Datenschutz im Datenraum: Was man vom EHDS lernen sollte

Was der Datenraum EHDS können soll

Über den EHDS sollen Angehörige der Gesundheitsberufe einen unmittelbaren und einfachen Zugang zu den Daten in elektronischer Form erhalten. Sie können dann diese Daten mit anderen Angehörigen der Gesundheitsberufe in und zwischen den Mitgliedstaaten austauschen, um die Gesundheitsversorgung zu verbessern. Die Bürgerinnen und Bürger werden laut EU-Kommission die vollständige Kontrolle über ihre Daten übernehmen und in der Lage sein, Informationen hinzuzufügen, falsche Daten zu berichtigen, den Zugang für andere zu beschränken und Informationen darüber zu erhalten, wie und zu welchem Zweck ihre Daten verwendet werden.

Der europäische Raum für Gesundheitsdaten schafft aus Sicht der EU-Kommission einen soliden Rechtsrahmen für die Verwendung von Gesundheitsdaten für Forschung, Innovation, Gesundheitswesen, Politikgestaltung und Regulierungszwecke. Unter strengen Bedingungen werden Forschende, Innovatoren, öffentliche Einrichtungen oder die Branche Zugang zu großen Mengen an Gesundheitsdaten von hoher Qualität haben, die für die Entwicklung von lebensrettenden Behandlungen, Impfstoffen oder Medizinprodukten von entscheidender Bedeutung sind und einen besseren Zugang zur Gesundheitsversorgung sowie widerstandsfähigere Gesundheitssysteme gewährleisten, so die EU-Kommission.

Für den Datenschutz ist wichtig: Der Zugang wird laut EU-Kommission nur gewährt, wenn die angeforderten Daten zu bestimmten Zwecken sowie in geschlossenen sicheren Umgebungen verwendet werden und ohne dass die Identität der betroffenen Person offengelegt wird. Es ist auch streng verboten, die Daten für Entscheidungen zu verwenden, die sich nachteilig auf Bürgerinnen und Bürger auswirken, wie zum Beispiel das Konzipieren schädlicher Produkte oder die Erhöhung einer Versicherungsprämie.

Das klingt gut, doch was sagen die Datenschützer dazu?

Aufsichtsbehörden geben Hinweise zum EHDS

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) forderte (PDF) Nachbesserungen an dem Entwurf einer Verordnung für den Europäischen Gesundheitsdatenraum, damit das Datenschutzniveau der Datenschutz-Grundverordnung nicht ausgehöhlt wird, so die Datenschützer.

Die Datenschutzkonferenz kritisiert insbesondere, dass das Recht auf informationelle Selbstbestimmung noch nicht mit den diversen Nutzungsinteressen in einen angemessenen Ausgleich gebracht wurde. Die DSK fordert besonders Verbesserungen in Bezug auf die Betroffenenrechte, die Rechtsklarheit und Regelungen zu technischen und organisatorischen Maßnahmen.

Gerade bei der vorgesehenen Sekundärnutzung von elektronischen Gesundheitsdaten (unter anderem zum Training künstlicher Intelligenz, für Zwecke der Forschung oder zu reinen Bildungszwecken) kritisiert die Datenschutzkonferenz, dass nicht erkennbar sei, ob und wenn ja, inwieweit den betroffenen Personen überhaupt Rechte eingeräumt werden. Auch die technische Umsetzung zur Gewährleistung eines hohen Sicherheitsniveaus müsse aus Sicht der Datenschutzkonferenz erheblich besser geregelt werden.

Marit Hansen, die Vorsitzende der Datenschutzkonferenz im Jahr 2023, stellte im April 2023 die Bedeutung einer vertrauenswürdigen und rechtsklaren Regelung als rechtliches Fundament für den Europäischen Gesundheitsdatenraum heraus (PDF): „Es geht hier um Gesundheitsdaten, die besonders sensibel sind und einen hohen Schutzbedarf aufweisen. Missbrauch oder Datenpannen können drastische Auswirkungen für die betroffenen Personen haben.“

Die Datenschutzkonferenz fordert geeignete Garantien durch die Anwendung von Methoden im Sinne von Datenschutz „by Design“ und „by Default“ – auch mit Verfahren der Anonymisierung, der Pseudonymisierung oder der Verschlüsselung. Je sensibler persönliche Daten sind, desto strenger müssten auch die Anforderungen an deren Verarbeitung sein. Für die nötige Transparenz seien präzise und leicht verständliche Informationen über die Verarbeitungen bereitzustellen.

Hansen machte deutlich: „Das gesamte System des Gesundheitsdatenraums muss vertrauenswürdig sein. Das kann nur erreicht werden, wenn die Datenschutz-Standards nicht unterlaufen werden, die sich aus der Datenschutz-Grundverordnung und der Europäischen Grundrechtecharta ergeben.“

Datenschutz auch und gerade bei Datenräumen

Datenschutzaufsichtsbehörden, aber auch zum Beispiel ärztliche Vereinigungen wie KBV (Kassenärztliche Bundesvereinigung), weisen auf die Bedeutung der DSGVO hin (PDF).

Das Beispiel EHDS sollte deshalb als Beispiel dienen, was im Datenschutz bei Datenräumen wichtig ist. Dazu gehören insbesondere alle Betroffenenrechte nach Datenschutz-Grundverordnung (DSGVO), die ohne Abstriche auch für Datenräume gelten müssen.

Das ist für alle Bereiche der Datenökonomie wichtig, da hier in Zukunft viele Datenräume etabliert werden sollen. Datenräume müssen sich allen Datenschutzvorgaben unterwerfen und haben keine Sonderstellung, auch wenn man sich Besonderes von ihnen erhofft.