Der Berliner Rechtsanwalt Nikolai Schmidt ist spezialisiert auf die Bereiche IT- und Datenschutzrecht. Im mednic-Gastbeitrag diskutiert er den Nutzen und die Grenzen eines deutschen Gesundheitsdatennutzungsgesetzes, das derzeit trotz einer beabsichtigten europäischen Einheitslösung vom Bundesministerium für Gesundheit erarbeitet wird.
Gastbeitrag von Rechtsanwalt Nikolai Schmidt
Eine Reihe neuer Gesetzesvorhaben wird die Zukunft des digitalen Gesundheitsmarkts weiter beeinflussen. Die Nutzung und Bereitstellung von Gesundheitsdaten soll erheblich einfacher werden. Dabei gibt es neben europäischen Vorhaben wie dem European Health Data Space (EHDS) auch auf nationaler Ebene Bewegung: Ein Gesundheitsdatennutzungsgesetz soll her. Aber wie sinnvoll ist das? Und welchen Mehrwert könnte ein solches Gesetz zwischen DSGVO, EHDS und Co. wirklich liefern?
Der Wert von Gesundheitsdaten für Wirtschaft und Forschung ist unumstritten. Insbesondere die Corona-Pandemie hat in aller Deutlichkeit gezeigt, dass aussagekräftige Daten bei der Bewältigung von Krisensituationen unverzichtbar sind. In dieser Zeit wurde aber auch klar: Deutschland ist auf Forschungsdaten aus anderen Ländern angewiesen. Nicht umsonst nimmt die Digitalisierung des Gesundheitswesens einen wesentlichen Teil im aktuellen Koalitionsvertrag ein. So will die Ampel-Regierung beispielsweise eine dezentrale Forschungsdateninfrastruktur für eine bessere wirtschaftliche Nutzung von Gesundheitsdaten errichten. Das Forschungsdatenzentrum Gesundheit befindet sich bereits im Aufbau. Darüber hinaus sieht der Vertrag ein sogenanntes Gesundheitsdatennutzungsgesetz („GeDaG“) vor.
Gesundheitsdatennutzungsgesetz vs. EHDS
Wo stehen wir dort? Aktuell arbeitet das Bundesministerium für Gesundheit bereits mit Hochtouren an einem ersten Referentenentwurf für das GeDaG. Über den konkreten Inhalt ist zum jetzigen Zeitpunkt noch wenig bekannt. Nichtsdestotrotz drängt sich eine Frage ganz besonders auf: Ist ein weiteres (nationales) Gesetz wirklich erforderlich? Gerade vor dem Hintergrund des Flickenteppichs deutscher Datenschutzgesetze und zusätzlich bestehender und geplanter EU-Verordnungen, ist das erst einmal zweifelhaft. Die Frage nach der Sinnhaftigkeit verstärkt sich nur noch mehr durch den Verordnungsentwurf der EU zu einem Europäischen Gesundheitsdatenraum (European Health Data Space – „EHDS“) vom 3. Mai 2022, der eine einheitliche Regelung auf europäischer Ebene schaffen will.
Eine große Rolle spielt jedoch der Faktor Zeit. Tatsache ist nämlich: Das Gesetzgebungsverfahren zum EHDS wird frühestens 2024 abgeschlossen sein. Die Ampel-Koalition will augenscheinlich nicht so lange warten und zuvor mit dem GeDaG ein eigenes Gesetz für die Nutzung von Gesundheitsdaten verabschieden. Vor diesem Hintergrund wird das Vorhaben nachvollziehbarer. Insbesondere, wenn man den Umstand bedenkt, dass bisher lediglich ein Verordnungsentwurf zum EHDS vorliegt. Dieser wird nach vorläufiger Einschätzung noch mit Blick auf die Sekundärnutzung, also der gesundheitsbezogenen Forschung mit Gesundheitsdaten, noch überarbeitet werden müssen, ehe der Vorschlag akzeptiert werden kann. All das kostet Zeit.
Neben dem EHDS sind aber auch noch andere europäische Verordnungen auf dem Weg, die ihrerseits Anwendungsvorrang vor einem nationalen Gesetz wie dem GeDaG hätten. Im Klartext: Der deutsche Gesetzgeber wird sich eng an diesen aktuellen Verordnungsentwürfen orientieren müssen, wenn er einen späteren Konflikt mit dem Europarecht vermeiden will. Fraglich ist also, wo dann überhaupt noch Spielraum für abweichende oder gar zusätzliche Regelungen ist.
Datenschutz schließt Datennutzung nicht aus
Viele Krankenkassen und Verbände fordern in ihren Positionspapieren Zugang zum Forschungsdatenzentrum, die Nutzbarkeit forschungsrelevanter Datensätze, sowie Interoperabilität und internationale Standards. Dazu sollen Patienten verstärkt Kontrolle über ihre Daten bekommen. Viele der geforderten Punkte werden auch bereits im Verordnungsentwurf des EHDS angesprochen.
Abgesehen davon geht die Forderung nach verstärkter Datenregulierung jedoch oftmals mit dem (fehlerhaften) Verständnis einher, dass ein wirksamer Datenschutz die Nutzung von Gesundheitsdaten pauschal ausschließt. Gesetze zum Schutz personenbezogener Daten – allen voran die Datenschutzgrundverordnung (DSGVO) – haben den weit verbreiteten Ruf, eine Hürde bei der Digitalisierung des Gesundheitswesens zu sein. Doch der erste – mitunter auch verständliche – Schein trügt.
Denn das Gegenteil ist der Fall: Die DSGVO hat tatsächlich explizit das Ziel, Datennutzung überhaupt erst zu ermöglichen. Es soll ein digitaler Binnenmarkt geschaffen werden, der die Nutzung der Daten mit dem Schutz der einzelnen Personen in ein ausgeglichenes Verhältnis bringt. Die DSGVO hat den Raum dafür auch eindeutig geschaffen. Und natürlich ist die Nutzung von Daten – insbesondere auch die Nutzung von Gesundheitsdaten – rechtlich möglich.
Vielerorts Rechtsunsicherheit
Zugegeben: Der rechtliche Rahmen trifft in der Praxis oftmals auf praktische Schwierigkeiten. Auch ist es selbst für Branchenexperten schwierig, den Überblick über alle rechtlichen Entwicklungen im Blick zu behalten. Was darf ich denn jetzt? Was nicht? Es ist deshalb kein Wunder, dass die Auffassung besteht, die DSGVO verbiete die Nutzung von Daten. Der Grund dafür liegt jedoch in einer generell bestehenden Rechtsunsicherheit.
Bedingt wird diese Unsicherheit unter anderem durch die fehlende Rechtsprechungspraxis in vielen Bereichen des Datenschutzes. Das ist nicht überraschend. Denn mit vier Jahren ist der „neue“ Datenschutz auf Basis der DSGVO im juristischen Sinne noch sehr jung. Hinzu kommt: Die EU-Mitgliedstaaten legen die Verordnung unterschiedlich aus. Was in Deutschland gängige Praxis ist, kann in Frankreich schon wieder ganz anders aussehen – trotz grundsätzlich gleicher Rechtsgrundlage. Hierzulande wird dieser Effekt noch verstärkt, da auch die Datenschutzbehörden der Bundesländer teils unterschiedliche Rechtsauffassungen vertreten. Ergänzt wird das Ganze durch einen Flickenteppich bestehend aus dem Bundesdatenschutzgesetz, vereinzelten Landesdatenschutzgesetzen, Landeskrankenhausgesetzen, sowie dem Gendiagnostikgesetz.
Was auf nationaler Ebene beginnt, nimmt auf europäischer Ebene nicht ab: Die Einführung der DSGVO war lediglich der Grundstein. Die europäische Datenstrategie verfolgt darüber hinaus das Ziel, mit dem Data Governance Act, dem Data Act und sektorspezifischen Datenräumen (wie dem EHDS) das ganze Potenzial in der Datenwirtschaft auszuschöpfen.
Gesundheitsdatennutzungsgesetz als Mittel gegen Unsicherheit?
Aber kommen wir zurück zum Gesundheitsdatennutzungsgesetz. Wie soll in diesem Dschungel noch ein weiteres Gesetz helfen? Inmitten der dargestellten Regulatorik steht ein nationales GeDaG vor der Herausforderung, die vorhandenen und geplanten Verordnungen entweder unter einen Hut zu bringen oder sich zumindest nicht allzu weit von einer europäischen Einheitslösung zu entfernen. Die Gefahr: Sollte das nicht gelingen, wird die schon bestehende Rechtsunsicherheit nur noch verstärkt. Zudem wäre eine spätere Rückkehr zu einer europäisch vorgeschriebenen Lösung nur mit sehr hohem Aufwand möglich. Internationale Standards sind aber in der praktischen Umsetzung zentral, um auch über Ländergrenzen hinweg eine bestmögliche Datenwirtschaft zu ermöglichen.
Das GeDaG kann aber auch eine Chance sein, die bestehende Rechtunsicherheit zu beseitigen. Denkbar wären Regelungen zu Datentreuhandmodellen, Klarstellungen für die Anforderungen an Anonymisierung und Pseudonymisierung sowie eine „Opt-Out-Reglung“ für die Nutzung von Gesundheitsdaten. Darüber hinaus sind bereits abweichend vom EHDS, Regelungen auf dem Gebiet der Sekundärnutzung von Gesundheitsdaten absehbar. So ist im aktuellen EHDS-Entwurf noch nicht geregelt, wie betroffene Personen einer Verarbeitung ihrer Gesundheitsdaten entgegenwirken können. Mit Blick auf Verhältnismäßigkeitsgrundsätze wäre aber zumindest ein Widerspruchsrecht geboten. Ebenso sind wichtigen Fragen nach dem Ort der Datenspeicherung und dem Drittlandstransfer noch zu klären. Überall dort kann das GeDaG sinnvoll ansetzen.