von Bertold Brücher | April 2022

Umfassender Persönlichkeitsdatenschutz einerseits, intensiver digitaler Gesundheitsschutz andererseits – das gilt es beim Thema „Digitalisierung im Gesundheitswesen“ zusammenzubringen! Wie kann das gelingen?

Grundrecht auf Datenschutz

Solange es keine elektronische Speicherung, Bearbeitung und Weitergabe von Daten gab oder sie keine Rolle spielte, spielte auch der Datenschutz – zumindest in der öffentlichen Wahrnehmung – keine große Rolle. Tatsächlich gab es weltweit (!) bereits vor mehr als 50 Jahren das erste Datenschutzgesetz: das Hessische Datenschutzgesetz vom 7. Oktober 1970.

Dieses Gesetz behandelte zwar nur die Datenverarbeitung durch öffentliche Stellen, berücksichtigte aber viele Punkte, die auch heute essenziell für den Datenschutz sind und Eingang in Gesetze wie die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) gefunden haben.

Mit dem so genannten Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 wurde dann das Recht auf informationelle Selbstbestimmung „geschaffen“ – als Teil des Persönlichkeitsrechts von Art. 2 Abs. 1 Grundgesetz (GG). Seitdem hat der Schutz persönlicher Daten Grundrechtscharakter.

Entwicklung der Digitalisierung im Gesundheitswesen

Anders als der Datenschutz und das Datenschutzrecht entwickelte sich die Digitalisierung im Gesundheitswesen nur schleppend. Eine 2018 veröffentlichte Studie über den Digitalisierungsfortschritt im Gesundheitswesen der Bertelsmann Stiftung erbrachte, dass im internationalen Vergleich mit 16 anderen Nationen Deutschland nur den vorletzten Platz belegt (siehe dazu auch den Artikel Digital-Health-Entwicklung in Deutschland, Österreich und Estland in diesem Thema des Monats).

Digitale Health-Anwendungen sind bisher kaum in der Regelversorgung angekommen (siehe auch hier) – auch wenn der Gesetzgeber in der Folgezeit zumindest die rechtlichen Grundlagen gelegt hat. Mit dem Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) vom 9. Dezember 2019 erklärte das Bundesministerium für Gesundheit (BMG) die technische Evolution in der Gesundheitsversorgung zur Chefsache. Angesichts einer zuvor eher zäh und kontrovers geführten Entstehungsgeschichte des Langzeitvorhabens „Digitalisierung“ schien die Dynamik begründet, wie etwa der Gesundheitsexperte Robert Spiller in einem Artikel zur „Modernisierung im Hauruck-Verfahren“ in der Zeitschrift Soziale Sicherheit 8-9/2019 (S. 311 ff.) erläuterte.

Bis zum Ende der Legislaturperiode des 19. Bundestags sind dann auch für das Gesundheitswesen diverse Digitalisierungsumsetzungs-Regelungen verabschiedet worden. Kernstück war die Einführung der Telematikinfrastruktur, einer digitalen Datenautobahn, die Praxen und Krankenhäuser besser und schneller miteinander vernetzen soll(te). Versicherten soll(te) es möglich werden, den Behandlern wichtige Gesundheitsdaten zeitnah und sicher zur Verfügung zu stellen.

Das 2021er Gutachten des Sachverständigenrats Gesundheit – eine Zäsur?

Im 4. Viertel der Großen Koalition in der 19. Bundestagslegislatur wurde manches, was sich später in der Koalitionsvereinbarung der 20. Legislatur (Koalition zwischen SPD, BÜNDNIS 90/DIE GRÜNEN und FDP) wiederfindet, vorgedacht – wenn auch mit anderen Prämissen: Im 2021er-Gutachten des Sachverständigenrats Gesundheit (SVR) ging es um die „Digitalisierung für Gesundheit – Ziele und Rahmenbedingungen eines dynamisch lernenden Gesundheitssystems“.

Es wurde erstellt, um Wege aufzuzeigen, wie das Gesundheitswesen weiterentwickelt werden kann. Die Sachverständigen malen darin das Bild eines dynamisch lernenden Gesundheitssystems. Ohne Hemmnisse sollen Gesundheitsdaten für Behandlung und Prävention individuell einerseits und andererseits für Forschungszwecke kollektiv – und somit wiederum zum Wohle des Einzelnen – genutzt werden (siehe dazu auch den Beitrag von Eberhard Eichenhofer in diesem Thema des Monats).

Dazu bedürfe es zwar einer Neubewertung des Datenschutzes. Aber dies, so die Sachverständigen, ließe die DSGVO zu. Denn auch in den Gesundheitssystemen anderer Staaten im Geltungsbereich der DSGVO – Dänemark und Estland – würde dieser Weg gegangen. Das Konzept der „Datensparsamkeit“ sei ohnehin „von der Lebenswirklichkeit längst überholt“, so der stellvertretende Vorsitzende des SVR Gesundheit Prof. Wolfgang Greiner, Lehrstuhl für Gesundheitsökonomie und Gesundheitsmanagement, Universität Bielefeld, in der Pressemitteilung zum SVR-Gutachten.

Von daher könne davon abgewichen werden. Das Gutachten wirbt für einen Paradigmenwechsel: Datenschutz sei nicht nur als Recht auf Schutz vor Datenmissbrauch zu verstehen, „sondern vor allem als Recht auf verantwortliche Datenverarbeitung – zum Wohle des einzelnen wie aller Patientinnen und Patienten“.

Kritik konnte nicht ausbleiben bei diesem Verständnis von Datenschutz. Insbesondere Prof. Ulrich Kelber, Bundesbeauftragter für Datenschutz, warf in einem Streitgespräch in der Ärztezeitung ein, dass diejenigen, die „wirklich an das Wohl der Patientinnen und Patienten denken, […] nicht ernsthaft die Schwächung ihrer schützenden Grundrechte fordern (können).“ Es könne nicht angehen, „dass der Sachverständigenrat jetzt das Recht auf informationelle Selbstbestimmung einschränken will, um an Forschungsdaten zu kommen.“

Der Bundesgesundheitsminister der vorangegangenen Legislatur, Jens Spahn, jedenfalls konnte sich 2021 gut vorstellen, dass der Vorschlag eines Gesundheitsdatennutzungsgesetzes, am SVR-Gutachten orientiert, in dieser Legislaturperiode, politisch aufgegriffen wird. Das lässt sich aus der Pressemitteilung des SVR zu einem Symposium zum Gutachten vom 17. Juni 2021 schließen.

Vorhaben der digitalen Gesundheitspolitik in der 20. Bundestagslegislatur

Aktuell hat die „Ampel-Koalition“ die Digitalisierung zu einem Schwerpunkt zukünftigen Regierungshandelns gemacht. Nicht nur, dass das Substantiv „Digitalisierung“ im Koalitionsvertrag 63 Mal vorkommt und der Begriff „digital“ in Form des Adjektivs oder Verbs weitere 164 Mal genannt wird; dem Thema „Digitalisierung im Gesundheitswesen“ ist gar ein eigener Abschnitt im Koalitionsvertag (S. 83 f.) gewidmet. Ziemlich konkret formuliert sind die Vorhaben, die elektronische Patientenakte (ePA) und das E-Rezept sowie deren nutzenbringende Anwendung „in Serie“ zu bringen.

Eines der zentralen Produkte, die ePA, gibt es schon (siehe auch hier). Sie kann auf Betreiben der Patient:innen vom behandelnden Arzt eingerichtet werden („opt-in-Verfahren“). Vorstellung der Ampelkoalition ist es nun, dass alle Versicherten „DSGVO-konform eine ePA zur Verfügung gestellt“ bekommen. Deren Nutzung ist freiwillig, sie kann also auch abgelehnt werden (opt-out). Zudem soll die Gesellschaft für Telematikanwendungen (gematik) der Gesundheitskarte zu einer digitalen Gesundheitsagentur ausgebaut werden. Und schließlich soll ein Registergesetz und ein Gesundheitsdatennutzungsgesetz zur besseren wissenschaftlichen Nutzung in Einklang mit der DSGVO auf den Weg gebracht werden, ebenso wie eine dezentrale Forschungsdateninfrastruktur aufgebaut werden soll.

Manches von den Regierungsvorhaben ist nahezu evident, da digitale Technologien helfen können, die Herausforderungen, vor denen fast alle Gesundheitssysteme der westlichen Welt stehen – immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen, strukturschwache ländliche Gebiete medizinisch zu versorgen – besser zu lösen.

So formuliert das zuständige Bundesgesundheitsministerium, dass für die erfolgreiche Weiterentwicklung der Gesundheitsversorgung das Vorantreiben der Digitalisierung die zentrale Voraussetzung sei. Indem es auf seiner Homepage zum Aufgabenfeld „E-Health – Digitalisierung im Gesundheitswesen“ einen sehr informativen Überblick über die einzelnen Komponenten gibt, proklamiert es: „Die Chancen nutzen: Digitale Gesundheit 2025“.

Die Frage bleibt gleichwohl, wie austariert das Voranbringen digitaler Prozesse einerseits und das legitime Interesse an der (Be-)Wahrung höchstpersönlicher Daten, gesichert durch Datenschutzrecht, sein wird.

Denn einerseits gibt es die sehr weitgehende Positionierung im SVR-Gutachten, andererseits die starken Bedenken des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Die Kritik des Bundesdatenschutzbeauftragten zur ePA

Schon im Anhörungsverfahren zum Gesetzesentwurf des Patientendaten-Schutz-Gesetzes (PDSG) hatten sich Datenschutzexperten kritisch zu Wort gemeldet. Der Bundesdatenschutzbeauftragte hielt seine Kritik und seine Anregungen auch nach Inkrafttreten des Gesetzes aufrecht. So verstieße das im PDSG normierte Zugriffsmanagement der ePA gegen die DSGVO und die Grundrechte der Versicherten (siehe hier).

Die Versicherten hatten zum Start der ePA am 1. Januar 2021 – anders als eigentlich vorgesehen – nicht die volle Hoheit über ihre eigenen Gesundheitsdaten erhalten. Kein Versicherter konnte den Zugriff seines Arztes auf einzelne, für die Behandlung notwendige Dokumente beschränken. Es galt: Entweder alles oder nichts. Der Versicherte konnte den Behandlern entweder den Zugriff auf alle von Leistungserbringern gespeicherten Daten (Befunde, Diagnosen, Therapiemaßnahmen etc.) und/oder alle selbst in die ePA eingestellten Dokumente geben oder den Zugriff vollständig verweigern.

Seit Beginn 2022 gilt eine Verbesserung, jedenfalls, wenn die Versicherten ein mobiles Gerät (z. B. Smartphone, Tablet) nutzen. Damit können dokumentengenaue Zugriffe erteilt werden.

Fazit

Nach gültigem Recht dürfte ein generelles Sammeln und Weitergeben von Gesundheitsdaten zu Forschungszwecken ohne Erlaubnis des Datensouveräns – wie es die Gutachter:innen im SVR-Gutachten darstellen – starken Bedenken begegnen. Denn die Übermittlung von Sozialdaten für die Forschung oder Planung setzt voraus, dass sie für ein bestimmtes Vorhaben erhoben worden sind bzw. weitergegeben werden. Dieser unbestimmte Rechtsbegriff ist dann auch streng auszulegen. Die Erforderlichkeit zur Zustimmung der Datenverwendung liegt auch vor, wenn das Forschungsvorhaben auf andere Weise nur unter unverhältnismäßig großen Schwierigkeiten erfüllt werden kann (vgl. Stefanie Krause, in: Schlegel/Voelzke, jurisPK-SGB X, 2. Aufl., § 75 SGB X (Stand: 01.12.2017, Rn. 40).

Auch ist zu sehen, dass der Schutz des Datensouveräns – also des/der Patient:in – im Recht auf informationelle Selbstbestimmung, auch in jüngerer Rechtsprechung des Bundesverfassungsgerichts (BVerfG), hoch angesiedelt worden ist – und es sich nicht um überkommenes Denken handelt, dieses Grundrecht so stark zu gewichten.

Die neuen Koalitionäre werden sich komplexen Fragen der verfassungsrechtlichen Datenschutzdogmatik widmen (müssen), insbesondere der Frage, ob die jeweils verfolgten Zwecke auch durch eine in Umfang, Erhebungs- oder Verarbeitungsmodalitäten begrenzte Datennutzung (zum Beispiel durch verpflichtend einzuholende Einwilligungen oder weiter als bisher reichende Widerspruchsmöglichkeiten der Versicherten) im Ergebnis ohne nennenswerte Abstriche hinsichtlich Repräsentativität und Qualität des Datenmaterials erreicht werden können (vgl. BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 19.03.2020 – 1 BvQ 1/20, Rn. 8)

Wird die Datensammlung größer und somit eine größere Qualität des Gesamtdatenmaterials zu erreichen sein, um somit dem avisierten Zweck im Sinne einer Geeignetheit der Datensammlung zum Ziele des Erreichens valider Forschungsergebnisse nahe zu kommen, so stellt sich gleichwohl die Frage nach der Verhältnismäßigkeit des Eingriffs: Denn würde die Möglichkeit einer Verarbeitung ohne Zustimmungserfordernis auf eine gesetzliche Grundlage gestellt, würden wir einem nahezu unbegrenzten Datensammeln anheimfallen, ohne einen konkreten Forschungsgrund zu kennen; es läge zweifelsfrei eine Art Vorratsdatenspeicherung vor. Verstärkt wird dies noch dadurch, dass vom SVR Gesundheit ein qualitativ hochwertiges und vernetztes Datenangebot gefordert wird, in Verknüpfung aller für die Beantwortung einer spezifischen Fragestellung benötigter Daten und unabhängig vom Ursprung und Speicherort derselben (SVR-Gutachten 2021, Rn 551).

Wird hingegen auf die Einwilligung der Patient:innen gebaut, so kann zwar die Pflicht der Krankenkassen normiert werden, allen Versicherten ein Angebot für eine ePA zu machen, zu welchem diese sich ausdrücklich einwilligend erklären können. Das bedeutet dann aber, dass alle Daten, die in einer Akte enthalten sein sollen und alle Möglichkeiten der Weitergabe, Verarbeitung usw. den Versicherten aufgezeigt werden müssen: Und zwar leicht verständlich, im Zweifel als Ausdruck (und somit nicht digital), versehen mit dem Hinweis, dass eine (dann: digitale) Nutzung nur nach ausdrücklicher Genehmigung der Versicherten erfolgt.

Denn schließlich sollen die Versicherten als Patient:innen in Erfahrung bringen können, von wem ihre Daten zu welchen Zwecken genutzt werden – und zwar, bevor das geschieht.