EU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen

Gesundheit (Pexels, frei verwendbar)Die EU-Kommission arbeitet an einem europäischen Gesundheitsdatenraum (European Health Data Space). Ziel ist es mehr Daten für die medizinische Forschung zu generieren. Versprochen wird, dass Gesundheitsdienstleister wie Kliniken bei der Behandlung auf diese Daten der Patienten zurückgreifen oder Rezepte EU-weit eingelöst werden könnten. Aber die Pläne der EU-Kommission, wie sie bisher bekannt geworden sind, werfen Fragen auf. Das Ganze passt in den Kontext des deutschen Gesundheitsministers Lauterbach, der bis Ende 2024 die elektronische Patientenakte (ePA) verpflichtend mit Opt-out einführen will.


Anzeige

European Health Data Space (EHDS)

Ich gestehe, das Thema European Health Data Space (EHDS) ist 2022 etwas an mir vorbei gegangen. Daher hat die Europäische Kommission den europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) bereits im Mai 2022 als "Vorschlag" auf den Weg gebracht, um diesen im Rat und im Europäischen Parlament zu erörtern. Der EHDS soll einer der zentralen Bausteine einer starken europäischen Gesundheitsunion sein. Laut EU-Kommission wird der EHDS dazu beitragen, dass die EU, was die Gesundheitsversorgung der Menschen in ganz Europa betrifft, "einen Quantensprung nach vorne macht".

Im Sinne vollmundiger Versprechen wird EHDS den Menschen in ihrem jeweiligen Heimatland oder in anderen Mitgliedstaaten ermöglichen, ihre Gesundheitsdaten zu kontrollieren und zu nutzen. Der Plan der EU-Kommission ist es, einen echten Binnenmarkt für digitale Gesundheitsdienste und -produkte zu schaffen. Das Ziel, einen kohärenten, vertrauenswürdigen und effizienten Rahmen für die Nutzung von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten zu schaffen. Dabei träumt die EU-Kommission gleichzeitig von der uneingeschränkten Einhaltung der hohen Datenschutzstandards der EU, die sichergestellt würden.

Aus der Ankündigung der EU-Kommission ergibt sich das "Versprechen", den Menschen Kontrolle über ihre persönlichen Gesundheitsdaten zu geben – im eigenen Land und grenzüberschreitend. Die EU-Kommission verspricht folgendes:

  • Dank des EHDS sollen die Menschen einen kostenlosen, unmittelbaren und einfachen Zugang zu den Daten in elektronischer Form erhalten. Sie können diese Daten problemlos mit anderen Angehörigen der Gesundheitsberufe in und zwischen den Mitgliedstaaten austauschen, um die Gesundheitsversorgung zu verbessern. Die Bürgerinnen und Bürger werden die vollständige Kontrolle über ihre Daten übernehmen und in der Lage sein, Informationen hinzuzufügen, falsche Daten zu berichtigen, den Zugang für andere zu beschränken und Informationen darüber zu erhalten, wie und zu welchem Zweck ihre Daten verwendet werden.
  • Die Mitgliedstaaten werden sicherstellen, dass Patientenkurzakten, elektronische Verschreibungen, Bilddaten und Bildberichte, Laborergebnisse und Entlassungsberichte in einem gemeinsamen europäischen Format erstellt und akzeptiert werden.
  • Interoperabilität und Sicherheit werden verbindliche Anforderungen. Die Hersteller von Systemen für elektronische Patientenakten müssen die Einhaltung dieser Normen zertifizieren.
  • Um sicherzustellen, dass die Rechte der Bürgerinnen und Bürger gewahrt bleiben, müssen alle Mitgliedstaaten digitale Gesundheitsbehörden benennen. Diese Behörden werden sich an der grenzüberschreitenden digitalen Infrastruktur (MyHealth@EU) beteiligen, die Patientinnen und Patienten beim grenzüberschreitenden Austausch ihrer Daten unterstützen wird.

Weiterhin erhofft sich die EU-Kommission eine bessere Nutzung von Gesundheitsdaten für Forschung, Innovation und Politikgestaltung:

  • Der europäische Raum für Gesundheitsdaten schafft einen soliden Rechtsrahmen für die Verwendung von Gesundheitsdaten für Forschung, Innovation, Gesundheitswesen, Politikgestaltung und Regulierungszwecke. Unter strengen Bedingungen werden Forschende, Innovatoren, öffentliche Einrichtungen oder die Branche Zugang zu großen Mengen an Gesundheitsdaten von hoher Qualität haben, die für die Entwicklung von lebensrettenden Behandlungen, Impfstoffen oder Medizinprodukten von entscheidender Bedeutung sind und einen besseren Zugang zur Gesundheitsversorgung sowie widerstandsfähigere Gesundheitssysteme gewährleisten.
  • Für den Zugang zu solchen Daten durch Forschende, Unternehmen oder Einrichtungen wird eine Genehmigung von einer der in allen Mitgliedstaaten einzurichtenden Zugangsstellen für Gesundheitsdaten erforderlich sein. Der Zugang wird nur gewährt, wenn die angeforderten Daten zu bestimmten Zwecken sowie in geschlossenen sicheren Umgebungen verwendet werden und ohne dass die Identität der betroffenen Person offengelegt wird. Es ist auch streng verboten, die Daten für Entscheidungen zu verwenden, die sich nachteilig auf Bürgerinnen und Bürger auswirken, wie z. B. das Konzipieren schädlicher Produkte oder die Erhöhung einer Versicherungsprämie.
  • Die Zugangsstellen für Gesundheitsdaten werden an die neue dezentrale EU-Infrastruktur für die Sekundärnutzung (HealthData@EU) angeschlossen werden, die zur Unterstützung grenzüberschreitender Projekte eingerichtet wird.

Laut der EU-Kommission baut der europäische Raum für Gesundheitsdaten weiter auf der Datenschutz-Grundverordnung, dem Vorschlag für ein Daten-Governance-Gesetz, dem Entwurf eines Datengesetzes und der NIS-Richtlinie auf. Er ergänzt die genannten Initiativen und bietet maßgeschneiderte Vorschriften für den Gesundheitssektor.

Der europäische Raum für Gesundheitsdaten soll den derzeitigen und künftigen Einsatz von digitalen öffentlichen Gütern in der EU wie von künstlicher Intelligenz, Hochleistungsrechnern, Cloud- und intelligenter Middleware nutzen. Darüber hinaus werden Rahmenvorschriften für KI, e-Identity und Cybersicherheit den europäischen Raum für Gesundheitsdaten unterstützen.

Kritische Nachfragen erlaubt?

Der VFA – Verband der forschenden Pharma-Unternehmen – erläutert in diesem Artikel, was sich hinter dem europäischen Gesundheitsdatenraum verbirgt, und warum "dieser so wichtig ist". Der EHDS soll die Versorgungs- und Behandlungsqualität, die Forschung und den Datenaustausch europaweit verbessern.

Interoperabilität der Daten

Die vermutlich größte Hürde für einen Europäischen Gesundheitsdatenraum, so die VFA, sei die Interoperabilität der Daten zu gewährleisten. Hier ist die "Ideenfindung" schon mal ein großes Stück weiter als bei der elektronischen Patientenakte (ePA) in Deutschland. Dann nach den Aussagen des deutschen Gesundheitsministers Prof. Dr. Karl Lauterbach hat man kein einheitliches Datenformat, sondern kann "Word- und PDF-Dateien" in die Patientenakte hochladen (siehe meinen Blog-Beitrag Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?).


Anzeige

Möglicherweise lassen sich Anleihen bei Ländern nehmen, in denen elektronische Patientendaten bereits erfasst und gespeichert werden. Aber auch im Fall, dass die technische Interoperabilität der Daten gewährleistet ist, bleibt noch ein großer Punkt. Die Daten, speziell Befunde oder Arztbriefe, liegen oft ja in der jeweiligen Landessprache vor. Ob ein Arzt in einem Krankenhaus in Portugal dann die Befunde eines in Deutsch verfassten Arztbriefs lesen kann? Hier könnte möglicherweise künstliche Intelligenz in Form von Sprachübersetzern helfen – Problem bleibt dort die Frage, ob die Übersetzung korrekt und eindeutig ist. Ich hatte bereits 2019 drüben im 50 Plus-Blog das Grundproblem im Beitrag Arztbriefe: Unverständlich und risikoreich angerissen. Selbst ein in deutscher Sprache verfasster Arztbrief kann für einen deutschen Arzt eine Herausforderung werden.

Auf dem Web zum Datengau?

Werden Daten gespeichert, besteht einerseits das Risiko eines Datenklaus, und anderseits wachsen die Begehrlichkeiten diverser Interessengruppen, diese Daten in die Finger zu bekommen und auswerten zu dürfen. Die EU-Kommission verspricht zwar, dass die "strengen Vorgaben" der DSGVO gelten sollen. Aber in der Praxis erweist sich das Ganze bisher doch als zahnloser Tiger.

Und wenn ich schon lese, dass "der europäische Raum für Gesundheitsdaten den derzeitigen und künftigen Einsatz von digitalen öffentlichen Gütern in der EU wie von künstlicher Intelligenz, Hochleistungsrechnern, Cloud- und intelligenter Middleware nutzen soll", wird mir ganz schlecht. Da die EU keine Cloud-Anbieter hat, soll das Zeugs in die Cloud der US-Anbieter gekippt werden, Zugriff der US-Behörden inklusive?

Die EU-Kommission ist ja fett dabei, einen Anmessenheitsentscheidung zu fällen (siehe EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework), obwohl die Datenschützer da durchaus ernstzunehmende Vorbehalte hegen (siehe Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework).

Denkbar wäre eine Verschlüsselung der Daten, wobei der Patient den Schlüssel zum Zugriff erhält. Hat halt zwei Nachteile: Verliert der Patient seinen Schlüssel, sind auch die verschlüsselten Daten verloren. Es wird also immer einen "Generalschlüssel" geben, um im Fall der Fälle doch auf die Daten zugreifen zu können. Und alle Bestrebungen der EU-Politik gehen doch dahin, dass der Staat trotzdem (per "Generalschlüssel") Zugriff auf verschlüsselte Daten erhält. Zudem sind verschlüsselte Daten, die nur der Patient entschlüsseln könnte, natürlich kein "Datenschatz", den es für Forschung und Industrie zu "heben gilt". Also auch hier ein Interessenskonflikt, der zuungunsten des Patienten ausgehen wird. Wir sollten uns also darauf einstellen, dass wir in näherer oder mittlerer Zukunft von großen Datenlecks oder Hacks in diesem Bereich lesen dürfen.

Was sagt der Datenschützer?

Ich bin im Grunde über den heise-Beitrag Geplante Massenspeicherung der Gesundheitsdaten: Widerspruch ist zwecklos von Mitte Februar 2023 zu diesem Blog-Beitrag animiert worden. Im Beitrag führt die heise-Redaktion ein Interview mit dem bayerischen Landesdatenschutzbeauftragten Thomas Petri. Schon der Anreißertext umreißt das Problem – O-Ton: "Die Pläne für einen Europäischen Gesundheitsdatenraum gehen zu weit, erklärt der bayerische Landesdatenschutzbeauftragte Thomas Petri im Interview."

So gibt es die Befürchtung, dass Menschen, die der Speicherung und Weitergabe ihrer Daten widersprechen, mit dem Argument, dass eventuell "Doppeluntersuchungen erforderlich seien" finanziell zur Kasse gebeten werden. Das läuft natürlich einer selbstbestimmten Entscheidung, was mit meinen Daten passiert, zuwider. Auch zur Sekundärnutzung der Daten hält Petri eine Einschätzung bereit: "Jeder, der was potenziell mit Gesundheit zu tun hat und ein halbwegs legitimes Interesse an der Verarbeitung von Gesundheitsdaten reklamieren kann, wird die Daten erhalten."

Der nächste Hammer: Den Kontaktstellen sollen die Daten im Klartext, nicht anonymisiert übertragen werden. Diese entscheiden anschließend, ob Anfragende diese anonymisierte oder pseudonymisierte Krankheitsverläufe braucht und erhält. Die Datenschutzrechtliche Seite ist da in keiner Weise geklärt. Und der Patient hat nach der Lesart von Petri, laut dem Kommissionsentwurf, keine Möglichkeit bzw. kein Recht, diesen Datentransfers vom Dateninhaber zur nationalen Zugangsstelle (z.B. Krebsregister) oder von der Zugangsstelle zum Datenantrag-Nutzer zu unterbinden. Es ist kein Widerspruch vorgesehen. Besteht eine Übermittlungspflicht, wird die Datenschutzgrundverordnung quasi ausgehebelt. Es ist schon recht aufschlussreich, das heise-Interview mit dem bayerischen Landesdatenschutzbeauftragten Thomas Petri zu lesen.

Fragen einer Expertin

Zufällig bin ich dann die Tage über nachfolgenden Tweet auf einen weiteren Beitrag European Health Data Space: Ein Datenraum voller Ungereimtheiten von Bianca Kastl bei netzpolitik.org gestoßen.

European Health Data Space: Ein Datenraum voller Ungereimtheiten

Kastl hat sich als Expertin für Schwachstellen in Gesundheitsanwendungen im Bereich Corona-Virus-Verfolgung einen Ruf erarbeitet, weil sie beratend tätig war und die haarsträubenden Fehler beim Design und der Implementierung der betreffenden Systeme gesehen hat. Kastl greift die gleichen Themen wie Datenschützer Petri in Bezug auf Widerspruchsmöglichkeiten auf, geht aber in ihrer Betrachtung und den aufgeworfenen Fragen noch weiter.

So wirft sie einen Blick auf das Thema "komplett anonymisierten Daten", was bei speziellen Gesundheitsdatensätzen schlicht ein Oxymoron ist. Es geht schlicht nicht, weil durch Kombination mehrerer Datenpunkte eine Datensignatur entsteht, anhand derer Personen doch wieder eindeutig identifiziert werden können.

Noch interessanter ist die Frage, was eigentlich Gesundheitsdaten für den betreffenden Datenraum sind. Im ersten Kommissionsentwurf sollen auch  "Wellness-Anwendungen" erfasst sein, von denen "Gesundheitsdaten" geliefert und erfasst werden sollen. Also ein absolutes Gaga-Papier, der erst Entwurf der EU-Kommission.

Ihr Schluss "Viele schlecht umgesetzte EU-Initiativen auf einmal. Obwohl der EHDS und seine rechtlichen Grundlagen uns alle in Europa betreffen, bleibt das Thema aktuell noch etwas arg unter dem Radar." Nun ja, zumindest für die Blog-Leserschaft habe ich "mein Radar" auf den betreffenden Entwurf gerichtet und ihr könnt euch schlau machen. Im März sollen die Entwürfe der EU-Kommission im Rat sowie im EU-Parlament diskutiert werden. Hier wäre es vielleicht angebracht, lokale Bundestagsabgeordnete und EU-Parlamentarier ganz konkret mit Fragen und Eingaben zu beschäftigen – um öffentliches Interesse zu signalisieren. Wie das Ganze mit dem Data Act zusammenhängt, dem das EU-Parlament gerade zugestimmt hat (siehe EU-Parlament stimmt Data Act zu), weiß ich nihct.

Ähnliche Artikel:
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Elektronische Patientenakte: Bär will Datenschutz schleifen
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
Datenleck: Old-School-'Hack' für Gesundheitskarte
KBV: Gematik verschiebt eRezept-Einlösung mit eGK auf Sommer 2023
TI-Konnectoren im Gesundheitswesen – der "400 Millionen Euro"-Hack des Chaos Computer Clubs
Sicherheitslücken im deutschen Gesundheitsdatennetz
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu EU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen

  1. Dolly sagt:

    Dee Grossteil der "Gesundheitsdigitalisierung" wird letztlich der Einführung von zentraler Kontrolle und Überwachung dienen.

    Die WHO hat vor einem Jahr T-Systems für globale digitale Impfzertifikate mit Patientenakten beauftragt.

    ..Fälschungssichere und digital überprüfbare Impfnachweise schaffen Vertrauen. .. Es kann auch als Teil künftiger Impfkampagnen und Patientenakten verwendet werden."

    https://www.telekom.com/de/medien/medieninformationen/detail/covid-19-who-beauftragt-t-systems-648630

    Das aktuelle scheibchenweise stetige Thematisieren der Gesundheitsdaten durch lokale Politik und EU soll längst beschlossenes nur medial verkaufen.

  2. Blupp sagt:

    Es läuft doch immer nur auf eines hinaus, mit den Daten Kohle machen. Wie bei dem blauen f sind doch immer nur die Menschen die Ware. Es gibt sogar eine alte Parallele, die Melderegisterauskunft. Es ist lange her und gegen das Vergessen: https://www.test.de/Datenschutz-und-Meldegesetz-Datensammeln-und-Gegenwehr-4420049-0/

    Nehmen Politiker solche Sachen in die Hand, kommt oft nichts gutes dabei heraus, jetzt sind die Gesundheitsdaten dran, die Basis für den großen Sonderverkauf wird vorbereitet.

  3. WTRF sagt:

    Ich hab MS.
    2 Gutachten wurden über mich erstellt die ich nicht einsehen darf.
    Ihr wollt Daten, F-Euch!

  4. Steter Tropfen sagt:

    Lauterbach & Co. sammeln und machen verfügbar, die Betroffenen sollen anschließend Zeit und Mühe in die Schadensbegrenzung investieren. Als Bürger soll ich mir die Arbeit machen müssen, die Daten, die über mich zentral gespeichert werden, zu kontrollieren und festzulegen, wer auf was zugreifen kann. Ja hoppla, ich habe ja sonst nichts zu tun!
    Wie soll ich entscheiden, welche Angaben für welchen Facharzt nötig sind und was wen nichts angeht? Das ist so kompliziert wie irgendwelche Filter und Regeln zu programmieren und dabei sicherzustellen, dass dabei erwünschte Informationen doch noch ihr Ziel erreichen. Für die meisten Laien unmöglich, schon allein technisch und erst recht fachlich.
    Hoffentlich werden viele Bürger daraus die Konsequenz ziehen, pauschal allem zu widersprechen. Andernfalls fürchte ich, dass ein Opt-out zwar auf dem Papier möglich ist, aber zur Folge hat, dass einen dann nur noch sehr wenige (am ehesten gewisse „querdenkende") Mediziner als Patient akzeptieren.

Schreibe einen Kommentar zu Steter Tropfen Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.