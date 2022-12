01. 12. 2022 | Mit einem der Öffentlichkeit viel zu wenig bekannten Verordnungsentwurf zum „europäischen Raum für Gesundheitsdaten“ will die EU-Kommission uns jede Möglichkeit nehmen, der Weitergabe unserer Gesundheits- und Krankheitsdaten für kommerzielle Zwecke zu widersprechen. Wenn diese Verordnung in Kraft tritt, werden sämtliche (Schein-)Debatten um Opt-In und Opt-Out zur elektronischen Patientenakte in Deutschland Makulatur.

Ich muss bekennen, dass ich erst über eine Stellungnahme des Vereins Patientenrecht und Datenschutz zum Verordnungsentwurf der EU-Kommission “über den europäischen Raum für Gesundheitsdaten”, darauf aufmerksam geworden bin, welche Ungeheuerlichkeiten die EU-Kommission für die Daten zu unserer körperlichen und geistigen Gesundheit und Krankheit plant.

Nach dem englischen Namen für den Gesundheitsdatenraum European Health Data Space wird die Verordnung kurz EHDS-Verordnung genannt.

Der Verein hat seine auf Englisch abgefasste Stellungnahme an die EU zum Verordnungsentwurf in deutscher Übersetzung auf seine Netzseite gestellt. Hier der Text:

Das Gesundheitsdaten-Ermächtigungsgesetz der EU-Kommission

Der Verordnungsentwurf sieht vor, die Gesundheitsdaten aller Bürger der EU verfügbar zu machen und zu monetarisieren. Entziehen könnten sich Patientinnen und Patienten dem nur, indem sie nicht mehr zum Arzt gehen. Der Verordnungsentwurf führt Projekte weiter, die in Deutschland und Frankreich bereits begonnen haben, und dort von Datenschützern scharf kritisiert werden:

Den französischen “Health Data Hub”, siehe die Kritik von La Quadrature du Net.

Das deutsche “Forschungsdatenzentrum Gesundheit”, dessen Einsammeln von Patientendaten bei den Krankenkassen bereits Gegenstand einer Klage der Gesellschaft für Freiheitsrechte ist.

In einem Gutachten für diesen Prozess hat der Kryptografie-Professor Dominique Schröder aufgezeigt, dass bereits wenige Daten wie Wohnort, Alter und Diagnose ausreichen, um die betroffenen Personen identifizieren zu können, selbst wenn die Daten anonymisiert wurden.

Ziele des Verordnungsentwurfs

Der EU-Verordnungsentwurf verfolgt unterschiedliche Ziele, die ganz unterschiedlich legitim sind, und besser voneinander getrennt werden sollten:

Europaweite Normierung von Gesundheitsdaten und Vereinheitlichung von Systemen für elektronische Patientenakten Grenzüberschreitender Austausch von Gesundheitsdaten, Datenübertragbarkeit von einem Mitgliedsstaat in den anderen, z.B. bei Grenzgängern, sowie Zugriff auf alle Verschreibungen aller Ärzte in der EU für Online-Apotheken wie DocMorris, Pflicht für Ärzte, Krankenhäuser und andere Gesundheitsberufe (“Dateninhaber”), alle Daten über ihre Behandlungen in online abrufbaren, vereinheitlichten Patientenakten zu speichern, Schaffung einer Infrastruktur für die kommerzielle “Sekundärnutzung” von Gesundheitsdaten. Dafür werden die Mitgliedsstaaten verpflichtet, Zugangsstellen einzurichten, die Verzeichnisse aller bei ihnen vefügbaren Gesundheitsdaten führen. Die Zugangsstellen können diese Gesundheitsdaten von den Dateninhabern anfordern, speichern und Datennutzern zur Verfügung stellen. Der Zugriff auf die Gesundheitsdaten kann bei Ärzten, aber auch bei Versicherungen oder Rechenzentren erfolgen. Zugriffsberechtigt soll jede Person oder Firma sein, die einen relativ komplizierten, ausreichend begründeten Antrag stellen kann. Die “Dateninhaber” (Ärzte, Versicherungen usw.) sollen für die Nutzung “ihrer” Daten Gebühren bekommen. Der Entwurf gibt vor, dem Einzelnen mehr Kontrolle über die eigenen Daten zu geben, entzieht ihm aber tatsächlich das Recht, über deren Verwendung zu entscheiden. Am Gewinn aus der Nutzung ihrer Gesundheitsdaten werden die Betroffenen nicht beteiligt. Sie werden nicht darüber informiert, wer ihre Daten erhält und haben kein Widerspruchsrecht.

Wesentliches aus dem Verordnungsentwurf

Bemerkenswert ist eine Vielzahl von Ermächtigungen für die EU-Kommission, “delegierte Rechtsakte” zu erlassen. Es gibt im Verordnungsentwurf mindestens zehn davon. Damit können zum Beispiel weitere Pflichten für “Dateninhaber” (Ärzte, Krankenhäuser, Krankenkassen) und weitere Befugnisse für “Zugangsstellen” eingeführt werden, die die dortigen Gesundheitsdaten abholen und verteilen sollen. Auflistungen von Rechten und Pflichten von Bürgern und Einrichtungen, die im Verordnungsentwurf stehen, soll die Kommission mit solchen delegierten Rechtsakten später alleine ändern können. Die Ermächtigungen sind so weit gefasst, dass die Kommission damit den Text der Verordnung weitgehend neu definieren könnte.

Nach Art. 3 soll es ein “Recht natürlicher Personen” geben, “sofort, kostenlos und in einem leicht lesbaren gängigen und zugänglichen Format” auf die eigenen Gesundheitsdaten zuzugreifen und diese in einem standardisierten elektronischen Austauschformat zu erhalten. Die Veränderung gegenüber der bestehenden, entsprechenden Regelung aus der DSGVO (Art. 15 (3)) besteht im “Recht” auf sofortigen, d.h. Online-Zugriff. Die Mitgliedsstaaten müssen folglich Zugangsdienste für elektronische Gesundheitsdaten, und Proxy-Dienste einrichten, über die Patienten und ihre Vertreter diesen sofortigen Zugriff bekommen.

Nach Art. 4 müssen alle Ärzte der EU den Zugriff auf sämtliche Gesundheitsdaten der Personen bekommen, die sie behandeln, egal in welchen Mitgliedsstaat der EU diese gespeichert sind. Eine Möglichkeit der Patienten, den Zugriff z.B. eines Orthopäden auf die Aufzeichnungen der Psychotherapeutin zu verhindern, ist nicht vorgesehen. Vielmehr soll lediglich die Möglichkeit bestehen, ihre sämtlichen Gesundheitsdaten für bestimmte einzelne Behandler komplett zu sperren. In Notfällen dürfen diese aber trotzdem zugreifen.

Art. 7 sieht vor, dass alle Patienten elektronische Patientenakten (EPA) erhalten müssen und ihre Behandlungsdaten darin gespeichert werden müssen. Die derzeitige Rechtslage in Deutschland ist, dass die Betroffenen dem zustimmen müssen (opt-in). Der Koalitionsvertrag der Ampel sieht stattdessen die grundsätzliche Anlage von Patienakten für alle Einwohner mit der Möglichkeit zum Widerspruch vor (opt-out). Der Verordnungsentwurf zum Europäischen Gesundheitsdatenraum schafft hingegen eine EPA-Pflicht für alle.

Die derart etablierten Datensammlungen, auch alle bereits existierenden Gesundheitsdaten-Sammlungen bei Krankenkassen, Privatversicherungen oder sonstigen “Dateninhabern”, sollen zur “Sekundärnutzung” freigegeben werden.

Art. 33 enthält eine Aufzählung, welche Daten zur Sekundärnutzung freigegeben sind, dazu gehören elektronische Patientenakten und “gesundheitsbezogene Verwaltungsdaten, einschließlich Daten zu Forderungen und Erstattungen”. Das bedeutet: Auch die deutschen Privatpatienten werden nicht mehr verschont. Die Versicherungen müssen auch ihre Abrechnungsdaten herausgeben.

Art. 34 listet auf, zu welchen Zwecken elektronische Gesundheitsdaten zur Sekundärnutzung verarbeitet werden dürfen. Dazu gehören “Überwachung der öffentlichen Gesundheit” und “Wissenschaftliche Forschung im Bereich des Gesundheits- und Pflegesektors”, “Entwicklungs- und Innovationstätigkeiten für Produkte und Dienste, die zur öffentlichen Gesundheit oder sozialen Sicherheit beitragen”, sowie “Training, Erprobung und Bewertung von Algorithmen auch in Medizinprodukten, KI-Systemen und digitalen Gesundheitsanwendungen, die (…) hohe Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung, Arzneimittel und Medizinprodukte gewährleisten”.

Der Fantasie sind also kaum Grenzen gesetzt. Einen Antrag auf Datenzugang kann nach Art. 45 “jede natürliche oder juristische Person” stellen.

Laut Art. 42 erhalten die “Dateninhaber” (Ärzte, Krankenhäuser, Versicherungen usw.) und auch die Zugangsstellen Gebühren für die Sekundärnutzung “ihrer” Daten.

Eine Vermarktung der Gesundheitsdaten ist gewollt. Eine Beteiligung der betroffenen Patienten am Erlös aus dieser Vermarktung ist nicht gewollt.

Nach Art. 44 werden diejenigen Daten zugänglich gemacht, “die für den Zweck der Verarbeitung relevant sind, den der Datennutzer im Datenzugangsantrag angegeben hat”. Wenn der Zweck z.B. Training von KI-Anwendungen ist, oder neue Präventionsprogramme, dann können Millionen Menschen von so einer Weitergabe ihrer Daten betroffen sein.

Grundsätzlich sollen die Daten “in einem anonymisierten Format” herausgegeben werden (Art. 44 Abs. 2). Art. 44 Abs. 3 besagt jedoch wörtlich: “Kann der Zweck der Verarbeitung durch den Datennutzer unter Berücksichtigung der vom Datennutzer angegebenen Informationen nicht mit anonymisierten Daten erreicht werden, gewähren die Zugangsstellen für Gesundheitsdaten den Zugang zu elektronischen Gesundheitsdaten in einem pseudonymisierten Format.” Definitionen, was ein “anonymisiertes Format” oder ein “pseudonymisiertes Format” sind, fehlen.

Stellungnahme

Die Pflicht, Patientendaten zum Online-Zugriff bereitzuhalten und diese in elektronischen Patientenakten zu speichern, ist abzulehnen, denn hierdurch würden hochsensible Daten massiv gefährdet. Schon jetzt gehen wöchentlich Meldungen durch die Medien, wonach große Menge von Gesundheitsdaten aus Krankenhäusern oder Privatversicherungen gestohlen oder versehentlich veröffentlicht wurden. Jede Massensammlung von Gesundheitsdaten stellt ein hohes Risiko dar, weil ihr Netto-Wert alle Arten von kriminellen Aktivitäten anzieht.

Zudem enthält der Verordnungsentwurf keine Aussagen darüber, dass die Zugangsstellen oder die Dateninhaber ihre Daten innerhalb der EU speichern müssen. Es ist daher denkbar, dass sie ihre Datenverarbeitung an US-Cloud-Anbieter auslagern.

Grundsätzlich sollten Informationen aus dem Arzt-Patienten-Verhältnis nicht an dritte Personen oder Stellen weitergegeben werden, ohne Zustimmung der Betroffenen in jedem Einzelfall. Die Weitergabe zu Abrechnungszwecken an Krankenkassen und Versicherungen sollte so restriktiv wie möglich gestaltet werden, sie darf nicht zum Einfallstor für den Datenhandel mit Patientenakten werden. Das ist erforderlich, um das Vertrauensverhältnis zwischen Arzt und Patient und die grundrechtlich garantierte Privatsphäre der Betroffenen zu schützen. Es ist nicht zu rechtfertigen, dass Daten bei Rechtsanwälten erheblich besser geschützt sind, als solche bei Ärzten.

Die Vorschriften zur technischen Datensicherheit bei der Primären und Sekundären Datennutzung sind unzureichend. Vorschriften zur Entschädigung im Fall der Preisgabe von Gesundheitsdaten fehlen völlig. Bei derart weitreichenden Nutzungsrechten wäre eine verschuldensunabhängige Haftung zwingend, so dass die Betroffenen bei jeder Verletzung der Vertraulichkeit ihrer Daten eine volle Entschädigung erhalten. Umsetzen ließe sich dies durch einen Entschädigungsfonds, wie es ihn schon für Pauschalreisen oder Bank-Guthaben gibt. In diesen müssten alle Datennutzer einzahlen.

Laut Art. 168 Abs. 7 des “Vertrags über die Arbeitsweise der Europäischen Union” (AEUV) liegt “die Verwaltung des Gesundheitswesens und der medizinischen Versorgung” im alleinigen Zuständigkeitsbereich der Mitgliedsstaaten. Die Vorschriften zur Primären und Sekundären Datennutzung im Entwurf der EU-Verordnung zum Europäischen Gesundheitsdatenraum greifen erheblich in die Verwaltung des Gesundheitswesens ein. Diese ist Aufgabe der Mitgliedsstaaten, nicht der EU-Organe.

Einzig die europaweite Normierung von Gesundheitsdaten und ihr grenzüberschreitender Austausch könnten durch eine EU-Verordnung geregelt werden.

Mit den Vorschriften zur Primären und Sekundären Datennutzung überschreitet die EU-Kommission ihren Kompetenzbereich. Wir fordern alle Beteiligten auf, die betreffenden Teile aus dem Verordnungsentwurf zu entfernen.

Der Verordnungsentwurf zielt auch darauf ab, Gesundheitsdaten wirtschaftlich nutzbar zu machen. Damit tritt die EU in Wettstreit mit Ländern wie China, das bei der Veröffentlichung von Gesundheits-Massendaten seiner Bürger seit 2017 weltweit führend ist.

Einen solchen Konkurrenzkampf kann die EU aufgrund der unterschiedlichen politischen Rahmenbedingungen nur verlieren, dabei aber eine Abwärtsspirale in Gang setzen, wenn Länder versuchen, sich bei Datenschutz für ihre Bürger gegenseitig zu unterbieten. Stattdessen sollte sich die EU auf ihre Stärken besinnen und garantierte Grundrechte und verlässliche, hohe Datenschutzstandards im internationalen Wettbewerb als Vorteil nutzen.

