NJW: Israel hat aus der Impfkampagne gegen Covid-19 viel schneller und erfolgreicher Ergebnisse ableiten können – nicht zuletzt wegen eines Deals zur Datennutzung. Wäre das auch in Deutschland denkbar?
Dierks: Denkbar ja, aber praktisch haben wir das nicht erreicht. Dabei wäre dies unter Nutzung der Verordnungsermächtigung des Bundesgesundheitsministeriums möglich gewesen. Nur ist Politik eben auch die Kunst des Machbaren, und wir haben das Bundesdatenschutzgesetz, 16 Landesdatenschutzgesetze, 13 Landeskrankenhausgesetze, 17 Landesdatenschutzbehörden und einen Bundesdatenschutzbeauftragten. Hinzu kommen für die Krankenhäuser in gemeinnütziger Trägerschaft die Datenschutzbeauftragten der vier evangelischen Landeskirchen, die Diözesan-Datenschutzbeauftragten der katholischen Träger sowie die Ethikkommissionen der Länder, der 17 Landesärztekammern und der Universitätskliniken. Wir erlauben uns in Deutschland rund 100 Behörden und Gremien zur Interpretation der mehr als 50 regulatorischen Rahmenwerke für Gesundheitsdaten, die in ihrer Qualität sehr unterschiedlich sind. Dieses undurchdringliche Dickicht sollte schnellstmöglich gelichtet werden.
NJW: Wo liegen die entscheidenden Defizite?
Dierks: Die Themen lassen sich in drei große Handlungsfelder zusammenfassen: Anforderungen an die Weiterentwicklung des regulatorischen Rahmens, der Interoperabilität und der Datennutzung.
NJW: Wo hakt es bei der Regulierung?
Dierks: Die unterschiedlichen rechtlichen Vorgaben der Europäischen Union, des Bundes und der Länder müssen in Gleichklang gebracht werden – der föderale Flickenteppich muss ein Ende finden. Konzentration der Zuständigkeiten und Angleichung der Rechtsnormen, auch im europäischen Kontext, sind zentrale Aufgaben für diese Legislaturperiode. Wir haben mit Unterstützung einiger Unternehmen einen Code of Conduct entwickelt, der dazu beitragen soll, dass unbestimmte Rechtsbegriffe einheitlich ausgelegt und das geltende Recht übereinstimmender angewendet werden kann.
NJW: Wie lässt sich der Datenfluss zwischen Praxis und Forschung rechtssicher herstellen?
Dierks: Die bislang apodiktische Trennung zwischen Versorgungsdatenverarbeitung und Forschungsdatenverarbeitung muss aufgehoben werden. Nicht nur sollten die Sektoren in der Versorgung (also ambulant, stationär, Pflege u.a.) verbunden werden, es bedarf auch der Herstellung eines Kontinuums zwischen Versorgung und Forschung. Das gilt in beide Richtungen: Daten aus der Versorgung müssen der Forschung zugänglich sein, und deren Ergebnisse müssen aber auch zeitnah in die Versorgung übermittelt werden, um den Stand der Erkenntnisse unmittelbar am Patienten umsetzen zu können. Dieses Datenkontinuum ist gleichermaßen erforderlich für das Monitoring einer Therapie mit Arzneimitteln, Medizinprodukten, In-Vitro-Diagnostika und digitalen Gesundheitsanwendungen. Nicht nur die Anwender, auch die Entwickler und Hersteller neuer Methoden müssen so in die Lage versetzt werden, aus den realen Versorgungsdaten evidenzbasierte Erkenntnisse für die Weiterentwicklung ihrer Produkte und Dienstleistungen zu generieren.
NJW: Dürfen denn die erhobenen Werte nach datenschutzrechtlichen Regeln überhaupt verarbeitet werden?
Dierks: Das Minimalprinzip der Datenverarbeitung hat ausgedient: Um mit den bereits vorhandenen und den noch zu erhebenden Daten wirklich einen Nutzen generieren zu können, sollte für die medizinische Versorgung und Forschung die gesellschaftliche und rechtliche Grundeinstellung die einer umfassenden Datenerhebung sein. Mit einer solchen default position kann es nicht mehr nur um ein Opt-in gehen, sondern es muss ein Opt-out werden. Die elektronische Patientenakte sollte Bestandteil dieser Neuorientierung werden; wer sich damit nicht identifizieren mag, soll das ablehnen dürfen. Für Verarbeitungen ohne Opt-out müssen standardisierte Freigabeverfahren eingesetzt werden. Diese Datenerhebung und -verarbeitung wird zum Bestandteil eines Generationenvertrags, mit dem wir die Grundlagen für spätere Erkenntnisse schaffen, von denen wir heute noch nicht wissen können, welche es einmal sein werden. Die Beteiligung der Bürger an diesen Vorhaben setzt entsprechende Kompetenz voraus, so dass auch die Schaffung der Möglichkeiten zum Kompetenzerwerb eine wichtige zukünftige Aufgabe der Politik ist.
NJW: Gesundheitsschutz steht also künftig über dem Datenschutz?
Dierks: Ich will das mal so formulieren: Zur Qualifikation der Aufsichtsbehörden sollte auch das Verständnis gehören, dass nicht der Schutz der Daten an und für sich, sondern auch der Schutz der Forschung eine wichtige Funktion ist.
NJW: Die Forschung ist international vernetzt. Werden Daten aus Deutschland in anderen Ländern genutzt?
Dierks: Sie werden ja noch nicht mal in Deutschland ausreichend genutzt! Wir machen es uns selbst zu schwer. Unsere Algorithmen werden auf ausländischen Daten trainiert, weil betriebliche und behördliche Datenschutzbeauftragte in Deutschland Bedenken haben. Deutschland müsste eine viel stärkere Rolle bei der Bildung eines EU-Data-Space für die Nutzung von Gesundheitsdaten spielen. Unternehmen aus Drittstaaten außerhalb des EWR können sich an diesen Vorhaben beteiligen, wenn sie die von der EU vorgegebenen Spielregeln einhalten.
NJW: Wie kann bei so weitreichenden Nutzungen ein Missbrauch verhindert werden?
Dierks: Es reicht nicht aus, Daten zu erheben und wegzusperren – sie müssen auch genutzt werden. Ein Datennutzungsgesetz sollte daher die Voraussetzungen einer sicheren Nutzung insbesondere auch durch Unternehmen der privaten Wirtschaft schaffen. Es darf nicht sein, dass eine Datennutzung aufgrund bestehender Risiken unterbleibt. Die Rechtsordnung hat ausreichend Erfahrung darin, sinnvolle, aber risikobehaftete Aktivitäten durch einen Kontrollrahmen in praktischer Konkordanz widerstreitender Interessen zu ermöglichen: Man denke nur an den Straßenverkehr. Zu dieser Sicherung muss auch die Strafbarkeit unzulässiger Identifikationsversuche gehören. In der Zielstruktur sollte die Nutzung pseudonymer Daten unter Wahrung bestmöglicher Sicherheit enthalten sein. Auch sollte die rückwirkende Beforschung eines Therapieeinsatzes außerhalb zugelassener Anwendungsgebiete, der sogenannte off label use, vereinfacht werden.
NJW: Agiert der Gesetzgeber zu stark risikoorientiert?
Dierks: Der Einsatz künstlicher Intelligenz in der Forschung mit Gesundheitsdaten sowie in der individuellen Diagnostik und Therapieentscheidung birgt große Potenziale. Vorsicht ist daher geboten, wenn der europäische und der nationale Gesetzgeber diese Möglichkeiten allzu stark einschränken und damit nicht nur die Risiken, sondern auch die Erfolgschancen dieses Forschungsbereichs und dieser Technologien minimieren.
NJW: Wo sehen Sie aktuell die wichtigsten Stellschrauben für ein deutsches „Gesundheitswesen 3.0“?
Dierks: Wir stehen vor der Herausforderung, den Datenschutz zwar zu bewahren, aber auf ein forschungsfreundliches Maß einzugrenzen; ferner den Rechtsrahmen zu arrondieren, Interoperabilität herzustellen und vor allem nun auch die Datennutzung zu ermöglichen. Nur dadurch können wir die Werte schaffen, die in den Daten liegen. Nur dadurch werden wir im internationalen Wettbewerb bestehen und die Kontrolle über die in unseren Systemen generierten Daten und ihre Verarbeitung behalten. Und nur dadurch können wir das eigentliche und prioritäre Ziel der digitalen Transformation erreichen – die Qualität der Versorgung zu verbessern. Es ist an der Zeit, die Weichen für eine Datennutzung zu stellen. Worauf warten wir noch?
Prof. Dr. med. Dr. iur. Christian Dierks ist Fachanwalt für Sozialrecht und Medizinrecht, Facharzt für Allgemeinmedizin und Professor für Gesundheitssystemforschung an der Charité Berlin. Er ist Präsident der Deutschen Gesellschaft für Medizinrecht und Mitglied des Rechtsausschusses des Bundesverbands der Pharmazeutischen Industrie.
Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.