In Deutschland werden täglich Gesundheitsdaten für Versorgungszwecke verarbeitet. Die sogenannte Sekundärnutzung, also die Nutzung zu anderen Zwecken als denjenigen, zu denen die Daten erhoben wurden, ist nach der aktuellen Rechtslage mit deutlichen Hürden verbunden. Im aktuellen Koalitionsvertrag der Bundesregierung wurde hierfür eine Lösung vereinbart: Das Gesundheitsdatennutzungsgesetz (GDNG) soll den Zugang zu und damit die Verwendung von Gesundheitsdaten für Forschungszwecke erleichtern. Am 30. August 2023 wurde der entsprechende Gesetzesentwurf (GDNG-E) veröffentlicht. Das GDNG soll Anfang 2024 in Kraft treten.
Ziele und Zwecke des GDNG
Das GDNG dient in erster Linie der besseren Nutzbarkeit ohnehin vorhandener Gesundheitsdaten, indem rechtliche, technische und bürokratische Hürden abgebaut werden. Im Ergebnis sollen hierdurch beispielsweise die in der elektronischen Patientenakte (ePA) gespeicherten Daten für Forschungszwecke genutzt und Datenbestände verknüpft werden können, um die Versorgung im Gesundheitswesen allgemein zu verbessern. Überraschen dürfte dabei die für die Bereitstellung der Daten aus der ePA vorgesehene Widerspruchslösung (sog. Opt-Out), sind doch gerade bei sensiblen Gesundheitsdaten häufig Einwilligungen auf spezialgesetzlicher Ebene obligatorisch (so beispielsweise nach § 40b Abs. 6 Arzneimittelgesetz).
Doch auch für einzelne Patientinnen und Patienten sollen Vorteile aus der Bereitschaft, Daten für solche Zwecke nutzbar zu machen, entstehen: Der geplante § 25b SGB V soll Kranken- und Pflegekassen eine Datenauswertung zum individuellen Schutz der Versicherten, bspw. zur Erkennung von seltenen Krankheiten ermöglichen. Den versicherten Personen darf dabei kein Nachteil aus einer erfolgten oder unterbliebenen Einwilligung oder einem erfolgten oder unterbliebenem Widerspruch entstehen.
Um den Patientendatenschutz zu stärken, besteht für Datennutzende eine Geheimhaltungspflicht für im Rahmen des GDNG zugänglich gemachte Daten, § 7 GDNG-E. Ein Verstoß gegen diese Geheimhaltungspflicht ist nach § 9 GNDG-E strafbar und wird künftig mit bis zu drei Jahren Freiheitsstrafe oder Geldstrafe bestraft. Es erfolgt zudem eine Annäherung des Datenschutzes an die Regelungen der ärztlichen Schweigepflicht, indem die Geheimhaltungspflicht auch für Gesundheitsdaten verstorbener Personen gelten soll, § 7 Abs. 1 S. 2 GDNG-E.
Für wen besteht Handlungsbedarf?
Die digitale Infrastruktur, die im Rahmen des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz, DigiG) ausgebaut wird, unterliegt in erster Linie einer datenschutzrechtlichen Verantwortlichkeit der jeweiligen Stellen des Bundes – nur dieser hat letztlich einen Überblick über die Details der Infrastruktur und der Datenströme vor dem Hintergrund der technischen und organisatorischen Maßnahmen. Doch wie auch beim Einsatz der dezentralen Telematikinfrastruktur (vgl. § 307 Abs. 1 S. 1 SGB V), sind letztlich diejenigen, die die Daten zu eigenen Zwecken nutzen, für eine datenschutzkonforme Verarbeitung verantwortlich.
Insbesondere Leistungserbringer, aber auch Krankenkassen sowie Arzneimittel- und Medizintechnikhersteller sind vor dem Hintergrund der neuen Rechtslage angehalten, ihre Verzeichnisse von Verarbeitungstätigkeiten zu überprüfen und zu aktualisieren. Zudem wird Leistungserbringern und Anbietern von digitalen Gesundheitsdiensten und -anwendungen auch eine wesentliche Aufgabe zur transparenten Information der Betroffenen zukommen. Aus Sicht des Datenschutzes sind hierbei besonders die Informationspflichten nach Art. 13 und 14 DSGVO zu beachten.
Für eine zeitlich befristete Sekundärnutzung von Behandlungsdaten durch Leistungserbringer zu bestimmten Zwecken sind die Anonymisierung, mindestens jedoch eine Pseudonymisierung der Daten, sowie ggf. die Implementierung eines Rollen- und Rechtekonzepts in § 6 GDNG-E vorgeschrieben. Die datenschutzrechtliche Bewertung sollte daher frühzeitig durchgeführt und ausreichend dokumentiert werden.
Für datennutzende Stellen, die in Kooperation mit anderen datennutzenden Stellen zusammenarbeiten, wird ebenfalls die Frage der datenschutzrechtlichen Verantwortlichkeit zu klären sein. § 5 GDNG-E sieht bei länderübergreifenden Gesundheitsforschungsvorhaben besondere (federführende) Zuständigkeiten der Datenschutzaufsichtsbehörden vor. Die Frage der Zuständigkeit soll sich dann gemäß § 5 Abs. 2 GDNG-E nach dem höheren Umsatz bzw. der höheren Anzahl datenverarbeitender Beschäftigter richten. Datennutzende Stellen sollten sich daher bei Kooperationsvorhaben im Bereich des GDNG über die Nutzung dieser Option einigen und ggf. auf konkrete vertragliche Regelungen im Innenverhältnis achten.
Fazit
Die Bundesregierung nähert sich mit großen Schritten der Digitalisierung im Gesundheitswesen. Was im ersten Moment innovativ und nachteilsfrei klingt, kann jedoch nur gelingen, wenn diejenigen ausreichend beachtet werden, ohne die eine Verarbeitung von Gesundheitsdaten nicht denkbar wäre – die Patientinnen und Patienten. Es braucht ein besonderes Fingerspitzengefühl, damit nicht jene abgehängt werden, die mit digitalen Lösungen nichts anfangen können und spätestens bei seitenlangen Datenschutz- und Widerspruchserklärungen überfordert sind. Es braucht einen Anfang, einen Schritt in die digitale Richtung, ohne Frage. Eine faire und transparente Lösung gelingt jedoch nur mit klarer Kommunikation und echten Wahlmöglichkeiten. Ob die teilweise vorgesehene Widerspruchslösung und das letztliche Design der Steuerungsmöglichkeiten der Patientinnen und Patienten hierzu geeignet sind, bleibt abzuwarten.