Die Digitalisierung wird auch den Gesundheitssektor nachhaltig verändern - in Forschung, Prävention und Therapie. Digitalisierung wird die strukturierte Nutzung der großen verfügbaren Datenmengen im Gesundheitssektor ermöglichen und kann so einen entscheidenden Beitrag zur Steigerung von Effizienz, Qualität und Sicherheit liefern.
Da Gesundheitsdaten ohne Frage sensibel sind, muss das Datenschutzrecht mit den neuen technologischen Möglichkeiten Schritt halten, um den berechtigten Anliegen des Einzelnen nach hohen Schutzstandards zu entsprechen - ohne dabei die Chancen für die Optimierung von Forschungsprozessen und Versorgung zu verbauen.
Das bringt das eHealth-Gesetz
Das Ende 2015 in Kraft getretene eHealth-Gesetz soll eine digitale Kommunikation zwischen den behandelnden Ärzten und Einrichtungen ermöglichen und so den Austausch über Patientendaten vereinfachen. Dazu wurden insbesondere das SGB I, V und XI, aber auch weitere relevante Gesetze (wie etwa das BSI-Gesetz) überarbeitet und geändert. Diese neuen Vorgaben werden seitdem Schritt für Schritt umgesetzt. Die wichtigsten Neuerungen stehen aber erst noch bevor: Ab dem 1. Januar 2018 besteht für Versicherte die Möglichkeit, notfallrelevante Informationen (zum Beispiel Diagnosen, Medikation, Allergien, Unverträglichkeiten) auf ihrer elektronischen Gesundheitskarte (eGK) speichern zu lassen.
Mit dem 1. Januar 2019 wird dann die elektronische Patientenakte eingeführt, in der wichtige elektronische Dokumente wie Arztbriefe, Medikationspläne, Notfalldatensätze oder Impfausweise aufbewahrt werden können. Um auf diese elektronische Akte zugreifen zu können, wird seitens der behandelnden Personen oder Einrichtungen ein "eArztausweis" benötigt. Die Akte liegt nicht beim Arzt, beziehungsweise beim Krankenhaus, sondern in der Hand des Patienten. Im günstigsten Fall erfahren die Patienten durch diese Maßnahmen eine effizientere und erfolgversprechendere Behandlung.
Big Healthcare Data
Allein in Deutschland sollen 2017 knapp 400 Millionen Euro im Digital-Healthcare-Sektor umgesetzt werden. Bis 2020 soll der Markt weltweit auf ein Volumen von circa 200 Milliarden Euro anwachsen. Die Wachstumsraten liegen teilweise im zweistelligen Prozentbereich. Das ruft selbstverständlich Anbieter von Smart- und Big- Data-Anwendungen auf den Plan. Insbesondere IBM mit seinem KI-System Watson, aber auch die Google-Mutter Alphabet oder die Deutsche Telekom sind in diesem Segment aktiv.
Durch die Nutzung von Smart- und Big Data sollen die potentiell riesigen Mengen an Gesundheitsdaten der Patienten erfasst, entsprechend verarbeitet und genutzt werden. Neben der Krankenhaus-Organisation wird sich durch die Datenmengen insbesondere ein Vorteil für die Forschung und daraus resultierend für die Behandlung der Patienten ergeben. So kann zum Beispiel IBMs Watson nicht nur alle Patientendaten für Anamnese, Differentialdiagnostik und Online-Services (beispielsweise Zweitmeinung und Patienteninformationen) auswerten und übersichtlich aufbereiten.
Das smarte System kann auch bereits die Plausibilität der Patientendaten überprüfen und die wahrscheinlichsten Diagnosen zu den aktuellen Beschwerden - unter Berücksichtigung der bisherigen Krankengeschichte - vorschlagen. Es versteht sich von selbst, dass für ein "lernendes" KI-System eine umfassende Verarbeitung von Daten die zwingende Voraussetzung zur Verbesserung der Leistung ist.
Datenschutz in der Healthcare-Branche
Bei all den medizinischen und geschäftlichen Chancen muss jedoch auch stets der Datenschutz bedacht werden. Denn Gesundheitsdaten (wie auch genetische und biometrische Daten) sind nach der ab dem 25. Mai 2018 vorrangig anzuwendenden Datenschutzgrundverordnung (DSGVO) gem. Art. 9 Abs. 1 DSGVO "besondere Kategorien personenbezogener Daten", die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind. Dabei sind im Gesundheitsbereich, neben den genuinen Datenschutznormen der DSGVO, eine Vielzahl von anderen Normen zu beachten, so etwa das BDSG-neu, die eIDAS-Verordnung sowie weitere Spezialregelungen.
Durch diverse Öffnungsklauseln der DSGVO (für den Gesundheitsbereich ist insbesondere Art. 9 Abs. 4 DSGVO relevant) werden zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht. Es ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen. Durch diese Komplexität ähnelt der Datenschutz im eHealth-Bereich einem Labyrinth.
Zu unterscheiden sind hierbei vornehmlich zwei Anwendungsfälle: Zum einen die Verwendung der elektronischen Gesundheitskarte/Patientenakte und der darin enthaltenen Informationen, zum anderen die Verwendung von Gesundheitsdaten in Smart- und Big-Data-Anwendungen.
Elektronische Gesundheitskarte und Patientenakte
Die Nutzung der elektronischen Gesundheitskarte (inklusive der Notfalldaten) und der elektronischen Patientenakte für bestimmte Anwendungen richtet sich nach § 291a SGB V. Das Erheben, Verarbeiten und Nutzen von Daten ist danach für den Patienten/Versicherten freiwillig und darf nur mit dessen Einwilligung erfolgen. Die Einwilligung zu einer Anwendung erteilt der Versicherte dem entsprechenden Heilberufler schriftlich, ein Verweis darauf wird auf der elektronischen Gesundheitskarte gespeichert.
Ob aber dann zum Beispiel schon in der Abgabe der elektronischen Gesundheitskarte beim Arzt eine Einwilligung zu sehen ist, kann derzeit noch nicht abschließend beantwortet werden. Denn noch ist unklar, ob diese Vorgehensweise den Aufsichtsbehörden und Gerichten ausreicht. Auch wenn der vorrangige Zweck des Gesetzes die Vereinfachung der Kommunikation und der Behandlung ist, so muss jedoch allein schon aufgrund der Formulierung des § 291a SGB V stets auch der Datenschutz beachtet werden. Aufgrund des hohen Stellenwerts der Gesundheitsdaten könnte hier somit ein sehr strenger Maßstab angelegt werden.
Die Einwilligung ist außerdem auf Anwendungen gem. § 291a Abs. 3 S. 1 SGB V beschränkt und kann nur durch einen eingeschränkten Personenkreis - Angehörige der Heilberufe und deren autorisierten Mitarbeitern - vorgenommen werden. § 291 a Abs. 8 SGB V legt dabei fest, dass niemand vom Inhaber der eGK verlangen darf, den Zugriff auf Daten der Fachanwendungen anderen als den im Gesetz genannten Personen oder zu anderen Zwecken zu gestatten. Auch Vereinbarungen mit dem Versicherten über Derartiges sind unzulässig. In der Folge ist es ausdrücklich verboten, Versicherte zu bevorzugen oder zu benachteiligen, falls sie einem Zugriff zugestimmt oder ihn verweigert haben.
Ohne eine Einwilligung dürfen Gesundheitsdaten nur dann verarbeitet werden, wenn eine der Privilegierungen des Art. 9 Abs. 2 DSGVO vorliegt. Hier sind insbesondere lit. h) und lit. i) zu nennen, die für Zwecke der Gesundheitsvorsorge und -behandlung sowie der öffentlichen Gesundheit eine Befreiung vom Einwilligungserfordernis vorsehen.
eHealth-Daten: Einwilligung Pflicht?
Davon zu unterscheiden ist die Weitergabe von Gesundheitsdaten im Rahmen von Smart- und Big-Data-Anwendungen. Aufgrund der Sensibilität der Daten ist nach Art. 9 Abs. 1 EU-DSGVO auch hier stets die Einwilligung des Patienten/Versicherten erforderlich. Dies betrifft zum Beispiel die bereits dargestellte Arbeitsweise von IBM Watson hinsichtlich der Analyse von Gesundheitsdaten und entsprechende Diagnosevorschläge.
Ärzte, Krankenhäuser und andere Heilberufler, die sich solcher KI-Systeme bedienen, müssen also grundsätzlich den Patienten/Versicherten vor der Datenverarbeitung über diese informieren und sein Einverständnis einholen. Darüber hinaus müssen, falls die Daten an Stellen außerhalb er EU/EWR übermittelt werden, die Regelungen zur Auftragsdatenverarbeitung beachtet werden. Ebenso dürfte aufgrund der Verarbeitung sensibler Daten und dem Einsatz neuer Technologien in Form von KI-Systemen stets eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO erforderlich sein.
Ausweg Forschungsprivileg?
Dieser Weg zur Verbesserung medizinischer Anwendungen erscheint aufgrund der datenschutzrechtlichen Regelungen jedoch mühsam und bei der Menge an Patienten/Versicherten nicht gangbar. Eine Lösung könnte das sogenannte "Forschungsprivileg" darstellen: durch die Öffnungsklausel des Art. 9 Abs. 4 EU-DSGVO in Verbindung mit §§ 22, 27 BDSG-neu kann unter Umständen das Erfordernis der Einwilligung entfallen. Grundvoraussetzung für die Datenverarbeitung ist jedoch die Gewährleistung eines hohen Schutzniveaus durch die Umsetzung der in § 22 BDSG-neu genannten Maßnahmen. Eine Einwilligungsfreiheit kann dann nach § 27 BDSG-neu vorliegen, wenn wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke verfolgt werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Außerdem müssen die Daten anonymisiert werden, falls dies nicht den Forschungszweck beeinträchtigt.
Das bedeutet, dass die Datenverarbeitung für Forschungsprojekte grundsätzlich einer Abwägung zu unterziehen ist. Relevant ist dies insbesondere für die zahlreichen neuen Plattformen, auf denen Daten zu wissenschaftlichen Zwecken geteilt werden. Beispielhaft genannt seien hier nur die bereits 2014 gestartete Transparenz-Initiative der pharmazeutischen Industrie, Clinical Study Data Request, oder das OncoTrack-Projekt im Rahmen der Innovative Medicines Initiative als pan-europäisches Projekt zur Identifizierung relevanter genetischer Biomarker. Nahezu ein Terabyte medizinischer Daten wird hier voraussichtlich per Studienteilnehmer generiert werden. Für die klinische Forschung wird allerdings auch künftig die Einwilligung das Mittel der Wahl sein, zumal hier vorrangig die Bestimmungen der EU-Verordnung Nr. 536/2014 gelten. Solche Einwilligungen könnten allerdings auch weit ausgestaltet werden und zukünftige Forschungszwecke einbeziehen.
Ob das Forschungsprivileg jedoch auch auf die Sammlung von Daten zur Verbesserung der KI-Systeme selbst (Stichworte: Deep Learning und Machine Learning) angewendet werden kann, ist zweifelhaft. Zwar könnte damit argumentiert werden, dass KI-Systeme ihrerseits ein Forschungsgebiet darstellen beziehungsweise statistische Zwecke erfüllen können. Aufgrund der Absätze 2 und 3 des Art. 9 DSGVO erscheint dies aber zweifelhaft, gerade wenn eHealth-Daten verarbeitet werden und bei den Betreibern von KI-Anwendungen kein medizinisches, dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegendes Fachpersonal vorhanden ist. Es bleibt somit festzuhalten, dass Unternehmen, die Healthcare-Daten mit Hilfe von Smart- und Big-Data-Anwendungen verarbeiten, grundsätzlich nur mit der Einwilligung der jeweiligen Patienten/Versicherten auf der sicheren Seite sind. Darüber hinaus dürfte lediglich die Verarbeitung von für ein (medizinisches) Forschungsprojekt relevanten Gesundheitsdaten aufgrund des Forschungsprivilegs einwilligungsfrei sein.
Vielfältige datenschutzrechtliche Fragestellungen ergeben sich zudem aus der Nutzung von Echtzeit-Daten, sei es in der klinischen Forschung oder auch im Rahmen der Nutzenbewertung pharmazeutischer und medizintechnischer Produkte oder der Pharmakovigilanz. Viele dieser Daten werden heute über sogenannte Wearables generiert, die (noch) überwiegend als Lifestyle-Produkte zum Einsatz kommen. Zunehmend werden solche digitalen Biomarker aber auch gezielt für medizinische Zwecke über Apps oder Sensorik gesammelt. Die Validierung dieser Daten, die Frage wie ihre klinische Signifikanz für Zulassung und Nutzenbewertung belegt und welche datenschutzrechtlichen Standards zu beachten sind, wird sich in der nahen Zukunft vielfach nur Schritt für Schritt - und im engen Dialog mit den Zulassungs- und Aufsichtsbehörden - klären lassen. (fm)