Ab und zu finde ich mich deutsche Digitalisierungskartoffel in Diskussionen wieder, in denen geradezu sehnsüchtig gelungene Digitalvorhaben anderer Länder angehimmelt werden. So eine Patientenakte wie in Estland oder Finnland, das wär doch was, oder? Und als Silberstreif am Horizont so ein großer gemeinsamer Europäischer Gesundheitsdatenraum, der EHDS.
All das wird nur Wunschdenken bleiben, wenn wir nicht die vielen Ungereimtheiten auflösen, die darunter verborgen sind.
Die Pandemie-Phrase
Des Weiteren hat die COVID‑19-Pandemie noch stärker gezeigt, wie wichtig elektronische Gesundheitsdaten für die Entwicklung von Strategien zur Bewältigung von Gesundheitskrisen sind.
Dieser Satz steht in der Präambel des ersten Vorschlags der Europäischen Kommission zum Europäischen Raum für Gesundheitsdaten. Worum geht es da und ist das alles so in sich stimmig?
Der EHDS ist erst einmal vordergründig eine rechtliche Initiative, die europaweit Gesundheitsdaten und Leistungen digital harmonisieren soll.
Die Forderung nach Harmonisierung ist im Kern nicht schlecht. Elektronische Rezepte, die europaweit funktionieren, sind durchaus hilfreich. Wenn Gesundheitsdaten aus Spanien deutschen Ärzt*innen besser nicht mehr spanisch vorkommen und nach internationalen Standards auswertbar sind, ist das auch durchaus hilfreich.
Nun steht im Entwurf zum EHDS aber nicht nur der Wunsch nach stärkerer Interoperabilität und Standardisierung, sondern es geht auch ganz klar um einfacheren Zugang zu Daten. Dabei geht es nicht nur um den sogenannten „primary use“, sondern es gibt noch einen „secondary use“ – also eine Verwendung von Gesundheitsdaten über den eigentlich Primärzweck der Behandlung und Versorgung hinaus. Das kann für die Forschung sein, aber auch zu kommerziellen Zwecken, sofern dies in die möglichen zugelassenen Formen der Datennutzung passt.
Da der EHDS europaweit gedacht ist, ist das Ziel auch ganz klar die Schaffung eines einzigen großen Datenraums im Sinne eines europäischen digitalen Binnenmarktes, des sogenannten Digital Single Market.
Probleme im Schlepptau
Die erste Fassung des EHDS-Vorschlags war – gelinde gesagt – nicht so wirklich auf die Rechte der betroffenen Personen ausgerichtet.
Für die Zweitnutzung gab es im ersten Entwurf keinerlei Widerspruchsmöglichkeit. Also gar keine. Aktuell bewegt sich die Diskussion zwar in diese Richtung, es ist aber noch in Verhandlung, ob als Opt-Out oder Opt-In. Also ob die Betroffenen der Nutzung aktiv widersprechen oder ob sie explizit einwilligen müssen, bevor ihre Daten verwendet werden.
Der Witz an der Sache von Seiten der medizinischen Leistungserbringer ist auch, dass der Entwurf darauf abzielt, dass sogenannte Dateninhaber („Data Holders“) Gesundheitsdaten auch bereitstellen müssen, zumindest ab einer bestimmten Größe. Darunter fallen quasi alle Kliniken.
Nun ist die Forschung an Daten auf verschiedenen Wegen vorstellbar. Idealerweise wäre Forschung mit komplett anonymisierten Daten möglich. Das geht aber leider gar nicht mal so häufig, weil manche Datenpunkte, speziell mehrere miteinander kombinierte, eine so individuelle „Daten-Signatur“ haben, dass Personen auch anhand der Datenpunkte allein wieder eindeutig identifiziert werden können.
Je seltener bestimmte Werte innerhalb eines Datensets vorkommen, desto schneller lässt sich eine Person einwandfrei auch aus dann pseudonymen Daten wiedererkennen.
Menschen mit einer seltenen Erkrankung – manche davon kommen im Bereich von 1:1.000.000 vor – und einer bestimmten Blutgruppe gibt es in der Kombination in ganz Deutschland oder Europa gar nicht mal so viele.
Das Problem ist so ähnlich wie bei der Nutzung der Abrechnungsdaten von gesetzlichen Krankenkassen. Dort ruht in Deutschland gerade das Verfahren der Gesellschaft für Freiheitsrechte gegen eine solche Verarbeitung ohne Widerspruchsmöglichkeit – zufriedenstellend gelöst ist das Problem aber noch nicht. Mit dem EHDS könnte das Problem sogar wiederkommen.
Breite Definition von Gesundheitsdaten
Was genau im Sinne des EHDS unter den Begriff Gesundheitsdaten fällt, ist aktuell sehr weit auslegbar. In der ersten Fassung stehen da etwa auch „Wellness-Anwendungen“, deren Daten verfügbar gemacht werden sollen. Oder um es mit den Worten des Netzwerk Datenschutzexpertise zu sagen: „Man kann den Eindruck haben, dass alle Daten, die auch im entferntesten einen Gesundheitsbezug haben, von der Bereitstellungpflicht erfasst sein sollen“.
Neben der sehr großzügigen Definition der Daten selbst, ist auch die erste Definition von Zwecken, zu denen diese Daten genutzt werden können, sagen wir mal, bei kreativer Anwendung für so ziemlich alles anwendbar.
Unter „Training, Erprobung und Bewertung von Algorithmen, auch in Medizinprodukten, KI-Systemen und digitalen Gesundheitsanwendungen, die zur öffentlichen Gesundheit oder sozialen Sicherheit beitragen“ lässt sich dann doch einiges unterbringen. Wenn zwar das „Treffen von Entscheidungen zum Schaden einer natürlichen Person“ verboten ist, stellt sich die Frage, ob das vielleicht vorher erst durch Bewertung von Algorithmen herausgefunden werden müsste.
Da ist also rechtlich noch einiges klar zu fassen und genauer zu definieren. Inklusive der zentralen Frage, inwieweit sich Forschung im Sinne der Allgemeinheit an Daten klar trennen lässt von kommerziellen Interessen.
Die Forderungen des Handelsverbands der Medizintechnikindustrie etwa, Handelsgeheimnisse und geistiges Eigentum durch den EHDS nicht zu gefährden, lassen doch auch eher auf starke kommerzielle Interessen schließen.
Erschwerend dazu kommt, dass der EHDS nach Plan Mitte 2023 verabschiedet werden sollte. Mit der Zielsetzung, dass die Mitgliedstaaten 2025 diesem Datenraum quasi beitreten sollen, wird das aus rein technischer Sicht selbst für digital weiter entwickelte Länder nicht unbedingt einfach. Die Aussichten, dass das alles in Deutschland funktioniert, stehen damit nicht unbedingt gut.
Viele schlecht umgesetzte EU-Initiativen auf einmal
Obwohl der EHDS und seine rechtlichen Grundlagen uns alle in Europa betreffen, bleibt das Thema aktuell noch etwas arg unter dem Radar. Der EHDS ist als Vorschlag digitalpolitisch leider etwas neben den Themenfeldern Chatkontrolle und digitale Identitäten untergegangen. Wenn es digitalpolitisch überall brennt, ist es schwer, alles gleichzeitig zu löschen.
Wer sich aus zivilgesellschaftlicher Sicht auf EU-Ebene mehr mit dem EHDS beschäftigen möchte, dem sei das Positionspapier von EDRi empfohlen.
Ich möchte gar nicht widersprechen.
Ich möchte meine Entscheidung, nicht widersprochen zu haben,
n i c h t bereuen.
Hoffnung ist keine Strategie.
„secondary use“ kann auch zur Qualitätssicherung, Prozessanalyse oder dem Controlling in der datenerhebenden Institution oder aus Landessicht erfolgen. Der Mehrwert elektronischer Daten besteht doch darin, Analysen durchzuführen und neue Datenkombinationen zu nutzen und neue Erkenntnisse daraus zu ziehen.
Guter Artikel! Wie wäre es, wenn wir vorher allen EU-Bürger:innen einen personell gebundene digitale Signatur zur Verfügung stellen, und über diese deren Daten – ob nun Gesundheitsdaten oder andere Sachen – selektiv einer nur von den Dateninhabenden zu bewerkstelligenden Freigabe unterstellen?
Mir gefällt es nicht, wenn Daten einfach so freigegeben werden sollen. Es sind höchstpersönlichen Daten, die nicht in jedermanns Hände gehören; ob nun anonymisiert oder teilanonymisiert.
Bei der Gelegenheit: Wie wäre es wenn die hier entscheidenden EU-Politiker:innen erst einmal die Legitimation als Regierung bekommen, als welche die sich ja schon seit einiger Zeit nicht unbedingt vertrauenswürdig gebärden?