Seit dem 1. Januar 2021 ist die elektronische Patientenakte (ePA) für gesetzlich Krankenversicherte in Deutschland verfügbar. Die dort enthaltenen strukturierte Daten bergen ein enormes Potenzial, welches für die privat und öffentlich finanzierte medizinische Forschung nutzbar gemacht werden kann. Allerdings stockt die Diskussion um die Bereitstellung der Versichertendaten bei der Frage, wie viel Datenschutz notwendig ist, damit die gesamte Forschung auf sie zugreifen kann, und wie das Mitbestimmungsrecht der Bürger*innen zur Verarbeitung ihrer Daten (Opt-in oder Opt-out) rechtlich und technisch umgesetzt werden kann.
Die bisherigen Diskussionen zur ePA und zu Forschungsdaten verkennen dabei den eigentlichen Freigabeprozess und die damit verbundene „Nutzer(un)freundlichkeit“. Die Debatte um ein Opt-in oder ein Opt-out für die Freigabe von Forschungsdaten führen die befürwortenden und gegnerischen Stimmen unter anderem auch mit jeweiligen Verweisen auf europäische Nachbarn, die erfolgreich entweder das eine oder das andere Konzept umgesetzt haben.
Vor diesem Hintergrund haben wir im Auftrag der Bertelsmann Stiftung die Regelungen und Praktiken anderer europäischer Länder hinsichtlich der Forschungsdatenfreigabe mit denen Deutschlands verglichen.
Der aktuelle Stand in Deutschland
Seit vielen Jahren schon und wieder verstärkt seit 2019 baut der deutsche Gesetzgeber kontinuierlich an einem Rechtsrahmen mit dem Ziel, digitale Gesundheitsdienste flächendeckend zu etablieren.1 Mit der Sammlung, Aufbereitung und sicheren Bereitstellung von elektronischen Gesundheits- und Sozialdaten für sekundäre Zwecke beauftragt, wird das jüngst gegründete Forschungsdatenzentrum (FDZ) Gesundheit voraussichtlich in der zweiten Jahreshälfte 2022 die ersten Forschungsanträge bearbeiten.
Mehrstufiges Opt-in
Das Patientendaten-Schutz-Gesetz setzt voraus, dass die Versicherten zunächst informiert in die Erstellung der ePA einwilligen (Opt-in) und danach in weiteren mehrstufigen Einwilligungen (ebenfalls Opt-in) ihre Daten gezielt freigeben müssen, sowohl für die Primärdatennutzung an Ärzt*innen, als auch für die Sekundärnutzung für einzelne Forschungsvorhaben. Bürger*innen sollen zukünftig auf zwei unterschiedlichen Pfaden Gesundheitsdaten für die Sekundärnutzung freigeben können: über die sogenannte aktive Datenfreigabe oder per „Datenspende“2.
Aktive Datenfreigabe (siehe Abbildung unten) bedeutet, dass Daten, für die ein elektronischer Standard oder eine Struktur vorliegt – die sogenannten Medizinischen Informationsobjekte (MIO)3 –, pseudonymisiert an das FDZ Gesundheit geliefert werden können. Die Auswahl und Freigabe der Daten erfolgt direkt in der ePA, sofern deren Nutzer*innen diese vorher eingerichtet haben. Die folgende Grafik verdeutlicht den angedachten Prozess.
Anschließend erhalten die Nutzer*innen in der ePA eine Übersicht über die freigegebenen Daten und können, analog zur Freigabe, diese auch widerrufen. Die Freigabe kann zudem eine wiederholte Übermittlung an das FDZ Gesundheit beinhalten, beispielsweise alle sechs Monate.
Kritisch betrachtet werden muss hierbei die Nutzerfreundlichkeit dieses Modells, insbesondere der mehrstufige Einwilligungsprozess und die individuelle Freigabe, bevor Gesundheitsdaten überhaupt der Forschung zugänglich gemacht werden können.
Datenspende: In einem zweiten Verfahren können Versicherte ihre Daten auf Basis einer informierten Einwilligung auch spenden. Diese wird nach derzeitigen Plänen in zwei Stufen ausgebaut und ermöglicht, Daten direkt in einem Krankenhaus, einer Arztpraxis oder einer Forschungseinrichtung mit Anbindung an die Telematikinfrastruktur freizugeben. Voraussetzung sind Aufklärungsgespräche und eine DSGVO-konforme Einwilligungserklärung. Bürgerinnen und Bürger können vor Ort (z. B. im Krankenhaus) „erzeugte“ Daten, die anschließend in die ePA eingespeist werden, freigeben oder bereits vorhandene ePA-Daten bereitstellen. Dafür ist ein entsprechendes Kartenterminal für die elektronische Gesundheitskarte nötig sowie die Bestätigung der Versicherten mit PIN. Eine Berechtigung für den Zugriff auf ePA-Daten kann zudem auch direkt über die ePA-App vergeben werden. Eine Liste der freigegebenen Daten und die Einwilligungserklärung werden ebenfalls in der ePA abgelegt.
Mangelnde Nutzung der ePA
Während eine zentrale Antragsstelle in Form des FDZ Gesundheit zwar ein wichtiger Schritt ist, um das Nutzenpotenzial von Gesundheitsdaten zu realisieren, bleibt allerdings abzuwarten, ob die Möglichkeiten zur Datenfreigabe und Datenspende auch in ausreichender Menge in Anspruch genommen werden können. In anderen Ländern, insbesondere Skandinavien und Estland, zeigt die dortige Bevölkerung eine hohe Bereitwilligkeit, Daten mit Ärzt*innen und anderen Leistungserbringen zu teilen. Im Vergleich dazu liegt Deutschland hier mit 63% im unteren Drittel. Noch problematischer ist, dass sich lediglich 38% der Deutschen online Zugriff auf ihre eigenen Gesundheitsdaten wünschen. Daher besteht die Gefahr, dass eine Forschungsdatenfreigabe und sekundäre Nutzung bereits vor einem möglichen Opt-in oder Opt-out grundsätzlich an zu geringen Nutzerzahlen der ePA scheitert.
Daher hat sich die Bundesregierung über eine Überarbeitung des aktuell geltenden Opt-In zur Erstellung der ePA in ihrem Koalitionsvertrag ausgesprochen. Wie und ob sie diese Änderungen auf dem Weg bringen will, bleibt allerdings abzuwarten.
Forschungsdatenfreigaben und -Prozesse im Vergleich
DSGVO konform und Opt-out
Während einige Datenschützer*innen das Opt-in-Verfahren als geeigneter betrachten, ermöglicht die DSGVO ausreichend Spielraum, Daten auch ohne die explizite Einwilligung der Versicherten sowohl zu erstellen als auch zu nutzen, etwa wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse verarbeitet werden. Das es auch anders geht, zeigen u. a. Finnland und Frankreich.
Hier müssen Versicherte ihr Einverständnis zur Nutzung von Gesundheitsdaten zu Forschungszwecken nicht explizit erteilen. Mit Nutzung der ePA erfolgt somit automatisch die Datenfreigabe. Als Verarbeitungsgrundlage dient Artikel 6e DSGVO: die Verarbeitung ist demnach gültig, wenn sie „[…] für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt“.
In Frankreich besteht bisher keine Möglichkeit einer zentralen Freigabe für Forschungsvorhaben. Eine Einbindung von ePA-Daten am Health Data Hub mit Opt-out-Verfahren wird aber bereits diskutiert. Bis Gesundheitsdaten in Frankreich zentralisiert für die Forschung verfügbar gemacht werden, besteht allein die Möglichkeit der direkten Freigabe im Rahmen einer Studienteilnahme im Versorgungskontext, z. B., in einer Klinik. Die Freigabe wird gegenüber den Forschenden erteilt und widerrufen.
In Finnland müssen Forschungsvorhaben zuvor bei Findata, angemeldet, geprüft und freigegeben werden, bevor Daten aus der ePA genutzt werden können. Findata holt die benötigten Datensätze ein, wobei nur Daten berücksichtigt werden, deren Eigentümer nicht vom Opt-out Gebrauch gemacht haben. Ein Opt-out kann per Widerspruchsformular auch nur teilweise erfolgen, sodass nur die näher benannten Gesundheitsdaten nicht für die Forschung zugänglich sind.
Im Gegensatz dazu gilt in Deutschland der sogenannte Opt-in für eine Einzelfreigabe, also die Voraussetzung einer expliziten Einwilligung zur Freigabe zu einem gesetzlich zulässigen Forschungszweck. Die ePA besitzt selbst eine Übersichtsfunktion für Versicherte: Informationen zu erteilten und widerrufenen Freigaben werden hier hinterlegt und verwaltet. Das Management erfolgt granular, das heißt es können einzelnen MIOs ausgewählt und freigegeben werden.
Health Data Hub Infobox: Der Health Data Hub ist das französische Forschungsdatenzentrum unter gemeinsamer Aufsicht aller relevanten öffentlichen Behörden im Gesundheitswesen. Der Großteil der beziehbaren Daten sind administrative und Abrechnungsdaten für wissenschaftliche Forschungszwecke. Im öffentlichen Interesse stellt der Hub Informationen zu den bewilligten Forschungsvorhaben bereit sowie deren Details und Ergebnisse.
Findata Infobox: Findata ist die finnische Behörde für die Bereitstellung von Forschungsdaten im Gesundheits- und Sozialwesen unter der Aufsicht des Ministeriums für soziale Angelegenheiten und Gesundheit. Unternehmen und Forschungsorganisationen stellen hier Anträge, um Zugriff auf bestimmte Daten zu erhalten. Für Bürgerinnen und Bürger informiert Findata über ihren gesetzlichen Auftrag und die Möglichkeit vom Widerspruch gegen die Verarbeitung der eigenen Daten Gebrauch zu machen.
Nutzbare Daten
Zurzeit werden in Frankreich größtenteils nur administrative Daten sowie Abrechnungsdaten zu Forschungszwecken genutzt und ein Einspruch gegen diese Verarbeitung ist faktisch nicht möglich. Eine Einbindung von persönlichen Gesundheitsdaten in dieses System könnte in den kommenden Jahren erfolgen, wogegen Bürgerinnen und Bürger im Nachhinein ihre Einwilligung entziehen können.
Die elektronische Dokumentation von Gesundheitsdaten in ePA-Systeme ist in Finnland Pflicht, das heißt alle Versicherten besitzen automatisch eine ePA und Ärzt*innen sind verpflichtet alle Daten dort digital abzuspeichern. Zusätzlich zu den Gesundheitsdaten stehen Sozialdaten der Bevölkerung als nutzbare Datensätze zur Verfügung.
Versicherte in Deutschland sollen ihre Gesundheitsdaten in Form der MIOs freigeben können. Bisher sind folgende Standards entwickelt worden: Impfpass, zahnärztliches Bonusheft, Mutterpass und das U-Heft für Kinder. In der Entwicklung befinden sich außerdem: Laborbefund, telemedizinisches Monitoring, Überleitungsbogen, Entlassbrief, Patientenkurzakte, DiGA Toolkit und DiGA Device Toolkit.
Öffentliche Informationen über Datennutzung
In allen untersuchten Ländern sind Bürgerinformationen auf den Webseiten der jeweiligen Behörden und Organisationen zu finden. Der französische Health Data Hub informiert über Arbeitsweisen, seinen Auftrag und welche Forschungsprojekte bisher liefen und derzeit unterstützt werden.
Die finnische Organisation Findata bietet ein ähnliches Informationsangebot an, ohne jedoch nähere Details über genutzte Daten oder Ergebnisse der Forschungen zu veröffentlichen.
In Deutschland können Versicherte sich auf der Webseite des Bundesgesundheitsministeriums und der gematik GmbH über die ePA allgemein und über Forschungsfreigaben informieren. Bezüglich der Freigaben an sich existiert bisher ein limitiertes Angebot an Informationen, da diese Funktion voraussichtlich erst im Laufe des Jahres 2022 oder 2023 ermöglicht wird.
Frankreich | Finnland | Deutschland | |
Einwilligung und rechtliche Grundlage | Keine Möglichkeit, der Freigabe zu widersprechen Verarbeitungsgrundlage: Artikel 6e DSGVO (öffentliches Interesse) | Möglichkeit, die Freigabe im Nachhinein zu widerrufen (Opt-out) Verarbeitungsgrundlage: Artikel 6e DSGVO (öffentliches Interesse) Keine Möglichkeit, die Freigabe für bereits bewilligte Forschungsanträge zu widerrufen zweiseitiges Widerrufsformular | Opt-in für eine Pauschalfreigabe Explizite Einwilligung Geplant: Freigabe mehrstufig in der ePA für einzelne Forschungszwecke erteilen |
Nutzbare Daten | Bisher nur Sozial- und Abrechnungsdaten, keine persönlichen Gesundheitsdaten (künftig geplant) | Verpflichtende Dokumentation von Daten in der ePA durch Leistungserbringer Gesundheits- und Sozialdaten | Gesundheits- und Sozialdaten, für die ein Standard (MIO) festgelegt wurde |
Freigabemanagement | Einzelfreigabe bestimmter Daten mit einfacher Einwilligung für spezifische Forschungsprojekte im Versorgungskontext Einfacher Widerruf erfolgt gegenüber den Forschenden (formloses Schreiben) | Möglichkeit, der Datenfreigabe gänzlich oder in Teilen zu widersprechen (Datenfreigabe für Leistungserbringer bleibt davon unberührt) Einzelfreigabe mit einfacher Einwilligung für Forschungsprojekte im Versorgungskontext | Geplant: Möglichkeit die Freigabe zu einzelnen Forschungsvorhaben zu widerrufen oder bestimmte MIOs nicht mehr bereitzustellen Granularen Datenmanagement Einzelfreigabe mit einfacher Einwilligung für Forschungsprojekte im Versorgungskontext |
Aufklärung | Information über zugelassene Forschungen auf der Webseite des Health Data Hubs | Bürgerinformationen in den Medien und online | Informationen auf den Webseiten der gematik GmbH und des Bundesgesundheitsministeriums Bisher limitiert, da Funktionen noch im Aufbau |
Ausblick
Was können wir also von Frankreich und Finnland lernen? Zum einen, dass es innerhalb des europäischen DSGVO-Rahmens durchaus funktionierende Alternativen zu den mehrstufigen Einwilligungsprozessen existieren, die aktuell in Deutschland im Gespräch sind. Zum anderen, dass die Wege, auf denen der Widerruf erfolgt, deutlich kürzer und unkomplizierter (Pauschalfreigaben) gestaltet werden können als die wiederkehrenden Entscheidungen, mit denen deutsche Versicherte sowie Patient*innen künftig ihre Daten freigeben müssen (Einzelfreigaben).
Als erfolgreich erweisen sich meist die Lösungen, die einerseits das Vertrauen der Nutzer*innen hinsichtlich der Sicherheit ihrer bereitgestellten Daten gewinnen und andererseits einfach zu bedienen sind. Das in Deutschland vorgesehene mehrfache Opt-in entspricht aktuell nicht den zentralen Erkenntnissen der Forschung im Umgang mit digitalen Tools, Smartphones und Apps: Ein genereller Nutzen müsse als Motivator zur ePA-Erstellung vorliegen, der von einer positiv wahrgenommenen Benutzerfreundlichkeit unterstützt wird und die langfristige Nutzung sicherstellt.4
Insgesamt lässt sich sagen, dass andere europäische Länder als Weg zur Datenfreigabe das Opt-out-Verfahren wählen und dies rechtlich mit einem „berechtigten öffentlichen Interesse“ an der Nutzung elektronischer Gesundheitsdaten begründen. Zentraler Bestandteil ist die Einbindung der Öffentlichkeit in die bewilligten Forschungsvorhaben. Ein vollumfänglicher Zugang zu den eigenen Gesundheitsdaten und die Wege, die erteilten Datenfreigaben zu verändern oder zu entziehen, werden gemäß dem Ausbaugrad der Rechtslage, der Forschungsdateninfrastruktur und der ePA-Systeme für Nutzerinnen und Nutzer einfach, kurz und übersichtlich gehalten.
Besonders im Hinblick auf eine zukünftige deutsche Digitalisierungsstrategie für das Gesundheitswesen, wie sie vom Bundesgesundheitsministerium bis Ende 2022 entwickelt werden soll, bleiben einige Möglichkeiten offen, die Ausgestaltung der Datenfreigabeprozesse für Gesundheitsdaten zu erweitern.
- Die Recherchen bilden den Stand bis März 2022 ab.
- Technisch wird dies jedoch frühestens ab 2030 möglich sein.
- MIOs dienen dazu, medizinische Informationen in einem einheitlichen und strukturierten Format elektronisch zu dokumentieren. Sie können von den Systemen aller Anbieter im Gesundheitswesen gelesen und verstanden werden und ermöglichen den einfachen Austausch von elektronischen Gesundheitsdaten. Die Kassenärztliche Bundesvereinigung ist beauftragt, nach und nach verschiedene MIOs zu entwickeln. Mehr dazu unter www.kbv.de/html/mio.php
- Fischer, P. (2019): Digital Health: Untersuchung zur Akzeptanz der elektronischen Gesundheitsdatenspeicherung in Form der elektronischen Patientenakte (ePA) in Deutschland. ifgs Schriftenreihe der FOM, No. 17. FOM Hochschule für Ökonomie & Management. ifgs Institut für Gesundheit & Soziales, Essen