23. Juni 2023Pharma & Health
Aktuelle Entwicklungen im digitalen Gesundheitswesen: Rechtliche Herausforderungen und News aus dem eHealth-Sektor
Die Digitalisierung des Gesundheitswesens hat seit den letzten Jahren einen enormen Einfluss auf die Art und Weise, wie medizinische Dienstleistungen genutzt und in Anspruch genommen werden. Von telemedizinischen Konsultationen über Gesundheits-Apps bis hin zu Wearables, die Vitaldaten messen – das digitale Gesundheitswesen, auch bekannt als eHealth, bietet neue und aufregende Möglichkeiten, die Gesundheit zu überwachen und zu verbessern. Angesichts des rasanten technologischen Fortschritts und der ständig wachsenden Menge an verfügbaren Daten ist es für Unternehmen aus der Gesundheitsbranche unerlässlich, aktuelle Entwicklungen und Trends zu verfolgen.
Wie jede technologische Entwicklung bringt auch das digitale Gesundheitswesen rechtliche Herausforderungen mit sich. Unternehmen in diesem Bereich sind mit einer Vielzahl von Fragen und Anforderungen in Bezug auf Datenschutz, Haftung, Regulierung und Compliance konfrontiert. Die rasante Entwicklung neuer Technologien erfordert eine ständige Anpassung der rechtlichen Rahmenbedingungen, um den Schutz von Patient:innendaten und die Sicherheit digitaler Gesundheitsanwendungen zu gewährleisten.
An dieser Stelle werden die neuesten Entwicklungen und aktuelle Nachrichten aus dem Bereich des digitalen Gesundheitswesens präsentiert – beispielsweise Updates zu relevanten Gesetzen, Entwürfen oder Entscheidungen, die das digitale Gesundheitswesen betreffen. Der jeweils neueste Beitrag steht dabei an oberster Stelle.
Informieren Sie sich hier für alle News und Updates im Gesundheitswesen
Neue Referentenentwürfe zum Gesundheitsdatennutzungsgesetz (GDNG) und zum Digital-Gesetz (DigiG), 23.06.2023
Das Bundesministerium für Gesundheit (BMG) hat Mitte Juni 2023 zwei neue Referentenentwürfe von Gesetzen veröffentlicht: den Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) sowie den Entwurf eines Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG). Beide Entwürfe sind als Reaktion auf das vieldiskutierte, ambitionierte Vorhaben auf europäischer Ebene zu werten: den European Health Data Space (EHDS). Das GDNG könnte allerdings schon deutlich früher, am 1. Januar 2024, in Kraft treten.
I. Gesundheitsdatennutzungsgesetz (GDNG)
Das GDNG soll, dem Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS-VO) entsprechend, in erster Linie dazu dienen, die Nutzung von Daten zu Forschungs- und Innovationszwecken zu vereinfachen. Hierzu soll eine Datenzugangs- und Koordinierungsstelle die Zusammenarbeit von Datenhaltern und -nutzern auf nationaler Ebene koordinieren und Anträge auf Zugang zu Gesundheitsdaten bearbeiten. Sie soll an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angegliedert werden, allerdings von diesem technisch und organisatorisch unabhängig arbeiten. Die Stelle entspricht damit in etwa der Zugangsstelle, die auch im Rahmen des EHDS für die Sekundärnutzung elektronischer Gesundheitsdaten in den einzelnen Mitgliedsstaaten vorgesehen ist. Die koordinierte Datenfreigabe über die Zugangsstelle soll dazu dienen, die aktuell noch hohen bürokratischen Hürden abzubauen, die Forschenden und anderen Datennutzungswilligen aktuell im Weg stehen.
Das bereits geschaffene Forschungsdatenzentrum soll künftig sein volles Potential entfalten und die dort gespeicherten Abrechnungsdaten der gesetzlichen Krankenkassen nutzbar machen. Geplant ist hier vor allem die Verknüpfung der Daten des Forschungsdatenzentrums und der klinischen Krebsregister. Um diese Verknüpfung datenschutzkonform zu realisieren, sollen anlassbezogen erstellte Forschungskennziffern zum Einsatz kommen. Rechtsverordnungen sollen die Einführung dieser Kennziffern noch weiter konkretisieren. Daneben sieht das GDNG vor, die Daten aus der elektronischen Patientenakte (ePA) für die Forschung bereit zu stellen. Zudem sollen die gesetzlichen Kranken- und Pflegekassen in die Lage versetzt werden, ihre eigenen Daten für die Verbesserung der Versorgung fruchtbar zu machen. „Zum individuellen Gesundheitsschutz“ sollen die Kassen datengestützte Auswertungen durchführen dürfen. Die Versicherten sollen ferner, wenn den Kassen eine konkrete Gefahr für ihre Gesundheit bekannt ist, im Zweifel auch direkt adressiert werden dürfen.
Schließlich soll der Gesundheitsdatenschutz gestärkt werden. So soll Forschenden ein Zeugnisverweigerungsrecht zustehen. Außerdem soll ein Beschlagnahmeverbot für Gesundheitsdaten eingeführt werden. Um die unzulässige Preisgabe von Gesundheitsdaten strafrechtlich verfolgen und sanktionieren zu können, soll es ein Forschungsgeheimnis geben. Der Bundesdatenschutzbeauftragte (BfDI) soll schließlich mit einem deutlich größeren Aufgabenspektrum betraut werden als bisher. Nicht nur wird ihm nach dem GDNG die Aufsicht über diverse Akteure des Gesundheitswesens zugewiesen (darunter die Kassenärztliche Bundesvereinigung (KBV), der GKV-Spitzenverband und das Zentralinstitut für die kassenärztliche Versorgung (Zi). Auch klinische Prüfungen soll der BfDI zukünftig datenschutzrechtlich beaufsichtigen.
II. Digital-Gesetz (DigiG)
Das DigiG ist ein reines Artikelgesetz, mit welchem vor allem das SGB V geändert wird, und soll da ansetzen, wo die Digitalisierung des Gesundheitswesens derzeit stockt. So soll das DigiG vor allem die elektronische Patientenakte (ePA) stärken, das E-Rezept besser nutzbar machen, den Ausbau der Digitalen Gesundheitsanwendungen (DiGA) vorantreiben, Telemedizin fördern und schließlich die Interoperabilität informationstechnischer Gesundheitssysteme und die Cybersicherheit verbessern.
Um die großen Hürden bei der Nutzung der ePA zu beseitigen und eine weite Verbreitung zu erreichen, soll die ePA als Widerspruchslösung (Opt-out-Lösung) ausgestaltet werden. Außerdem soll die Befüllung sowie der Zugriff auf die in der ePA gespeicherten Daten grundlegend vereinfacht werden. Ziel ist die vollumfängliche, weitestgehend automatisiert laufende Befüllung der ePA mit strukturierten Daten, während den Versicherten ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten eingeräumt wird. Man erhofft sich hiermit, die ePA flächendeckend in die Versorgung zu integrieren. Mittels der ePA-App soll künftig auch die E-Rezept-App nutzbar sein. Über Letztere sollen Versicherte künftig auch digitale Identitäten, NFC-fähige elektronische Gesundheitskarten (eGK) sowie dazugehörige PINs beantragen können. Die Zusammenlegung dieser Online-Anwendungen soll ihre Nutzung praxisnäher gestalten und sie so attraktiver und zugänglicher machen.
Weiter sieht das DigiG vor, den Leistungsanspruch Versicherter auf Medizinprodukte höherer Risikoklassen auszuweiten. DiGAs wären danach auch als Medizinprodukte der Risikoklasse IIb möglich. Außerdem soll Telemedizin ein fester Bestandteil der Gesundheitsversorgung werden. Videosprechstunden sollen noch breiter eingesetzt und leichter genutzt werden können. Zusätzlich soll Versicherten ein neuer Leistungsanspruch auf „assistierte Telemedizin in Apotheken“ zustehen. Um der Heterogenität der Informationssysteme im deutschen Gesundheitssystem entgegenzuwirken, sollen verbindliche Standards definiert werden. Hierdurch soll der Informationsaustausch im Gesundheitswesen verbessert, die Datenverfügbarkeit erhöht und insgesamt die Behandlungsqualität deutlich verbessert werden.
Schließlich will die Bundesregierung auch im Bereich der Cybersicherheit mit dem DigiG aktiv werden. Den Risiken des Cloud Computing will man mit der Einführung des § 390 SGB V begegnen. Die Norm verlangt die Einhaltung des „Kriterienkatalog Cloud Computing C5“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Die vorliegenden Gesetzesentwürfe sind vielversprechend. Das Gesundheitsdatennutzungsgesetz (GDNG) könnte den Forschungsstandort Deutschland nachhaltig stärken. Das Digital-Gesetz (DigiG) hat das Potential, der notwendigen Digitalisierung des Gesundheitswesens den lang ersehnten Schub zu verleihen. Gleichzeitig hat die Bundesregierung aber die Absicht geäußert, in Abstimmung auf EU-Ebene, den EHDS betreffend, vorgehen zu wollen. In jedem Fall bringen beide Gesetze für die Gesundheitsbranche neue Herausforderungen, zahlreiche Fragen und Unsicherheiten mit sich. Vertrauen Sie auf unsere Expertise. Gemeinsam finden wir Lösungen und beantworten Ihre Fragen.
I. Gesundheitsdatennutzungsgesetz (GDNG)
Das GDNG soll, dem Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS-VO) entsprechend, in erster Linie dazu dienen, die Nutzung von Daten zu Forschungs- und Innovationszwecken zu vereinfachen. Hierzu soll eine Datenzugangs- und Koordinierungsstelle die Zusammenarbeit von Datenhaltern und -nutzern auf nationaler Ebene koordinieren und Anträge auf Zugang zu Gesundheitsdaten bearbeiten. Sie soll an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angegliedert werden, allerdings von diesem technisch und organisatorisch unabhängig arbeiten. Die Stelle entspricht damit in etwa der Zugangsstelle, die auch im Rahmen des EHDS für die Sekundärnutzung elektronischer Gesundheitsdaten in den einzelnen Mitgliedsstaaten vorgesehen ist. Die koordinierte Datenfreigabe über die Zugangsstelle soll dazu dienen, die aktuell noch hohen bürokratischen Hürden abzubauen, die Forschenden und anderen Datennutzungswilligen aktuell im Weg stehen.
Das bereits geschaffene Forschungsdatenzentrum soll künftig sein volles Potential entfalten und die dort gespeicherten Abrechnungsdaten der gesetzlichen Krankenkassen nutzbar machen. Geplant ist hier vor allem die Verknüpfung der Daten des Forschungsdatenzentrums und der klinischen Krebsregister. Um diese Verknüpfung datenschutzkonform zu realisieren, sollen anlassbezogen erstellte Forschungskennziffern zum Einsatz kommen. Rechtsverordnungen sollen die Einführung dieser Kennziffern noch weiter konkretisieren. Daneben sieht das GDNG vor, die Daten aus der elektronischen Patientenakte (ePA) für die Forschung bereit zu stellen. Zudem sollen die gesetzlichen Kranken- und Pflegekassen in die Lage versetzt werden, ihre eigenen Daten für die Verbesserung der Versorgung fruchtbar zu machen. „Zum individuellen Gesundheitsschutz“ sollen die Kassen datengestützte Auswertungen durchführen dürfen. Die Versicherten sollen ferner, wenn den Kassen eine konkrete Gefahr für ihre Gesundheit bekannt ist, im Zweifel auch direkt adressiert werden dürfen.
Schließlich soll der Gesundheitsdatenschutz gestärkt werden. So soll Forschenden ein Zeugnisverweigerungsrecht zustehen. Außerdem soll ein Beschlagnahmeverbot für Gesundheitsdaten eingeführt werden. Um die unzulässige Preisgabe von Gesundheitsdaten strafrechtlich verfolgen und sanktionieren zu können, soll es ein Forschungsgeheimnis geben. Der Bundesdatenschutzbeauftragte (BfDI) soll schließlich mit einem deutlich größeren Aufgabenspektrum betraut werden als bisher. Nicht nur wird ihm nach dem GDNG die Aufsicht über diverse Akteure des Gesundheitswesens zugewiesen (darunter die Kassenärztliche Bundesvereinigung (KBV), der GKV-Spitzenverband und das Zentralinstitut für die kassenärztliche Versorgung (Zi). Auch klinische Prüfungen soll der BfDI zukünftig datenschutzrechtlich beaufsichtigen.
II. Digital-Gesetz (DigiG)
Das DigiG ist ein reines Artikelgesetz, mit welchem vor allem das SGB V geändert wird, und soll da ansetzen, wo die Digitalisierung des Gesundheitswesens derzeit stockt. So soll das DigiG vor allem die elektronische Patientenakte (ePA) stärken, das E-Rezept besser nutzbar machen, den Ausbau der Digitalen Gesundheitsanwendungen (DiGA) vorantreiben, Telemedizin fördern und schließlich die Interoperabilität informationstechnischer Gesundheitssysteme und die Cybersicherheit verbessern.
Um die großen Hürden bei der Nutzung der ePA zu beseitigen und eine weite Verbreitung zu erreichen, soll die ePA als Widerspruchslösung (Opt-out-Lösung) ausgestaltet werden. Außerdem soll die Befüllung sowie der Zugriff auf die in der ePA gespeicherten Daten grundlegend vereinfacht werden. Ziel ist die vollumfängliche, weitestgehend automatisiert laufende Befüllung der ePA mit strukturierten Daten, während den Versicherten ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten eingeräumt wird. Man erhofft sich hiermit, die ePA flächendeckend in die Versorgung zu integrieren. Mittels der ePA-App soll künftig auch die E-Rezept-App nutzbar sein. Über Letztere sollen Versicherte künftig auch digitale Identitäten, NFC-fähige elektronische Gesundheitskarten (eGK) sowie dazugehörige PINs beantragen können. Die Zusammenlegung dieser Online-Anwendungen soll ihre Nutzung praxisnäher gestalten und sie so attraktiver und zugänglicher machen.
Weiter sieht das DigiG vor, den Leistungsanspruch Versicherter auf Medizinprodukte höherer Risikoklassen auszuweiten. DiGAs wären danach auch als Medizinprodukte der Risikoklasse IIb möglich. Außerdem soll Telemedizin ein fester Bestandteil der Gesundheitsversorgung werden. Videosprechstunden sollen noch breiter eingesetzt und leichter genutzt werden können. Zusätzlich soll Versicherten ein neuer Leistungsanspruch auf „assistierte Telemedizin in Apotheken“ zustehen. Um der Heterogenität der Informationssysteme im deutschen Gesundheitssystem entgegenzuwirken, sollen verbindliche Standards definiert werden. Hierdurch soll der Informationsaustausch im Gesundheitswesen verbessert, die Datenverfügbarkeit erhöht und insgesamt die Behandlungsqualität deutlich verbessert werden.
Schließlich will die Bundesregierung auch im Bereich der Cybersicherheit mit dem DigiG aktiv werden. Den Risiken des Cloud Computing will man mit der Einführung des § 390 SGB V begegnen. Die Norm verlangt die Einhaltung des „Kriterienkatalog Cloud Computing C5“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Die vorliegenden Gesetzesentwürfe sind vielversprechend. Das Gesundheitsdatennutzungsgesetz (GDNG) könnte den Forschungsstandort Deutschland nachhaltig stärken. Das Digital-Gesetz (DigiG) hat das Potential, der notwendigen Digitalisierung des Gesundheitswesens den lang ersehnten Schub zu verleihen. Gleichzeitig hat die Bundesregierung aber die Absicht geäußert, in Abstimmung auf EU-Ebene, den EHDS betreffend, vorgehen zu wollen. In jedem Fall bringen beide Gesetze für die Gesundheitsbranche neue Herausforderungen, zahlreiche Fragen und Unsicherheiten mit sich. Vertrauen Sie auf unsere Expertise. Gemeinsam finden wir Lösungen und beantworten Ihre Fragen.
Hamburgisches Krebsregister: Praxisrelevante Entscheidung zu Anonymisierung und Pseudonymisierung, 09.02.2023
Auch nach einer mehrstufigen Pseudonymisierung und Löschung der korrespondierenden Klardaten kann es sich weiter um personenbezogene Daten handeln, die nach Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) zu beauskunften sind. So entschied das Verwaltungsgericht (VG) Hamburg mit Urteil vom 28.07.2022 (Az. 21 K 1802/21). Die Entscheidung ist von hoher Praxisrelevanz. Sie betrifft vor allem Forschungseinrichtungen und Unternehmen, die Gesundheitsdaten verarbeiten, sich aber darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Besonders lesenswert sind die Ausführungen des VG zur Abgrenzung von Anonymisierung und Pseudonymisierung im Gesundheitsbereich und zur Reichweite der Betroffenenrechte.
Worüber hat das Gericht entschieden?
Die nachmalige Klägerin war im Jahr 2019 an Brustkrebs erkrankt und hatte sich in medizinische Behandlung begeben. Im Rahmen dieser Behandlung wurden diverse Daten der Klägerin verarbeitet, die zum Teil Personenbezug aufwiesen: der Name und die Anschrift der Klägerin, die vergebenen Diagnosen oder die durchgeführten Operationen zum Beispiel. Diese Daten wurden von den behandelnden Ärzt:innen an das Hamburgische Krebsregister (HKR) übermittelt. In diesem epidemiologischen und klinischen Register werden Krebserkrankungen und die damit verbundenen Daten erfasst, um die Prävention und die onkologische Versorgung zu verbessern. Die Übermittlung dieser Daten ist an sich nichts Ungewöhnliches. Gemäß § 2 Abs. 1 des Hamburgischen Krebsregistergesetzes (HmbKrebsRG) sind Ärzt:innen sogar dazu verpflichtet, das Entstehen, das Auftreten, die Behandlung und den Verlauf bösartiger Neubildungen einschließlich ihrer Frühstadien sowie von gutartigen Tumoren an das HKR zu übermitteln.
Für die Verarbeitung personenbezogener Gesundheitsdaten hat das HKR bestimmte technische und organisatorische Sicherheitsvorkehrungen getroffen. Daten, die einen unmittelbaren Rückschluss auf die erkrankte Person erlauben (personenidentifizierende Klartextdaten) und die als Gesundheitsdaten im Sinne von Art. 9 Abs. 2 DSGVO besonders schützenswert sind, erhalten zunächst einen pseudonymen Kontrollnummernsatz und werden dann noch einmal verschlüsselt. So können neue Daten mit schon vorhandenen abgeglichen und dem bisherigen Kontrollnummernsatz hinzugefügt werden, ohne auf Klartextdaten zurückzugreifen – ausreichend ist der Abgleich mit den verschlüsselten Kontrollnummern. Um den Zugriff auf Klartextdaten weiter zu beschränken, ist das HKR außerdem in einen Registerbereich und einen Vertrauensbereich unterteilt. Nur die Mitarbeitenden des Vertrauensbereichs haben Zugriff auf die personenidentifizierbaren Klartextdaten. Mitarbeitende im Registerbereich können dagegen nur den verschlüsselten Kontrollnummernsatz einsehen.
Anfang 2020 wurde die Klägerin von der Universität zu Lübeck angeschrieben und gefragt, ob sie bereit sei, an einer Studie zur Versorgung von Krebspatienten teilzunehmen. Daher wollte sie wissen, welche personenbezogenen Daten das HKR von ihr verarbeitet und an die Universität zu Lübeck weitergegeben hatte. Sie machte zunächst außergerichtlich einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend. Außerdem widersprach sie der Weiterverarbeitung und Weitergabe ihrer Daten nach § 12 Abs. 3 S. 1 HmbKrebsRG. Daraufhin beauskunftete das HKR die personenbezogenen Klartextdaten der Klägerin und löschte sie anschließend aus dem Vertrauensbereich. Die Klägerin war damit allerdings nicht zufrieden. Sie begehrte weiterhin Auskunft über die nun allein vorliegenden Kontrollnummernsätze und ihre Löschung aus dem Registerbereich. Das HKR verweigerte Auskunft und Löschung mit dem Argument, dass eine Zuordnung dieser Kontrollnummernsätze zur Klägerin nach Löschung der Klartextdaten nicht mehr möglich sei. Eine Entschlüsselung sei technisch unmöglich, eine Reidentifizierung durch § 12 Abs. 2 S. 3 HmbKrebsRG gesetzlich verboten. Daher handele es sich nunmehr um anonymisierte Daten, auf deren Verarbeitung die DSGVO überhaupt keine Anwendung mehr fände.
Wogegen richtete sich die Klage?
Die Klage der Betroffenen richtete sich vor allem gegen die verweigerte Auskunft und die unterbliebene Löschung ihrer personenbezogenen Daten aus dem HKR. Die betroffene Klägerin sah in der Weigerung nicht nur einen Verstoß gegen zahlreiche datenschutzrechtliche Vorschriften, sondern auch einen Eingriff in ihr Allgemeines Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Vor allem aber machte sie geltend, dass es sich bei den Kontrollnummernsätzen nicht um anonymisierte, sondern lediglich um pseudonymisierte Daten handele, weil es dem HKR jederzeit möglich sei, die betroffene Person auch ohne die gelöschten Klartextdaten zu identifizieren.
Wie hat das Gericht entschieden?
Das VG Hamburg gab der Klägerin weitgehend Recht. Es sah in den vermeintlich anonymisierten ebenfalls pseudonymisierte Daten. Denn das gesetzliche Verbot in § 12 Abs. 3 S. 3 HmbKrebsRG, pseudonymisierte Daten nach einem Widerspruch der betroffenen Person zu reidentifizieren, könne nur bedeuten, dass dies auch nach Löschung der Klartextdaten rechtlich und tatsächlich möglich sei. Eine Reidentifizierung sei rechtlich möglich, weil § 12 Abs. 3 S. 3 HmbKrebsRG kein objektives Verbot, sondern ein disponibles Recht enthalte. Die tatsächliche Möglichkeit der Reidentifizierung ergebe sich daraus, dass sich der Personenbezog der Kontrollnummernsätze ohne größeren Aufwand wieder herstellen lasse: über die Such- und Filterfunktion in der vom Register verwendeten Software und Heranziehung bestimmter Verknüpfungsmerkmale wie der Krebsentität, dem Geburtsdatum, dem Geschlecht oder der Postleitzahl; aber auch durch eine Kooperation mit der Betroffenen, die ihre Kontrollnummer dem Datenbankadministrator zur Verfügung stelle. Allerdings gab die Kammer der Klage auch nicht vollumfänglich statt. Sie wies die geltend gemachten Ansprüche der Klägerin teilweise zurück. Insbesondere sei der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nicht in die Vergangenheit gerichtet, sondern erstrecke sich allein auf die derzeit im HKR verarbeiteten Daten. Dies folge aus dem klaren Wortlaut („verarbeitet werden“) und dem Telos der Norm. Sinn und Zweck des Art. 15 Abs. 1 DSGVO sei es nämlich gerade, eine Informationsgrundlage für einen etwaigen Löschungsanspruch zu schaffen. Die Klägerin könne daher keine Auskunft über diejenigen Daten verlangen, die zum Zeitpunkt ihres ersten Auskunftsersuchens durch die Beklagte verarbeitet worden seien.
Welche Folgen hat die Entscheidung für die Praxis?
Die Entscheidung dürfte Folgen sowohl für betroffene Personen haben, die einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend machen wollen, als auch für Verantwortliche, die einem solchen Anspruch möglicherweise entsprechen müssen: einerseits können sich Verantwortliche nur unter sehr engen Voraussetzungen darauf zurückziehen, dass sie pseudonymisierte Datensätze nur mit unverhältnismäßigem Aufwand wieder identifizieren können. Andererseits müssen sie nunmehr nur diejenigen Verarbeitungstätigkeiten beauskunften, die zum betreffenden Zeitpunkt auch tatsächlich stattfinden. Besonders relevant ist die Entscheidung für Stellen, die Gesundheitsdaten verarbeiten und sich darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Handelt es sich beispielsweise um eine seltene Erkrankung und liegen außerdem demographische Angaben oder Verknüpfungsmerkmale wie die Postleitzahl vor, kann es sich nach dem VG Hamburg bereits um ein pseudonymes Datum handeln, dass entsprechend zu beauskunften und gegebenenfalls zu löschen ist.
Worüber hat das Gericht entschieden?
Die nachmalige Klägerin war im Jahr 2019 an Brustkrebs erkrankt und hatte sich in medizinische Behandlung begeben. Im Rahmen dieser Behandlung wurden diverse Daten der Klägerin verarbeitet, die zum Teil Personenbezug aufwiesen: der Name und die Anschrift der Klägerin, die vergebenen Diagnosen oder die durchgeführten Operationen zum Beispiel. Diese Daten wurden von den behandelnden Ärzt:innen an das Hamburgische Krebsregister (HKR) übermittelt. In diesem epidemiologischen und klinischen Register werden Krebserkrankungen und die damit verbundenen Daten erfasst, um die Prävention und die onkologische Versorgung zu verbessern. Die Übermittlung dieser Daten ist an sich nichts Ungewöhnliches. Gemäß § 2 Abs. 1 des Hamburgischen Krebsregistergesetzes (HmbKrebsRG) sind Ärzt:innen sogar dazu verpflichtet, das Entstehen, das Auftreten, die Behandlung und den Verlauf bösartiger Neubildungen einschließlich ihrer Frühstadien sowie von gutartigen Tumoren an das HKR zu übermitteln.
Für die Verarbeitung personenbezogener Gesundheitsdaten hat das HKR bestimmte technische und organisatorische Sicherheitsvorkehrungen getroffen. Daten, die einen unmittelbaren Rückschluss auf die erkrankte Person erlauben (personenidentifizierende Klartextdaten) und die als Gesundheitsdaten im Sinne von Art. 9 Abs. 2 DSGVO besonders schützenswert sind, erhalten zunächst einen pseudonymen Kontrollnummernsatz und werden dann noch einmal verschlüsselt. So können neue Daten mit schon vorhandenen abgeglichen und dem bisherigen Kontrollnummernsatz hinzugefügt werden, ohne auf Klartextdaten zurückzugreifen – ausreichend ist der Abgleich mit den verschlüsselten Kontrollnummern. Um den Zugriff auf Klartextdaten weiter zu beschränken, ist das HKR außerdem in einen Registerbereich und einen Vertrauensbereich unterteilt. Nur die Mitarbeitenden des Vertrauensbereichs haben Zugriff auf die personenidentifizierbaren Klartextdaten. Mitarbeitende im Registerbereich können dagegen nur den verschlüsselten Kontrollnummernsatz einsehen.
Anfang 2020 wurde die Klägerin von der Universität zu Lübeck angeschrieben und gefragt, ob sie bereit sei, an einer Studie zur Versorgung von Krebspatienten teilzunehmen. Daher wollte sie wissen, welche personenbezogenen Daten das HKR von ihr verarbeitet und an die Universität zu Lübeck weitergegeben hatte. Sie machte zunächst außergerichtlich einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend. Außerdem widersprach sie der Weiterverarbeitung und Weitergabe ihrer Daten nach § 12 Abs. 3 S. 1 HmbKrebsRG. Daraufhin beauskunftete das HKR die personenbezogenen Klartextdaten der Klägerin und löschte sie anschließend aus dem Vertrauensbereich. Die Klägerin war damit allerdings nicht zufrieden. Sie begehrte weiterhin Auskunft über die nun allein vorliegenden Kontrollnummernsätze und ihre Löschung aus dem Registerbereich. Das HKR verweigerte Auskunft und Löschung mit dem Argument, dass eine Zuordnung dieser Kontrollnummernsätze zur Klägerin nach Löschung der Klartextdaten nicht mehr möglich sei. Eine Entschlüsselung sei technisch unmöglich, eine Reidentifizierung durch § 12 Abs. 2 S. 3 HmbKrebsRG gesetzlich verboten. Daher handele es sich nunmehr um anonymisierte Daten, auf deren Verarbeitung die DSGVO überhaupt keine Anwendung mehr fände.
Wogegen richtete sich die Klage?
Die Klage der Betroffenen richtete sich vor allem gegen die verweigerte Auskunft und die unterbliebene Löschung ihrer personenbezogenen Daten aus dem HKR. Die betroffene Klägerin sah in der Weigerung nicht nur einen Verstoß gegen zahlreiche datenschutzrechtliche Vorschriften, sondern auch einen Eingriff in ihr Allgemeines Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Vor allem aber machte sie geltend, dass es sich bei den Kontrollnummernsätzen nicht um anonymisierte, sondern lediglich um pseudonymisierte Daten handele, weil es dem HKR jederzeit möglich sei, die betroffene Person auch ohne die gelöschten Klartextdaten zu identifizieren.
Wie hat das Gericht entschieden?
Das VG Hamburg gab der Klägerin weitgehend Recht. Es sah in den vermeintlich anonymisierten ebenfalls pseudonymisierte Daten. Denn das gesetzliche Verbot in § 12 Abs. 3 S. 3 HmbKrebsRG, pseudonymisierte Daten nach einem Widerspruch der betroffenen Person zu reidentifizieren, könne nur bedeuten, dass dies auch nach Löschung der Klartextdaten rechtlich und tatsächlich möglich sei. Eine Reidentifizierung sei rechtlich möglich, weil § 12 Abs. 3 S. 3 HmbKrebsRG kein objektives Verbot, sondern ein disponibles Recht enthalte. Die tatsächliche Möglichkeit der Reidentifizierung ergebe sich daraus, dass sich der Personenbezog der Kontrollnummernsätze ohne größeren Aufwand wieder herstellen lasse: über die Such- und Filterfunktion in der vom Register verwendeten Software und Heranziehung bestimmter Verknüpfungsmerkmale wie der Krebsentität, dem Geburtsdatum, dem Geschlecht oder der Postleitzahl; aber auch durch eine Kooperation mit der Betroffenen, die ihre Kontrollnummer dem Datenbankadministrator zur Verfügung stelle. Allerdings gab die Kammer der Klage auch nicht vollumfänglich statt. Sie wies die geltend gemachten Ansprüche der Klägerin teilweise zurück. Insbesondere sei der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nicht in die Vergangenheit gerichtet, sondern erstrecke sich allein auf die derzeit im HKR verarbeiteten Daten. Dies folge aus dem klaren Wortlaut („verarbeitet werden“) und dem Telos der Norm. Sinn und Zweck des Art. 15 Abs. 1 DSGVO sei es nämlich gerade, eine Informationsgrundlage für einen etwaigen Löschungsanspruch zu schaffen. Die Klägerin könne daher keine Auskunft über diejenigen Daten verlangen, die zum Zeitpunkt ihres ersten Auskunftsersuchens durch die Beklagte verarbeitet worden seien.
Welche Folgen hat die Entscheidung für die Praxis?
Die Entscheidung dürfte Folgen sowohl für betroffene Personen haben, die einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend machen wollen, als auch für Verantwortliche, die einem solchen Anspruch möglicherweise entsprechen müssen: einerseits können sich Verantwortliche nur unter sehr engen Voraussetzungen darauf zurückziehen, dass sie pseudonymisierte Datensätze nur mit unverhältnismäßigem Aufwand wieder identifizieren können. Andererseits müssen sie nunmehr nur diejenigen Verarbeitungstätigkeiten beauskunften, die zum betreffenden Zeitpunkt auch tatsächlich stattfinden. Besonders relevant ist die Entscheidung für Stellen, die Gesundheitsdaten verarbeiten und sich darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Handelt es sich beispielsweise um eine seltene Erkrankung und liegen außerdem demographische Angaben oder Verknüpfungsmerkmale wie die Postleitzahl vor, kann es sich nach dem VG Hamburg bereits um ein pseudonymes Datum handeln, dass entsprechend zu beauskunften und gegebenenfalls zu löschen ist.
Newsletter
Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.
Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.