everythingpossible - stock.adobe
Datenschutz im Datenraum: Was man vom EHDS lernen sollte
Datenräume sind in der Datenökonomie wichtig. Dabei darf der Datenschutz nicht einer breiten Datennutzung geopfert werden. Aufsichtsbehörden haben Hinweise gegeben.
Wir erinnern uns: Im Mai 2022 hat die Europäische Kommission den europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) auf den Weg gebracht. Der EHDS soll es den Menschen in ihrem jeweiligen Heimatland oder in anderen Mitgliedstaaten ermöglichen, ihre Gesundheitsdaten zu kontrollieren und zu nutzen. Er soll einen Binnenmarkt für digitale Gesundheitsdienste und -produkte sowie einen vertrauenswürdigen und effizienten Rahmen für die Nutzung von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten schaffen, wobei er gleichzeitig die uneingeschränkte Einhaltung der hohen Datenschutzstandards der EU sicherstellen soll.
Auch wenn man als Unternehmen nicht im Bereich des Gesundheitswesens tätig ist, lohnt es sich, die Entwicklungen rund um den EHDS zu betrachten, denn er ist ein Beispiel für Datenräume generell und zeigt auf, wo die Knackpunkte für den Datenschutz liegen.
Was der Datenraum EHDS können soll
Über den EHDS sollen Angehörige der Gesundheitsberufe einen unmittelbaren und einfachen Zugang zu den Daten in elektronischer Form erhalten. Sie können dann diese Daten mit anderen Angehörigen der Gesundheitsberufe in und zwischen den Mitgliedstaaten austauschen, um die Gesundheitsversorgung zu verbessern. Die Bürgerinnen und Bürger werden laut EU-Kommission die vollständige Kontrolle über ihre Daten übernehmen und in der Lage sein, Informationen hinzuzufügen, falsche Daten zu berichtigen, den Zugang für andere zu beschränken und Informationen darüber zu erhalten, wie und zu welchem Zweck ihre Daten verwendet werden.
Der europäische Raum für Gesundheitsdaten schafft aus Sicht der EU-Kommission einen soliden Rechtsrahmen für die Verwendung von Gesundheitsdaten für Forschung, Innovation, Gesundheitswesen, Politikgestaltung und Regulierungszwecke. Unter strengen Bedingungen werden Forschende, Innovatoren, öffentliche Einrichtungen oder die Branche Zugang zu großen Mengen an Gesundheitsdaten von hoher Qualität haben, die für die Entwicklung von lebensrettenden Behandlungen, Impfstoffen oder Medizinprodukten von entscheidender Bedeutung sind und einen besseren Zugang zur Gesundheitsversorgung sowie widerstandsfähigere Gesundheitssysteme gewährleisten, so die EU-Kommission.
Für den Datenschutz ist wichtig: Der Zugang wird laut EU-Kommission nur gewährt, wenn die angeforderten Daten zu bestimmten Zwecken sowie in geschlossenen sicheren Umgebungen verwendet werden und ohne dass die Identität der betroffenen Person offengelegt wird. Es ist auch streng verboten, die Daten für Entscheidungen zu verwenden, die sich nachteilig auf Bürgerinnen und Bürger auswirken, wie zum Beispiel das Konzipieren schädlicher Produkte oder die Erhöhung einer Versicherungsprämie.
Das klingt gut, doch was sagen die Datenschützer dazu?
Aufsichtsbehörden geben Hinweise zum EHDS
Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) forderte (PDF) Nachbesserungen an dem Entwurf einer Verordnung für den Europäischen Gesundheitsdatenraum, damit das Datenschutzniveau der Datenschutz-Grundverordnung nicht ausgehöhlt wird, so die Datenschützer.
Die Datenschutzkonferenz kritisiert insbesondere, dass das Recht auf informationelle Selbstbestimmung noch nicht mit den diversen Nutzungsinteressen in einen angemessenen Ausgleich gebracht wurde. Die DSK fordert besonders Verbesserungen in Bezug auf die Betroffenenrechte, die Rechtsklarheit und Regelungen zu technischen und organisatorischen Maßnahmen.
Gerade bei der vorgesehenen Sekundärnutzung von elektronischen Gesundheitsdaten (unter anderem zum Training künstlicher Intelligenz, für Zwecke der Forschung oder zu reinen Bildungszwecken) kritisiert die Datenschutzkonferenz, dass nicht erkennbar sei, ob und wenn ja, inwieweit den betroffenen Personen überhaupt Rechte eingeräumt werden. Auch die technische Umsetzung zur Gewährleistung eines hohen Sicherheitsniveaus müsse aus Sicht der Datenschutzkonferenz erheblich besser geregelt werden.
Marit Hansen, die Vorsitzende der Datenschutzkonferenz im Jahr 2023, stellte im April 2023 die Bedeutung einer vertrauenswürdigen und rechtsklaren Regelung als rechtliches Fundament für den Europäischen Gesundheitsdatenraum heraus (PDF): „Es geht hier um Gesundheitsdaten, die besonders sensibel sind und einen hohen Schutzbedarf aufweisen. Missbrauch oder Datenpannen können drastische Auswirkungen für die betroffenen Personen haben.“
Die Datenschutzkonferenz fordert geeignete Garantien durch die Anwendung von Methoden im Sinne von Datenschutz „by Design“ und „by Default“ – auch mit Verfahren der Anonymisierung, der Pseudonymisierung oder der Verschlüsselung. Je sensibler persönliche Daten sind, desto strenger müssten auch die Anforderungen an deren Verarbeitung sein. Für die nötige Transparenz seien präzise und leicht verständliche Informationen über die Verarbeitungen bereitzustellen.
Hansen machte deutlich: „Das gesamte System des Gesundheitsdatenraums muss vertrauenswürdig sein. Das kann nur erreicht werden, wenn die Datenschutz-Standards nicht unterlaufen werden, die sich aus der Datenschutz-Grundverordnung und der Europäischen Grundrechtecharta ergeben.“
Datenschutz auch und gerade bei Datenräumen
Datenschutzaufsichtsbehörden, aber auch zum Beispiel ärztliche Vereinigungen wie KBV (Kassenärztliche Bundesvereinigung), weisen auf die Bedeutung der DSGVO hin (PDF).
Das Beispiel EHDS sollte deshalb als Beispiel dienen, was im Datenschutz bei Datenräumen wichtig ist. Dazu gehören insbesondere alle Betroffenenrechte nach Datenschutz-Grundverordnung (DSGVO), die ohne Abstriche auch für Datenräume gelten müssen.
Das ist für alle Bereiche der Datenökonomie wichtig, da hier in Zukunft viele Datenräume etabliert werden sollen. Datenräume müssen sich allen Datenschutzvorgaben unterwerfen und haben keine Sonderstellung, auch wenn man sich Besonderes von ihnen erhofft.