Lobbyisten fordern verbesserte Möglichkeiten zur Verarbeitung von personenbezogenen Daten im Gesundheitswesen
Die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. und die Gesellschaft für Datenschutz und Datensicherheit e. V. haben eine Stellungnahme zur Umsetzung der Regelungen der EU-Datenschutzgrundverordnung bzgl. der Verarbeitung von personenbezogenen Daten im Gesundheitswesen veröffentlicht. Sie ist unter Creative Commons-Lizenz 4.0 lizenziert.
Beim Blick auf die Autoren der Stellungnahme (S. 2) fällt auf, dass sich darunter mehrere Vertreter von einschlägig bekannten Unternehmen der IT-Gesundheitsindustrie befinden. Eine Auswahl: Christoph Isele, Cerner Deutschland GmbH; David Koeppe, Vivantes – Netzwerk für Gesundheit GmbH; Pierre Kaufmann, Agfa HealthCare GmbH; Christoph Nahrstedt, MEDNOVO Medical Software Solutions GmbH; Bernd Schütze, Deutsche Telekom Healthcare and Security GmbH; Jens Schwanke, Kairos GmbH.
In der der Stellungnahme vorangestellten „Zusammenfassung“ (S. 5) wird die Richtung der Stellungnahme erkennbar: „Es ist zwingend notwendig, dass Erlaubnistatbestände zur Datenweitergabe an mitbehandelnde und/oder weiterbehandelnde Personen, die nicht zwangsläufig ärztliche Personen sein müssen, weiterhin gesetzlich geregelt bleiben. Dies schließt die derzeitigen gesetzlichen Regelungen der Sozialgesetzbücher ein, insbesondere auch die Regelungen bzgl. des MDK. Es ist wünschenswert, dass diese Erlaubnistatbestände nicht zwingend die Einwilligung des Patienten erfordern, wenngleich selbstverständlich die Transparenz gegenüber dem Patienten gewährleistet sein muss… Damit der medizinische Forschungsstandort Deutschland nicht den Anschluss an die internationale medizinische Forschung verliert, benötigt Deutschland klare Regeln bzgl. des Umgangs mit Daten der besonderen Kategorien zu Forschungszwecken. Insbesondere werden gesetzliche Erlaubnistatbestände bzgl. des Umgangs mit Biomaterial benötigt, aber auch Regelungen für einrichtungsübergreifende Forschung und Qualitätssicherung mit den Daten der Patientenversorgung. Neben der Forschung ist die Qualitätssicherung der medizinischen Versorgung unabdingbar. Auch hier müssen mindestens die aktuellen Regelungen beibehalten werden, welche die Nutzung von Daten der Routineversorgung zu Zwecken der Qualitätssicherung erlauben. Nicht staatlich geforderte Register sind für die Weiterentwicklung der Versorgung unverzichtbar, diese brauchen gesetzliche Erlaubnistatbestände… Die Betroffenenrechte sind in der DS-GVO sehr umfangreich ausgestaltet… Dennoch sollte der Gesetzgeber einige wenige dieser Rechte… einschränken, bis nationale Umsetzungsvorgaben (z.B. im Rahmen des Rechts auf Datenübertragbarkeit) eine nutzbare Gestaltung dieser Betroffenenrechte erlauben…“
„Grundsätzlich ist die Beschränkung der Grundrechte Betroffener nicht wünschenswert und sollte daher in nationalen Regelungen nur maßvoll Anwendung finden.“
Diese scheinbar harmlos daher kommende Forderung (S. 8) wirft die Frage auf: Wer definiert, was eine „maßvoll(e) Anwendung“ der „Beschränkung der Grundrechte Betroffener“ ist?
Nach erster Durchsicht der Stellungnahme fällt auf, dass u. a. in folgenden Bereichen die Rechte von Patienten nach den Vorstellungen der Verfasser reduziert werden sollen:
- Abschnitt 4.2.1. „Beschränkung des Informationsrechts des Patienten“
- Abschnitt 4.4.1. „Datenweitergabe an mitbehandelnde/weiterbehandelnde Personen“ Zitat: „Es ist wünschenswert, dass die Erlaubnistatbestände nicht zwingend die Einwilligung des Patienten erfordern…“
- Abschnitt 4.5.1. „Datenverarbeitung für wissenschaftliche Zwecke“
- Abschnitt 4.5.3. „Spezialfall Big Data“ Zitat: „… wird Big Data als ‚die wirtschaftlich sinnvolle Gewinnung und Nutzung entscheidungsrelevanter Erkenntnisse aus qualitativ vielfältigen und unterschiedlich strukturierten Informationen, die einem schnellen Wandel unterliegen und in bisher ungekanntem Umfang zu Verfügung stehen‘ definiert. Dabei werden im Big Data Umfeld ggfs. personenbezogene Daten verarbeitet, die ohne konkreten Verwendungszweck erhoben oder zum Erhebungszeitpunkt zu einem anderen Zweck gespeichert wurden. Dabei werden Daten genutzt, die bei zeitlich nach der Erhebung auftauchenden Fragestellungen deren Beantwortung erleichtern oder ermöglichen sollen. Somit stellt Big Data eine Vorratsdatenspeicherung dar, die speziell im Bereich der medizinischen Big Data Anwendungen besonders sensible Daten verarbeitet… Big Data besitzt das Potential die Gesundheitsversorgung der Menschen deutlich zu verbessern… Entsprechende medizinische Big Data Anwendungen verfolgen somit eine dem Gemeinwohl dienende Zielsetzung.“
Wird mit diesen Feststellungen versucht, die Entscheidung des EuGH zur Vorratsdatenspeicherung (Urteil vom 08.04.2014; Az.: C-293/12 und C-594/12) in ihr Gegenteil zu verwandeln? Der Verdacht liegt nahe.
Es laufen seit einiger Zeit Vorschläge für Gesetzesänderungen, die parallel zum gewaltigen Fortschritt in der Datenverarbeitung gestellt werden. Damit sollen die letzten störenden Hürden für möglichst
-barrriefreie- Auswertung der Datenmengen eingerissen werden. Für die Datenschützer besteht seit dem Volkszählungsurteil eine veränderte Situation, die mit der enormen Geschwindigkeit der Ausbreitung der elektronisch-digitalen Geräte und der Komplexität der damit zusammenhängenden technischen Infrastruktur zusammenhängen.
Unser Bemühen ist redlich aber uns werden die Brocken nur so vor die Füsse geworfen, dabei brauchen wir
den großen Wurf gravierender politischer und konzeptioneller Veränderungen in unserer Gesellschaft.
<br<
Es wird in nicht ausreichendem Maße erkannt, oder bzw. darüber geredet, dass die etablierten Rechtssetzungen, wie z.B. das BDSG bereits vom Kern her vollkommen unzureichend sind. Durchgesetzt und gesetzlich abgesichert als legitime Methoden hat sich die Verschlüsselung von Daten, die Anonymisierung von Daten und die Pseudonymisierung
von Personen (siehe z.B. über den § 291 a). Natürlich sind dies wichtige Instrumente, aber all diese Methoden sind alleine noch kein Freibrief die Einwiligungsverfahren (Zustimmung der Patienten) immer mehr zu umgehen oder ganz aufzugeben. Mit der Automation der genannten Methoden und dem Weglassen der Beschreibung der detaillierten interaktiven Abläufe in informationellen Systemen, wie dem eGK/TI-System ist der GAU bereits eingetreten.
Die gesellschaftliche Kontrolle ist in Wirklichkeit bereits vollständig verloren gegangen! Alles was passiert
ist Gesummse nach dem fertigen Bau des Nestes.
Das heißt wir müssen uns mit Gesetzesänderungen auseinandersetzen,die davon ablenken, das mit dem eingetretenen GAU eine technische und formale Regulierung der
technischen und formalene Abläufe so gut wie nicht mehr möglich ist.
Was wir jetzt brauchen, unabhängig gesehen ob diese Forderung umgesetzt werden kann, ist eine Beschreibung
der IST-Situation der informationellen Systeme und eine dringende Überarbeitung und Erneuerung der Datenschutzgesetze.
Die wertvollen Instrumente
Verschlüsselung von Daten
Anonymisierung von Daten
Pseudonymisierung von Personen
werden zu zahnlosen Tigern, angesichts der neuen Möglichkeiten der Technologien
und der ausufernden Datensammel- und Regulierungswut des Staates!
Die Methoden sind nur dann nützlich, wenn die dazu gehörigen Konzepte und Regeln der Datenproduktion definiert sind und annähernd bekannt ist wie die informationelle Systeme und digitalen Geräte funktionieren.
Die effiziente nachträgliche Einforderung der Regulierung der IT-Systeme und neuen Technologien gleicht Don Quichote der gegen Windmühlen kämpft. Die Regulierung kann nur erfolgreich sein wenn sie in den Kernen der Technologien integriert ist und begleitet wird von starken demokratischen, ethschen und innovativen Konzepten, die in der Vorentwicklung und Umsetzung neuer Technologien von ganz neuen Datenschutzgesetzen flankiert werden.
Damit würde die Ökonomie und das Wachstum nicht verhindert und es ist damit auch nicht eine Rückkehr zu analogen Welten verbunden!
Korallenriff-IT, ein neuer Ansatz für Cloud Computing und Datenhoheit
http://www.ocmts.de/egk/main/korallenriff.html
Dezentrale Vielfalt:
http://www.ocmts.de/blogs/dezentralevielfalt1.pdf
http://www.ocmts.de/egk/xmlcontainer/html/kontroverseDatenbetrachtung.pdf
Aufgefallen ist mir noch der letztes Satz im Abschnitt 4.5.2 des Positionspapiers:
„Eine nationale Regelung gemäß Art. 9 Abs. 2 lit. h DS-GVO könnte jedoch die Vorgaben bzgl. Verwendungszweck und Datenminimierung weniger streng fordern (analog Erwägungsgrund 33) und auch die Informationspflichten bei zweckändernder Datenverwendung (analog Erwägungsgrund 62) moderater gestalten.“
Man darf also auf nationaler Ebene die Anforderungen laut DS-GVO „abmildern“? Wirklich?