gesetz) überarbeitet und geändert. Diese neuen Vorgaben werden seitdem Schritt für Schritt umgesetzt. Die wichtigsten Neuerungen stehen aber erst noch bevor: Ab dem 1. Januar 2018 besteht für Versicherte die Möglichkeit, notfallrelevante Informationen (zum Beispiel Diagnosen, Medikation, Allergien, Unverträglichkeiten) auf ihrer elektronischen Gesundheitskarte (eGK) speichern zu lassen.

Mit dem 1. Januar 2019 wird dann die elektronische Patientenakte eingeführt, in der wichtige elektronische Dokumente wie Arztbriefe, Medikationspläne, Notfalldatensätze oder Impfausweise aufbewahrt werden können. Um auf diese elektronische Akte zugreifen zu können, wird seitens der behandelnden Personen oder Einrichtungen ein "eArztausweis" benötigt. Die Akte liegt nicht beim Arzt, beziehungsweise beim Krankenhaus, sondern in der Hand des Patienten. Im günstigsten Fall erfahren die Patienten durch diese Maßnahmen eine effizientere und erfolgversprechendere Behandlung.

Big Healthcare Data

Allein in Deutschland sollen 2017 knapp 400 Millionen Euro im Digital-Healthcare-Sektor umgesetzt werden. Bis 2020 soll der Markt weltweit auf ein Volumen von circa 200 Milliarden Euro anwachsen. Die Wachstumsraten liegen teilweise im zweistelligen Prozentbereich. Das ruft selbstverständlich Anbieter von Smart- und Big- Data-Anwendungen auf den Plan. Insbesondere IBM mit seinem KI-System Watson, aber auch die Google-Mutter Alphabet oder die Deutsche Telekom sind in diesem Segment aktiv.

Durch die Nutzung von Smart- und Big Data sollen die potentiell riesigen Mengen an Gesundheitsdaten der Patienten erfasst, entsprechend verarbeitet und genutzt werden. Neben der Krankenhaus-Organisation wird sich durch die Datenmengen insbesondere ein Vorteil für die Forschung und daraus resultierend für die Behandlung der Patienten ergeben. So kann zum Beispiel IBMs Watson nicht nur alle Patientendaten für Anamnese, Differentialdiagnostik und Online-Services (beispielsweise Zweitmeinung und Patienteninformationen) auswerten und übersichtlich aufbereiten.

Das smarte System kann auch bereits die Plausibilität der Patientendaten überprüfen und die wahrscheinlichsten Diagnosen zu den aktuellen Beschwerden - unter Berücksichtigung der bisherigen Krankengeschichte - vorschlagen. Es versteht sich von selbst, dass für ein "lernendes" KI-System eine umfassende Verarbeitung von Daten die zwingende Voraussetzung zur Verbesserung der Leistung ist.

Datenschutz in der Healthcare-Branche

Bei all den medizinischen und geschäftlichen Chancen muss jedoch auch stets der Datenschutz bedacht werden. Denn Gesundheitsdaten (wie auch genetische und biometrische Daten) sind nach der ab dem 25. Mai 2018 vorrangig anzuwendenden Datenschutzgrundverordnung (DSGVO) gem. Art. 9 Abs. 1 DSGVO "besondere Kategorien personenbezogener Daten", die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind. Dabei sind im Gesundheitsbereich, neben den genuinen Datenschutznormen der DSGVO, eine Vielzahl von anderen Normen zu beachten, so etwa das BDSG-neu, die eIDAS-Verordnung sowie weitere Spezialregelungen.

Durch diverse Öffnungsklauseln der DSGVO (für den Gesundheitsbereich ist insbesondere Art. 9 Abs. 4 DSGVO relevant) werden zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht. Es ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen. Durch diese Komplexität ähnelt der Datenschutz im eHealth-Bereich einem Labyrinth.

Zu unterscheiden sind hierbei vornehmlich zwei Anwendungsfälle: Zum einen die Verwendung der elektronischen Gesundheitskarte/Patientenakte und der darin enthaltenen Informationen, zum anderen die Verwendung von Gesundheitsdaten in Smart- und Big-Data-Anwendungen.

Elektronische Gesundheitskarte und Patientenakte

Die Nutzung der elektronischen Gesundheitskarte (inklusive der Notfalldaten) und der elektronischen Patientenakte für bestimmte Anwendungen richtet sich nach § 291a SGB V. Das Erheben, Verarbeiten und Nutzen von Daten ist danach für den Patienten/Versicherten freiwillig und darf nur mit dessen Einwilligung erfolgen. Die Einwilligung zu einer Anwendung erteilt der Versicherte dem entsprechenden Heilberufler schriftlich, ein Verweis darauf wird auf der elektronischen Gesundheitskarte gespeichert.

Ob aber dann zum Beispiel schon in der Abgabe der elektronischen Gesundheitskarte beim Arzt eine Einwilligung zu sehen ist, kann derzeit noch nicht abschließend beantwortet werden. Denn noch ist unklar, ob diese Vorgehensweise den Aufsichtsbehörden und Gerichten ausreicht. Auch wenn der vorrangige Zweck des Gesetzes die Vereinfachung der Kommunikation und der Behandlung ist, so muss jedoch allein schon aufgrund der Formulierung des § 291a SGB V stets auch der Datenschutz beachtet werden. Aufgrund des hohen Stellenwerts der Gesundheitsdaten könnte hier somit ein sehr strenger Maßstab angelegt werden.

Die Einwilligung ist außerdem auf Anwendungen gem. § 291a Abs. 3 S. 1 SGB V beschränkt und kann nur durch einen eingeschränkten Personenkreis - Angehörige der Heilberufe und deren autorisierten Mitarbeitern - vorgenommen werden. § 291 a Abs. 8 SGB V legt dabei fest, dass niemand vom Inhaber der eGK verlangen darf, den Zugriff auf Daten der Fachanwendungen anderen als den im Gesetz genannten Personen oder zu anderen Zwecken zu gestatten. Auch Vereinbarungen mit dem Versicherten über Derartiges sind unzulässig. In der Folge ist es ausdrücklich verboten, Versicherte zu bevorzugen oder zu benachteiligen, falls sie einem Zugriff zugestimmt oder ihn verweigert haben.

Ohne eine Einwilligung dürfen Gesundheitsdaten nur dann verarbeitet werden, wenn eine der Privilegierungen des Art. 9 Abs. 2 DSGVO vorliegt. Hier sind insbesondere lit. h) und lit. i) zu nennen, die für Zwecke der Gesundheitsvorsorge und -behandlung sowie der öffentlichen Gesundheit eine Befreiung vom Einwilligungserfordernis vorsehen.