Weiterentwicklung der eHealth-Strategie – Studie von PricewaterhouseCoopers (pwc) veröffentlicht

Datenschutzrheinmain/ November 14, 2016/ alle Beiträge, Telematik-Infrastruktur/ 1Kommentare

Am 08.11.2016 veröffentlichte die Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers AG (pwc) eine Studie,  die im Auftrag des Bundesministeriums für Gesundheit erarbeitet wurde. Sie umfasst mehr als 200 Seiten und ist hier im Wortlaut verfügbar.

Der Auftraggeber, Bundesgesundheitsminister Hermann Gröhe (CDU), wird die Studie den Fachleuten seines Ministeriums als Lektüre verordnen. Aber auch Krankenkassen und die Unternehmen in der IT-Gesundheitsindustrie werden sie nutzen, um ihre Interessen besser durchsetzen zu können. Deshalb sollten auch KritikerInnen von Gröhes E-Health-Gesetz die Studie einer kritischen Wertung unterziehen.

Aus dem Vorwort: „Die vorliegende Studie ‚Weiterentwicklung der eHealth-Strategie‘, die das Bundesministerium für Gesundheit (BMG) in Auftrag gegeben hat, setzt sich zwei Dinge zum Ziel: Zum einen erfolgt eine umfassende Bestandsaufnahme der aktuellen Rahmenbedingungen für die Weiterentwicklung von eHealth und Big Data. Zum anderen werden darauf aufbauend eine strategische Zielsetzung sowie mögliche Handlungsfelder entwickelt, welche als Basis einer zukünftigen eHealth-Strategie dienen können.“ (S. 15)

Die Studie listet umfangreich rechtliche Grundlagen der Datenverarbeitung im Gesundheitswesen, die technische Entwicklung in diesem Bereich und die unterschiedlichen Interessenlagen der verschiedenen Akteure auf. Nicht verschwiegen werden soll, dass die Studie auch auf „Risiken… durch eHealth und Big Data im Gesundheitswesen“ eingeht (z. B. S. 90 ff.) Aber manche Passagen des Textes lassen aufhorchen und machen misstrauisch. Einige Auszüge:

1. “Big Data-Anwendungen eröffnen individuellen Personen Möglichkeiten, ihren Umgang mit gesundheitlichen Fragestellungen bewusster zu gestalten. Auf Basis der Analyse des individuellen Nutzerprofils und der Lebensgewohnheiten, verknüpft z.B. mit geographischen und damit verbundenen Daten sowie Daten anderer Nutzer, werden dem Anwender in Echtzeit Risikoprofile aufgezeigt. Darauf aufbauend können individuelle Präventionsmaßnahmen identifiziert werden. Bspw. können so Aussagen über die Wahrscheinlichkeit von Asthma-Anfällen in bestimmten Regionen gegeben oder mittels eines algorithmusbasierten Hautscreenings ein Hautkrebsrisiko frühzeitig erkannt werden.” (S. 63) Klingt patientenfreundlich, wäre aber die Kombination von Gesundheits- und Bewegungs-(Moblilitäts-)Daten und damit ein weiterer großer Schritt zum gläsernen Bürger.

2. “Informationen über einzelne Versicherte in Verbindung mit historischen Daten anderer Versicherter und Erkenntnissen aus der Wissenschaft schaffen die Möglichkeit, Analysen in Bezug auf die Erfolgswahrscheinlichkeiten von verfügbaren Therapien durchzuführen und darauf aufbauend Entscheidungen hinsichtlich der Kostenübernahme zu treffen.” (S. 63) Der gläserne Patient lässt grüßen…

3. “Grundsätzlich stehen öffentlich zugängliche bzw. selbst veröffentlichte Daten (z.B. auch aus sozialen Netzwerken) auch für gesundheitsbezogene Big Data-Auswertungen zur Verfügung. Durch das eigenständige Veröffentlichen kann jeder Mensch individuell und selbstbestimmt über Informationsmenge und -inhalt entscheiden. Fraglich ist, ob jeder Nutzer dabei auch um die neuen Auswertungsmöglichkeiten und deren Konsequenzen weiß und die Entscheidung über die Datenveröffentlichung insofern wirklich in ausreichendem Maße aufgeklärt treffen kann.” (S. 73)

4. “…stellt die Aufklärung bezüglich der (sekundären) Nutzung von Daten innerhalb von Big Data-Analysen eine zentrale Herausforderung in Bezug auf die Wahrung des Rechtes auf informationelle Selbstbestimmung dar. Eine Möglichkeit zur Schaffung von Akzeptanz besteht in der Bereitstellung von Widerspruchsmöglichkeiten für die betroffenen Personen, einschließlich nachträglicher Löschung der Datensätze (Opt-out).” (S. 74) Opt-out wirkt faktisch als Begrenzung des Grundrechts auf informationelle Selbstbestimmung.

5. “Das datenschutzrechtliche Prinzip der Zweckbindung von Datenerhebungen wird ebenfalls tangiert: Ein Charakteristikum von Big Data ist, dass neue Zusammenhänge und Thesen identifiziert werden, die bis dahin unbekannt und nicht erwartet waren. Das erschwert die Ex-ante-Definition benötigter Datenvolumina. Daher kann das Prinzip der Datensparsamkeit für die Forschung durchaus einschränkend wirken…“ (S. 74) Hier wird die Datensparsamkeit auf dem Prüfstand wirtschaftlicher und wissenschaftlicher (Privat-)Interessen gestellt.

6. „Daraus ergeben sich einige Herausforderungen, hauptsächlich mit Blick auf die Anwendung vonBig Data. Die Anforderungen in Bezug auf die Anonymisierung und Pseudonymisierung gesundheitsbezogener Daten führen zu einem Konflikt zwischen dem methodischen Vorgehenvon Big Data-Analysen, zahlreiche Datenbestände umfassend zu verketten, und der Notwendigkeit,dabei den Vorschriften hinsichtlich Vertraulichkeit und ‚Nichtverkettbarkeit‘gerecht zu werden. Die Kombination zahlreicher verschiedener Datensätze, z.B. Gen-Daten, Daten aus Datenquellen (Ärzte, Krankenhäuser, Apotheker etc.), Geo-Daten oderweitere soziodemographische Daten (Wohnort, Familienstand etc.), vereinfacht die Reidentifizierung bzw. rückwirkende personenbezogene Zuordnung der Informationen. Für einen sinnvollen Einsatz von Big Data zur Entwicklung neuer Methoden der personalisiertenBehandlung oder zum Einsatz für epidemiologische Untersuchungen sind daher Wege aufzuzeigen, die diese Dichotomie auflösen können… Die explizite Zweckbestimmtheit, ursächlich zur Verhinderung des zweckfremden Einsatzes mit bspw. kommerziellem Hintergrund eingeführt, erhöht den Aufwand der Verwendung von Daten für Untersuchungen mit vergleichbarem, aber nicht gleichem Zweck. Hier gilt es, ggf. Möglichkeiten zu entwickeln, durch die der regulatorische Verwaltungsaufwand insb. in Forschungseinrichtungen reduziert werden kann…“ (S. 111 f.) Was bedeutet der letzte Halbsatz dieser Aussage? Wenn „der regulatorische Verwaltungsaufwand insb. in Forschungseinrichtungen reduziert“ werden soll, kommt dann der Rücktritt von einer einmal gegebenen Einwilligung unter die Räder? Das Vierte Gesetz zur Änderung arzneimittelrechtlicher und anderer Vorschriften (Erlaubnis zu Medikamententests an Demenzkranken und geistig Behinderten) lässt Böses ahnen.

7. Zu den rechtlichen Voraussetzungen für die Weiterentwicklung von e-Health und Big Data im Gesundheitswesen erklärt die Studie u. a.: „… divergierende Auslegungen von Sachverhalten durch verschiedene Datenschutzbeauftragte auf Bundes-, Länder- und Organisationsebene verzögern die Verbreitung innovativer digitaler Anwendungen. Darüber hinaus erfordert die zunehmende Verknüpfung von Daten im Zuge von Big Data neue Prozesse, um u. a. Anonymisierung und Pseudonymisierung personenbezogener Daten oder sinnvolle Einwilligungsrechte gewährleisten zu können und zugleich die Exzellenz der medizinischen Forschung sicherzustellen. Das EHealth-Gesetz ist ein wesentlicher Schritt zur Herstellung regulatorischer Voraussetzungen in Bezug auf die Digitalisierung des Gesundheitswesens. Perspektivisch sind weitere Anpassungen gesetzlicher Vorgaben zu erwarten, um den neuen Anforderungen der IKT im Allgemeinen und von deren Anwendung im Gesundheitswesen im Besonderen gerecht zu werden.“ (S. 164) Was die Autoren der Studie unter „sinnvolle(n) Einwilligungsrechte(n)“ verstehen, wird leider nicht definiert. Da sowohl Bundeskanzlerin Merkel als auch Bundesgesundheitsminister Gröhe in diversen Erklärung erkennen ließen, dass sie große Datenmengen als „Datenreichtum“ bzw. als „Datenschatz“ ansehen, die einer (privat-)wirtschaftlichen Nutzung zugeführt werden sollten, ist hier Arges zu befürchten.

8. Im Abschnitt „Überprüfung des bestehenden regulatorischen Rahmens und Vollzugs“ wird u. a. ausgeführt: „… liegt ein weiterer Schwerpunkt auf der Analyse bestehender Datenschutzrichtlinien, insb. in Hinblick auf die zunehmende Relevanz von Big Data. Zu prüfen sind in diesem Zusammenhang bspw. Regelungen zur Anonymisierung / Pseudonymisierung oder zu Einwilligungserklärungen.“ (S. 182) Auch hier stellt sich die Frage: Wird hier (wenn auch nur indirekt) der Aufweichung datenschutzrechtlicher Regelungen zugunsten Big Data und (privat-)wirtschaftlichen Nutzung von Gesundheits- und Patientendaten vorgeschlagen?

Als Beispiele für bereits jetzt weitergehende und umfangreichere Erfassung, Speicherung und Nutzung von Gesundheits- und Patientendaten stellt die Studie kurz auch Entwicklungen in fünf anderen Staaten dar (S. 152 ff.):

• Norwegen – eResept: Zielsetzung des eResepts ist es, den Prozess der Verschreibung, Bestellung und Abholung verschreibungspflichtiger Arzneimittel und Sanitätsartikel in Norwegen flächendeckend zu digitalisieren.
• Dänemark – National Sundheds-it (NSI): Die dänische National Sundheds-it bzw. National eHealth Authority hat als zentrale Institution die Rahmenbedingungen für die Digitalisierung des dänischen Gesundheitswesens zu definieren und Standards zur Schaffung von Interoperabilität zu setzen.
• Estland – eID-Card: Die eID-Card verfügt neben ihrer Funktion als elektronischer Personalausweis über eine Vielzahl weiterer Anwendungsfelder im Gesundheitswesen und darüber hinaus.
• Österreich – ELGA: Elementarer Bestandteil der elektronischen Gesundheitsakte (ELGA) ist die Bündelung individueller Gesundheitsdaten, um diese autorisierten Leistungserbringern digital zur Verfügung zu stellen.
• USA – Meaningful Use: Als staatliches Förderungsprogramm schafft dieses Programm finanzielle Anreize für einen „sinnhaften Einsatz“ von Telematik im Gesundheitswesen der USA.”

Zur elektronischen Gesundheitsakte (ELGA) aus Österreich wird festgestellt: „Mittels der e-card erhalten autorisierte Leistungserbringer 28 Tage Zugriff auf vorliegende medizinische und pflegerische Befunde des jeweiligen Patienten… Österreichische Bürger werden automatisch in die ELGA aufgenommen, allerdings erhalten sie die Möglichkeit, aktiv Widerspruch dagegen einzulegen (‚Opt-out‘).“ (S. 160)