Digital Healthcare und der Datenschutz

Vivy - die digitale Gesundheits-App

19.06.2018
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.


Cornelia Yzer ist Managerin, Rechtsanwältin und Politikerin. Von 1992 bis 1997 war sie parlamentarische Staatssekretärin in der Bundesregierung. Von 2012 bis 2016 war sie Senatorin für Wirtschaft, Technologie und Forschung im Senat von Berlin. Darüber hinaus war Cornelia Yzer zwischen 1997 und 2012 als Hauptgeschäftsführerin des Verbandes forschender Arzneimittelhersteller (vfa) tätig.
Health data "app in die Cloud"? Die Digitalisierung verändert auch den Gesundheitssektor rasant. Angebote wie die digitale Gesundheits-App "Vivy" stehen schon in den Startlöchern.

Seit Juli 2018 wollen eine Reihe von Krankenkassen, darunter DAK und IKK, rund 80 Betriebskrankenkassen und mehrere private Krankenversicherer ihren Versicherten die neue Gesundheits-App des Berliner Startups "Vivy" anbieten. Damit wäre diese App für rund 25 Millionen Versicherte verfügbar.

Neben der Funktion einer Gesundheitsakte bietet die App "Vivy" Serviceleistungen wie Erinnerungsfunktionen, Unterstützung bei der Arztsuche und einen integrierten Gesundheits-Check. Zudem können Echtzeitdaten, die durch mobile Devices generiert werden, eingepflegt werden. Leistungserbringern bietet Vivy an, sich über einen kostenlosen Software Upload in das System zu integrieren.

eHealth-Gesetz und DSGVO

Da Gesundheitsdaten sensibel sind, muss das Datenschutzrecht mit den neuen technologischen Möglichkeiten Schritt halten, um den berechtigten Anliegen des Einzelnen nach hohen Schutzstandards zu entsprechen - ohne dabei die Chancen für die Optimierung von Forschungsprozessen und Versorgung zu verbauen.

Das bereits Ende 2015 in Kraft getretene eHealth-Gesetz soll eine digitale Kommunikation zwischen den behandelnden Ärzten und Einrichtungen ermöglichen und so den Austausch über Patientendaten vereinfachen. Dazu wurden im Zuge des eHealth-Gesetzes insbesondere das Sozialgesetzbuch I, V und XI, aber auch weitere relevante Gesetze (wie etwa das BSI-Gesetz) überarbeitet und geändert. Diese neuen Vorgaben werden seitdem Schritt für Schritt umgesetzt.

Seit dem 1. Januar 2018 besteht für Versicherte die Möglichkeit, notfallrelevante Informationen wie Diagnosen, Medikation, Allergien, Unverträglichkeiten - aber auch den Namen ihres behandelnden Arztes oder der zu benachrichtigenden Verwandten - auf ihrer elektronischen Gesundheitskarte (eGK) speichern zu lassen. Auf diese Daten können (Zahn-)Ärzte oder Notfallsanitäter im Notfall mittels spezieller Ausweiskarten und Terminals zugreifen.

Mit dem 1. Januar 2019 wird dann die elektronische Patientenakte eingeführt, in der wichtige elektronische Dokumente wie Arztbriefe, Medikationspläne, Notfalldatensätze oder Impfausweise eingestellt, aufbewahrt und dem jeweils behandelnden Arzt vom Patienten bereitgestellt werden können. Um auf diese elektronische Akte zugreifen zu können, wird seitens der behandelnden Personen oder Einrichtungen ein "eArztausweis" beziehungsweise ein elektronischer Heilberufsausweis benötigt.

Die Akte liegt nicht beim Arzt, beziehungsweise beim Krankenhaus, sondern in der Hand des Patienten. Im günstigsten Fall erfahren die Patienten durch diese Maßnahmen eine effizientere und erfolgversprechendere Behandlung.

Zudem können Patienten ein elektronisches Patientenfach einrichten, in dem sie ihre eigenen Daten z.B. aus Blutzucker-Messwerte oder Daten aus Fitness-Trackern speichern, einsehen und Ärzten zur Verfügung stellen können.

Medizinische Daten aufs Handy - Neue Angebote

Inzwischen jedoch überholt die Realität die gesetzlichen Vorgaben. Im Abstand weniger Wochen kommen Angebote in den Markt, die dem Wunsch vieler Versicherter nach patientenzentrierten Lösungen entsprechen und jederzeit über das Smartphone verfügbar sind.

Bereits 2017 startete die AOK zunächst regional und mit begrenztem Anwendungsspektrum das Angebot einer digitalen Akte. Seit April testet die Techniker Krankenkasse mit ihren Versicherten die Beta-Version der App TK-Safe, mit der diese jederzeit Zugriff auf ihre persönlichen Gesundheitsdaten nehmen können. Vertragspartner des Versicherten ist dabei allerdings nicht die Techniker Krankenkasse, sondern IBM Deutschland. IBM speichert die Daten in seiner europäischen Cloud.

Die TK übernimmt die Lizenzgebühr für die Versicherten, die das System nutzen wollen. Die TK versichert zudem, dass das System mit der gesetzlich vorgesehenen Telematikinfrastruktur, die die Nutzung der eGK und der von ihr unterstützten fachanwendungsspezifischen Dienste umfasst, kompatibel sein wird, sobald diese an den Start geht.

Um das Leistungsspektrum erweitern zu können, werden Kooperationsvereinbarungen mit Kliniken geschlossen. Gerade haben drei private Versicherer angekündigt, das System ebenfalls nutzen zu wollen, womit es für rund 17 Millionen Versicherte verfügbar sein wird.

Datenschutz in der Healthcare-Branche

Bei all den medizinischen und geschäftlichen Chancen muss jedoch auch der Datenschutz bedacht werden. Denn Gesundheitsdaten - wie auch genetische und biometrische Daten - sind nach der seit dem 25. Mai 2018 vorrangig anzuwendenden Datenschutzgrundverordnung (DSGVO) gemäß Art. 9 Abs. 1 DSGVO "besondere Kategorien personenbezogener Daten", die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind.

Dabei sind im Gesundheitsbereich, neben den genuinen Datenschutznormen der DSGVO, eine Vielzahl von anderen Normen zu beachten, so etwa das BDSG-neu, die eIDAS-Verordnung sowie weitere Spezialregelungen. Durch diverse Öffnungsklauseln der DSGVO (für den Gesundheitsbereich ist insbesondere Art. 9 Abs. 4 DSGVO relevant) werden zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht, die zum Beispiel im SGB umgesetzt werden. Es ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen.

Natürlich muss bei Nutzung der Health-Apps der Patient als Eigentümer die alleinige Verfügungsgewalt über seine Daten behalten. Diese Gesundheitsdaten sollen auch bei der neuen App "Vivy" durch End-to-End-Verschlüsselung gesichert und auf deutschen Servern gehostet werden. Ärzte haben nur Zugriff, wenn der Versicherte dies explizit erlaubt. Der Widerruf ist jederzeit möglich. Ebenso kann jederzeit die Löschung der Daten verlangt werden.

Elektronische Gesundheitskarte und Patientenakte

Die Nutzung der elektronischen Gesundheitskarte (inklusive der Notfalldaten), der elektronischen Patientenakte, des Patientenfachs oder auch der weiteren möglichen Anwendungen richtet sich nach § 291a SGB V. Die Verarbeitung von Daten ist danach für den Patienten/Versicherten freiwillig und darf nur mit dessen Einwilligung erfolgen. Die Einwilligung zu einer Anwendung erteilt der Versicherte dem entsprechenden Heilberufler, zum Beispiel seinem Hausarzt, schriftlich. Ein Verweis darauf wird auf der eGK gespeichert.

Der Zugriff auf die dort bespeicherten Daten erfolgt nach § 291a Abs.3 SGB V. im Fall der Patientenakte zum Beispiel durch die Übergabe der eGK an den Arzt und durch eine Autorisierung des Versicherten (z.B. durch eine PIN) an einer entsprechenden Hardware (z.B. einem Terminal). Die Übergabe und Eingabe der PIN gilt in diesem Fall als Einwilligung.

Die Einwilligung ist außerdem auf Anwendungen gem. § 291a Abs. 3 S. 1 SGB V beschränkt. Der Zugriff auf die Daten darf nur durcheinen eingeschränkten Personenkreis (Angehörige der Heilberufe und deren autorisierte Mitarbeiter) erfolgen, die sic h bei einem Zugriff durch zum Beispiel den eArztausweis oder den Heilberuflerausweis authentifizieren können. Dazu müssen sie die entsprechende Karte in ein geeignetes Lesegerät einführen. § 291 a Abs. 8 SGB V legt dabei fest, dass niemand vom Inhaber der eGK verlangen darf, den Zugriff auf Daten der Fachanwendungen anderen als den im Gesetz genannten Personen oder zu anderen Zwecken zu gestatten.

Auch abweichende Vereinbarungen mit dem Versicherten über Derartiges sind unzulässig. In der Folge ist es ausdrücklich verboten, Versicherte zu bevorzugen oder zu benachteiligen, falls sie einem Zugriff zugestimmt oder ihn verweigert haben.

Ohne eine Einwilligung dürfen Gesundheitsdaten nur dann verarbeitet werden, wenn eine der Privilegierungen des Art. 9 Abs. 2 DSGVO vorliegt. Hier sind insbesondere lit. h) und lit. i) zu nennen, die für Zwecke der Gesundheitsvorsorge und -behandlung sowie der öffentlichen Gesundheit eine Befreiung vom Einwilligungserfordernis vorsehen.

Sind die Gesundheits-App, Big Data und KI erst der Anfang?

Es liegt nahe, die von der App generierten Gesundheitsdaten auch im Rahmen von Smart- und Big-Data-Anwendungen, etwa bei der EDV-unterstützten Diagnose, nutzbar zu machen. Aufgrund der Sensibilität der Daten ist nach Art. 9 Abs. 1 EU-DSGVO auch hier stets die Einwilligung des Patienten/Versicherten erforderlich.

Dieser Weg zur Verbesserung medizinischer Anwendungen erscheint aufgrund der datenschutzrechtlichen Regelungen jedoch mühsam und bei der Menge an Patienten/Versicherten nicht gangbar. Auch das sogenannte "Forschungsprivileg" wird hier nur sehr eingeschränkt helfen können: Durch die Öffnungsklausel des Art. 9 Abs. 4 EU-DSGVO in Verbindung mit §§ 22, 27 BDSG kann zwar unter Umständen das Erfordernis der Einwilligung entfallen.

Grundvoraussetzung für die Datenverarbeitung ist jedoch die Gewährleistung eines hohen Schutzniveaus durch die Umsetzung der in § 22 BDSG genannten Maßnahmen. Eine Einwilligungsfreiheit kann nach § 27 BDSG vorliegen, wenn wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke verfolgt werden, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Außerdem müssen die Daten anonymisiert werden, falls dies nicht den Forschungszweck beeinträchtigt.

Ob das Forschungsprivileg jedoch auch auf die Sammlung von Daten zur Verbesserung der KI-Systeme selbst (Stichworte: Deep Learning und Machine Learning) angewendet werden kann, ist unwahrscheinlich. Zwar könnte damit argumentiert werden, dass KI-Systeme ihrerseits ein Forschungsgebiet darstellen beziehungsweise statistische Zwecke erfüllen können.

Aufgrund der Absätze 2 und 3 des Art. 9 DSGVO erscheint dies aber zweifelhaft, gerade wenn eHealth-Daten verarbeitet werden und bei den Betreibern von KI-Anwendungen kein medizinisches, dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegendes Fachpersonal vorhanden ist.

Was bringt die Zukunft?

Vielfältige datenschutzrechtliche Fragestellungen ergeben sich zudem aus der Nutzung von Echtzeit-Daten, sei es in der klinischen Forschung oder auch im Rahmen der Nutzenbewertung pharmazeutischer und medizintechnischer Produkte oder der Pharmakovigilanz. Viele dieser Daten werden heute über Wearables (beispielsweise die iWatch) generiert. Zunehmend werden solche digitalen Biomarker aber auch gezielt für medizinische Zwecke über Apps oder Sensorik gesammelt.

Die Validierung dieser Daten, die Frage, wie ihre klinische Signifikanz für Zulassung und Nutzenbewertung belegt und welche datenschutzrechtlichen Standards zu beachten sind, wer für welche Daten und für welche datenschutzrechtlichen Pflichten, wie Informationspflichten, Auskunftsbegehren, Löschungsbegehren oder auch Aufbewahrungspflichten die Verantwortung trägt, wird sich in der nahen Zukunft vielfach nur Schritt für Schritt (und im engen Dialog mit den Zulassungs- und Aufsichtsbehörden) klären lassen.