11.12.2023
Aktuelle Entwicklungen im digitalen Gesundheitswesen: Rechtliche Herausforderungen und News aus dem eHealth-Sektor
Die Digitalisierung des Gesundheitswesens hat seit den letzten Jahren einen enormen Einfluss auf die Art und Weise, wie medizinische Dienstleistungen genutzt und in Anspruch genommen werden. Von telemedizinischen Konsultationen über Gesundheits-Apps bis hin zu Wearables, die Vitaldaten messen – das digitale Gesundheitswesen, auch bekannt als eHealth, bietet neue und aufregende Möglichkeiten, die Gesundheit zu überwachen.
Inhalt
- Hat dies Auswirkungen auf die Praxis?
- Cloudbasierte Gesundheitsanwendungen müssen auch ohne Cloudfunktionen nutzbar sein
- Keine Reichweitenanalyse oder Fehlerverfolgung
- TOM und IT-Sicherheit
- Zusammenfassung
- Gesundheitsdatennutzungsgesetz (GDNG)
- Digital-Gesetz (DigiG)
- Worüber hat das Gericht entschieden?
- Wogegen richtete sich die Klage?
- Wie hat das Gericht entschieden?
- Welche Folgen hat die Entscheidung für die Praxis?
Die Digitalisierung des Gesundheitswesens hat seit den letzten Jahren einen enormen Einfluss auf die Art und Weise, wie medizinische Dienstleistungen genutzt und in Anspruch genommen werden. Von telemedizinischen Konsultationen über Gesundheits-Apps bis hin zu Wearables, die Vitaldaten messen – das digitale Gesundheitswesen, auch bekannt als eHealth, bietet neue und aufregende Möglichkeiten, die Gesundheit zu überwachen und zu verbessern. Angesichts des rasanten technologischen Fortschritts und der ständig wachsenden Menge an verfügbaren Daten ist es für Unternehmen aus der Gesundheitsbranche unerlässlich, aktuelle Entwicklungen und Trends zu verfolgen.
Wie jede technologische Entwicklung bringt auch das digitale Gesundheitswesen rechtliche Herausforderungen mit sich. Unternehmen in diesem Bereich sind mit einer Vielzahl von Fragen und Anforderungen in Bezug auf Datenschutz, Haftung, Regulierung und Compliance konfrontiert. Die rasante Entwicklung neuer Technologien erfordert eine ständige Anpassung der rechtlichen Rahmenbedingungen, um den Schutz von Patient:innendaten und die Sicherheit digitaler Gesundheitsanwendungen zu gewährleisten.
An dieser Stelle werden die neuesten Entwicklungen und aktuelle Nachrichten aus dem Bereich des digitalen Gesundheitswesens präsentiert – beispielsweise Updates zu relevanten Gesetzen, Entwürfen oder Entscheidungen, die das digitale Gesundheitswesen betreffen. Der jeweils neueste Beitrag steht dabei an oberster Stelle.
Nächste Health & Law Veranstaltung
Health & Law Netzwerk Digital-Event
GDNG konkret: Anonymisierung, Rollenkonzept, Folgenabschätzung
Mehr zu dem Event und AnmeldungInformieren Sie sich hier für alle News und Updates im Gesundheitswesen
Der Senat hat am 28. November 2023 das Vierte Gesetz zur Änderung des Landeskrankenhausgesetzes beschlossen. Die Änderung besteht darin, dass die Anzeigepflicht vor der Auftrags- bzw. Unterauftragsdatenverarbeitung bei der für Gesundheit zuständigen Senatsverwaltung weggefallen ist. Der Senat sagt, dass die Anzeigepflicht in der Praxis nicht funktioniert hat. Es hat sich gezeigt, dass die Anzeigepflicht keine wichtigen Erkenntnisse gebracht hat und für Krankenhäuser und die Senatsverwaltung einen unwesentlichen bürokratischen Aufwand darstellt. Deshalb soll § 24 Absatz 7 Satz 2 Nummer 3 LKG ersatzlos gestrichen werden. Diese Vorlage wird nun dem Abgeordnetenhaus von Berlin zugeleitet.
Hat dies Auswirkungen auf die Praxis?
Kommt die Änderung, wird die Anzeigepflicht für die Datenverarbeitung im Auftrag oder Unterauftrag für Krankenhäuser in Berlin vollständig entfallen. Es wird eine Entlastung der Krankenhäuser und eine Reduzierung der Bürokratie angestrebt.
Wenn Sie Hilfe bei der Gestaltung Ihrer Auftragsverarbeitung benötigen, stehen wir gerne zur Verfügung. Vertrauen Sie auf unsere Expertise.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) hat am 6. November 2023 ein Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen veröffentlicht. Das Positionspapier erinnert an die rechtlichen Anforderungen, die digitale Gesundheitsanwendungen im Sinne von § 33a SGB V (sogenannte DiGA) erfüllen müssen, und konkretisiert allgemeine Grundsätze für Anbieter und Hersteller sonstiger Gesundheitsanwendungen. Das Papier enthält zwar nur wenig Neues. Manche Aussagen dürften Anbieter und Hersteller von Gesundheitsanwendungen aber überraschen. Wir ordnen die Veröffentlichung der Aufsichtsbehörden ein:
Cloudbasierte Gesundheitsanwendungen müssen auch ohne Cloudfunktionen nutzbar sein
Für Anbieter und Hersteller von cloudbasierten Gesundheitsanwendungen dürften vor allem die Ausführungen zur Nutzung von Cloudfunktionen entscheidend sein. Die DSK fordert nämlich, dass die Nutzung einer cloudbasierten Gesundheitsanwendung auch ohne den Einsatz von Cloudfunktionen oder die Verknüpfung mit einem Benutzerkonto möglich sein muss. Eine Ausnahme von dieser Regel soll dann nur gelten, wenn die Cloudfunktion für die „Erreichung des therapeutischen Nutzens“ unbedingt erforderlich ist und von der betroffenen Person gewünscht wird. Anbieter sollen daher Auswahlmöglichkeiten für Nutzer schaffen. Machen sie davon Gebrauch, sollen ihre Daten allenfalls lokal gespeichert werden dürfen. Die DSK fordert also letztlich die Gesundheitsanwendung zwei Mal anzubieten: einmal mit Cloudfunktion und einmal lokal.
Keine Reichweitenanalyse oder Fehlerverfolgung
An verschiedenen Stellen geht die DSK auf die zulässige Nutzung personenbezogener Daten ein. Nach Auffassung der Behörden ist die Auswertung personenbezogener Daten zur Qualitätssicherung dort zu rechtfertigen, wo eine solche Sicherung vorgeschrieben ist – zum Beispiel bei Medizinprodukten. In anderen Fällen sei eine Auswertung des Nutzerverhaltens nicht zu rechtfertigen. Insbesondere Reichweitenanalyse oder Fehlerverfolgung sei, so die DSK, nicht mit dem Zweck einer Gesundheitsanwendung vereinbar. Damit wird nicht nur die Verbesserung des Nutzerangebots unnötig erschwert, sondern auch die Möglichkeit beschnitten, Fehler schnell zu erkennen und effektiv zu beheben.
TOM und IT-Sicherheit
Darüber hinaus enthält das Positionspapier eine exemplarische Liste technischer und organisatorischer Maßnahmen (TOM). So sollen Anbieter und Hersteller unter anderem Gebrauch von der Multi-Faktor-Authentifizierung machen, bei der Zugriffskontrolle eine „least privilege policy“ etablieren und regelmäßig IT-Sicherheits– und Penetrationstests durchführen. Empfohlen wird außerdem, sich bei Herstellung von Anwendungen, die besondere Kategorien personenbezogener Daten verarbeiten, an der Technischen Richtlinie (TR) 03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu orientieren. Sie enthält Vorgaben sowohl für mobile als auch für Web-Anwendungen und Hintergrundsysteme – beispielsweise für die Vertraulichkeit, Integrität und Verfügbarkeit informationstechnischer Systeme. Hersteller können sich außerdem freiwillig einem Prüfverfahren unterwerfen, in dem die rechtskonforme Umsetzung ihrer Authentifikationssysteme kontrolliert wird.
Zusammenfassung
Das DSK-Papier erinnert an verschiedenen Stellen an die Einhaltung datenschutzrechtlicher Verpflichtungen. So wird beispielsweise darauf hingewiesen, dass Verantwortliche, die digitale Gesundheitsanwendungen anbieten, in aller Regel Datenschutz-Folgenabschätzungen durchführen müssen. Wollen sie personenbezogene Daten anonymisiert nutzen, sollen sie dokumentieren, dass und wie der Personenbezug tatsächlich entfernt wird. Darüber hinaus erlegt das Positionspapier vor allem Anbietern und Herstellern von cloudbasierten Gesundheitsanwendungen weitere Pflichten auf. Insbesondere der Verzicht auf Nutzerkonten, Cloudfunktionen und Analysetools werden sowohl die Herstellung als auch die laufende Verbesserung von Gesundheitsanwendungen nachhaltig erschweren.
Die Entscheidung dürfte den Arbeitsalltag in Arztpraxen verändern. Am 26. Oktober 2023 entschied der Gerichtshof der Europäischen Union (EuGH), dass Patient:innen grundsätzlich das Recht haben, eine kostenlose Kopie ihrer Patientenakte zu verlangen. Nun muss der Bundesgerichtshof (BGH) entscheiden, ob die in Deutschland geltende Kostentragungspflicht bestehen bleibt.
Einsicht, Auskunft und Kopie: Im Jahr 2013 beschloss der Deutsche Bundestag das Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten. Mit dem Gesetz wurde das Recht zur Einsichtnahme in die Patientenakte im Bürgerlichen Gesetzbuch (BGB) verankert. Seitdem sind Behandler:innen gesetzlich verpflichtet, eine Patientenakte anzulegen, und zwar in unmittelbarem zeitlichen Zusammenhang mit der Behandlung, § 630f BGB. Außerdem gewährt § 630g BGB Patient:innen das Recht, auf Anfrage Einsicht in diese Akte zu erhalten. Fordern sie elektronische Kopien an, müssen sie die Kosten tragen, § 630g Abs. 2 S. 2 BGB.
Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) steht diese letzte Bestimmung in einer gewissen Spannung zum Europarecht. Denn nach Art. 15 Abs. 1 und 3 DSGVO kann eine betroffene Person regelmäßig eine Kopie der personenbezogenen Daten verlangen, die Gegenstand einer Verarbeitung sind. Die verantwortliche Stelle muss die Kopie nach Art. 12 Abs. 5 S. 1 DSGVO unentgeltlich zur Verfügung stellen. Unklarheit herrschte nun vor allem bei der Frage, wie sich § 630g BGB zu Art. 12 und 15 DSGVO verhält, konkret: ob eine Patientenakte, in der personenbezogenen Daten verarbeitet werden, nach Art. 15 DSGVO herausgegeben ist, und wer in diesem Fall die Kosten für die Anfertigung der Kopie zu tragen hat.
Der Gang des Verfahrens: Hintergrund der nun ergangenen Entscheidung war der Streit, den ein deutscher Patient mit seiner Zahnärztin führte. Der Patient hatte vermutet, dass der Zahnärztin bei der Behandlung Fehler unterlaufen seien. Er forderte also eine Kopie seiner Patientenakte an, um mögliche Ansprüche zu prüfen. Die so belangte Zahnärztin wollte dem Patienten die Akte allerdings nur gegen Zahlung der Kopierkosten zur Verfügung stellen. Hiergegen klagte der Patient erfolgreich. Er gewann sowohl erstinstanzlich als auch in der Berufungsinstanz. Schließlich legte der mit der Revision befasste BGH den Fall dem EuGH vor. Der BGH wollte vom EuGH insbesondere wissen,
1. ob ein:e Behandler:in auch dann verpflichtet sei, Patient:innen eine kostenlose Kopie der personenbezogenen Daten zur Verfügung zu stellen, wenn die Anfrage an sich legitim ist, aber datenschutzfremde Zwecke verfolgt?
2. ob nationale Regelung Patient:innen die Kosten für eine Kopie der Patientenakte immer und unabhängig von den Umständen des Einzelfalls auferlegen können?
3. ob vom datenschutzrechtlichen Auskunftsanspruch alle Teile der Patientenakte umfasst sind?
Betroffene:r muss Anfrage nicht begründen, verantwortliche Stelle trägt die Kosten: Im Urteil vom 26. Oktober 2023 (Rs. C 307/22) stellte der EuGH zunächst klar, dass der Anspruch auf Auskunft nicht von Motiven abhänge. Auch wenn ein:e Betroffene:r datenschutzfremde Absichten verfolge, dürfe die Auskunft nicht verweigert werden. Die betroffene Person müsse nach dem eindeutigen Wortlaut des Art. 15 DSGVO keine Begründung für die Anforderung von Auskunft und Kopie angeben. Daher könne die verarbeitende Stelle die Auskunft nicht mit dem Argument verweigern, die Anfrage verfolge datenschutzfremde Motive. Mit seiner Antwort klärt der EuGH eine kontrovers diskutierte Frage, die insbesondere im Zusammenhang mit arbeitsrechtlichen Streitigkeiten immer wieder relevant ist. Nicht beantwortet wurde jedoch die Frage, ob das Auskunftsrecht auch bei rechtsmissbräuchlichen Anfragen weiter besteht.
Anschließend wandte der EuGH sich der zweiten Vorlagefrage zu. Eine systematische Auslegung von Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO ergebe, dass es unzulässig sei, der betroffenen Person die Kosten für eine Kopie aufzuerlegen, wenn die entsprechende Regelung allein die wirtschaftlichen Interessen des Verantwortlichen schütze. Zwar seien in gewissem Umfang Beschränkungen des datenschutzrechtlichen Auskunftsanspruchs zulässig. Diese Beschränkungen seien aber nur dann gerechtfertigt, wenn sie dem Schutz von Rechten und Freiheiten Dritter dienten.
Schließlich entschied der EuGH, dass der Patient eine vollständige Kopie aller Dokumente in seiner Patientenakte verlangen dürfe. Die Kopie müsse also mitunter Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzt:innen und Angaben zuvorgenommenen Behandlungen oder Eingriffen enthalten.
Wie geht es nun weiter? Auch nach der Entscheidung des EuGH bleibt es weiter spannend. Abzuwarten bleibt insbesondere, wie der deutsche Gesetzgeber auf das Urteil reagiert und ob er die Regelung in § 630g BGB konkretisiert. Um die Kostentragungspflicht für die erste Kopie der Patientenakte weiterhin Patient:innen aufzuerlegen, müsste aus der Regelung klar hervorgehen, dass es dabei nicht nur um den Schutz wirtschaftlicher Interessen der Behandler:innen geht.
Nun ist der BGH am Zug. Er muss den weiter anhängigen Rechtstreit zwischen dem klagenden Patienten und der behandelnden Zahnärztin entscheiden. Nach der Klarstellung durch den EuGH ist allerdings eine Entscheidung zugunsten des Klägers wahrscheinlich. Arztpraxen, Krankenhäuser und medizinische Versorgungszentren müssen sich daher darauf einstellen, dass Patient:innen in Zukunft auf eine unentgeltliche Kopie der Patientenakte bestehen.
Das Bundesministerium für Gesundheit (BMG) hat Mitte Juni 2023 zwei neue Referentenentwürfe von Gesetzen veröffentlicht: den Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) sowie den Entwurf eines Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG). Beide Entwürfe sind als Reaktion auf das vieldiskutierte, ambitionierte Vorhaben auf europäischer Ebene zu werten: den European Health Data Space (EHDS). Das GDNG könnte allerdings schon deutlich früher, am 1. Januar 2024, in Kraft treten.
Gesundheitsdatennutzungsgesetz (GDNG)
Das GDNG soll, dem Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS-VO) entsprechend, in erster Linie dazu dienen, die Nutzung von Daten zu Forschungs- und Innovationszwecken zu vereinfachen. Hierzu soll eine Datenzugangs- und Koordinierungsstelle die Zusammenarbeit von Datenhaltern und -nutzern auf nationaler Ebene koordinieren und Anträge auf Zugang zu Gesundheitsdaten bearbeiten. Sie soll an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angegliedert werden, allerdings von diesem technisch und organisatorisch unabhängig arbeiten. Die Stelle entspricht damit in etwa der Zugangsstelle, die auch im Rahmen des EHDS für die Sekundärnutzung elektronischer Gesundheitsdaten in den einzelnen Mitgliedsstaaten vorgesehen ist. Die koordinierte Datenfreigabe über die Zugangsstelle soll dazu dienen, die aktuell noch hohen bürokratischen Hürden abzubauen, die Forschenden und anderen Datennutzungswilligen aktuell im Weg stehen.
Das bereits geschaffene Forschungsdatenzentrum soll künftig sein volles Potential entfalten und die dort gespeicherten Abrechnungsdaten der gesetzlichen Krankenkassen nutzbar machen. Geplant ist hier vor allem die Verknüpfung der Daten des Forschungsdatenzentrums und der klinischen Krebsregister. Um diese Verknüpfung datenschutzkonform zu realisieren, sollen anlassbezogen erstellte Forschungskennziffern zum Einsatz kommen. Rechtsverordnungen sollen die Einführung dieser Kennziffern noch weiter konkretisieren. Daneben sieht das GDNG vor, die Daten aus der elektronischen Patientenakte (ePA) für die Forschung bereit zu stellen. Zudem sollen die gesetzlichen Kranken- und Pflegekassen in die Lage versetzt werden, ihre eigenen Daten für die Verbesserung der Versorgung fruchtbar zu machen. „Zum individuellen Gesundheitsschutz“ sollen die Kassen datengestützte Auswertungen durchführen dürfen. Die Versicherten sollen ferner, wenn den Kassen eine konkrete Gefahr für ihre Gesundheit bekannt ist, im Zweifel auch direkt adressiert werden dürfen.
Schließlich soll der Gesundheitsdatenschutz gestärkt werden. So soll Forschenden ein Zeugnisverweigerungsrecht zustehen. Außerdem soll ein Beschlagnahmeverbot für Gesundheitsdaten eingeführt werden. Um die unzulässige Preisgabe von Gesundheitsdaten strafrechtlich verfolgen und sanktionieren zu können, soll es ein Forschungsgeheimnis geben. Der Bundesdatenschutzbeauftragte (BfDI) soll schließlich mit einem deutlich größeren Aufgabenspektrum betraut werden als bisher. Nicht nur wird ihm nach dem GDNG die Aufsicht über diverse Akteure des Gesundheitswesens zugewiesen (darunter die Kassenärztliche Bundesvereinigung (KBV), der GKV-Spitzenverband und das Zentralinstitut für die kassenärztliche Versorgung (Zi). Auch klinische Prüfungen soll der BfDI zukünftig datenschutzrechtlich beaufsichtigen.
Digital-Gesetz (DigiG)
Das DigiG ist ein reines Artikelgesetz, mit welchem vor allem das SGB V geändert wird, und soll da ansetzen, wo die Digitalisierung des Gesundheitswesens derzeit stockt. So soll das DigiG vor allem die elektronische Patientenakte (ePA) stärken, das E-Rezept besser nutzbar machen, den Ausbau der Digitalen Gesundheitsanwendungen (DiGA) vorantreiben, Telemedizin fördern und schließlich die Interoperabilität informationstechnischer Gesundheitssysteme und die Cybersicherheit verbessern.
Um die großen Hürden bei der Nutzung der ePA zu beseitigen und eine weite Verbreitung zu erreichen, soll die ePA als Widerspruchslösung (Opt-out-Lösung) ausgestaltet werden. Außerdem soll die Befüllung sowie der Zugriff auf die in der ePA gespeicherten Daten grundlegend vereinfacht werden. Ziel ist die vollumfängliche, weitestgehend automatisiert laufende Befüllung der ePA mit strukturierten Daten, während den Versicherten ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten eingeräumt wird. Man erhofft sich hiermit, die ePA flächendeckend in die Versorgung zu integrieren. Mittels der ePA-App soll künftig auch die E-Rezept-App nutzbar sein. Über Letztere sollen Versicherte künftig auch digitale Identitäten, NFC-fähige elektronische Gesundheitskarten (eGK) sowie dazugehörige PINs beantragen können. Die Zusammenlegung dieser Online-Anwendungen soll ihre Nutzung praxisnäher gestalten und sie so attraktiver und zugänglicher machen.
Weiter sieht das DigiG vor, den Leistungsanspruch Versicherter auf Medizinprodukte höherer Risikoklassen auszuweiten. DiGAs wären danach auch als Medizinprodukte der Risikoklasse IIb möglich. Außerdem soll Telemedizin ein fester Bestandteil der Gesundheitsversorgung werden. Videosprechstunden sollen noch breiter eingesetzt und leichter genutzt werden können. Zusätzlich soll Versicherten ein neuer Leistungsanspruch auf „assistierte Telemedizin in Apotheken“ zustehen. Um der Heterogenität der Informationssysteme im deutschen Gesundheitssystem entgegenzuwirken, sollen verbindliche Standards definiert werden. Hierdurch soll der Informationsaustausch im Gesundheitswesen verbessert, die Datenverfügbarkeit erhöht und insgesamt die Behandlungsqualität deutlich verbessert werden.
Schließlich will die Bundesregierung auch im Bereich der Cybersicherheit mit dem DigiG aktiv werden. Den Risiken des Cloud Computing will man mit der Einführung des § 390 SGB V begegnen. Die Norm verlangt die Einhaltung des „Kriterienkatalog Cloud Computing C5“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Die vorliegenden Gesetzesentwürfe sind vielversprechend. Das Gesundheitsdatennutzungsgesetz (GDNG) könnte den Forschungsstandort Deutschland nachhaltig stärken. Das Digital-Gesetz (DigiG) hat das Potential, der notwendigen Digitalisierung des Gesundheitswesens den lang ersehnten Schub zu verleihen. Gleichzeitig hat die Bundesregierung aber die Absicht geäußert, in Abstimmung auf EU-Ebene, den EHDS betreffend, vorgehen zu wollen. In jedem Fall bringen beide Gesetze für die Gesundheitsbranche neue Herausforderungen, zahlreiche Fragen und Unsicherheiten mit sich. Vertrauen Sie auf unsere Expertise. Gemeinsam finden wir Lösungen und beantworten Ihre Fragen.
Auch nach einer mehrstufigen Pseudonymisierung und Löschung der korrespondierenden Klardaten kann es sich weiter um personenbezogene Daten handeln, die nach Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) zu beauskunften sind. So entschied das Verwaltungsgericht (VG) Hamburg mit Urteil vom 28.07.2022 (Az. 21 K 1802/21). Die Entscheidung ist von hoher Praxisrelevanz. Sie betrifft vor allem Forschungseinrichtungen und Unternehmen, die Gesundheitsdaten verarbeiten, sich aber darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Besonders lesenswert sind die Ausführungen des VG zur Abgrenzung von Anonymisierung und Pseudonymisierung im Gesundheitsbereich und zur Reichweite der Betroffenenrechte.
Worüber hat das Gericht entschieden?
Die nachmalige Klägerin war im Jahr 2019 an Brustkrebs erkrankt und hatte sich in medizinische Behandlung begeben. Im Rahmen dieser Behandlung wurden diverse Daten der Klägerin verarbeitet, die zum Teil Personenbezug aufwiesen: der Name und die Anschrift der Klägerin, die vergebenen Diagnosen oder die durchgeführten Operationen zum Beispiel. Diese Daten wurden von den behandelnden Ärzt:innen an das Hamburgische Krebsregister (HKR) übermittelt. In diesem epidemiologischen und klinischen Register werden Krebserkrankungen und die damit verbundenen Daten erfasst, um die Prävention und die onkologische Versorgung zu verbessern. Die Übermittlung dieser Daten ist an sich nichts Ungewöhnliches. Gemäß § 2 Abs. 1 des Hamburgischen Krebsregistergesetzes (HmbKrebsRG) sind Ärzt:innen sogar dazu verpflichtet, das Entstehen, das Auftreten, die Behandlung und den Verlauf bösartiger Neubildungen einschließlich ihrer Frühstadien sowie von gutartigen Tumoren an das HKR zu übermitteln.
Für die Verarbeitung personenbezogener Gesundheitsdaten hat das HKR bestimmte technische und organisatorische Sicherheitsvorkehrungen getroffen. Daten, die einen unmittelbaren Rückschluss auf die erkrankte Person erlauben (personenidentifizierende Klartextdaten) und die als Gesundheitsdaten im Sinne von Art. 9 Abs. 2 DSGVO besonders schützenswert sind, erhalten zunächst einen pseudonymen Kontrollnummernsatz und werden dann noch einmal verschlüsselt. So können neue Daten mit schon vorhandenen abgeglichen und dem bisherigen Kontrollnummernsatz hinzugefügt werden, ohne auf Klartextdaten zurückzugreifen – ausreichend ist der Abgleich mit den verschlüsselten Kontrollnummern. Um den Zugriff auf Klartextdaten weiter zu beschränken, ist das HKR außerdem in einen Registerbereich und einen Vertrauensbereich unterteilt. Nur die Mitarbeitenden des Vertrauensbereichs haben Zugriff auf die personenidentifizierbaren Klartextdaten. Mitarbeitende im Registerbereich können dagegen nur den verschlüsselten Kontrollnummernsatz einsehen.
Anfang 2020 wurde die Klägerin von der Universität zu Lübeck angeschrieben und gefragt, ob sie bereit sei, an einer Studie zur Versorgung von Krebspatienten teilzunehmen. Daher wollte sie wissen, welche personenbezogenen Daten das HKR von ihr verarbeitet und an die Universität zu Lübeck weitergegeben hatte. Sie machte zunächst außergerichtlich einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend. Außerdem widersprach sie der Weiterverarbeitung und Weitergabe ihrer Daten nach § 12 Abs. 3 S. 1 HmbKrebsRG. Daraufhin beauskunftete das HKR die personenbezogenen Klartextdaten der Klägerin und löschte sie anschließend aus dem Vertrauensbereich. Die Klägerin war damit allerdings nicht zufrieden. Sie begehrte weiterhin Auskunft über die nun allein vorliegenden Kontrollnummernsätze und ihre Löschung aus dem Registerbereich. Das HKR verweigerte Auskunft und Löschung mit dem Argument, dass eine Zuordnung dieser Kontrollnummernsätze zur Klägerin nach Löschung der Klartextdaten nicht mehr möglich sei. Eine Entschlüsselung sei technisch unmöglich, eine Reidentifizierung durch § 12 Abs. 2 S. 3 HmbKrebsRG gesetzlich verboten. Daher handele es sich nunmehr um anonymisierte Daten, auf deren Verarbeitung die DSGVO überhaupt keine Anwendung mehr fände.
Wogegen richtete sich die Klage?
Die Klage der Betroffenen richtete sich vor allem gegen die verweigerte Auskunft und die unterbliebene Löschung ihrer personenbezogenen Daten aus dem HKR. Die betroffene Klägerin sah in der Weigerung nicht nur einen Verstoß gegen zahlreiche datenschutzrechtliche Vorschriften, sondern auch einen Eingriff in ihr Allgemeines Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Vor allem aber machte sie geltend, dass es sich bei den Kontrollnummernsätzen nicht um anonymisierte, sondern lediglich um pseudonymisierte Daten handele, weil es dem HKR jederzeit möglich sei, die betroffene Person auch ohne die gelöschten Klartextdaten zu identifizieren.
Wie hat das Gericht entschieden?
Das VG Hamburg gab der Klägerin weitgehend Recht. Es sah in den vermeintlich anonymisierten ebenfalls pseudonymisierte Daten. Denn das gesetzliche Verbot in § 12 Abs. 3 S. 3 HmbKrebsRG, pseudonymisierte Daten nach einem Widerspruch der betroffenen Person zu reidentifizieren, könne nur bedeuten, dass dies auch nach Löschung der Klartextdaten rechtlich und tatsächlich möglich sei. Eine Reidentifizierung sei rechtlich möglich, weil § 12 Abs. 3 S. 3 HmbKrebsRG kein objektives Verbot, sondern ein disponibles Recht enthalte. Die tatsächliche Möglichkeit der Reidentifizierung ergebe sich daraus, dass sich der Personenbezog der Kontrollnummernsätze ohne größeren Aufwand wieder herstellen lasse: über die Such- und Filterfunktion in der vom Register verwendeten Software und Heranziehung bestimmter Verknüpfungsmerkmale wie der Krebsentität, dem Geburtsdatum, dem Geschlecht oder der Postleitzahl; aber auch durch eine Kooperation mit der Betroffenen, die ihre Kontrollnummer dem Datenbankadministrator zur Verfügung stelle. Allerdings gab die Kammer der Klage auch nicht vollumfänglich statt. Sie wies die geltend gemachten Ansprüche der Klägerin teilweise zurück. Insbesondere sei der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nicht in die Vergangenheit gerichtet, sondern erstrecke sich allein auf die derzeit im HKR verarbeiteten Daten. Dies folge aus dem klaren Wortlaut („verarbeitet werden“) und dem Telos der Norm. Sinn und Zweck des Art. 15 Abs. 1 DSGVO sei es nämlich gerade, eine Informationsgrundlage für einen etwaigen Löschungsanspruch zu schaffen. Die Klägerin könne daher keine Auskunft über diejenigen Daten verlangen, die zum Zeitpunkt ihres ersten Auskunftsersuchens durch die Beklagte verarbeitet worden seien.
Welche Folgen hat die Entscheidung für die Praxis?
Die Entscheidung dürfte Folgen sowohl für betroffene Personen haben, die einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend machen wollen, als auch für Verantwortliche, die einem solchen Anspruch möglicherweise entsprechen müssen: einerseits können sich Verantwortliche nur unter sehr engen Voraussetzungen darauf zurückziehen, dass sie pseudonymisierte Datensätze nur mit unverhältnismäßigem Aufwand wieder identifizieren können. Andererseits müssen sie nunmehr nur diejenigen Verarbeitungstätigkeiten beauskunften, die zum betreffenden Zeitpunkt auch tatsächlich stattfinden. Besonders relevant ist die Entscheidung für Stellen, die Gesundheitsdaten verarbeiten und sich darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Handelt es sich beispielsweise um eine seltene Erkrankung und liegen außerdem demographische Angaben oder Verknüpfungsmerkmale wie die Postleitzahl vor, kann es sich nach dem VG Hamburg bereits um ein pseudonymes Datum handeln, dass entsprechend zu beauskunften und gegebenenfalls zu löschen ist.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Inhalt
- Hat dies Auswirkungen auf die Praxis?
- Cloudbasierte Gesundheitsanwendungen müssen auch ohne Cloudfunktionen nutzbar sein
- Keine Reichweitenanalyse oder Fehlerverfolgung
- TOM und IT-Sicherheit
- Zusammenfassung
- Gesundheitsdatennutzungsgesetz (GDNG)
- Digital-Gesetz (DigiG)
- Worüber hat das Gericht entschieden?
- Wogegen richtete sich die Klage?
- Wie hat das Gericht entschieden?
- Welche Folgen hat die Entscheidung für die Praxis?
Unsere Experten zum Thema
Weitere Neuigkeiten
12.09.2024
Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen
04.09.2024
AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen
31.07.2024