eHealth-Daten: Einwilligung Pflicht?
Davon zu unterscheiden ist die Weitergabe von Gesundheitsdaten im Rahmen von Smart- und Big-Data-Anwendungen. Aufgrund der Sensibilität der Daten ist nach Art. 9 Abs. 1 EU-DSGVO auch hier stets die Einwilligung des Patienten/Versicherten erforderlich. Dies betrifft zum Beispiel die bereits dargestellte Arbeitsweise von IBM Watson hinsichtlich der Analyse von Gesundheitsdaten und entsprechende Diagnosevorschläge.
Ärzte, Krankenhäuser und andere Heilberufler, die sich solcher KI-Systeme bedienen, müssen also grundsätzlich den Patienten/Versicherten vor der Datenverarbeitung über diese informieren und sein Einverständnis einholen. Darüber hinaus müssen, falls die Daten an Stellen außerhalb er EU/EWR übermittelt werden, die Regelungen zur Auftragsdatenverarbeitung beachtet werden. Ebenso dürfte aufgrund der Verarbeitung sensibler Daten und dem Einsatz neuer Technologien in Form von KI-Systemen stets eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO erforderlich sein.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Ausweg Forschungsprivileg?
Dieser Weg zur Verbesserung medizinischer Anwendungen erscheint aufgrund der datenschutzrechtlichen Regelungen jedoch mühsam und bei der Menge an Patienten/Versicherten nicht gangbar. Eine Lösung könnte das sogenannte "Forschungsprivileg" darstellen: durch die Öffnungsklausel des Art. 9 Abs. 4 EU-DSGVO in Verbindung mit §§ 22, 27 BDSG-neu kann unter Umständen das Erfordernis der Einwilligung entfallen. Grundvoraussetzung für die Datenverarbeitung ist jedoch die Gewährleistung eines hohen Schutzniveaus durch die Umsetzung der in § 22 BDSG-neu genannten Maßnahmen. Eine Einwilligungsfreiheit kann dann nach § 27 BDSG-neu vorliegen, wenn wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke verfolgt werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Außerdem müssen die Daten anonymisiert werden, falls dies nicht den Forschungszweck beeinträchtigt.
Das bedeutet, dass die Datenverarbeitung für Forschungsprojekte grundsätzlich einer Abwägung zu unterziehen ist. Relevant ist dies insbesondere für die zahlreichen neuen Plattformen, auf denen Daten zu wissenschaftlichen Zwecken geteilt werden. Beispielhaft genannt seien hier nur die bereits 2014 gestartete Transparenz-Initiative der pharmazeutischen Industrie, Clinical Study Data Request, oder das OncoTrack-Projekt im Rahmen der Innovative Medicines Initiative als pan-europäisches Projekt zur Identifizierung relevanter genetischer Biomarker. Nahezu ein Terabyte medizinischer Daten wird hier voraussichtlich per Studienteilnehmer generiert werden. Für die klinische Forschung wird allerdings auch künftig die Einwilligung das Mittel der Wahl sein, zumal hier vorrangig die Bestimmungen der EU-Verordnung Nr. 536/2014 gelten. Solche Einwilligungen könnten allerdings auch weit ausgestaltet werden und zukünftige Forschungszwecke einbeziehen.
Ob das Forschungsprivileg jedoch auch auf die Sammlung von Daten zur Verbesserung der KI-Systeme selbst (Stichworte: Deep Learning und Machine Learning) angewendet werden kann, ist zweifelhaft. Zwar könnte damit argumentiert werden, dass KI-Systeme ihrerseits ein Forschungsgebiet darstellen beziehungsweise statistische Zwecke erfüllen können. Aufgrund der Absätze 2 und 3 des Art. 9 DSGVO erscheint dies aber zweifelhaft, gerade wenn eHealth-Daten verarbeitet werden und bei den Betreibern von KI-Anwendungen kein medizinisches, dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegendes Fachpersonal vorhanden ist. Es bleibt somit festzuhalten, dass Unternehmen, die Healthcare-Daten mit Hilfe von Smart- und Big-Data-Anwendungen verarbeiten, grundsätzlich nur mit der Einwilligung der jeweiligen Patienten/Versicherten auf der sicheren Seite sind. Darüber hinaus dürfte lediglich die Verarbeitung von für ein (medizinisches) Forschungsprojekt relevanten Gesundheitsdaten aufgrund des Forschungsprivilegs einwilligungsfrei sein.
Vielfältige datenschutzrechtliche Fragestellungen ergeben sich zudem aus der Nutzung von Echtzeit-Daten, sei es in der klinischen Forschung oder auch im Rahmen der Nutzenbewertung pharmazeutischer und medizintechnischer Produkte oder der Pharmakovigilanz. Viele dieser Daten werden heute über sogenannte Wearables generiert, die (noch) überwiegend als Lifestyle-Produkte zum Einsatz kommen. Zunehmend werden solche digitalen Biomarker aber auch gezielt für medizinische Zwecke über Apps oder Sensorik gesammelt. Die Validierung dieser Daten, die Frage wie ihre klinische Signifikanz für Zulassung und Nutzenbewertung belegt und welche datenschutzrechtlichen Standards zu beachten sind, wird sich in der nahen Zukunft vielfach nur Schritt für Schritt - und im engen Dialog mit den Zulassungs- und Aufsichtsbehörden - klären lassen. (fm)