Die Grenzen des Datenschutzes in der Medizin
Als Jan Philipp Albrecht, heute Minister in Kiel, im Europaparlament 2016 die europäische Datenschutzgrundverordnung (DSGVO) über die Ziellinie gebracht hat, hatte er wahrscheinlich im Sinn, die Bürger vor den Übergriffen und der Sammelwut von Google, Facebook, und anderen zu schützen. Ich vermute, er hatte nicht im Sinn, den vom Neurochirurgen erstellten OP-Bericht gegen den Zugriff des Notfallmediziners zu schützen.
Als Jan Philipp Albrecht, heute Minister in Kiel, im Europaparlament 2016 die europäische Datenschutzgrundverordnung (DSGVO) über die Ziellinie gebracht hat, hatte er wahrscheinlich im Sinn, die Bürger vor den Übergriffen und der Sammelwut von Google, Facebook, und anderen zu schützen, deren Geschäftsmodell darin besteht, die persönlichsten Gewohnheiten und Vorlieben von Nutzern zusammenzutragen, um diesen dann hochindividualisierte kommerzielle Angebote zukommen zu lassen; oder die Daten an andere Anbieter zu verkaufen. Ich vermute, er hatte nicht im Sinn, den vom Neurochirurgen erstellten OP-Bericht gegen den Zugriff des Notfallmediziners, der den Patienten zwei Wochen nach der Entlassung wieder ins gleiche Krankenhaus aufnimmt zu schützen, weil dieser ja an der ursprünglichen Behandlung nicht beteiligt war. Genau dieses Szenario war aber Folge der deutschen Auslegung der DSGVO und nach eigener Erfahrung hat es Monate gedauert, die IT-Abteilung und den örtlichen Datenschützer davon zu überzeugen, einen Notfallzugriff für solche Fälle einzurichten. In Deutschland hat sich als oberstes Prinzip in der Auslegung der DSGVO etabliert, Daten möglichst vor jederlei unbefugtem Zugriff zu schützen, wobei unbefugt möglichst eng ausgelegt wird. In der Praxis setzt man das durch technische Zugriffsblockaden um. In der Medizin, vor allem in Notfällen, birgt das Gefahren für Leib und Leben der Patienten. In anderen Ländern ist das oberste Prinzip nicht Daten gegen Zugriff zu sichern, sondern den Patienten vor dem Missbrauch seiner Daten zu schützen. Diese Länder arbeiten unter der gleichen DSGVO, gehen aber damit oft anders um. Statt auf technische Sperrungen zu setzen, kontrolliert und dokumentiert man den Zugriff, damit jederzeit nachvollziehbar ist, wer wann auf welche Daten zugegriffen hat. Jeder kennt die Regeln und die Strafen sind hart. Mir ist der Fall eines niederländischen Kollegen bekannt, der sich in Sorge um seinen Schwager mal eben in dessen Patientenakte eingeloggt hat, ohne an dessen Behandlung beteiligt zu sein. Er verlor seine Stelle. Uns Deutschen sind‚ access controls‘ entweder zu aufwändig, oder sie werden durch Datenschutz und Arbeitsrecht verhindert. Am besten durch den Datenschutz geschützt sind bei uns oft die, die den Datenschutz verletzen. Wir setzten lieber auf Zugangsblockade, die in zahlreichen dokumentierten Einzelfällen Patienten geschadet haben. Das Recht auf körperliche Unversehrtheit ist in § 2 unserer Verfassung geregelt und damit eines der höchsten Rechtsgüter unserer Republik. Datenschutz hat übrigens, entgegen anderslautender Behauptungen, keinen Verfassungsrang.
Ziel des Datenschutzes in der Medizin sollte nicht sein, den Zugang zu und die Nutzung von Daten zu verhindern, sondern Patienten gegen den Missbrauch ihrer Daten zu schützen
Schutz vor Missbrauch und informationelle Selbstbestimmung
Der Schutz von Patientendaten ist eines der ältesten Rechtsgüter überhaupt und durch die ärztliche Schweigepflicht seit der Antike geregelt. Der heutige rechtliche Rahmen findet sich in § 9 Abs. 1 der Musterberufsordnung der in Deutschland tätigen Ärztinnen und Ärzte (MBO-Ä) sowie in den Berufsordnungen der Landesärztekammern und regelt das Patientengeheimnis, dessen Reichweite und dessen Verletzungen umfassend.
Verfassungsrang wird dem Datenschutz auf Grund eines Urteils des Bundesverfassungsgerichtes aus dem Jahr 1983 zugeschrieben,in dem es um die bei der damaligen Volkszählung erhobenen Bürgerdaten ging. Der in diesem Urteil geprägte Begriff der ‚informationellen Selbstbestimmung‘ macht seitdem eine steile Karriere in deutschen Landesdatenschutzgesetzen1. Der Rechtsbegriff ist in anderen Ländern völlig unbekannt, findet ganz offensichtlich weder im Steuer-, Personenstandsoder Melderecht Anwendung und wird weder im Grundgesetz noch in der DSGVO erwähnt. Was die DSGVO dagegen einfordert, ist die Kontrolle über die „eigenen“ Daten1, vor allem ein Recht gegen deren missbräuchliche Verwendung. Das verstehen viele Datenschützer als Auftrag zum Schutz gegen Zugriff, der mit einer einfachen Zustimmung zur zweckgemäßen Nutzung und Weitergabe offenbar nicht zu regeln ist. Ein Kollege von mir hat, nach überstandener Krebserkrankung, seinen behandelnden Arzt gebeten, ihm seine Kontrollbefunde, mit vorheriger schriftlicher Entbindung von der ärztlichen Schweigepflicht, per Email unverschlüsselt zuzusenden. Dies war nicht möglich, weil auf Grund von Vorgaben des örtlichen Datenschützers der Kollege ja nicht wüsste, welche Gefahren von unverschlüsselten E-Mails ausgingen und es Aufgabe des Datenschutzes sei, den Patienten vor sich selbst zu schützen. So viel zur deutschen Lesart der DSGVO.
Datenschutz fordert Menschenleben
Erschütternd liest sich ein Beitrag, der berichtet, dass potenziell lebensrettende Immuntherapien an einer Klinik des National Institutes of Health (NIH) in den Vereinigten Staaten, für die Stammzellspenden erforderlich waren und Spender in der deutschen Spenderdatei ermittelt worden waren, nicht, oder nur mit lebensbedrohlicher Zeitverzögerung durchgeführt werden konnten. Auf Grund der Vorgaben der DSGVO durften wichtige Informationen über die potenziellen Spender nicht an die zuständigen amerikanischen Gesundheitsbehörden, hier das NIH, weitergegeben werden2. Hierdurch schränkt die DSGVO den Austausch von Gesundheitsdaten zwischen Ländern drastisch ein, selbst wenn Spender dem zugestimmt haben sollten. Begründung ist das Nicht-Bestehen eines angemessenen Schutzniveaus im Drittland, so dieses nicht unter den Regularien der europäischen DSGVO arbeitet. Auch die transatlantische Zusammenarbeit der Krebsregister wird seit der Einführung des DSGVO erheblich erschwert, was zu einer Verzerrung der Erkenntnisse, vor allem bei seltenen Krebserkrankungen führt.
Der Austausch von Patientendaten zwischen Medizinern kann Menschleben retten und die Beweggründe sind andere als bei Google, Amazon oder der Schufa. Die DSGVO berücksichtig diesen Unterschied nicht
Die Vorgabe, dass in jedem Fall ein schriftliches Einverständnis des Patienten zur Nutzung und Weitergabe selbst anonymisierter Gesundheitsdaten erforderlich ist, hat noch ganz andere Konsequenzen. Ein Beispiel ist das TraumaRegister der Deutschen Gesellschaft für Unfallchirurgie DGU, in dem seit fast 30 Jahren die Behandlungsergebnisse von mittlerweile über 450.000 schwerverletzten Patienten in Deutschland und Ländern wie der Schweiz umfassend und anonym dokumentiert werden. Seit Einführung der DSGVO ist die Anzahl der Datensätze um 17 Prozent gesunken3, weil es bei den am schwersten Verletzten oder gar Verstorbenen oft unmöglich ist, ein schriftliches Einverständnis für die anonyme Dateneingabe zu erhalten. Dies verzerrt die Statistiken natürlich erheblich und macht ihre Qualität zunichte, auf deren Basis lange Jahre die aktuellsten S3-Leitlinien und Behandlungsempfehlungen für Schwerverletzte immer wieder angepasst wurden. Auch das gefährdet letztlich Menschenleben.
Datenschutz und medizinischer Erkenntnisgewinn
Gemeinsam haben Wissenschaftsrat und Deutsche Forschungsgemeinschaft die Defizite im Feld der Klinischen Studien der deutschen Universitätsmedizin im internationalen Vergleich untersucht und entsprechende Empfehlungen an die Wissenschaftspolitik gerichtet4. Von zahlreichen Wissenschaftlern wird auch die deutsche Anwendung der DSGVO für diese Defizite verantwortlich gemacht. Fehlender Pragmatismus, die Unterstellung Patientinnen und Patienten seien nicht mündig genug, um die Folgen einer Zurverfügungstellung ihrer Daten für die Wissenschaft zu übersehen, lange Wege im Antragswesen, komplizierte Ausgestaltungen der Datenschutzbestimmungen und seitenlange Unterlagen in klinischen Studien halten nicht nur die Industrie davon ab, klinische Studien in Deutschland durchzuführen. Die gedruckten Patienteninformationen zu möglichen Datenschutzrisiken sind oft um ein Vielfaches länger als die Aufklärung über die Risiken der eigentlichen, zu untersuchenden Intervention. In der Corona Pandemie wurden Defizite besonders deutlich. Als die Nachverfolgung von Infektionsfällen und die Warnung vor Kontakten noch hohe Priorität hatten, konnte die deutsche Version der Corona-Warn-APP diese Aufgabe nicht wirklich erfüllen, weil ein „angemessener Datenschutz dem Virus nach Meinung der Datenschützer nicht zum Opfer fallen durfte“5.
Die wichtigsten Forschungsergebnisse und Behandlungsfortschritte zur Bekämpfung der Corona-Pandemie kamen nicht aus Deutschland. Unsere Auslegung der DSGVO ist einer der Gründe
Von Forschenden wird diese Interpretation der DSGVO als einer der Gründe genannt, warum die entscheidenden Impfstudien zur Corona Pandemie in Großbritannien und nicht in Deutschland durchgeführt wurden6. Die Erkenntnisse zur Bedeutung der Kortison-Therapie bei schwerer Covid-19-Infektion im Krankenhaus lieferte die britische Recovery-Studie7, die in zwei Jahren über 46.000 Patienten in Großbritannien eingeschlossen hat und kontinuierlich weitere Erkenntnisse zu wirksamen und nicht wirksamen Behandlungen der COVID-19-Infektion liefert8. Im deutschen Netzwerk Universitätsmedizin Konsortium des BMBF wurde bisher nicht einmal ein Zehntel dieser Patientenzahlen eingeschlossen und die Zahl der daraus veröffentlichten Studien und Behandlungsempfehlungen ist eher überschaubar.
Datensparsamkeit oder Patientenwohl
Zu den Grundsätzen für die Verarbeitung personenbezogener Daten gehört neben der Zweckbindung (Abs. 1b, Art. 5 DSVGO) die Datenminimierung, also die Beschränkung auf das dem Zweck der Verarbeitung unbedingt notwendige Maß (Abs. 1b, Art. 5 DSVGO)9. Das soll die Sammelwut von Google und Amazon eingrenzen, aber auch die von staatlichen Behörden. Völlig kontraproduktiv ist dieser Grundsatz der Datensparsamkeit, wenn es um die klinischen Daten einzelner Patienten geht oder um medizinische Daten aus klinischen Studien, bei Krankheitsregistern oder bei populationsbasierten epidemiologischen Untersuchungen. Je umfassender die eingeschlossenen Daten sind, desto höher ist die Wahrscheinlichkeit bisher unbekannte Zusammenhänge aufzudecken: zwischen Medikamenten und ihren Nebenwirkungen oder unerwarteten Gesundheitseffekten und zwischen Laborparametern, Biomarkern oder Umwelteinflüssen und der Entstehung von Krankheiten. Fördert man mit den Steuergeldern der Bürger solche Forschung, sollten diese erwarten können, dass der größtmögliche Nutzen und Erkenntnisgewinn aus ihren Daten gezogen wird, um die Krankenversorgung der Zukunft zu verbessern.
Datensparsamkeit und Fristvorgaben zur Vernichtung von medizinischen Daten sind eine riesige Verschwendung menschlicher, wirtschaftlicher und wissenschaftlicher Ressourcen
Datensparsamkeit, also möglichst nur das Nötigste zu erfragen, zu messen oder zu erheben, engste Zweckbestimmung, dass Daten aus einer ursprünglich für Bluthockdruck genehmigten Studie nicht für Fragestellungen zu Herz- und Nierenerkrankungen erneut ausgewertet werden dürfen und eine vorgegebene Vernichtung von Daten nach einigen Jahren machen in der Medizin nicht den geringsten Sinn. Sie sind eine unglaubliche Verschwendung menschlicher, wirtschaftlicher und wissenschaftlicher Ressourcen. Einmal gesammelte klinische Daten einer Studie nach 15 Jahren zu vernichten, bedeutet, dass alle Aufzeichnungen des weltweit größten Trichinose-Ausbruchs (1982 in Bitburg) im Jahr 1997 in den Aktenvernichter gegeben oder die digitalen Erhebungsbögen gelöscht worden wären. Die Langzeitbeobachtungen, die wir inzwischen über 40 Jahre nach Erkrankungsbeginn der Trichinose haben, wären heute nach DSGVO nicht mehr möglich und über die Behandlungsmöglichkeiten und letztlichen Todesursachen der Betroffenen wüssten wir nichts.
Der Sachverständigenrat Gesundheit (SVR), unter dem Vorsitz von Ferdinand Gerlach, empfiehlt in seinem Gutachten über die „Digitalisierung für Gesundheit“ schon im Jahr 2017, längst überholte Konzepte, wie das der Datensparsamkeit, zu streichen. Um Patientenversorgung und Forschung enger zu verzahnen, sollten im Gegenteil, der Wissenschaft „möglichst viele Daten zur Verfügung stehen“10, mit einer Betonung auf der „Qualität der Daten und deren möglichst breiten Verwendbarkeit, über den ursprünglichen Erhebungszweck hinaus, in auffindbarer, zugänglicher, interoperabler und wiederverwendbarer Form“11. Also, nicht mehr Datensparsamkeit, enge Zweckbindung und Datenlöschung, sondern den Fokus weg von „Daten dürfen nicht in die falschen Hände geraten“ hin zu, dass die richtigen Daten in die richtigen Hände gelangen, dorthin wo erforscht wird, was gesund hält, was krankmacht und wie man Krankheiten behandeln kann10.
Passiert ist in diese Richtung seit fünf Jahren nichts. Vielleicht wird unter der Ampelkoalition ein im Koalitionsvertrag angekündigtes Gesundheitsdatennutzungsgesetz jetzt Wirklichkeit12, welches das Anrecht der Patienten auf eine optimale Nutzung seiner vorhandenen Gesundheitsdaten berücksichtigt13.
Patienten müssen vor dem Missbrauch ihrer Daten unbedingt geschützt werden. Sie haben aber auch ein Recht darauf, dass alle ihre Daten für den Erhalt oder die Wiederherstellung der eigenen Gesundheit zur Verfügung stehen und für die Forschung‚ auf der Basis einer guten und breiten Datenqualität‘ eingesetzt werden14. Die Medizin braucht endlich neue und eigene Regelungen in der DSGVO.
Professor Dr. med. Markus M. Lerch, Vorsitzender der DGIM 2021/2022
- Veil W Die Schutzgutmisere des Datenschutzrechts (Teil II). https://www.cronline. de/blog/2019/03/18/die-schutzgutmisere-des-datenschutzrechts-teilii/. Zugegriffen: 31. Jan. 2022
- Heller P Wenn Datenschutz den medizinischen Fortschritt gefährdet. Frankfurter Allgemeine Zeitung vom 10.05.2021. https://www.faz.net/aktuell/wissen/ medizin-ernaehrung/wenn-europaeischer-datenschutz-den-medizinischenfortschritt- gefaehrdet-17330572.html. Zugegriffen: 28. Jan. 2022
- Badenberg C Kritik an DSGVO. Unfallchirurgen: Übertriebener Datenschutz gefährdet Menschenleben. Ärztezeitung vom 19.04.2021. https://www. aerztezeitung.de/Politik/Unfallchirurgen-sehen-Menschenleben-durch-uebertriebenen- Datenschutz-gefaehrdet-418893.html. Zugegriffen: 1. Febr. 2022
- Picht E (2018) Klinische Studien. Stellungnahme der Arbeitsgruppe „Klinische Studien“ der DFG-Senatskommission für Grundsatzfragen in der Klinischen Forschung. https://www.dfg.de/download/pdf/dfg_im_profil/geschaeftsstelle/ publikationen/stellungnahmen_papiere/2018/181025_stellungnahme_ag_klinische_ studien.pdf?msclkid=186f366aa86911ec89170a0d44f0412c. Zugegriffen: 20. März 2022
- Drobinski M Informationelle Selbstbestimmung „Der Datenschutz darf nicht dem Virus zum Opfer fallen“. Süddeutsche Zeitung vom 05.02.2021. https:// www.sueddeutsche.de/politik/corona-app-datenschutz-1.5196409. Zugegriffen: 28. Jan. 2022
- Bartens W Im internationalen Vergleich sind wir nicht gut. Süddeutsche Zeitung vom 28.09.202. https://www.sueddeutsche.de/gesundheit/medikamente- covid-deutschland-forschung-1.5423308. Zugegriffen: 18. Jan. 2022
- The Recovery Collaborative Group. (2021) Dexamethasone in Hospitalized Patients with Covid-19. N Eng J Med 384:693–704. https://doi.org/10.1056/ NEJMoa2021436
- RECOVERY Randomisation Evaluation of COVID-19 Therapy. Information for site staff. https://www.recoverytrial.net/for-site-staff. Zugegriffen: 21. März 2022
- Datenschutz-Grundverordnung (DSGVO). https://dsgvo-gesetz.de/. Zugegriffen: 1. Febr. 2022
- Geinitz C „Daten teilen heißt heilen“. Frankfurter Allgemeine Zeitung vom 24.03.2021. https://www.faz.net/aktuell/wirtschaft/an-spahn-digitalisierungim- gesundheitswesen-kann-leben-retten-17260743.html?printPagedArticle=t rue#pageIndex_3. Zugegriffen: 28. Jan. 2022
- Sachverständigenrat zur Begutachtung der Entwicklung im Gesundheitswesen Digitalisierung für Gesundheit. Ziele und Rahmenbedingungen eines dynamisch lernenden Gesundheitssystems. https://www.svr-gesundheit.de/ fileadmin/Gutachten/Gutachten_2021/SVR_Gutachten_2021.pdf. Zugegriffen: 1. Febr. 2022
- Koalitionsvertrag 2021 - 2025 zwischen der Sozialdemokratischen Partei (SPD), Bündnis 90/Die Grünen und den Freien Demokraten (FDP). Mehr Fortschritt Wagen. Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit. https://www. bundesregierung.de/resource/blob/974430/1990812/04221173eef9a6720059 cc353d759a2b/2021-12-10-koav2021-data.pdf?download=1. Zugegriffen: 18. Febr. 2022
- Beerheide R (2021) Interview mit Professor Dr. med. Ferdinand M. Gerlach, Vorsitzender des Sachverständigenrates (SVR): „Wir fordern einen modernen und zeitgemäßen Datenschutz“. https://www.aerzteblatt.de/archiv/219241/ Interview-mit-Professor-Dr-med-Ferdinand-M-Gerlach-Vorsitzender-des-Sachverstaendigenrates-( SVR)-Wir-fordern-einen-modernen-und-zeitgemaessen- Datenschutz. Zugegriffen: 28. Jan. 2022
- Kroemer HK Digitale Medizin – Die „Teslarisierung“ der deutschen Forschung. Magdeburger News. https://www.magdeburger-news. de/?c=20210712091153. Zugegriffen: 1. Febr. 2022