Datenportabilität im Europäischen Gesundheitsdatenraum: Vorteile, Risiken und Herausforderungen

Blog

und Marina Koci

Teil zwei der Serie zum Vorschlag für einen europäischen Gesundheitsdatenraum
Lesen Sie hier den ersten Teil

I. Einführung

Im Mittelpunkt neuer politischer Initiativen der Europäischen Union (EU) – wie des Vorschlags für einen Europäischen Raum für Gesundheitsdaten (EHDS) – steht die Stärkung der Rechte betroffener Personen. Das Recht auf Datenübertragbarkeit gemäß der Datenschutz-Grundverordnung (DSGVO) ermöglicht betroffenen Personen mehr Kontrolle über ihre eigenen Daten und erleichtert ihnen die einfache Übertragung/Kopierung ihrer Daten von einem Anbieter zu einem anderen. Ein Hauptschwerpunkt des EHDS-Vorschlags ist die Tatsache, dass er auf der Datenportabilität im Rahmen der DSGVO aufbaut und ihren Anwendungsbereich erweitert. Dieses Recht und die dem Vorschlag zugrunde liegenden Herausforderungen stehen im Mittelpunkt unseres zweiten Blogs zum Thema. In diesem Blog wird das Recht auf Datenübertragbarkeit und die wichtigsten praktischen Vorteile für Patienten erläutert, sowie Risiken und Herausforderungen hervorgehoben, die der Vorschlag in Bezug auf dieses Recht mit sich bringt.

II. Was ist das Recht auf Datenübertragbarkeit?

Die DSGVO definiert das Recht auf Datenübertragbarkeit in Artikel 20 (1). Dieser besagt, dass Einzelpersonen das Recht haben, ihre personenbezogenen Daten auf klare und einfache Weise zu erhalten. Zum weiteren gibt es das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den ursprünglichen Verantwortlichen zu übermitteln.

Das Recht auf Datenübertragbarkeit korreliert mit dem Auskunftsrecht nach Artikel 15 DSGVO. Es hilft betroffenen Personen nicht nur beim Zugriff auf ihre Daten, sondern auch bei der anwendungsübergreifenden Verwaltung und Wiederverwendung von Daten ihrer Präferenz. Das Recht auf Datenübertragbarkeit gemäß der DSGVO gilt nur, wenn:

  • Die Verarbeitung entweder auf einer Einwilligung oder einem Vertrag beruht;
  • Die Verarbeitung automatisch erfolgt.

Die Verfasser der DSGVO betrachteten die Datenübertragbarkeit eher als wirtschaftliches Recht denn als Datenschutzrecht, da sie davon ausgingen, dass sie den Wettbewerb zwischen digitalen Unternehmen und die Plattforminteroperabilität fördern würde, weshalb die Rechtsgrundlagen für die Verarbeitung begrenzt waren.

data sharing icon

 

III. Welchen Umfang hat die Datenportabilität?

Die Arten von Daten, die unter das Recht auf Datenübertragbarkeit der DSGVO fallen, waren Gegenstand zahlreicher Debatten. Die Artikel-29-Datenschutzgruppe (jetzt EDSA) hat „Von der betroffenen Person bereitgestellte Daten“ weit gefasst und meint damit personenbezogene Daten, die einem Verantwortlichen wissentlich bereitgestellt werden, sowie indirekt bereitgestellte Daten, bei denen es sich um Rohdaten handeln kann, z. B. Standort, Aktivitätsprotokolle, Suchverlauf usw. Dazu gehören weder vom Verantwortlichen erstellte abgeleitete Daten, wie z. B. ein auf Basis von Rohdaten, medizinischen Diagnosen oder Testergebnissen erstelltes Benutzerprofil, noch anonymisierte Daten.

Im Rahmen des EHDS ist das Recht auf Datenübertragbarkeit in Artikel 3(8) EHDS enthalten und mit der primären Verwendung von Gesundheitsdaten verbunden, die wir in unserem ersten Teil dieser Blogserie besprechen. Das übergeordnete Ziel der Erweiterung des Umfangs der Datenübertragbarkeit im EHDS besteht darin, Patienten den Austausch und den Zugriff auf ihre von öffentlichen oder privaten Verantwortlichen verarbeiteten primären Gesundheitsdaten zwischen mehreren Gesundheitsdienstleistern zu ermöglichen (im Sinne von Artikel 10 (2) (o) (4)  EHDS Apotheken, Krankenhäuser und andere Pflegeeinrichtungen). Dieser:

  • Ermöglicht den Patienten, fundiertere Entscheidungen zu treffen
  • Verhindert die Bindung an einen Anbieter;
  • Fördert den Wettbewerb im Gesundheitswesen

 

IV. Vorteile und Auswirkungen

Nach der Definition von  „elektronische Gesundheitsdaten” und Erwägungsgrund 12 deckt die primäre Datenportabilität im EDHS im Gegensatz zur DSGVO auch abgeleitete Daten ab.

Welche Vorteile bietet die Erweiterung der Datentypen in diesem Fall auf abgeleitete Daten?

Nun, lassen sie es uns erklären. Eine Studie des Europäischen Parlaments zum EHDS aus dem Jahr 2022 bestätigte diese Vorteile. Beispielsweise erhält ein Patient eine Diagnose von einem Arzt in einem Krankenhaus, der die MRT-/CT-Scanbilder des Patienten analysiert hat. Bei den Scanbildern handelt es sich um personenbezogene Daten, die der Patient wissentlich zur Verfügung stellt und die in diesem Fall höchstwahrscheinlich im Rahmen seiner Einwilligung verarbeitet werden. Bei der Diagnose handelt es sich jedoch um abgeleitete Daten. Im Rahmen des EHDS könnte der Patient dann die Diagnose (die abgeleiteten Daten) zur Einholung einer zweiten Meinung an einen anderen Gesundheitsdienstleister übertragen. Wenn ein Patient mit französischer Staatsangehörigkeit in den Niederlanden erkrankt und eine Diagnose von einem niederländischen Arzt erhält, könnte er nun diese Diagnose (die abgeleiteten Daten) an seinen eigenen Arzt in Frankreich zurückübertragen, um die Versorgung zu Hause fortzusetzen. Beide Beispiele zeigen, wie die Erweiterung der im Umfang enthaltenen Datentypen eine fundierte Auswahl erleichtern und den Patienten eine bessere Versorgung ermöglichen wird.

Welche Vorteile bietet die Ausweitung der Rechtsgrundlagen der Verarbeitung auf übertragbare Daten?

Basierend auf Erwägungsgrund 12 EHDS fallen Gesundheitsdaten, die auf einer der Rechtsgrundlagen für die Verarbeitung gemäß Artikel 9 DSGVO verarbeitet werden, unter das Recht auf Portabilität, im Gegensatz zu Daten, die nur durch Einwilligung oder Vertrag gemäß der DSGVO verarbeitet werden. Die Vorteile der Ausweitung der Rechtsgrundlagen für die Verarbeitung tragen dazu bei, die Einschränkungen des Datenportabilitätsrechts gemäß der DSGVO zu minimieren.

Im Hinblick auf die praktischen Vorteile einer Ausweitung dieses Elements des Rechts zeigt ein Forschungsbericht 2019 der Universität Leiden (NL), dass die Unfähigkeit zur Portierung von Daten, die nicht im Rahmen einer Einwilligung oder eines Vertrags verarbeitet wurden, sondern unter einer anderen Rechtsgrundlage negative Folgen für den Patienten haben kann. Wenn beispielsweise ein Patient im Koma liegt und medizinische Tests durchgeführt werden, hätte dieser Patient – noch besser – nicht das Recht, die Daten zu übertragen, die verarbeitet wurden, um „lebenswichtige Interessen der betroffenen Person“ zu schützen – nicht mit Einwilligung oder Vertrag – auf Wunsch an einen anderen Gesundheitsdienstleister. Nach dem EHDS ist dies jedoch nun möglich. Durch die Ausweitung dieses Rechts wird die Gesetzgebung zukunftssicher und sichergestellt, dass Patienten ihre Daten unter nahezu allen Umständen übertragen können.

Welche Auswirkungen hat die Ausweitung des Rechts auf Datenübertragbarkeit?

Die Ausweitung dieses Rechts, wie vom EDSA/EDPS in seiner Gemeinsame Stellungnahme vom Juli 2022, kann Risiken hinsichtlich der Grundsätze der Datenminimierung und Zweckbindung der DSGVO mit sich bringen. Dies könnte daran liegen, dass die Zulassung abgeleiteter Daten den Umfang der Verarbeitung erweitert und dass das EHDS die Verarbeitung personenbezogener Gesundheitsdaten zulässt, die nicht ausschließlich auf einem Vertrag oder einer Einwilligung beruht. Dies bedeutet, dass mehr Daten im Umlauf sind, was möglicherweise dazu führen kann, dass Organisationen eine größere Menge personenbezogener Daten erheben und verarbeiten, als für die Zwecke der Verarbeitung erforderlich ist. Beispielsweise verwendet eine Gesundheitsplattform prädiktive Analysen, um auf der Grundlage ihrer Online-Aktivitäten (d. h. des Suchverlaufs) Rückschlüsse auf den Gesundheitszustand und potenzielle Gesundheitsprobleme einer Person zu ziehen. Dementsprechend kann die betroffene Person diese abgeleiteten Daten an einen anderen Datenverantwortlichen übertragen, was zur Weitergabe weiterer Informationen an verschiedene Gesundheitsdienstleister führt.

V. Förderung der Interoperabilität

Es ist wichtig zu beachten, dass das Recht auf Datenübertragbarkeit eng mit dem Konzept der Interoperabilität zusammenhängt, einem zentralen Ziel des EHDS. Bei der Interoperabilität geht es um die Fähigkeit verschiedener Informationssysteme, Daten effektiv und effizient auszutauschen und zu nutzen.

 

Interoperability
Quelle: Europäischer Datenschutzbeauftragter, 2022

 

Wenn es um die Förderung der Datenportabilität und Interoperabilität geht, verfolgen DSGVO und EHDS unterschiedliche Ansätze. Während die DSGVO Datenverantwortliche dazu ermutigt, interoperable Formate zu schaffen, die die Datenportabilität ermöglichen, verlangt sie von ihnen nicht, technisch kompatible Verarbeitungssysteme einzuführen oder aufrechtzuerhalten.

Im Gegensatz dazu hat das EHDS strengere Anforderungen festgelegt, die sich speziell auf Systeme zur elektronischen Gesundheitsakte (EHR) konzentrieren. Diese Anforderungen sollen die Interoperabilität und Datenportabilität fördern und den betroffenen Personen mehr Kontrolle über ihre Gesundheitsdaten geben. Im Vergleich zur DSGVO sind die Anforderungen des EHDS deutlich strenger. Durch die Förderung der Interoperabilität und Datenportabilität in EHR-Systemen können betroffene Personen ihre Gesundheitsdaten einfacher teilen und kontrollieren.

Hersteller von Medizinprodukten und hochriskanten Systemen der künstlichen Intelligenz, die die Interoperabilität mit EHR-Systemen erklären, müssen die grundlegenden Anforderungen an die Interoperabilität gemäß Anhang II EHDS erfüllen. Hersteller sollten:

  • Gewährleisten, dass EHR-Systeme so entwickelt werden, dass eine sichere Verarbeitung möglich ist;
  • DSGVO-Grundsätze zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umsetzen;

Darüber hinaus können sich Hersteller freiwillig dafür entscheiden, ihre Produkte EHR-konform zu kennzeichnen. Dies muss von den Marktüberwachungsbehörden der Mitgliedstaaten überprüft werden.

Im Wesentlichen schränkt ein Mangel an Interoperabilität die Datenübertragbarkeit auch innerhalb von Gesundheitssystemen ein, wodurch Gesundheitssysteme daran gehindert werden, wirksame Behandlungen anzubieten, und Patienten daran gehindert werden, wettbewerbsfähige Gesundheitsdienstleister aufzusuchen. Genau dieses Problem will das EHDS angehen, indem es strengere Anforderungen an EHR-Systeme festlegt, um Interoperabilität und Datenportabilität zu fördern.

VII. Fazit

Das EHDS und die DSGVO sind eng miteinander verbunden, wobei erstere darauf abzielt, die transparente Verarbeitung von Gesundheitsdaten in einer Weise zu verbessern, die mit den Anforderungen der DSGVO im Einklang steht. Durch den einfachen Austausch von Gesundheitsdaten ermöglicht das EHDS den Patienten eine bessere Kontrolle über ihre Gesundheitsdaten und ermöglicht es Gesundheitsdienstleistern gleichzeitig, fundiertere Behandlungsentscheidungen zu treffen. Dennoch kann die Erreichung der Interoperabilität eine anspruchsvolle Aufgabe sein, da sie ein hohes Maß an Koordination, Standardisierung und Kompatibilität zwischen verschiedenen Systemen und Technologien erfordert.

 

 

Interessiert an mehr?

Wenn Sie mehr über dieses Thema erfahren möchten, schauen Sie sich unsere kommenden Kurse zu künstlicher Intelligenz und Datenschutz an, indem Sie auf die Schaltfläche unten klicken:

Vollständige Kursübersicht

 

Dieser Blog stellt die Meinung des Autors dar und spiegelt nicht grundsätzlich die Meinung des EIPA.

Tags Cyber security