Elektronische Patientenakte vs. Datenschutz: Eine ethische Frage

Sonntag, 26.03.2023

Mirko Matytschak

Die elektronische Patientenakte ist als Projekt gegenwärtig 12 Jahre alt, hat Milliarden an Kosten verschlungen und ist weit von der praktischen, flächendeckenden Anwendung entfernt. Einen Schuldigen dafür gibt es auch bereits: Den Datenschutz. Sagt der Ethikrat.

Eigentlich wäre die ePA eine gute Idee. Die bei der Behandlung von Patienten anfallenden Daten, Röntgenbilder, Diagnosen und sonstige Artefakte werden in einer zentralen personenbezogenen Akte gespeichert. Jeder Arzt, der eine bestimmte Person behandelt, kann die Behandlungsgeschichte der Person einsehen, die Medikation, die Bilder etc. Das sieht nach einer  sehr guten Grundlage für eine Behandlung aus.

Man könnte sich die ePA als einen Speicher vorstellen, in den man nur schreiben kann, und ausschließlich behandelnde Ärzte können diese Daten lesen. Wer würde so etwas verhindern wollen?

Leider ist es nun aber so, dass solche Daten gestohlen werden können. Das ist besonders schlecht, weil Gesundheitsdaten in der Hand der falschen Personen geradezu katastrophale Folgen haben können. Es wäre also gut, wenn es technische Möglichkeiten gäbe, die ePA so zu gestalten, dass der Diebstahl von massenweise Patientenakten nicht möglich ist.

Wir brauchen die Daten für Forschung

Aber es gibt eine Anforderung an die ePA-Datenspeicherung, die eine sinnvolle Implementierung unter Wahrung des Datenschutzes erschwert: Die Daten sollen – angeblich* – für wissenschaftliche Forschung zur Verfügung gestellt werden. Hier ist nicht ausschließlich wissenschaftliche Forschung an Universitäten gemeint. Es ist explizit auch Industrieforschung gemeint.

Industrieforschung ist wiederum nicht nur in dem Sinn gemeint, dass Firmen tolle Erkenntnisse für sinnvolle Produkte gewinnen, sondern dass sie anhand der Gesundheitsdaten den Bedarf ermitteln, um zu sehen, in welchen Bereichen sich eine Produktentwicklung lohnt und in welchen nicht. Und idealerweise könnte man die Daten dazu verwenden, um den Patienten in spe passende Angebote zu unterbreiten. Also all die schönen Angebote, nach denen wir nie gefragt haben.

Datenschutz

Dumm nur, dass die Daten für die wissenschaftliche Forschung nur anonymisiert herausgegeben werden sollen. Aber in Kombination mit Datensätzen aus anderen Quellen lassen sich diese Daten leicht wieder deanonymisieren. Das ist keine dystopische Fiktion, sondern tägliche Realität auf unserem Planeten.

Und was elektronische Gesundheitsakten anbetrifft: Es gibt wohl kein Land auf der Welt, in dem nicht nach Einführung einer solchen Gesundheitsakte bereits solche Daten geklaut und im Darknet zur Verfügung gestellt wurden. Wir sprechen hier also von einer realen Bedrohung.

Bei der Nutzung der Daten muss also auf den Datenschutz geachtet werden, und der wird durch Gesetze geregelt, zum einen durch das Datenschutzgesetz und zum andern durch die DSGVO. Diese Rechtsverordnungen sind aus gutem Grund erlassen worden und schützen die digitale Souveränität der Bürger. Wie es bei Gesetzen und Verordnungen vorkommen kann, stehen sie manchmal in Widerspruch zur wirtschaftlichen Nutzbarkeit von Daten. Allerdings gibt es da eine Platitude, die an der Stelle gut passt:

Was gut für die wirtschaftliche Nutzung ist, ist selten gut für die Menschen.

Die Nutzung der Daten der Patienten bedarf laut DSGVO der Zustimmung der Patienten. Und sollte die DSGVO in Konflikt mit anderen Verordnungen und Gesetzen treten, hat die DSGVO Vorrang. Es muss schon ein besonders hohes Rechtsgut vorliegen, um eine Ausnahme dieser Regel zu rechtfertigen.

Datennutzung vs. Datenschutz

Um das klarzustellen: In der Diskussion über die ePA geht es gar nicht um die Erfassung von Patientendaten zum Zweck der Behandlung. Es steht die Nutzung der Daten für angebliche wissenschaftliche Forschung zur Diskussion. Hier tut sich das Sicherheitsrisiko auf. Zum Durchforsten der Daten müssen diese an einer zentralen Stelle liegen, von der sie dann von interessierten Parteien abgerufen werden.

Wäre die Zustimmung der Patienten nötig, stünde nur ein Bruchteil der Daten für die Forschung – und damit für die wirtschaftliche Nutzung – zur Verfügung. Das ist der Kern des Konflikts. Die einen wollen, dass die Daten allen Interessierten zur Verfügung stehen, die anderen wollen es von der Zustimmung der Patienten abhängig machen.

Man kann nun Purzelbäume schlagen, sich auf den Kopf stellen und mit den Beinen wackeln: Man wird diesen Konflikt zwischen Nutzung und Datenschutz nicht aus der Welt bringen, ganz einfach, weil die Nutzung das Risiko des Datendiebstahls wesentlich erhöht***.

Eine ethische Frage

Diejenigen, welche die wirtschaftliche Nutzung der Daten im Blick haben, argumentieren nun mit der Chance, die sich aus der Forschung ergibt. Wer würde nicht wollen, dass medizinische Forschung auf Basis unser aller Daten uns allen zugute kommt? Es kann doch nicht sein, dass der Datenschutz dieses hehre Unterfangen blockiert? Ihr seht: Das Thema wird von der sachlichen auf die moralische Ebene verschoben. Und wer könnte besser mit moralischen Themen umgehen, als der Ethikrat?

Ich stelle mir das etwa so vor: Will die Politik etwas durchsetzen, das bei den Bürgern nicht so gut ankommt, hat sie immer noch die Möglichkeit, das Thema zu moralisieren und dann den von der Politik eingesetzten Ethikrat zu befragen. Der gibt ein moralisch einwandfreies Urteil im Sinne der Politik ab und schon kann das Unterfangen auf mehr Zustimmung hoffen.

Ich habe neulich kurz in einen Redebeitrag der Vorsitzenden Alena Buyx hineingehört und stelle fest: Das ist eine ganz eigene Welt. Hier wird mit salbungsvollen Worten von der Verantwortung der Menschen für ein gutes Miteinander gesprochen. Man könnte die Attitüde des Ethikrates für naiv halten. Aber wenn man sich nicht von den Sonntagsreden der Mitglieder blenden lässt, stellt man fest, dass dort Leute sitzen, die knallhart die Interessen der Wirtschaft verfolgen.

Zu den Äußerungen des Ethikrats zum Thema ePA wurde auf heise.de berichtet und ich beziehe mich im Folgenden auf Zitate aus diesen Artikel.

Ich fange mit diesem Beispiel an:

„Jeder Patient hat seine eigene Krankheitsgeschichte“, sagt Prof. Ursula Klingmüller. Sie ist ebenfalls Mitglied des Ethikrates und forscht am Deutschen Krebsforschungszentrum.

Für diese Erkenntnis hat Frau Prof. Klingmüller wahrscheinlich ziemlich lang studieren müssen. Daher weiß sie auch:

Derzeit gibt es in Deutschland umfangreiche Regelungen, die Forschungsprojekte „oft sehr stark verzögern“, da über viele Jahre hinweg komplizierte Verträge abgeschlossen werden müssen, wie beispielsweise Joint Controller Agreements, die die gemeinsame Verantwortung für die Daten regeln.

Etwas verklausuliert steckt in diesem Satz die Aussage, dass wir in Deutschland sooo viel erreichen könnten, wenn nicht immer die Bedenkenträger des Datenschutzes alles verhindern und blockieren würden.

Aber was hat es mit diesen Joint Controller Agreement auf sich? Fahren da Controller für ein Agreement nach Amsterdam? Das könnte ein Forschungsprojekt tatsächlich etwas verzögern. Ich habe einmal nach einer Erklärung gesucht und stolpere dabei über folgenden Text:

Das Joint Controller Agreement ist für verantwortliche Unternehmen nicht nur eine zusätzliche datenschutzrechtliche Verpflichtung, sondern kann ein gutes Instrument für eine klar geregelte und koordinierte Zusammenarbeit mehrerer verantwortlicher Stellen sein. Die vielen datenschutzrechtlichen Vorgaben können schneller und einfacher umgesetzt werden...

Die Frau Klingmüller weist also die Forderung nach einem verantwortungsvollen Umgang mit Daten zurück. Es ist ihr in in ihrer Forschungsarbeit zu viel, einen Rahmen für den sinnvollen Umgang mit Daten zu schaffen.

Eine moralische Frage

Es geht weiter in den Sonntagsreden:

Professorin Sylvia Thun, Medizininformatikerin an der Charité, monierte, dass wir uns in Deutschland dafür schämen sollten, dass wir nicht mit den Gesundheitsdaten forschen können.

Wie unschwer zu erkennen ist, kann der Ethikrat hier elegant eine Brücke vom schwachsinnigen Teil der sachlichen Diskussion zum moralinhaltigen Teil der ethischen Auseinandersetzung schlagen, indem wir uns dafür schämen sollten, nicht zu tun, was der Allgemeinheit zum Schaden gereicht. Die Rückkehr zur sachlichen Auseinandersetzung ist durch solche Interventionen des Ethikrats ausgeschlossen.

Um das klar zu machen: Natürlich ist die Forschung mit Gesundheitsdaten möglich. Die leichtfertige Nutzung der Daten der elektronischen Patientenakte ist zumindest gegenwärtig nicht möglich.

Aber Frau Thun hat noch mehr zu sagen. Sie kritisiert unter anderem Bettina Schön, eine Redakteurin des rbb, die im Twitterkanal der Tagesthemen wie folgt zitiert wird:

Meine medizinischen Daten gehören mir. [...] Wie kommt Karl #Lauterbach dazu, forsch zu behaupten, in zwei Jahren hätten 80 Prozent aller Versicherten die elektronische #Patientenakte? Ganz einfach: Er will uns gar nicht mehr mitentscheiden lassen über unsere Daten.

Frau Thun meint dazu:

Der Satz „Meine medizinischen Daten gehören mir“ habe sie jedoch verwundert. Sie kritisierte, die Reporterin hätte ihre medizinischen Daten doch gar nicht, da diese unter anderem in den Krankenhäusern, in den Krebsregistern und in den Praxisverwaltungssystemen der Ärzte liegen würden.

Der Level des Sachverständnisses, den die Frau Thun hier zeigt, bewegt sich in infinitesimal kleinen Bereichen. Wäre sie nicht Mitglied des Ethikrates, würde niemand ernsthaft eine Person mit einem derart weitreichenden Unverständnis der Sachverhalte an einer Diskussion über dieselben beteiligen**.

Zum Mitmeißeln: Der Datenschutz als Gesetz fußt auf dem Konzept der informationellen Selbstbestimmung, die als Begriff vom Verfassungsgericht höchstselbst formuliert worden ist. Ich zitiere aus dem entsprechenden Urteil:

Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.

Ist noch Platz auf der Tafel zum Weitermeißeln? Bitte schön:

Daten über mich sind laut Gesetz meine Daten, egal wer sie zu welchem Zweck speichert und egal, wo diese gespeichert sind.

Bettina Schön hat also recht und Frau Thun sollte sich mal ein wenig mit dem Thema beschäftigen. Dazu hätte sie eventuell Zeit, wenn sie nicht Sonntagsreden im Ethikrat schwingen müsste.

Wenn Ihr nun meint, dass das schon alles ist, was die Frau Thun an Ahnungslosigkeit zum Besten gegeben hat, dann führt Euch mal diesen Absatz zu Gemüt:

Eine Gesundheitsdateninfrastruktur [ist] auch für Unternehmen wichtig, „weil wir alle [...] in der Pandemie profitiert [haben], dass eine Impfung zur Verfügung stand“. Bei der Entwicklung der Impfstoffe hätte man allerdings nicht von den deutschen Daten profitiert.

Ich lasse das einmal unkommentiert so stehen.

Rückkehr zur Sachfrage

Ich finde es unerträglich, wie hier eine Sachfrage erst durch populistische Sprüche der Politik verzerrt und dann mit dem moralinhaltigen Schleim des Ethikrats übergossen wird, bis die Kernfrage nicht mehr zu erkennen ist.

Kann man nicht einmal ein paar Experten, die sich mit Datensicherheit wirklich auskennen, darüber diskutieren lassen, wie man eine ePA realisieren kann und wie man Informationen daraus für ausgewählte wissenschaftliche Projekte zur Verfügung stellen könnte? Also nicht als Automatismus für jeden wirtschaftlich Interessierten, sondern als Ausnahme für die Forschung?

Soweit zu meinem naiven Traum von einer besseren Welt. Denn Frau Thun sieht das so:

Wir haben mehr Datenschützer und Juristen in Deutschland, die sich über die ePA unterhalten als Ärzte [...] vielleicht sollten wir das mal umdrehen und über den Nutzen reden.

OMFG!

Update 30.03.2023: Ergänzung durch Absätze über den Deutschen Ethikrat und das Thema „Joint Controller Agreement“.

Update 17.09.2023: Dieses Video zeigt sehr schön, wer alles an der Digitalisierung des Gesundheitswesens verdient und wie die Mitspieler vernetzt sind. Das ist sehr sehenswert.

__________

* Ich schreibe hier „angeblich“, weil der Prozess so laufen wird, dass interessierte Parteien einen Antrag auf Nutzung der Daten stellen werden und dabei ein wissenschaftliches Interesse als Begründung angeben werden.

** Nun gut: Für eine Karriere als Gesundheitsministerin hätte sie geradezu ideale Voraussetzungen.

*** Eine detaillierte Darstellung der Problematik findet sich hier.

Kommentare

Kein Kommentar zu diesem Beitrag