Health & Law Netzwerk

Das Potenzial von Gesundheitsdaten für die medizinische Forschung ist enorm. Das hat auch die EU-Kommission erkannt und als Eckpfeiler des sogenannten „Europäischen Raums für Gesundheitsdaten“ im Verordnungsentwurf zum „European Health Data Space (EHDS)“ den verbesserten Zugang zu Gesundheitsdaten und deren Nutzung für Forschung, Innovation, Gesundheitswesen, Politikgestaltung und Regulierungszwecke (sog. „Sekundärnutzung“) geregelt. Bevor die Gesundheitsdaten allerdings bereitgestellt werden dürfen, sind diese grundsätzlich zu anonymisieren. Im Ausnahmefall sollen auch pseudonymisierte Datensätze bereitgestellt werden können. 

Ziel von Anonymisierungs- und Pseudonymisierungstechniken ist es, den Personenbezug von Gesundheitsdaten zu entfernen, eine (einfache) Re-Identifizierung zu verhindern und Risiken ihrer Nutzung zu verringern. Datenschutzrechtlich stellt der  – aus wissenschaftlicher Sicht – so interessante, große Informationswert der Gesundheitsdaten die größte Herausforderung dar. Kaum ein Datensatz erlaubt so weitreichende Rückschlüsse auf eine Person wie Daten über Behandlungen, Operationen, Medikationspläne, Diagnosen und/oder Laborwerte. Auf nationaler Ebene fördert das Bundesministerium für Bildung und Forschung (BMBF) in den kommenden Jahren deshalb die Erforschung und Entwicklung von Verfahren zur Anonymisierung mit 70 Millionen Euro (Förderrichtlinie für die Gründung eines „Forschungsnetzwerks Anonymisierung für eine sichere Datennutzung“).  

Wie müssen verantwortliche Akteure bei Anonymisierung und Pseudonymisierung vorgehen? Wie zuverlässig sind die Techniken und wo stoßen sie an ihre Grenzen?

Im Rahmen unseres Netzwerks stellen wir Ihnen u.a. zwei Kompetenzcluster der Forschungsinitiative des BMBF vor: „AnoMed“, welches von der Universität Lübeck geleitet wird und „ANONY-MED“, welches vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) geleitet wird. Wir begrüßen auch die Statice GmbH, die kürzlich von dem Unternehmen Anonos übernommen wurde und eine Softwarelösung anbietet, die Privacy-Enhancing-Technologien wie synthetische Daten und Statutory Pseudonymization kombiniert. Unsere Gäste berichten aus erster Hand welche Anonymisierungs- und Pseudonymisierungstechniken derzeit entwickelt werden und welche Use-Cases daraus für die Praxis abgeleitet werden können.

Das Thema Digitalisierung im Gesundheitssektor und in der Gesundheitsforschung war insbesondere während der Pandemie von großer Bedeutung, fehlte es doch vielerorts an einem unkomplizierten Zugang zu Gesundheitsdaten. Um das Potenzial im Bereich digitale Gesundheit und Gesundheitsdaten voll auszuschöpfen und Hindernisse für Forschende zu verringern, hat die EU-Kommission im Mai 2022 einen Vorschlag für eine Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten – den European Health Data Space (EHDS) – veröffentlicht. Der EHDS soll digitale Gesundheitsdienste und -produkte fördern und einen vertrauenswürdigen und effizienten Rahmen für die Nutzung von Gesundheitsdaten für Forschung, Innovation und Gesundheitsversorgung schaffen, wobei er gleichzeitig die uneingeschränkte Einhaltung der hohen Datenschutzstandards der EU sicherstellt.

In unserem Netzwerk erfahren Sie, welche Anforderungen sich aus der DSGVO und nationalen Vorgaben für die Verarbeitung von Gesundheitsdaten zu Forschungszwecken ergeben und wie der EU-Vorschlag zum European Health Data Space (EHDS) hier neue Möglichkeiten schafft!

Außerdem stellen wir Ihnen Honic vor. Honic entwickelt eine Plattform für medizinische Gesundheitsdaten, die Forschung und Entwicklung auf Basis von Versorgungsdaten ermöglicht: der Honic Medhive®, ein einzigartiger, sicherer Datenraum made in Germany.

Die Entwicklung von Künstlicher Intelligenz hat in letzter Zeit enorme Fortschritte gemacht und ihr Einsatz – gerade im Bereich der Medizin – eröffnet vielfältige neue Möglichkeiten im Hinblick auf die Diagnose, Vorsorge und Behandlung von Krankheiten. Entsprechend groß ist der Bedarf und die Dringlichkeit an der weiteren Fortentwicklung und der Möglichkeit des Einsatzes dieser Technologien.
Allerdings gibt es auch sowohl technische als auch rechtliche Herausforderungen, die es hierbei zu überwinden gilt. Dies gilt insbesondere auch im Hinblick auf die datenschutzrechtliche Compliance. Doch worin liegen diese Herausforderungen genau? Was konkret sind die (datenschutz-)rechtlichen Compliance-Anforderungen an die Entwicklung und den Einsatz von KI im Medizinbereich? Welche Arten von Daten werden für die Entwicklung von KI in der Medizin überhaupt benötigt? Wie lässt sich KI für den Gesundheitsbereich in datenschutzkonformer Weise entwickeln? Gerade angesichts der rasanten Entwicklung und den vielfältigen Einsatzmöglichkeiten von Künstlicher Intelligenz in der Medizin sind diese Fragen von entscheidender Bedeutung – und das sowohl für die Anwender als auch für Entwickler und Anbieter von KI-Lösungen im Gesundheitsbereich.
Hierzu wollen wir gemeinsam mit Ihnen auf unserer nächsten „Health & Law“-Veranstaltung am 13.10.2022 diskutieren.

Über neugewonnene Erkenntnisse durch unser Veranstaltungsprogramm und Ihre Praxiserfahrungen und Eindrücke wollen wir uns austauschen, diskutieren und den Abend gemeinsam ausklingen lassen.

Einsatz von Patientenportalen, Tools zur digitalen Krankenhausdokumentation und für das Medikationsmanagement – bei einigen der am stärksten nachgefragten Fördertatbeständen des Krankenhauszukunftsgesetzes („KHZG“) handelt es sich um digitale Lösungen in Form von Software as a Service. Deren Nutzung erscheint für Berliner Krankenhäuser nach der voraussichtlich ab dem 25.10.2022 geltenden landesrechtlichen Gesetzeslage schwierig bis unmöglich. So soll die Verarbeitung etwa von Gesundheitsdaten im Auftrag nur dann zulässig sein, wenn der Auftragsverarbeiter ein anderes Krankenhaus im Anwendungsbereich der DSGVO ist, die Verarbeitenden einer gesetzlichen Geheimhaltungspflicht unterliegen und der Auftragsverarbeiter keine Möglichkeit hat, beim Zugriff auf die Daten den Personenbezug herzustellen. Dies wirft die Frage auf, inwieweit vor diesem Hintergrund die Umsetzung der u.a. nach dem KHZG geförderten Digitalisierungsprojekten in Berliner Krankenhäusern in Zukunft möglich sein wird und welche Handlungsoptionen bestehen.

Hierzu freuen wir uns auf die Keynote von Marc Schreiner, Geschäftsführer der Berliner Krankenhausgesellschaft, zum Thema „Digitalisierung und Auftragsverarbeitung“. Dr. Philipp Siedenburg, Rechtsanwalt bei Schürmann Rosenthal Dreyer Rechtsanwälte, spricht in seinem Co-Referat zum Thema „Rechtliches Risiko und Möglichkeiten im Hinblick auf die Beauftragung von Dienstleistern“.
Im Rahmen eines Hintergrundberichts werden wir mit Dr. André Byrla, Beisitzer im Bundesvorstand der FDP, über den aktuellen Stand der gesetzgeberischen Entwicklungen sowie den politischen Diskurs rund um den Fortbestand der beschriebenen Regelungen des Landeskrankenhausgesetzes Berlin sprechen und diskutieren.

Krankenhäuser und andere behandelnde Einrichtungen im Gesundheitsbereich setzen zunehmend auf Softwarelösungen, wenn es darum geht, den Kontakt mit Patient:innen und die interne Dokumentation (gerade auch im Hinblick auf das Medikationsmanagement) effizient und sicher zu gestalten. Dieser Trend ist durch die Umwälzungen im Zusammenhang mit der Corona-Pandemie noch einmal verstärkt worden. Zugleich steigen die Anforderungen an die technische Sicherheit der Verarbeitung von Patient:innendaten, wie die diesbezüglichen Neuerungen durch das Patientendatenschutzgesetz und das Krankenhauszukunftsgesetz deutlich gemacht haben. Nicht überraschend ist, dass Projekte zur Einführung von digitalen Patientenportalen und Softwarelösungen zum Medikationsmanagement und der digitalen Dokumentation nur dann nach dem Krankenhauszukunftsgesetz förderfähig sind, wenn alle geltenden datenschutzrechtlichen Anforderungen eingehalten werden.

Aber worin genau bestehen diese Anforderungen? Was ist insofern in technisch-organisatorischer Hinsicht zu beachten? Welche Voraussetzungen müssen diese Software-Lösungen erfüllen, damit die Datenschutzrechte der betroffenen Patient:innen erfüllt werden können? Was muss im Hinblick auf die Gestaltung der Verträge über die Nutzung solcher Lösungen beachtet werden?

In der nächsten Veranstaltung unseres Health & Law Netzwerktreffens wollen wir Ihnen hierzu einen kurzen Überblick geben und diese Themen mit Ihnen zusammen besprechen.

Die hohen gesetzlichen Anforderungen an die Datenverarbeitung im Gesundheitswesen erfordern ein funktionierendes Datenschutzmanagement. Gefordert ist ein strukturierter Prozess der Dokumentation von Datenverarbeitungen und Maßnahmen zur Risikoreduktion. Gemeinsam mit unseren Kolleg:innen von caralegal stellen wir im Rahmen einer Info-Veranstaltung die Best-Practices des Datenschutzmanagements im Gesundheitswesen vor. Dabei zeigen wir auf, wie die strikten Vorgaben im Gesundheitsdatenschutz mithilfe einer Software-Lösung effizient und rechtssicher umgesetzt werden können.

Mit Einführung des sogenannten Patientendatenschutzgesetzes bestehen seit Beginn dieses Jahres neue gesetzliche Anforderungen an die Informationssicherheit in Krankenhäusern, MVZ und Arztpraxen. Für Krankenhäuser besteht nach § 75c SGB V ungeachtet ihrer Größe die Pflicht zur Umsetzung eines „branchenspezifischen Sicherheitsstandards“ (B3S), soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen angemessene technische Vorkehrungen zu treffen haben. MVZ und Arztpraxen müssen nach § 75b SGB V die Vorgaben aus der „Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit“ der Kassenärztlichen Bundesvereinigung beachten. Auch IT-Dienstleister werden mit diesen Anforderungen an die IT-Sicherheit konfrontiert, wenn sie im Rahmen ihrer Tätigkeit mit der IT-Infrastruktur der genannten Einrichtungen in Berührung kommen. Die zur Umsetzung erforderlichen Maßnahmen können nach dem Krankenhauszukunftsgesetz gefördert werden. In unserem Health & Law Netzwerktreff geben wir einen Überblick über die neuen Anforderungen der IT-Sicherheit und die Möglichkeiten zur Förderung entsprechender Maßnahmen.

Die elektronische Patientenakte – ePA – ist eine grundlegende Neuerung im Gesundheitswesen. Die ePA vernetzt erstmals Versicherte mit Ärzten, Apotheken und Krankenhäusern in der Telematikinfrastruktur. Viele bisher analog oder in Papierform ablaufende Arbeitsschritte werden durch die ePA digitalisiert und vereinfacht. Als Anwender haben Krankenhäuser, Apotheken und Ärzte bei der Einführung und dem Betrieb der ePA aber auch eine Vielzahl datenschutzrechtlicher Anforderungen zu erfüllen. In unserem digitalen Health & Law Netzwerktreff geben wir Ihnen einen Überblick zum Thema ePA und Datenschutz.

Der Umgang mit Betroffenenanfragen von Patient:innen und Proband:innen sowie die Erfüllung der Betroffenenrechte stellen Krankenhäuser und weitere Unternehmen im Gesundheitswesen vor besondere Herausforderungen. Denn die DSGVO und nationale Gesetze geben erhöhte Anforderungen zur Verarbeitung von Gesundheitsdaten vor. Auf welche Weise müssen Patient:innen identifiziert werden, damit ihnen Auskunft erteilt werden kann – ist ein Personalausweis nötig? Wie umfangreich und über welche Gesundheitsdaten muss Auskunft erteilt werden? Müssen Proben im Rahmen des Auskunftsrechts herausgegeben werden? Wie und wann muss über die Verarbeitung von Gesundheitsdaten informiert werden? Diese und weitere Fragen beantworten wir in unserem nächsten Health & Law Netzwerktreff.

Wenn mehrere Unternehmen personenbezogene Daten gemeinsam nutzen und teilen – ob in klinischen Studien, beim Einsatz von Marktforschungsunternehmen oder grundsätzlich in der Co-Nutzung von Gesundheitsdaten – handelt es sich um eine gemeinsame Verantwortlichkeit im Sinne der DSGVO. Welche Regelungen müssen die Beteiligten dann in einem Joint Controller Agreement festhalten? Wo liegen die Chancen und Vorteile eines Joint Controller Agreements? Diese und weitere Fragen beantworten wir in unserem nächsten Health & Law Netzwerktreff am 23. März.

Hinter dem sperrigen Begriff der Datenschutz-Folgenabschätzung („DSFA“) verbirgt sich ein Verfahren, das gerade für Akteure aus dem Bereich Health in vielen Fällen gesetzlich verpflichtend sein wird. Bei der Erstellung der sogenannten DSFA werden Verarbeitungsverfahren auf ihre Zwecke und Risiken für die betroffene Person hin überprüft und geeignete Maßnahmen aufgestellt, um die datenschutzrechtlichen Vorgaben zu erfüllen. In der Praxis wird es vor allem Krankenhäuser, Pharma-Unternehmen und weitere Stakeholder des Gesundheitsbereichs betreffen, da hier in den meisten Verfahren Gesundheitsdaten verarbeitet werden.

Zur genauen Ausgestaltung der DSFA und der dazugehörigen Risikoanalyse gibt das Gesetz wenig Anhaltspunkte. In der Praxis wird man als Akteur in diesem Bereich allerdings häufig mit äußerst konkreten und strengen Anforderungen von Seiten der Datenschutzbehörden konfrontiert. Für Unternehmen aus dem Health-Bereich ist es daher von großem Vorteil, frühzeitig über diese Anforderungen Bescheid zu wissen. So lassen sich erhebliche Zeit- und Kostenaufwendungen und gegebenenfalls sogar Bußgelder vermeiden, die sich andernfalls im Nachhinein im Fall einer behördlichen Prüfung ergeben könnten.

Vor diesem Hintergrund möchten wir Ihnen einen Einblick in die gesetzlichen und behördlichen Vorgaben und unsere spezifischen Erfahrungen aus der Beratungspraxis geben – und uns im Anschluss an den Vortrag mit Ihnen dazu austauschen.

Die Zahl der Videosprechstunden und digitalen Behandlungen im Gesundheitswesen hat in den Zeiten von Corona deutlich zugenommen. Videosprechstunden bringen aber zusätzliche technische und juristische Risiken mit, indem sie die Zugriffsmöglichkeiten Dritter auf Patientendaten deutlich erhöhen. Ein effizienter Datenschutz gehört für die Zukunftsfähigkeit digitaler Sprechstunden daher dazu – worauf es dabei ankommt, erfahren Sie in unserem digitalen Netzwerktreff, bei dem wir mit Ihnen anschließend in die Diskussion kommen wollen.

Das Coronavirus SARS-CoV-2 hat zu umfangreichen Konsequenzen seitens der Regierungen geführt. Auch wenn der Kampf gegen die Pandemie im Vordergrund steht, sollten insbesondere Unternehmen und Einrichtungen, die im Gesundheitssektor ansässig sind oder mit besonders geschützten Gesundheitsdaten arbeiten, bedacht und rechtskonform vorgehen. Daher stehen nun die Besonderheiten des Mitarbeiterdatenschutzes gerade auch bei diesen Unternehmen im Fokus dieser Veranstaltung.

Klinische Studien, der Einsatz von Marktforschungsunternehmen oder allgemein die gemeinsame Nutzung von Patientendaten: Diese und noch viele weitere Konstellationen der Zusammenarbeit können zu einer gemeinsamen Verantwortlichkeit führen.
Durch die sog. Joint Controllership als Regelung des Datenaustauschs hat die DSGVO Unternehmen einem neuen Bußgeldrisiko ausgesetzt. Denn die gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO kann auch vorliegen, ohne dass Unternehmen dies beabsichtigen. Sind dann keine entsprechenden Vereinbarungen getroffen, liegt ein Verstoß gegen die Datenschutzgesetze vor.
Abgesehen von diesen Risiken bietet die neue Kooperationsform auch Chancen. Gerade Pflichten gegenüber den Betroffenen einer Datenverarbeitung können hier klar geregelt und Zuständigkeiten abgegrenzt werden. Dadurch können Prozesse verschlankt und Aufwand verringert werden.