EHDS Zwischenbilanz – dreimal opt-out

WS/ März 30, 2024/ alle Beiträge, Europäischer Gesundheitsdatenraum - EHDS, Gesundheitsdatenschutz/ 0 comments

Der nachfolgende Beitrag wurde erstmals veröffentlicht am 23.03.2024 auf der Homepage des Vereins Patientenrechte und Datenschutz e. V.. Mit freundlicher Genehmigung des Verfassers Jan wird er hier im Wortlaut wiedergegebenb.


Das EU Projekt des Europäischen Gesundheitsdatenraums nähert sich der Schlussgeraden. (Abkürzung EHDS, European Health Data Space). Der Trilog, die Diskussion darüber zwischen den EU-Organen Kommission, Parlament und Rat ist abgeschlossen. Ein Kompromiss wurde erzielt, der in den nächsten Wochen in Rat und Parlament der EU zur Abstimmung gestellt wird.

Inhalt des Verordnungs-Vorschlags

Der Vorschlag der EHDS-Verordnung sieht vor:

  • Aufbau einer EU-weiten Infrastruktur für den Datenaustausch im Gesundheitswesen. Wann immer über jemanden in der EU Gesundheitsdaten elektronisch erfasst werden, sollen diese in (mindestens lokalen) Elektronischen Patientenakten nach einem einheitlichen Format gespeichert, und eine Kurzform über eine gemeinsame EU-Infrastruktur für alle Mediziner der EU verfügbar gemacht werden. (In Deutschland würde das alle Arztkontakte betreffen.) Die Mitgliedsstaaten können vorsehen, dass PatientInnen gegen diese EU-weit vernetzte Verfügbarkeit ihrer Patientenakten Widerspruch einlegen können. (1. Opt-Out) In Deutschland ist für diesen EU-Austausch derzeit ein opt-in vorgesehen, d.h. die Versicherten müssten der EU-Vernetzung zustimmen, und sie können ihr nur zustimmen, wenn sie erstmal eine deutsche Online-EPA haben (§§ 341 Abs. 2, 351 Abs. 1 Nr. 3, 359 Abs. 4 SGB V. in der Fassung des DigiG.)
  • Eine obligatorische Vernetzung soll für Verschreibungen von Arzneimitteln gelten. In Deutschland sind Verschreibungen im System der Gesetzlichen Krankenversicherung jetzt in einer online Infrastruktur verfügbar. Im EHDS ist vorgesehen, dass alle Apotheken, insbesondere Online-Apotheken in der EU Rezepte aus allen Mitgliedsländern einlösen können sollen. Hier ist ein Lobbyisten-Traum in Erfüllung gegangen. Für diese EU-Vernetzung der Rezepte und Akten soll eine EU-eigene Infrastruktur (MyHealth@EU) aufgebaut werden. In Deutschland werden viele Apotheken nicht mit den Preisen von EU-Versandapotheken mithalten können. Bis 2030 ist hier mit einem größeren Apotheken-Sterben zu rechnen.
  • IT-Anwendungen für elektronische Verarbeitung von PatientInnen-Daten sollen vereinheitlicht werden. Dazu soll die EU Datenformate und Austausch-Protokolle standardisieren. Anbieter von Systemen zur Verarbeitung von PatientInnendaten sollen Konformitätserklärungen abgeben, mit denen sie die Konformität ihrer Produkte damit garantieren. Allerdings wird das nicht schnell zu einem EU-Markt von Praxis-IT führen. Die wesentliche Funktion dieser Praxis-IT, die Abrechnung von Leistungen, bleibt national unterschiedlich. Profitieren werden die größeren Anbieter davon, wie in Deutschland CGM, die es leichter haben, die zusätzlichen Vorgaben umzusetzen.
  • Alle medizinischen Daten, die irgendwo elektronisch erfasst wurden, werden zur “Sekundärnutzung” freigegeben. Ausgenommen sind nur Daten von Kleinst-Unternehmen. Es werden nationale Zentralstellen eingerichtet, die Verzeichnisse medizinischer Datenbestände (von Krankenkassen, ÄrztInnen, Krankenhäusern usw.) anbieten. Wenn jemand sich ein Forschungsvorhaben ausgedacht hat, kann diese Person oder Unternehmen von jedem Datenbesitzer die dazu passenden Daten anfordern. Mögliche Zwecke der Forschung damit sind sehr breit, u.a. Training von “Künstlicher Intelligenz”. Je nach angegebenem Zweck der Forschung werden die Daten anonymisiert, oder nur pseudonymisiert, und können in einer  nationalen Zentralstelle ausgewertet werden. Die Vorschriften zum Schutz von gewerblichen Schutzrechten an diesen Daten (Urheberrecht, Patentrecht) sind weitaus weiter gehend, als die zum Schutz der Persönlichkeitsrechte der Betroffenen.
  • Betroffene Personen können der Sekundärnutzung ihrer Daten widersprechen (Opt-Out). Das hat zur Folge, dass ihre Daten von den nationalen Zentralstellen nicht an die Forschenden herausgegeben werden. Eine Ausnahme gilt für öffentliche Institutionen, für Zwecke der Öffentlichen Gesundheit, einschließlich Statistik. Die Mitgliedsstaaten oder die EU können durch entsprechende Rechtsnormen anordnen, dass diese öffentlichen Stellen auch Daten von Personen bekommen müssen, die Opt-Out erklärt haben. Man muss sich z.B.  Situationen wie eine Pandemie vorstellen, wo der Staat in der Lage sein will, Daten aller Infizierten abzugreifen, für die ÄrztInnen eine entsprechende Diagnose gestellt haben.
  • Die Nationalen Zentralstellen sind verpflichtet, die Betroffenen zu informieren, wenn die Forschenden bei den Betroffenen relevante Informationen zu ihrem Gesundheitszustand gefunden haben. (Damit könnte das eigentliche Traumziel des medizinisch-industriellen Komplexes erreicht werden: uns Angebote zu machen, die man nicht ablehnen kann!) Wenn man erklärt, dass man keine solchen Informationen haben will, bekommt man sie nicht. (Opt-Out Nr. 3, das nur sinnvoll ist, wenn man gegen die Sekundärnutzung nicht bereits Opt-Out Nr. 2 genutzt hat.)
  • Die EU wird ermächtigt, mit dritten Staaten wie USA oder China Verträge folgender Art zu schließen: Wenn europäische Unternehmen auf dortige Patientendaten Zugriff zur Sekundärnutzung erhalten, dann dürfen auch US- oder chinesische Unternehmen die Daten der EU-Bürger sekundär nutzen, (selbstverständlich nur, wenn die Bedingungen dort genauso rechtsstaatlich sind wie hier das EHDS).
  • EHDS soll wirksam werden 2 Jahre nach In-Kraft-Treten,  womit noch 2024 zu rechnen wäre. Wesentliche Vorschriften von EHDS sollen erst 4 Jahre nach seinem In-Kraft-Treten wirksam werden. D.h. EHDS wird 2026 – 28 wirksam.

Auswirkungen für privat Versicherte in Deutschland

Ein bedeutsamer Unterschied zwischen EHDS und dem deutschen Parallel-Projekt (GDNG und DigiG) war die unterschiedliche Betroffenheit der private Versicherten, zu denen ja die meisten Mitglieder von Bundesregierung, Bundestag, Bundesrat usw. gehören. Die deutsche Elektronische Gesundheitsakte (eGA) wird privat Versicherten derzeit nicht einmal angeboten, sie muss ihnen auch nicht angeboten werden, es liegt im Ermessen der einzelnen Privatversicherung. Von der Weitergabe medizinischer Daten zu Forschungszwecken sind privat Versicherte, nach deutscher Gesetzgebung, überhaupt nicht betroffen. Irgendein Opt-Out ist für sie nicht relevant.

Hier besteht ein Unterschied bei EHDS. Wegen der unterschiedlichen Strukturen der Kostenerstattung in Europa kann dieser Unterschied zwischen privat und gesetzlich in der EU nicht gemacht werden. Daher müssten auch die deutschen privat Versicherten, nach den Buchstaben von EHDS, komplett  einbezogen werden. D.h. auch ihre Akten müssen europaweit zugänglich sein, auch mit ihren Daten muss geforscht werden können. Nach jetzigen Stand ist die EU-weite Weitergabe der Gesundheitsakten von privat Versicherten, im Widerspruch zum Wortlaut von EHDS, in Deutschland nicht geplant. Die sekundäre Nutzung ihrer Gesundheitsdaten wird sich nach dem System von EHDS nicht vermeiden lassen. Der entprechende Opt-Out wird also für privat Versicherte relevant.

Politische Bewertung

Die Verordnung ist ein Riesenschritt zur kommerziellen Verwertung von Gesundheitsdaten. Unsere Kritik an der Sekundärnutzung bleibt richtig. Selbstverständlich sollte der Verordnungsentwurf im Parlament abgelehnt werden. Wenn es zu einer Kampagne dagegen kommt, solte unser Verein diese unterstützen.

Eine opt-out Möglichkeit war ursprünglich nicht vorgesehen, jetzt ist sie es, wenn auch mit Schwächen. Leider müssen solche Regelungen derzeit vor allem gemessen werden an ihren Auswirkungen für gebildete und kritische Betroffene, weil die Aufmerksamkeit für dieses Thema so gering ist. Deshalb halte ich eine Kampagne allein des Vereins Patientenrechte und Datenschutz e.V. gegen die Verabschiedung von EHDS für nicht aussichtsreich. Wir sollten uns auf die nationale Opt-Out Regelung zur EPA konzentrieren. Man kann anderer Meinung sein. Die Diskussion ist eröffnet.


Fragen und Antworten

Frage Kleinstunternehmen

Eine Frage, was sind ” Kleinstunternehmen”? Wäre wichtig weil die meisten Hausarztpraxen alle Dokumente gesammelt haben und bis wann ist man ein Kleinstunternehmen?

Antwort Kleinstunternehmen

Diese Frage bezieht sich darauf, wer die Daten seiner Patientinnen zur (anonymen oder pseudonymen) Sekundärnutzung für “Forschung” zur Verfügung stellen muss, und wer nicht. In Art. 32a des Verordnungsentwurfs steht dazu: Ausgenommen von der Pflicht zur Abgabe von Patientinnendaten sind natürliche Personen, und als solche sind die meisten Einzel-Arztpraxen wohl anzusehen. Ferner Micro-Unternehmen, das sind Unternehmen wit weniger als 10 Beschäftigten UND weniger als 2 Mio EUR Jahresumsatz. Da dürften selbst im reichen Deutschland die meisten kleineren Hausarzt-Praxen drunter fallen. Sie sind also nicht verpflichtet zur Abgabe zwecks Sekundärnutzung. Man sollte aber wissen:

  1. Die Leistungsdaten, d.h. alle Diagnosen, ärztliche Leistungen, Medikamenten-Verschreibungen der Hausärztinnen sollen bereits jetzt bei den Krankenkassen zur Sekundärnutzung abgeholt werden. Selbstverständlich auch mit der (anonymen oder pseudonymen) Information, bei welcher Ärztin die Leistung erfolgte.
  2. Was die Hausärztinnen in die EPA ihrer Patientinnen schreiben (müssen), wandert ebenfalls automatisch zum Forschungsdatenzentrum, wenn die betroffene Patientin nicht widerspricht. Die Behandelnden haben darauf keinen Einfluss.
Frage Daten zur Sekundärnutzung

Ein Punkt ist mir aber leider nicht ganz klar geworden. Du schreibst: “Alle medizinischen Daten, die irgendwo elektronisch erfasst wurden, werden zur “Sekundärnutzung” freigegeben.” Könntest Du das Wort “irgendwo” noch genauer spezifizieren? Müssen z.B. auch die Ärzte Ihre digitalen Patientenakten vernetzen und zur Verfügung stellen?

Antwort Daten zur Sekundärnutzung

Die Antwort ist Ja, in Bezug auf das zur Verfügung stellen. Vernetzen muss man nicht, zur Sekundärnutzung. Es ist äußerst breit definiert, was alles Daten sind, die nach dem EHDS eingesammelt werden dürfen. Dazu würde auch das Wetter oder die Feinstaub-Belastung am Ort einer Patientin gehören, oder, ob sie Stress mit ihrem Ehepartner oder Job hat – vorausgesetzt, es ist jemand aus dem Gesundheits- oder Pflege-Sektor, einschließlich Diensten der Kostenerstattung, die über diese Daten verfügt. Wenn also JEMAND (Arzt, Krankenhaus, Krankenkasse) solche Daten hat, und dieser JEMAND ist weder eine natürliche Person noch ein Micro-Unternehmen, sondern z.B. ein Krankenhaus oder eine größere Praxis – dann müssen die so ziemlich alles herausrücken, was sie über dich haben.

Frage Inhalt Kurzakte

Ein Frage noch zur Patienten-Kurzakte: Steht irgendwo, was die alles enthalten soll/darf? Das war doch vor Jahren schon ein Kritikpunkt der Ärzte an der deutschen Regelung, dass die Inhalte der Kurzakte so vage definiert sind, dass man da im Zweifelsfall einfach alles reinkippen könnte.

Antwort Inhalt Kurzakte

Die “Patienten-Kurzakte” ist der deutsche Name für diejenigen Behandlungs-Daten, die in Deutschland für die EU-weite Primärnutzung über eine Patientin bereitgestellt werden sollen. Also für die EI-weite Nutzung zwecks ärztlicher Behandlung der Patientin. (Eine andere Schiene sind Rezepte, die sollen allesamt EU-weit verfügbar sein.) Die Patienten-Kurzakte ist derzeit als Bestandteil der deutschen EPA definiert, d.h. wer sich gegen die EPA entscheidet (opt-out), bekommt auch keine Kurz-Akte. Die Definition dieser Patienten-Kurzakte liegt nach § 355 Abs. 4 SGB V. (in der Fassung des DigiG) bei der Kassenärztlichen Bundesvereinigung! Ähnlich wird es in anderen EU-Ländern sein.

Du kannst dich nun darauf verlassen, dass keine ärztliche Zunft eines Landes A es der ärztlichen Zunft eines Landes B unnötig leicht macht, die “eigenen” Patientinnen weiter zu behandeln. Wenn du dich also z.B. in Frankreich behandeln lassen willst, und du willst deine deutschen medizinischen Daten dorthin mitnehmen, dann würde ich mich vor allem selbst darum kümmern, und mich auf keinen Automatismus verlassen. Auch nach EHDS. Das wird noch etwas dauern mit der grenzüberschreitenden Gesundheitsversorgung. Ausnahme Pharma.

Frage opt-in Primärnutzung in Deutschland

Was die Primärnutzung der Daten im EHDS zur Behandlung angeht, hatte netzpolitik.org nach der Trilog-Einigung geschrieben:”Im Detail sieht die Trilog-Einigung vor, dass Patient:innen hinsichtlich der Primärnutzung widersprechen können, dass Behandelnde auf ihre Daten zugreifen können – „es sei denn, dies ist zum Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen Person erforderlich“. Unter keinen Umständen dürfen die Daten zu Werbezwecken und zur Beurteilung von Versicherungsanträgen genutzt werden. Darüber hinaus müssen Patient:innen darüber informiert werden, wenn Dritte auf ihre Daten zugreifen. Bei der Sekundärnutzung gehen die Ausnahmen erheblich weiter und sie sind obendrein unscharf formuliert. (…)” Da europäische Regelungen ja über nationalen Regelungen stehen, würde dann die Opt-In-Regelung nach dem DigitalGesetz, die Sie im Blog zitieren, ausgehebelt, oder?

Antwort opt-in Primärnutzung in Deutschland

Thema ist, opt-out bzw. opt-in für die Primärnutzung, in Deutschland durch die Patienten-Kurzakte. Zur Zeit soll (nach § 351 Abs. 1 Nr. 3 SGB V. in der Fassung des DigiG) der grenzüberschreitende Zugriff auf die Kurzakte nur “nach Einwilligung des Patienten” möglich sein, und diese Einwilligung wäre nur möglich, wenn die Betroffene für die deutsche EPA KEIN opt-out gemacht hat. Zumindest Ersteres – die erforderliche Einwilligung – widerspricht dem EHDS. Allerdings schafft EHDS nicht unmittelbar Fakten im System der deutschen Gesetzlichen Krankenversicherung. Es würde mich überraschen, wenn die Krankenkassen hier eigenständig das SGB V. missachten zugunsten von EHDS. Sowas machen die Kassen nur, wenn es ihren Eigeninteressen entspricht. Die Kassen sind Teil des deutschen medizinisch-industriellen Komplexes. Sie haben durch grenzüberschreitende Behandlung erheblichen Verwaltungs-Mehraufwand und wenig Zusatz-Nutzen.

Das SGB V. müsste noch mal geändert werden, damit für die Kurzakte keine Einwilligung abgefordert wird. Bei der politischen Bewertung sollte man davon ausgehen, das diese Änderung stattfinden wird. (Es ist noch jahrelang Zeit dafür!) Kurzfristig hat sich hier die Marktabschottung durchgesetzt, das kann sich aber schnell ändern, weil ich keine größeren Lobby-Interessen dahinter sehe.

Frage Ausnahmen opt-out Sekundärnutzung

Zu den Ausnahmen von opt-out bei der Sekundärdatennutzung (also keinerlei Widerspruchsrecht) heißt es wohl laut netzpoltik.org in der Trilog-Einigung: „Zwecke des öffentlichen Interesses, der Politikgestaltung oder der Statistik sowie zum Schutz von geistigem Eigentum und Geschäftsgeheimnissen“ Das scheinen mir dehnbare Begriffe zu sein (“öffentliches Interesse”, “Politikgestaltung”); wehe, politische Verhältnisse ändern sich …! Und der “Schutz von geistigem Eigentum und Geschäftsgeheimnissen” scheint Daten aus Medizinprodukte- und Pharmaunternehmen zu betreffen, wofür dann Vertraulichkeit nicht mehr gewährleistet wäre.

Antwort Ausnahmen opt-out Sekundärnutzung

Es geht um den Zugriff öffentlicher Institutionen zur sekundären Nutzung von Daten, obwohl die betroffenen Patientinnen das opt-out für die Sekundärnutzung erklärt haben. Der Schutz von geistigem Eigentum und Geschäftsgeheimnissen alleine rechtfertigen keinen solchen Zugriff, laut EHDS. Erforderlich sind in jedem Fall neue Gesetze der Mitgliedsstaaten, die diesen Zugriff ausdrücklich zulassen. Mögliche Rechtfertigungsgründe (für die Mitgliedsländer) dafür sind öffentliches Interesse, Politik-Gestaltung, Statistik und Forschung! D.h. mit entsprechender Gesetzgebung der Mitgliedsstaaten steht diesen Tür und Tor offen für den Zugriff (zur anonymen oder pseudonymen Nutzung) auch auf Daten, für die ein opt-out geltend gemacht wurde.

Eine De-Anonymisierung wäre auch dann nicht zulässig. (Selbstverständlich wäre sie möglich.)

 

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*