und Marina Koci
Lesen Sie hier den zweiten Teil
I. Einführung
Ständige technologische Entwicklungen und die COVID-19-Pandemie haben gezeigt, wie wichtig aktuelle Gesundheitsdaten sind, um fundierte Entscheidungen über die öffentliche Gesundheitspolitik und das Krisenmanagement zu treffen. Derzeit können sich Personen bei Fragen zur Verarbeitung personenbezogener Gesundheitsdaten und ihren Rechten auf die DSGVO berufen. Dennoch können Einzelpersonen bei der Ausübung ihrer Rechte an elektronischen Gesundheitsdaten auf Schwierigkeiten stoßen, was darauf hindeutet, dass eine spezifischere Regulierung erforderlich ist, um einen besseren Zugang und eine sicherere Umgebung für den Austausch zu ermöglichen.
Im März 2022 wurde die Verordnung zum European Health Data Space (EHDS) vorgeschlagen. Das EHDS wird es zuständigen Stellen ermöglichen, Gesundheitsdatensätze zu verknüpfen und sie innerhalb der Europäischen Union (EU) besser zugänglich zu machen. Der Vorschlag erweitert die primäre Nutzung von Gesundheitsdaten (z. B. die Erbringung von Gesundheitsleistungen) und soll die Kontrolle der Patienten über ihre Daten stärken. Eine der größten Neuerungen ist die sekundäre Nutzung von Gesundheitsdaten für Innovations-, Wissenschafts- und Politikzwecke. Darüber hinaus hat die Kommission hier die wichtigsten Vorteile für relevante Interessengruppen aufgeführt.
Vorteile für Nutzer des European Health Data Space
Quelle: Europäische Kommission, 2022
Dies ist der erste Blog einer zweiteiligen Serie zum EHDS. Der erste Blog bietet einen detaillierten Einblick in die EHDS-Bestimmungen, indem er die primäre und sekundäre Verwendung von Gesundheitsdaten in der gesamten EU, die Rechtsgrundlage und den aktuellen Forschritt des Vorschlags erörtert.
PRIMÄRE VERSUS SEKUNDÄRE NUTZUNG
II. Was ist die primäre Verwendung?
Kapitel II (Artikel 3-13) betrifft die primäre Verwendung, also die Verarbeitung personenbezogener elektronischer Gesundheitsdaten mit dem Ziel, der betroffenen Person eine direkte Gesundheitsversorgung zu bieten. Es ist mit dem Recht verbunden, auf Informationen zuzugreifen und diese zu empfangen; Berichtigung; und Datenübertragbarkeit im Rahmen der DSGVO, wobei auf diesen Rechten aufgebaut und einige davon weiterentwickelt werden (Erwägungsgrund 6). Wir werden untersuchen, ob diese Bestimmungen auf der DSGVO aufbauen oder lediglich deren Konzepte verstärken. Da die Datenportabilität eine besondere Herausforderung innerhalb des Vorschlags zu sein scheint, werden wir uns im nächsten Teil dieser Blogserie gesondert damit befassen.
Das Auskunftsrecht richtet sich nach Art. 15 DSGVO. Während einige Mitgliedstaaten Online-Portale und -Anwendungen bereitstellen, die es den Menschen ermöglichen, Gesundheitsdaten sofort abzurufen, besteht das Zugriffsrecht in anderen darin, Daten in einem analogen Format bereitzustellen, was zeitaufwändig sein kann. Artikel 3 EHDS baut auf der DSGVO auf, indem er den sofortigen und kostenlosen elektronischen Zugang zu Gesundheitsdaten für Einzelpersonen garantiert, während Artikel 15 den für die Verarbeitung Verantwortlichen nur dazu verpflichtet, den Zugang ohne unangemessene Verzögerung und innerhalb eines Monats, aber nicht sofort, zu gewähren. Einzelpersonen können auch kostenlose elektronische Kopien erhalten (zumindest für vorrangige Datenkategorien in Artikel 5), im Gegensatz zu Artikel 15 DSGVO, der vorsieht, dass für weitere Kopien eine Verwaltungsgebühr erhoben werden kann. Während der unmittelbare Zugriff aus ethischen Erwägungen und dem Schutz des Einzelnen eingeschränkt werden kann, entwickelt das EHDS die DSGVO dennoch weiter, indem es mögliche Verzögerungen beim Datenzugriff beseitigt und die Möglichkeit bietet, Gebühren zu erheben.
Die Kommission erkannte an, dass einige Staaten nicht über Strukturen zur Verbindung von EHR-Systemen (elektronische Gesundheitsakten) verfügen und dass diese bei denjenigen, die über solche Systeme verfügen, fragmentiert sind. Artikel 3 (5) verpflichtet die Mitgliedstaaten, elektronische Dienste für den Zugang zu Gesundheitsdaten – Online-Dienste wie eine Anwendung – einzurichten, um diese Rechte zu erleichtern und den Zugang zu ermöglichen, was wohl zu einer Harmonisierung der Systeme führt.
Das EHDS soll es Europäern erleichtern, auf ihre Gesundheitsdaten zuzugreifen und diese zu teilen, wenn sie innerhalb der EU über Grenzen hinweg reisen. Der Vorschlag beschreibt in Artikel 5 vorrangige Datenkategorien, die in einem standardisierten Format zugänglich und austauschbar sein müssen. Patienten haben die Möglichkeit, ihre EHR zu ergänzen, den Zugriff zu kontrollieren und zu sehen, wer ihre Daten eingesehen hat.
Was das Recht auf Berichtigung gemäß Artikel 16 DSGVO betrifft, ermöglicht Artikel 3 (7) die Online-Berichtigung über Dienste für den Zugang zu Gesundheitsdaten und verschärft dieses Recht.
Um diese erweiterten Rechte zu unterstützen, muss jeder Mitgliedstaat eine für die Umsetzung zuständige Behörde für digitale Gesundheit und eine nationale Kontaktstelle ernennen, um die Zusammenarbeit mit anderen nationalen Kontaktstellen und mit MyHealth@EU, dem wichtigsten Vermittler zur Unterstützung und Ermöglichung des Datenaustauschs zwischen den Mitgliedstaaten, sicherzustellen. Dadurch wird es für Gesundheitsdienstleister in der gesamten EU einfacher, auf die Gesundheitsdaten einer Person zuzugreifen. Wenn beispielsweise ein spanischer Staatsbürger während eines Urlaubs in Italien erkrankt, sollte ein italienischer Gesundheitsdienstleister Zugriff auf die vollständige Krankenakte des Spaniers haben.
Abbildung zeigt primäre und sekundäre Nutzung
Source: Europäische Kommission, 2022
III. Was ist sekundäre Verwendung?
Die sekundäre Nutzung von Gesundheitsdaten umfasst die Verarbeitung für Innovation, wissenschaftliche Forschung, Politikgestaltung und andere ähnliche Zwecke. Die Mindestkategorien von Daten für die sekundäre Verwendung finden sich in Artikel 33.
Hierunter fallen:
- Daten mit Auswirkungen auf die Gesundheit,
- menschliche genetische Daten,
- Gesundheitsdatenregister und
- Daten aus klinischen Studien.
Der Vorschlag definiert außerdem zulässige Zwecke, zu denen Entwicklungs- und Innovationstätigkeiten gehören (Artikel 34), und verbotene Zwecke, zu denen die Verwendung von Daten zum Nachteil von Personen, Werbung oder Marketing oder die Bereitstellung von Datenzugang für Dritte außerhalb der Genehmigung, sowie die Entwicklung schädlicher Produkte hören (Artikel 35).
Der Vorschlag schafft neue Regulierungswege für die sekundäre Nutzung von Daten vom Dateninhaber zum Datennutzer.
Wer ist Datennutzer?
Als „Datennutzer“ gilt jede Person, die rechtmäßigen Zugriff auf elektronische Gesundheitsdaten zur sekundären Nutzung hat.
Wer ist Dateninhaber?
Ein „Dateninhaber“ umfasst jede Einrichtung im Bereich Gesundheitswesen und Forschung oder jede EU-Institution, -Einrichtung oder -Agentur, die das Recht hat, Daten gemäß EU-Recht zur Verfügung zu stellen. Beispielsweise können Pharmaunternehmen vom Dateninhaber Zugriff auf Daten verlangen, z.B. ein Krankenhaus – auch wenn sie einen kommerziellen Zweck verfolgen – solange dies mit einem der legitimen Interessen, wie wissenschaftlicher Forschung und Innovation, im Einklang steht.
Die Schritte zur Zweitverwendung bestehen darin, dass der Datennutzer einen Antrag auf Zugang zu Gesundheitsdaten stellt, dessen Modalitäten von den gesuchten Daten abhängen (Artikel 45, 47). Diese Anträge werden von der Stelle für den Zugriff auf Gesundheitsdaten bewertet, die die Zweitverwendung ermöglicht und für die Erteilung der Zugriffserlaubnis und die Entscheidung über die Vereinbarkeit mit den in Artikel 34 (1) aufgeführten Zwecken verantwortlich ist.
Da elektronische Gesundheitsdaten besonders sensibel sind, ist es notwendig, die Risiken für das Recht auf Privatsphäre zu verringern, und wenn möglich sollten anonymisierte Gesundheitsdaten verwendet werden. Wenn jedoch personenbezogene Daten erforderlich sind und der Grund gerechtfertigt ist, sollten diese in pseudonymisierter Form bereitgestellt werden, wobei der Verschlüsselungsschlüssel nur im Besitz einer Gesundheitsdaten-Zugriffsstelle ist (Erwägungsgrund 49).
IV. Rechtliche Grundlage
Der Vorschlag verweist für die rechtmäßige Verarbeitung auf die DSGVO, die sich auf die Artikel 6 und 9 konzentriert, wobei die Rechtsgrundlage für die Zweitverwendung auf Artikel 9 (2) (g – j) beruht. Datennutzer müssen die Einhaltung von Artikel 6 (1) (e) oder (f), d. h., dass der Zugriff auf Daten für die Wahrnehmung einer im öffentlichen Interesse oder im berechtigten Interesse liegenden Aufgabe erforderlich ist. Dateninhaber, die Daten gemäß Artikel 6 (1) (c) DSGVO verarbeiten, müssen diese Informationen an Gesundheitsdatenzugriffsstellen weitergeben, die sicherstellen, dass der Zugriff auf der Grundlage der im Zugriffsantrag angegebenen Gründe gewährt wird.
Die Rechtmäßigkeit der Verarbeitung bezieht sich auf den Zweckbindungsgrundsatz (Artikel 5 (1b)), der verlangt, dass personenbezogene Daten für „bestimmte, eindeutige und rechtmäßige Zwecke“ erhoben und nicht auf unvereinbare Weise weiterverarbeitet werden. Eine verträgliche Weiterverarbeitung ist durch den Verantwortlichen unter Berücksichtigung der Faktoren des Art. 6 (4) DSGVO zu beurteilen, es sei denn, der neue Zweck:
- zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Zwecke vorliegen (Art. 89 (1) DSGVO);
- Hat die Einwilligung der betroffenen Person.
V. Fortschritt des Vorschlags: Was sind die nächsten Schritte?
Der Vorschlag befindet sich noch in einem frühen Stadium, und die Kommission strebt an, den Gesetzgebungsprozess bis 2024 abzuschließen, damit er im Jahr 2025 angenommen werden kann. Der Rat hat sich zu den ersten beiden Kapiteln des Vorschlags auf einen gemeinsamen Standpunkt geeinigt, wobei Artikel 8 zur Telemedizin vollständig gestrichen werden soll. Es bestehen weiterhin Herausforderungen bei der Vorbereitung der Mitgliedstaaten auf die Umsetzung, einschließlich der Konsolidierung von Patienteninformationssystemen und Datenportabilität. Unser zweiter und letzter Teil dieser Blogbeitragsreihe befasst sich mit den Herausforderungen, die der Vorschlag mit sich bringt, und den Bedenken des EDSA/EDPS, insbesondere der Datenübertragbarkeit.
Möchten Sie mehr erfahren?
Wenn Sie mehr über dieses Thema erfahren möchten, schauen Sie sich unsere kommenden Kurse zu künstlicher Intelligenz und Datenschutz an, indem Sie auf die Schaltfläche unten klicken:
Dieser Blog stellt die Meinung des Autors dar und spiegelt nicht grundsätzlich die Meinung des EIPA.
