Karl Lauterbachs Digitalisierungsversprechen

Autor: Peter Schaar, 14. März 2023

In der vergangenen Woche, am 9. März 2023, hat Bundesgesundheitsminister Karl Lauterbach die Digitalisierungsstrategie seines Ministeriums vorgestellt. Im Mittelpunkt steht die Einführung der „elektronischen Patientenakte für alle“ bis Ende 2024. Im Jahr 2025 sollen 80 % der gesetzlich Versicherten über eine elektronische Akte verfügen. Anders als bisher vorgesehen, soll sie nicht nur für diejenigen angelegt werden, die explizit eingewilligt haben, sondern für alle, die der Einrichtung nicht explizit widersprechen (Opt-Out). Zudem sollen die Nutzungsmöglichkeiten der medizinischen Daten für Forschungszwecke erweitert werden und ebenfalls nicht mehr an die Einwilligung der Betroffenen gebunden sein.

Wie realistisch der vorgestellte Zeitplan ist, sei dahingestellt. Jedenfalls stellen die Planungen einen fundamentalen Kurswechsel in der Gesundheitspolitik dar, der auch erhebliche datenschutzrechtliche Implikationen hat. 

Opt-In und Opt-Out – Einwilligung und Widerspruch

Die dem Englischen entnommenen Begriffe »Opt-in« und »Opt-out« beschreiben formularmäßige Ankreuzverfahren, insbesondere beim Ausfüllen von Checkboxen in Anträgen und Verträgen. Sie werden vielfach synonym mit den datenschutzrechtlichen Termini „Einwilligung“ und „Widerspruch“ verwendet. Der Ankündigung zum Übergang zu einer Widerspruchslösung liegt die Annahme zu Grunde, dass auf diese Weise mehr Daten digital erfasst und ausgewertet werden könnten. Erfahrungen aus anderen Bereichen – etwa der Organspende – belegen, dass sich die meisten Menschen schwerer tun, zuzustimmen als zu widersprechen. Zudem würde man sich viel Aufwand ersparen, der mit der Einholung einer wirksamen Einwilligung und ihrer Dokumentation verbunden ist.

Hintergrund der Forderung nach einem generellen Abgehen von Einwilligungs- zu Widerspruchslösungen ist die Fokussierung der deutschen Gesetzgebung auf die Einwilligung der Betroffenen bei der Verarbeitung gesundheitlicher Daten. So verpflichtet das deutsche Sozialrecht die Sozialversicherungsträger in vielen Fallkonstellationen, auch bei gesetzlich zulässigen Verarbeitungsvorgängen vor der Verarbeitung personenbezogener Daten die Einwilligung der Betroffenen einzuholen. 

Auch wenn dabei zunächst an den Datenschutz gedacht wird, ergibt sich die Notwendigkeit der Einholung einer Einwilligung im Gesundheitsbereich schon aus dem besonderen Vertrauensverhältnis zwischen den Angehörigen eines Heilberufs und den Patienten. So heißt es in der Erklärung von Lissabon des Weltärztebundes (1995):

„Vertrauliche Informationen können nur mit der ausdrücklichen Zustimmung des Patienten oder aufgrund einer entsprechenden gesetzlichen Bestimmung weitergegeben werden. Informationen können an andere Leistungserbringer des Gesundheitssystems nur auf einer strikten Basis des ’wissen ’ weitergegeben werden, es sei denn, der Patient hat zuvor seine ausdrückliche Zustimmung gegeben“

Die datenschutzrechtliche Einwilligung ist Ausdruck der informationellen Selbstbestimmung der betroffenen Person. Sie ist nur dann wirksam, wenn sie freiwillig erfolgt, sich auf klar abgrenzbare Sachverhalte bezieht und unmissverständlich ist. Bei »besonderen Kategorien personenbezogener Daten« – darunter fallen auch die Gesundheitsdaten – muss die Einwilligung »ausdrücklich« gegeben werden, also durch bewusste Handlung des Betroffenen erfolgen. 

Zentrale Voraussetzung einer wirksamen Einwilligung ist deren Freiwilligkeit. Sie muss also frei von Zwang und Druck abgegeben werden, ohne dass dem Betroffenen unangemessene Nachteile drohen, wenn er nicht einwilligt. Damit die Einwilligung tatsächlich informiert erfolgt, muss sie zudem transparent und verständlich gestaltet werden. Insbesondere ist der Betroffene über Angaben über Zweck und Konsequenzen der Einwilligung zu unterrichten. Dabei muss sie auf die Zielgruppe abstellen und darf den Leser durch ein Zuviel an Informationen nicht überfordern.

Auch das – ebenfalls in Artikel 21 DSGVO vorgesehene – Widerspruchsrecht soll – wie die Einwilligung – den betroffenen Personen die Möglichkeit geben, die Verarbeitung der sie betreffenden Daten zu kontrollieren. Während die Einwilligung stets vor der Verarbeitung eingeholt werden muss (aber danach widerrufen werden kann), greift das Widerspruchsrecht nur, wenn der Betroffene aktiv wird. Sollte er davon keinen Gebrauch machen, darf die Verarbeitung stattfinden, wenn dafür eine Rechtsgrundlage besteht. Anders als die Einwilligung ist die Einräumung eines Widerspruchsrechts selbst keine selbstständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Sowohl bei Einwilligungs- als auch bei Widerspruchslösungen gelten die datenschutzrechtlichen Grundsätze der Erforderlichkeit, Zweckbindung und Transparenz. Bei beiden Verfahren müssen die Betroffenen vor Beginn der Verarbeitung umfassend über den Gegenstand und Zweck der Verarbeitung, ihre Rechtsgrundlage und ihre sonstigen Rechte informiert werden.

Einwilligung und Widerspruch bei der elektronischen Patientenakte

Nach bisheriger Rechtslage darf eine elektronische Patientenakte (ePA) nur mit Einwilligung des Versicherten angelegt und befüllt werden. Immer wieder wird die geringe Zahl der bisher angelegten Patientenakten auf diesen Umstand zurückgeführt. So befürchtet der Sachverständigenrat Gesundheit in seinem Digitalisierungsgutachten von 2021 (Rdnr. 215), dass bei Beibehaltung der Erfordernis einer Einwilligung junge und überwiegend gesunde Menschen keine ePA anlegen würden, »da sie keinen unmittelbaren Nutzen derselben für sich sehen oder sich daher nicht mit einem möglichen Nutzen beschäftigen. Die Folge wäre eine niedrigere Teilnahme in der Bevölkerung.« Er favorisiert deshalb den Übergang von einer Einwilligungs- zu einer Widerspruchslösung. Auch in der Ärzteschaft nimmt die Skepsis gegenüber der Einwilligungslösung zu. 

Um die Nutzung der ePA zu erleichtern, plädierte etwa der 126. Deutsche Ärztetag mehrheitlich für ein mehrstufiges Opt-out-Verfahren: Initial solle jeder Patient eine Akte erhalten, es sei denn, er widerspricht. Statt expliziter Datenfreigabe für jeden einzelnen Arzt sollten zunächst alle Ärzte und Ärztinnen vollen Zugriff auf die in der ePA gespeicherten Daten erhalten, es sei denn, der Patient schränkt die Zugriffsrechte explizit ein. Statt ausdrücklicher Freigabe von Daten aus der ePA für Forschungszwecke sollen alle Daten für Forschungszwecke zur Verfügung gestellt werden, es sei denn, der Patient beschränkt die Datenweitergabe. Vor diesem Hintergrund haben die Parteien der Ampel-Koalition 2021 in ihrem Koalitionsvertrag vereinbart, dass allen Versicherten eine elektronische Patientenakte statt auf Opt-in-Basis zukünftig unter Einräumung einer Opt-out-Möglichkeit zur Verfügung gestellt werden soll. Auch der Plan, dass bis 2025 mindestens 80 Prozent der gesetzlich Versicherten die ePA nutzen sollen, findet sich schon im Koalitionsvertrag.

Allerdings gibt es nicht die eine Opt-out-Lösung, sondern unterschiedliche Varianten, die hinsichtlich ihrer technischen Ausgestaltung und im Hinblick auf das Selbstbestimmungsrecht der Versicherten differieren, Datenschutzrechtlich vertretbar wäre es, bei der Anlage einer elektronischen Akte (oder besser eines »elektronischen Aktendeckels«) auf eine Einwilligung zu verzichten. Bei der Befüllung der Akte wäre eine differenzierte Regelung angebracht. Die »Erstbefüllung« mit aktuellen Basis-Daten des Versicherten – etwa nach dem Muster der Patientenkurzakte – nach vorheriger Information durch die Hausärztin oder den Hausarzt unter Einräumung eines Widerspruchsrechts erschiene mir noch rechtlich vertretbar. Für unverzichtbar halte ich es hingegen, dass Anamnesen, umfassende Diagnosen und sonstige unstrukturierte Dokumente nur dann in die ePA kommen, wenn der Betroffene eingewilligt hat.

Ob die Gewährung von Zugriffsrechten für Angehörige von Heilberufen als Einwilligungs- oder Widerspruchslösung ausgestaltet werden muss, hängt eng damit zusammen, um welche Daten es jeweils geht und in welchem Kontext der Zugriff erfolgt. So könnte festgelegt werden, dass der Zugriff grundsätzlich erlaubt ist, soweit der Arzt oder die Ärztin Gesundheitsdaten im Rahmen einer aktuellen Behandlung benötigt. Die pauschale Einräumung der Zugriffserlaubnis auf sämtliche – auch zukünftige – Gesundheitsdaten widerspräche jedoch diametral dem Selbstbestimmungsrecht der Patientinnen und Patienten. Es wäre sogar zweifelhaft, ob derartige pauschale Zugriffsbefugnisse durch eine Einwilligung gerechtfertigt werden könnten. Dieser Einwand gilt in noch stärkerem Maße für die diskutierte Widerspruchslösung. 

Einwilligung und Widerspruch bei der Nutzung für Forschungszwecke

Die Einwilligung ist nur einer von verschiedenen datenschutzrechtlichen Erlaubnistatbeständen. Einwilligungen sind grundsätzlich dann einzuholen, wenn Daten bei fehlender ausdrücklicher Rechtsgrundlage erhoben oder vorhandene Daten für andere Zwecke verarbeitet werden sollen (Sekundärnutzung). Eine solche Sekundärnutzung liegt vor, wenn vorhandene – etwa bei der medizinischen Behandlung erfasste – Daten für Forschungszwecke ausgewertet werden sollen. Zwar ist auch die Erhebung, Auswertung und Übermittlung von Sozial- und Gesundheitsdaten für Forschungszwecke grundsätzlich nur dann erlaubt, wenn der Betroffene eingewilligt hat. Allerdings dürfen in begrenzten Ausnahmefällen bestimmte Daten auch ohne Einwilligung weitergegeben oder wissenschaftlich ausgewertet werden. Insbesondere bei der Auswertung von bereits vorhandenen Daten wird die Wissenschaft privilegiert, etwa wenn Daten, die zu anderen Zwecken erhoben wurden, wissenschaftlich weiter verarbeitet werden sollen.

Dass Patientendaten nur dann für die medizinische Forschung verwendet werden dürfen, wenn der Betroffene damit einverstanden ist, ergibt sich also nicht unmittelbar aus dem Datenschutzrecht. Es ist vielmehr ein allgemein anerkannter, in den Ethikrichtlinien verschiedener Disziplinen verankerter Grundsatz, dass nur so die Selbstbestimmung der Patienten angemessen gewahrt werden kann. So verlangt die Deklaration von Helsinki (1964) bei Forschungsvorhaben die informierte Einwilligung des Patienten zur Teilnahme an einer Studie und zur Nutzung identifizierbaren Materials. Die ärztlichen Berufsordnungen verweisen auf diese Deklaration.

Datenschutz und Forschungsfreiheit sind als Grundrechte besonders geschützt und müssen rechtlich zu einem Ausgleich gebracht werden, der dem wissenschaftlichen Interesse an neuen Erkenntnissen Rechnung trägt und zugleich den Schutz der Persönlichkeitsrechte der betroffenen Person wahrt. Um den Anforderungen der wissenschaftlichen Forschung Rechnung zu tragen, sieht Erwägungsgrund 33 DSGVO; die Möglichkeit vor, nicht nur in die Verarbeitung für ein konkretes Forschungsvorhaben einzuwilligen, sondern eine Einwilligung »für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht«. Dieser »Broad Consent« soll dem Umstand Rechnung tragen, dass der Zweck der Verarbeitung in der Forschung zum Zeitpunkt der Erhebung personenbezogener Daten vielfach nicht vollständig angegeben werden kann. Allerdings muss auch die erweiterte Einwilligung den anerkannten ethischen Standards der wissenschaftlichen Forschung entsprechen, deren Einhaltung von Ethikkommissionen überprüft wird. 

Der Broad Consent wirft zudem einige nur schwer zu lösende Fragen auf, insbesondere im Hinblick auf dessen Reichweite. Unbestritten ist, dass eine allgemeine, nicht auf bestimmte Vorhaben oder Forschungsgegenstände begrenzte Einwilligung in die Verarbeitung zu »Forschungszwecken« zu unspezifisch und deshalb unwirksam wäre. Aber auch die Einschränkung auf »medizinische Forschung« wäre recht weit gefasst und für den Betroffenen nur schwer hinsichtlich der Reichweite einzuschätzen. Dagegen würde die Einwilligung in die Verwendung der Daten für die »Krebsforschung« wohl hinreichend bestimmt und damit wirksam sein, wenn für den Erklärenden erkennbar ist, welche Art von Institutionen die Verarbeitung beziehungsweise Auswertung der Daten vornehmen (etwa öffentliche Forschungseinrichtungen).

Die DSGVO räumt den Mitgliedstaaten einige Spielräume bei der Konkretisierung und Ausgestaltung der Bestimmungen zur Verarbeitung für Forschungszwecke ein. Die Vorschriften des Bundes- und Landesrechts enthalten jedoch teils inkonsistente gesetzliche Regelungen. 

Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein Thilo Weichert konstatiert in einer für die Telematik-Initiative Medizin (TMF) erstellten Gutachten, dass das im Namen des Datenschutzes geschaffene Regelwerk die Nutzung von Gesundheitsdaten für Forschungszwecke unnötig erschwere. Dies führe »zu einer Diskreditierung des Datenschutzanliegens unter Forschenden und in der Öffentlichkeit sowie teilweise auch dazu, dass dringend durchzuführende medizinische Forschungsprojekte auf rechtlich unsichere Grundlagen und insbesondere auf Einwilligungen zurückgreifen müssen, bei denen die Patienten ihre medizinisch-informationelle Selbstbestimmung nicht immer wirksam wahrnehmen können.« Allein schon wegen der Unübersichtlichkeit der Rechtslage werde vielfach auf Forschungsvorhaben verzichtet, obwohl die Verwendung der Daten für wissenschaftlich Zwecke eigentlich zulässig wäre. Schon deshalb wäre es sehr hilfreich, die auf unterschiedlichste Normen verteilten Regelungen zur Verarbeitung personenbezogener Daten für die medizinische Forschung zusammenzuführen und klarer zu gestalten.

Ein genereller Verzicht auf Einwilligungen bei der Verwendung sensibler Gesundheitsdaten für Forschungszwecke ist – auch wegen der forschungsethischen Grundsätze, die eine informierte Einwilligung voraussetzen – wenig realistisch und auch nicht wünschenswert. Vertretbar erscheint der Übergang zu einer Widerspruchslösung bei Vorhaben im besonderen öffentlichen Interesse, weil der Verarbeitungszweck mögliche entgegenstehende Interessen des Einzelnen deutlich überwiegt. Je bedeutsamer ein Forschungsvorhaben für die Gewährleistung der Gesundheit und der sozialen Sicherheit ist, desto schwerer fallen Forschungsbelange ins Gewicht. Es müssen also die konkreten Gegenstände des Forschungsvorhabens und die gesellschaftlichen und technischen Gegebenheiten berücksichtigt werden, zumal einer evidenz- und datenbasierten Forschung mit Gesundheitsdaten für Zwecke der Prävention, Diagnostik und Therapie angesichts der Herausforderungen durch Klimaveränderung, Pandemien, Umweltverschmutzung und eine alternde Bevölkerung signifikante Bedeutung zukommt (vgl. Weichert, a.a.O.).

Im Hinblick auf den Schutz der (meist) hochsensiblen Gesundheitsdaten, die in Forschungsprojekten verarbeitet werden, müssen besondere Schutzvorkehrungen getroffen werden, die eine unzulässige Kenntnisnahme der einzelnen Teilnehmenden zuzuordnenden Daten verhindern, etwa die Anonymisierung oder Pseudonymisierung der für die Forschung verwendeten Datenbestände, wie es der Wissenschaftsrat vorschlägt. So ist es gut nachvollziehbar, dass angesichts des großen öffentlichen Interesses an der onkologischen Forschung gesetzlich festgelegt wurde, für die Verwendung von Patientendaten zur Befüllung der Krebsregister und deren Nutzung für Forschungszwecke nicht mehr eine Einwilligung zu fordern, sondern den Betroffenen ein Widerspruchsrecht einzuräumen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert