Digitalstaatsministerin Dorothee Bär gab am 23.12.2018 der Welt am Sonntag ein Interview, in dem sie erklärte, dass die Digitalisierung im Gesundheitswesen unter anderem durch eine Lockerung der datenschutzrechtlichen Vorgaben erreicht werden könne.
„Wir haben in Deutschland mit die strengsten Datenschutzgesetze weltweit und die höchsten Anforderungen an den Schutz der Privatsphäre. Das blockiert viele Entwicklungen im Gesundheitswesen, deshalb müssen wir da auch an der einen oder anderen Stelle abrüsten, einige Regeln streichen und andere lockern“(s. zum Interview ). Insbesondere die Einführung der elektronischen Gesundheitsakte bis 2021 nahm die Staatsministerin dabei in den Blick.
Unabhängig davon, ob tatsächlich ein Kausalzusammenhang zwischen Datenschutz und verlangsamter Digitalisierung besteht, stellt sich die Frage, ob datenschutzrechtliche Vorgaben in Deutschland einfach so „gelockert“ werden können oder überhaupt gelockert werden müssen!
Die Datenschutz-Grundverordnung regelt die Verarbeitung von Gesundheitsdaten an verschiedenen Stellen und ist daher bei allen Überlegungen zur Digitalisierung im Gesundheitswesen zu berücksichtigen. Dieser Artikel soll einen Überblick über die datenschutzrechtlichen Anforderungen der DSGVO im Gesundheitswesen liefern und mögliche Bereiche für eigene nationale Regelungen der Mitgliedstaaten darstellen.
Hintergrund: Regelungen zum Gesundheitswesen in der DSGVO
Die DSGVO regelt das Gesundheitswesen nicht ausdrücklich. Ursprünglich war in der DSGVO ein Artikel 81 „Verarbeitung personenbezogener Daten für Gesundheitszwecke“ vorgesehen, dieser entfiel jedoch nach den Beratungen zur letzten Fassung. Dennoch sind in der DSGVO Regelungen enthalten, die sich speziell auf Gesundheitsdaten beziehen und sich damit entscheidend auf die Digitalisierung im Gesundheitswesen auswirken.
Eine Datenverarbeitung, d.h. die Verarbeitung personenbezogener Daten, ist nach der Datenschutz-Grundverordnung grundsätzlich verboten, aber gemäß Artikel 6 Abs.1 lit. (a) zum Beispiel dann erlaubt, wenn der Betroffene in diese Verarbeitung einwilligt. Darüber hinaus ist – neben anderen Erlaubnisgründen – eine Datenverarbeitung auch dann zulässig, wenn eine Abwägung aller beteiligten Interessen zu dem Ergebnis führt, dass eine Datenverarbeitung überwiegenden Interessen (etwa eines Unternehmens) dient. Für Gesundheitsdaten sieht Artikel 9 DSGVO jedoch Spezialregelungen vor. Gesundheitsdaten gelten nach Maßgabe des Artikels 9 als besonders schutzwürdig, weil sie besonders sensibel sind. Ihre Verarbeitung ist daher aufgrund der Sensibilität der Daten nur nach den engen Maßgaben des Artikels 9 Abs. 2 DSGVO in Verbindung mit Artikel 6 DSGVO zulässig.
Die Anwendungsbereiche des Artikels 9 Abs. 2 DSGVO
Unternehmen ist dringend zu raten, die Gesetzgebung der EU und der Mitgliedstaaten genau zu verfolgen, da Artikel 9 Abs. 2 lit. (a) den jeweiligen Gesetzgebern die Möglichkeit gibt, bestimmte Bereiche der Verarbeitung von Gesundheitsdaten „einwilligungsfest“ zu machen. Machen die Gesetzgeber von dieser Möglichkeit Gebrauch, wäre die Verarbeitung von bestimmten Gesundheitsdaten trotz einer Einwilligung unrechtmäßig, da Artikel 9 DSGVO eine vertragliche Grundlage für eine Verarbeitung nicht vorsieht.
Bis zu einer nationalen Regelung bleibt es aber dabei, dass Einwilligungen, die den Voraussetzungen des Artikels 9 DSGVO entsprechen als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten dienen können. Vor allem im Zusammenhang mit der Verwendung von Gesundheitsapps werden solche Einwilligungen relevant.
Gesundheitsapps
Ein wichtiger Anwendungsfall bei der Verarbeitung von Gesundheitsdaten im Bereich der Digitalisierung sind Gesundheitsapps, wie Herzfrequenzmesser oder Sporttracker. Zunächst ermöglicht Artikel 9 Abs. 2 lit. (a) DSGVO die Verarbeitung personenbezogener Daten durch eine Einwilligung des Betroffenen. Dabei ist auf die umfangreichen Informations- und Transparenzpflichten der DSGVO zu achten. Der Betroffene muss zu jeder Zeit wissen, was mit seinen Daten passiert. Ohne seine Einwilligung dürfen Gesundheitsdaten nicht an Dritte (etwa Versicherungen) weitergegeben werden.
Artikel 9 Abs. 2 DSGVO enthält eine Vielzahl von weiteren Erlaubnisnormen, die auch Health-Apps greifen können. Ein Beispiel ist etwa die Sicherung lebenswichtiger Interessen, wenn die betroffene Person nicht mehr in der Lage ist eine Einwilligung zu erteilen (z.B. bei Lokalisierung der betroffenen Person bei einem von einer App angezeigten Herzinfarkt). Allerdings muss für diese Erlaubnisnorm tatsächlich und im konkreten Einzelfall ein lebenswichtiges Interesse betroffen sein. Das dauerhafte Tracken von Daten, die (irgendwann) auch ein lebenswichtiges Interesse betreffen können, ist also nicht zulässig. Ebenso stellt die vorherige offensichtliche Veröffentlichung von Daten durch den Betroffenen (etwa das Posten des infolge regelmäßigen Trainings gesenkten Ruhepulses) eine Erlaubnisnorm dar.
Daneben kommt die Sicherung der individuellen und der öffentlichen Gesundheit als Rechtsgrundlage in Betracht. Die individuelle Gesundheit kann es gebieten, bestimmte Krankheiten und Symptome des Betroffenen fachgerecht zu behandeln und dabei auf die hierfür erforderlichen Daten in der App zurückzugreifen. Die öffentliche Gesundheit erfasst vor allem Fälle von sich ausbreitenden Gesundheitsgefahren wie Epidemien, deren Ausbreitung per App getrackt wird. Die Rechtfertigungsnormen der individuellen und öffentlichen Gesundheit für das Betreiben von Health-Apps leiten zu der damit verbundenen Frage nach der Zulässigkeit der elektronischen Patientenakte nach der DSGVO über. Für die Apps besteht jedenfalls auf der Grundlage der DSGVO ausreichend Legitimation, sodass die Lockerung nationaler Datenschutzvorschriften insoweit nicht notwendig erscheint.
Die elektronische Patientenakte
Sowohl Artikel 9 Abs.2 lit. (h) (individuelle Gesundheit) als auch Artikel 9 Abs. 2 lit. (i) (öffentliche Gesundheitsvorsorge) ermöglichen es den Mitgliedstaaten selbst zu bestimmen, wann die Verarbeitung von Gesundheitsdaten für diese beiden Zwecke erforderlich ist. Damit liegen sog. Öffnungsklauseln vor, bei denen Mitgliedstaaten einen Spielraum zum Erlass eigener nationaler Regelungen haben, ohne gegen die DSGVO zu verstoßen. In diesem Rahmen könnten entsprechende Regelungen im Sozialgesetzbuch V (SGB V) eingeführt werden, die eine elektronische Patientenakte nicht nur im Format einer Gesundheitskarte, sondern auch als App auf dem Smartphone zulassen. Die Öffnungsklauseln der DSGVO und des SGB V ermöglichen damit zwar die Einführung der elektronischen Patientenakte, deren jeweilige Benutzung im Einzelfall muss aber stets von der jeweils zu erteilenden Einwilligung des Patienten (oder den sonstigen Erlaubnisnormen des Artikels 9 Abs. 2 DSGVO) abhängig bleiben. Falls Staatsministerin Bär insoweit von einer Lockerung des Datenschutzes zur Einführung und Nutzung der elektronischen Patientenakte gesprochen hat, bleibt mehr als fraglich ob die Nutzung der Patientenakte ohne Einwilligung des Patienten und außerhalb der Vorgaben des Artikels 9 Abs.2 DSGVO zulässig und mit der DSGVO vereinbar wäre.
Der aktuelle Reformvorschlag zu Artikel 305 Abs.1 SGB V sieht eine solche Einwilligungsbedürftigkeit zur Nutzung der elektronischen Patientenakte ausdrücklich vor. Allerdings ist fraglich, ob nach der vorgeschlagenen Version des Artikels 305 Abs.1 SGB V „Anbieter elektronischer Patientenakten“ nicht das Einwilligungserfordernis unterlaufen könnten, weil der aktuelle Wortlaut des Reformvorschlages eine solche Ausnahme zumindest zulässt, indem er für solche Anbieter einen erleichterten Zugriff ermöglicht. Darin dürfte dann ein Verstoß gegen das Einwilligungserfordernis der DSGVO liegen.
Mehr Informationen zum Thema
Datenschutz im Krankenhaus: Ein Überblick
Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?
Übermittlung von Gesundheitsdaten: Fallstricke bei Health-Apps & Fitnesstrackern
Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche
Big Data
Big Data Analysen von Gesundheitsdaten erfolgen in unterschiedlichen Anwendungsfällen. Zum Beispiel können solche Analysen ebenfalls der Ausbreitung von Krankheiten entgegenwirken und das bedarfsgerechte Angebot an Arzneimitteln und Medizinprodukten optimieren. Aus beiden Gründen können sie daher unter Umständen auf Artikel 9 Abs.2 lit. (i) DSGVO (Schutz der öffentlichen Gesundheit und der Qualität von Arzneimitteln und Medizinprodukten) gestützt werden. Dabei sind aber stets die Betroffenenrechte, wie das Recht auf Widerruf zu berücksichtigen, das bei Big Data Analysen grundsätzlich schwer umzusetzen ist. Um diesen Herausforderungen zu begegnen, müssen die Grundsätze der Pseudonymisierung und Anonymisierung berücksichtigt werden. Dies gilt auch für den Fall, dass sich die Mitgliedstaaten für die Nutzung der auch hier vorhandenen Öffnungsklauseln entscheiden.
Fazit und Handlungsempfehlung
Gesundheitsdaten stellen nach der Wertung der DSGVO besonders sensible und daher besonders schutzwürdige Daten dar. Unabhängig davon ob diese Daten auf der Grundlage des nationalen Rechts oder der DSGVO selbst verarbeitet werden, ist stets darauf zu achten, dass eine Rechtsgrundlage für ihre Verarbeitung vorliegt. Wenn deren Voraussetzungen in jedem Einzelfall vorliegen und ggf. auch ihre DSGVO-Konformität geprüft wurden, ist auch die Verarbeitung von Gesundheitsdaten in neuen digitalen Anwendungen zulässig.