Durch den Europäischen Gesundheitsdatenraum soll eine Nutzung elektronischer Gesundheitsdaten zu Behandlungszwecken (Primärnutzung) europaweit ermöglicht und vereinheitlicht werden. Dazu soll auf Informationen in den Systemen der Mitgliedstaaten gegenseitig zugegriffen werden können. Außerdem sieht der Verordnungsentwurf Regelungen zu diversen sekundären Nutzungszwecken vor, unter anderem zum Training künstlicher Intelligenz, für Zwecke der Forschung oder auch zu reinen Bildungszwecken.
Die Datenschutzkonferenz kritisiert vor allem, dass der vorliegende Regelungsentwurf das Grundrecht auf Datenschutz bzw. das Recht auf informationelle Selbstbestimmung noch nicht mit den diversen Nutzungsinteressen in einen angemessenen Ausgleich bringt. Sie fordert insbesondere Verbesserungen in Bezug auf die Betroffenenrechte, die Rechtsklarheit und Regelungen zu technischen und organisatorischen Maßnahmen.
Patientinnen und Patienten haben ein Recht auf sichere und vertrauliche Verarbeitung ihrer Gesundheitsdaten. Die betroffenen Personen müssen ihre elektronischen Gesundheitsdaten im Europäischen Gesundheitsdatenraum kontrollieren können. Besonders bei der vorgesehenen Sekundärnutzung von elektronischen Gesundheitsdaten kritisiert die Datenschutzkonferenz, dass nicht erkennbar ist, ob und wenn ja, inwieweit den betroffenen Personen überhaupt Rechte eingeräumt werden. Die Datenschutzkonferenz fordert zudem die Streichung der vorgesehenen Regelung zur Bereitstellung von persönlichen Genomdaten, da dies in den intimsten Bereich der betroffenen Personen und ihrer Angehörigen eingreift. Auch die technische Umsetzung zur Gewährleistung eines hohen Sicherheitsniveaus muss aus Sicht der Datenschutzkonferenz erheblich besser geregelt werden.
Dr. h. c. Marit Hansen, die Vorsitzende der Datenschutzkonferenz im Jahr 2023, stellt die Bedeutung einer vertrauenswürdigen und rechtsklaren Regelung als rechtliches Fundament für den Europäischen Gesundheitsdatenraum heraus: „Es geht hier um Gesundheitsdaten, die besonders sensibel sind und einen hohen Schutzbedarf aufweisen.
Missbrauch oder Datenpannen können drastische Auswirkungen für die betroffenen Personen haben.“
Die Datenschutzkonferenz fordert geeignete Garantien durch die Anwendung von Methoden im Sinne von Datenschutz „by Design“ und „by Default“ – auch mit Verfahren der Anonymisierung, der Pseudonymisierung oder der Verschlüsselung. Je sensibler persönliche Daten sind, desto strenger müssen auch die Anforderungen an deren Verarbeitung sein. Für die nötige Transparenz sind präzise und leicht verständliche Informationen über die Verarbeitungen bereitzustellen.
Hansen macht deutlich: „Das gesamte System des Gesundheitsdatenraums muss vertrauenswürdig sein. Das kann nur erreicht werden, wenn die Datenschutz-Standards nicht unterlaufen werden, die sich aus der Datenschutz-Grundverordnung und der Europäischen Grundrechtecharta ergeben.“
Die Stellungnahme der Datenschutzkonferenz zum Entwurf der Verordnung für den Europäischen Gesundheitsdatenraum vom 27.03.2023 ist veröffentlicht unter:
https://datenschutzkonferenz-online.de/…
Die Stellungnahme des Europäischen Datenschutzausschusses „EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space“ ist abrufbar unter:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98
24171 Kiel
Telefon: +49 (431) 98812-00
Telefax: +49 (431) 98812-23
http://www.Datenschutzzentrum.de
Telefon: +49 (431) 988-1289
E-Mail: dsk2023@datenschutzzentrum.de
