Datenschutz und Verwaltung
Definition von „Gesundheitsdaten“
Was sind „Gesundheitsdaten“? Gibt es eine Definition für „anonymisierte“ Gesundheitsdaten?
Gesundheitsdaten werden in einer eigenen Bestimmung des Bundesdatenschutzgesetzes (§ 46 Nr. 12 BDSG) definiert. Danach sind Informationen über die geistige und körperliche Gesundheit einer natürlichen Person sowie über die in Anspruch genommenen Gesundheitsleistungen Gesundheitsdaten, wenn sich daraus Informationen über einen Gesundheitszustand ableiten lassen. Diese Definition entspricht jedoch wörtlich der Definition von Gesundheitsdaten nach Artikel 4 Nr. 15 der Datenschutz-Grundverordnung (DSGVO). Gleiches gilt für genetische und biometrische Daten.
Eine Definition der Anonymisierung findet sich auch im BDSG nicht. In der deutschen Rechtslehre wird unter Bezugnahme auf die europäischen Rechtsgrundlagen betont, dass es sich bei der Pseudonymisierung um eine verstärkte Form der Unkenntlichmachung des Einzelnen handelt. Eine solche Form der Anonymisierung ist grundsätzlich nur je nach Art der Gesundheitsdaten möglich. Beispielsweise ist die Anonymisierung genetischer Daten per Definition nicht möglich.
Datenschutzgesetz
Welchen rechtlichen Schutz genießen Gesundheitsdaten in Ihrer Gerichtsbarkeit? Ist das Schutzniveau höher als bei anderen personenbezogenen Daten?
Das Schutzniveau von Gesundheitsdaten entspricht grundsätzlich dem von der Europäischen Union vorgegebenen Standard. Dabei unterscheidet sich der Schutz von Gesundheitsdaten insbesondere vom Schutzniveau von Daten, die nicht zu den besonderen Kategorien personenbezogener Daten zählen. Abweichend oder ergänzend zu dieser europäischen Norm kann jedoch einerseits auf eine Modifikation der Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO durch § 22 BDSG hingewiesen werden. Danach dürfen gesundheitsbezogene Daten in Deutschland auch von nichtöffentlichen oder öffentlichen Stellen verarbeitet werden, u.a. wenn dies sozialversicherungsrechtlich erforderlich ist, zu Zwecken der Gesundheitsvorsorge und Gesundheitsfürsorge durch medizinisches Personal oder Personal mit Pflichten der Vertraulichkeit oder wenn das öffentliche Interesse dies erfordert. So sehen beispielsweise viele Bundesgesetze, wie das Infektionsschutzgesetz, das Medizinproduktegesetz oder das Sozialgesetzbuch (SGB) V, Ausnahmen zugunsten der Verarbeitung personenbezogener Daten vor. Es müssen angemessene Maßnahmen zum Schutz personenbezogener Daten getroffen werden in diesem Zusammenhang umgesetzt.
Ein solches Erfordernis geeigneter Maßnahmen findet sich sowohl in den gesetzlichen Sonderregelungen zum Datenschutz im SGB V, insbesondere bei der Umsetzung des deutschen Gesundheitssystems (IT) als auch bei der Anwendung der digitalen Anwendungskomponente Gesundheit und Pflege (DiGA und DiPA) in Deutschland.
Das SGB V widmet dem Datenschutz in der gesetzlichen Krankenversicherung ein eigenes Kapitel 10. Die voraussichtlich von den Krankenkassen und den Kassenärztlichen Vereinigungen (GKV) zu verarbeitenden Daten sind zweckgebunden geregelt.
In Bezug auf Komponenten und Anwendungen in der IT ist in §§ 306 ff. SGB V geregelt, dass die Gesamtstruktur nur mit den Komponenten betrieben werden darf, die die Datenschutzanforderungen personenbezogen gewährleisten können. Da es sich bei den in der IT verarbeiteten Daten voraussichtlich um besondere Datenkategorien handelt, sind die Anforderungen an die Datensicherheit daher hoch (siehe hierzu die ausdrückliche Regelung in § 306 Abs. 3 SGB V). Insbesondere wird durch die vollständige Subsidiarität der Datenhaftung für die Verarbeitung in der IT ein umfassendes Schutzniveau sichergestellt. § 306 Abs. 5 SGB V bestimmt, dass die gematik GmbH für die Verarbeitung personenbezogener Daten verantwortlich ist, soweit sie die Verarbeitungsmittel bestimmt und sich aus gesetzlichen Vorschriften kein anderer Verantwortlicher für einen bestimmten Fall ergibt.
Entsprechend dieser Standards sind die Anforderungen an den Gesundheitsdatenschutz bei der Nutzung digitaler Gesundheitsangebote in der GKV stark reglementiert. Schon jetzt ist die Aufnahme in das Verzeichnis nach § 139e SGB V nur möglich, wenn die digitalen Gesundheitsanwendungen die Datensicherheit gewährleisten.
Anonymisierte Gesundheitsdaten
Unterliegen anonymisierte Gesundheitsdaten besonderen Vorschriften oder Richtlinien?
Die Anonymisierung von Gesundheitsdaten unterliegt keiner besonderen gesetzlichen Regelung. Wie bereits aus europäischen Vorgaben hervorgeht, ist die Anwendung des Datenschutzrechts auch bei besonderen Kategorien personenbezogener Daten nicht sachgerecht, wenn aufgrund der vorliegenden Daten keine Identifizierung der Person möglich ist, auch wenn Informationen Dritter herangezogen werden. Allerdings argumentiert insbesondere das Bundesministerium für Wirtschaft und Energie, dass es schwierig sei, Gesundheitsdaten vollständig zu anonymisieren.
Aus diesem Grund wurde 2018 ein Leitfaden zur Anonymisierung von Gesundheitsdaten veröffentlicht. Das Bundesministerium weist zwar auch darauf hin, dass nur im Einzelfall entschieden werden kann, wann die Anonymisierung erfolgreich war, gibt aber dennoch Handlungsleitlinien. Empfehlenswert sind beispielsweise Randomisierung, Generalisierung, Entfernung seltener Attribute (seltene Erkrankungen) und insbesondere die Kombination dieser Techniken.
Durchsetzung
Wie werden die Datenschutzgesetze in Ihrer Gerichtsbarkeit in Bezug auf Gesundheitsdaten durchgesetzt? Gab es nennenswerte regulatorische oder private Maßnahmen in Bezug auf digitale Gesundheitstechnologien?
Zuständig für die Anwendung des Datenschutzes sind gemäß § 9 BDSG der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Datenschutzbeauftragter (BfDI)) und die Datenschutzbehörden der einzelnen Bundesländer. Während der Bundesdatenschutzbeauftragte für die Aufsicht über öffentliche Stellen und private Unternehmen zuständig ist, sind die Datenschutzbehörden der Bundesländer für die Aufsicht über natürliche und juristische Personen im nichtöffentlichen Bereich zuständig. Nach den Bestimmungen der Verordnung (EU) 2017/679, insbesondere den Artikeln 57 und 58, haben sowohl der Bundesdatenschutzbeauftragte als auch die Datenschutzbehörden der Länder entsprechende Befugnisse zur Überwachung und Durchsetzung der datenschutzrechtlichen Bestimmungen . Dies gilt insbesondere auch für Gesundheitsdaten.
Das BDSG sieht auch strafrechtliche Vorschriften für den gewerbsmäßigen Verstoß gegen Datenschutzvorschriften vor. Die Annahme von Entgelten oder die Absicht, sich oder einen Dritten durch Verletzung datenschutzrechtlicher Bestimmungen zu bereichern, sind strafbar.
Hinsichtlich der Verletzung von Gesundheitsdaten im Rahmen des Einsatzes von Gesundheitstechnologien sind derzeit keine einschlägigen Entscheidungen der Datenschutzbehörden der Länder oder des Bundesdatenschutzbeauftragten bekannt.
Internet-Sicherheit
Welche Cybersicherheitsgesetze und Best Practices sind für digitale Gesundheitsangebote relevant?
Cybersicherheit im Zusammenhang mit der Nutzung digitaler Gesundheitsanwendungen ist bereits in den oben genannten einschlägigen Gesetzen geregelt. Sowohl das SGB V als auch die Rechtsverordnungen zu digitalen Gesundheitsanwendungen (DiGA-V) fordern die Umsetzung ausreichender Maßnahmen zur Wahrung der Datensicherheit nach dem Stand der Technik. Darüber hinaus müssen Hersteller von Digital Health Apps ab dem 1. Januar 2023 die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik gemäß § 139e Absatz 10 SGB V erfüllen und das entsprechende Zertifikat erwerben. Das Bundesamt für Sicherheit in der Informationstechnik gibt unter der Technischen Richtlinie BSI TR-03161 bereits Vorgaben zur Umsetzung von Datenschutzanforderungen. Allerdings wird die Richtlinie noch daraufhin geprüft, ob die darin enthaltenen Anforderungen und Prüfverfahren ausreichend sind.
Darüber hinaus kann auch die Anwendung von Sonderregelungen aufgrund der Einstufung des Gesundheitssektors als Bestandteil einer KRITIS-Zone erforderlich sein. Obwohl der Gesundheitssektor allgemein als kritischer Infrastrukturbereich im Sinne von Artikel 6 der BSI-Kritikalitätsverordnung gilt, wird die Nutzung digitaler Gesundheitsanwendungen nicht direkt davon erfasst. Der Einsatz beispielsweise im Rahmen einer Krankenhausbehandlung unterliegt jedoch sehr stark den BSI-Regelungen zur Kritikalität. In einem solchen Fall greift § 8a BSIGG, der den Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme, Komponenten und Prozesse zu gewährleisten. Als Bestandteile dieser Strukturen können insbesondere digitale Gesundheitsanwendungen und IT-Dienste und -Anwendungen relevant sein.
Das Gesetz über künstliche Intelligenz wurde im April 2021 angekündigt und muss noch vom Europäischen Parlament und den Mitgliedstaaten angenommen werden. Es bietet neue Vorschriften und Sicherheitsanforderungen für künstliche Intelligenz auf der Grundlage von vier Risikoklassen.
Gute Praktiken und praktische Tipps
Welche Best Practices und praktischen Tipps würden Sie empfehlen, um den Besitz, die Nutzung und den Austausch von rohen und anonymisierten Benutzerdaten sowie die Ausgabe von digitalen Gesundheitslösungen effektiv zu verwalten?
Bei der Verarbeitung von Gesundheitsdaten muss sich der Verantwortliche nach der Definition der Datenschutz-Grundverordnung (DSGVO) zunächst strukturiert registrieren. Insbesondere setzt die gemeinsame Verarbeitung voraus, dass Verantwortlichkeiten in einer vertraglichen Vereinbarung explizit getrennt werden. Nach deutschem Recht gibt es kein Eigentum an Gesundheitsdaten, daher müssen die individuellen Verantwortlichkeiten zwischen den Parteien klar geregelt werden.
Bereits vor der Verarbeitung personenbezogener Daten, insbesondere besonderer Kategorien von Daten, sollte die Einrichtung technisch sicherer und belastbarer Systeme als zwingend erachtet werden. Dies entspricht den gesetzlichen Anforderungen für Zulassungen sowohl im IT-Kontext als auch für Zulassungen digitaler Gesundheits- und Pflegeanwendungen.
Schließlich empfiehlt es sich im Hinblick auf eine spätere Zweitnutzung von Gesundheitsdaten, ggf. zu Forschungszwecken, zu Beginn der Datenverarbeitung eine weitgehende Einwilligung der betroffenen Person einzuholen. Die Möglichkeit einer solchen Verarbeitung auf Grundlage der informierten Einwilligung der betroffenen Person wurde auf der Datenschutzkonferenz (Konferenz des Bundesdatenschutzbeauftragten und der Datenschutzbehörden der Länder) vom 15. April 2020 geschaffen. Im Rahmen der Konferenz wurde im Rahmen einer Resolution eine standardisierte Patienteneinwilligungsvorlage genehmigt.
„Typischer Zombieaholic. Allgemeiner Twitter-Fanatiker. Food-Fanatiker. Gamer. Entschuldigungsloser Analyst.“