Wie der Datenschutz mit Gesundheitsdaten-Ökosystemen umgeht

Sie sind spezialisiert auf Datenschutz-, Informations- und Technologierecht. Haben Sie in diesem Zusammenhang auch mit Fällen aus dem Bereich E-Health zu tun?

Anne-Sophie Morand: Wir beraten regelmässig Kunden im E-Health-Bereich und begegnen dabei sehr interessanten datenschutzrechtlichen und regulatorischen Fragen. Es ist spürbar, dass der Datenschutz – insbesondere mit Blick auf das Inkrafttreten des revidierten Datenschutzgesetzes – stärker in den Fokus gerückt ist und die im E-Health agierenden Unternehmen dem Datenschutz eine grosse Bedeutung zumessen. Zudem stellen wir fest, dass sich vermehrt Start-ups in den E-Health-Bereich vorwagen. Im Vordergrund stehen dabei Gesundheits-Apps oder telemedizinische Dienstleistungen. Hierbei stellen sich neben datenschutzrechtlichen Fragen insbesondere auch regulatorische, z.B. ob die Voraussetzungen einer Bewilligungserteilung vorliegen oder die verwendete Technologie als Medizinprodukt zertifiziert werden muss.

Welches sind die häufigsten Probleme, die Sie in Zusammenhang mit E-Health behandeln?

Michael Isler: An erster Stelle steht regelmässig die Komplexität der Lösung und des stark verzettelten regulatorischen Umfelds. Denn je nach Einsatzspektrum der verwendeten Technologie und Geschäftsmodell müssen unterschiedliche Vorschriften eingehalten werden. Schon die Abgrenzung, ob ein Produkt oder eine Gesundheitsdienstleistung angeboten wird, kann knifflig sein und die Weichenstellung stark beeinflussen. Konkret besteht beispielsweise die Herausforderung, dass sich die Berufsausübungspflichten jeweils nach den gesetzlichen Bestimmungen des Kantons richten, in welchem die Fachperson tätig ist, während Medizinprodukte zwar einer einheitlichen Regulierung unterstehen, dafür aber die Compliance-Anforderungen gerade für Start-ups prohibitiv hoch sein können. Mit Blick auf die verschiedenen involvierten Parteien ist es sodann immer wichtig, die jeweiligen Rollen sauber abzuklären. Wann ist bspw. das im E-Health-Bereich agierende Unternehmen datenschutzrechtlich verantwortlich oder sog. gemeinsam verantwortlich. Wann ist ein Vertragspartner verantwortlich? Damit verbunden ist auch immer die Frage, ob ein Partnerunternehmen Gesundheitsdaten für eigene Zwecke weiterbearbeiten darf. Umgangssprachlich ausgedrückt geht es um die Frage, „wem die Daten des Patienten gehören“. Unternehmen wollen sodann oft wissen, ob es für die Bearbeitung von Gesundheitsdaten eine Einwilligung braucht.

Schliesslich ist auch die Einbettung von E-Health in unser Krankenversicherungssystem ein Thema. Stichworte sind hier die Vergütung von Leistungen und der Datenaustausch mit Versicherern. Da stehen wir in der Schweiz noch ganz am Anfang.

Welche Datenschutzrisiken bestehen innerhalb eines Ökosystems, an dem sich allenfalls hunderte verschiedene Gesundheitsinstitute beteiligen? Wie lassen sich diese Risiken minimieren?

Morand: Sie sprechen einen wunden Punkt an: Ökosysteme führen in der Regel zu einer Verantwortungsdiffusion. Unser Konzept des Datenschutzes geht demgegenüber vom Idealfall einer klaren Rollenverteilung und Bündelung der Verantwortung aus. Dieser Widerspruch lässt sich nicht immer zufriedenstellend lösen und führt ausgerechnet an den vulnerablen Schnittstellen zu Schutzlücken. An erster Stelle sind Cyberrisiken zu nennen. Beispielsweise haben Cyberangriffe auf Spitäler in den letzten Jahren weltweit deutlich zugenommen, was auch die Schweizer Spitäler zu spüren bekommen haben. Schlimmstenfalls werden dabei nicht nur sensible Patientendaten geleakt, sondern es könnte auch zu Manipulationen von lebenserhaltenden Geräten kommen. In einem Ökosystem, woran sich eine Vielzahl von verschiedenen Gesundheitsinstituten beteiligen, könnte ein weiteres Risiko darin bestehen, dass es bei der Zusammenführung von Datensätzen aus unterschiedlichen Quellen zu Fehlern kommt – die Richtigkeit von Daten geniesst im Datenschutz bekanntlich einen hohen Stellenwert, und im Gesundheitsbereich steht bei Fehlern nicht nur die informationelle Selbstbestimmung, sondern auch die körperliche Unversehrtheit auf dem Spiel.

Um die bestehenden Risiken zu minimieren, braucht es nicht nur eine robuste IT-Infrastruktur, sondern auch organisatorische Massnahmen. Es muss klar sein, wie die Verantwortungen zugeordnet sind und im Falle einer Krise vorzugehen ist. Diese Prozesse müssen nicht nur dokumentiert, sondern vor allem auch geschult werden.

Welche datenschutzrechtlichen Unterschiede bestehen zwischen gesundheitsbezogenen Daten und herkömmlichen Datensätzen, etwa zu Browse- oder Kaufverhalten von Kunden?

Isler: Unter Gesundheitsdaten sind Informationen zu verstehen, die Aufschlüsse über medizinische Befunde geben. Sie werden datenschutzrechtlich als besonders schützenswerte Personendaten betrachtet, weil es sich hierbei in der Regel um sensible Daten handelt. Die Schweiz ist aufgrund der Europaratskonvention verpflichtet, für besonders schützenswerte Personendaten zusätzliche Schutzmechanismen vorzusehen. Hierbei sei gesagt, dass im DSG das Prinzip des risikobasierten Ansatzes gilt, weshalb im Einzelfall eine Wertung zugelassen ist. Je heikler und sensibler Personendaten sind und je höher das Risiko für eine Verletzung der Persönlichkeit ist, desto strengere Massnahmen sind zu treffen, um das Risiko zu minimieren. Ist in einem bestimmten Fall beispielsweise eine Einwilligung erforderlich – weil z.B. die datenschutzrechtlichen Grundsätze nicht eingehalten werden und ein Rechtfertigungsgrund erforderlich ist, muss diese Einwilligung ausdrücklich erfolgen, wenn besonders schützenswerte Personendaten bearbeitet werden. Soweit Bundesorgane besonders schützenswerte Personendaten bearbeiten, muss jeweils eine Grundlage in einem Gesetz im formellen Sinn vorliegen.

Tun Spitäler, Kliniken, Praxen, etc. genug, um Patienten über die mögliche Weiterverwendung ihrer Daten aufzuklären?

Morand: Sollen Personendaten für die medizinische Forschung weiterverwendet werden können, sind betroffene Personen über den Zweck und Umfang der Weiterverwendung zu informieren. Je nach Art der weiterverwendeten Gesundheitsdaten ist eine Einwilligung erforderlich oder die betroffene Person kann widersprechen. Ob betroffene Personen das besagte Formular in der Praxis tatsächlich aufmerksam durchlesen, kann nicht beurteilt werden. Vermutlich werden die entsprechenden Informationen aber eher gelesen als bspw. eine Datenschutzerklärung eines Online-Shops, da das Thema Gesundheitsdaten in der Gesellschaft in den letzten Jahren stärker in den Fokus gerückt ist.

Meineimpfungen.ch, Mammoregister, Swisstransplant, die Liste von Gesundheitsplattformen, die wegen ihres Umganges mit Nutzerdaten für negative Schlagzeilen sorgen ist lang. Gibt es hier ein grundsätzliches Problem?

Isler: Gewisse Plattformen standen bereits zu Beginn auf unsicherem Fundament, sind dann mit der Digitalisierung sehr schnell gewachsen, ohne den ebenso erhöhten Anforderungen an die Datensicherheit gerecht zu werden. In Bezug auf Gesundheitsdaten ist es sicherlich noch viel zentraler, die Datenrichtigkeit und die Datensicherheit zu gewährleisten. Eine regelmässige Überprüfung der datenschutzrechtlichen Compliance und der IT-Sicherheit kann dabei helfen. Bei Meineimpfungen.ch bestand das Problem letztlich darin, dass sich niemand richtig zuständig fühlte – die Stiftung sah das BAG im Lead, weil der Bund die Stiftung finanziell unterstützte, und das BAG hatte seines Erachtens eine unabhängige Stiftung vor sich, bei der keine Einflussmöglichkeiten bestehen. Am Ende hatte die Stiftung kein Geld mehr und der Bund konnte nicht einfach eingreifen, da keine gesetzliche Grundlage für die Bearbeitung der Impfdaten bestand. In Zukunft sollten solche Projekte professionell begleitet werden, damit die Datensicherheit und professionelle Ausgestaltung des Datenschutzes von Anfang an mitgedacht werden.

In seinem halbjährlichen Tätigkeitsbericht kritisiert der EDÖB eine "wachsende Geringschätzung der Privatsphäre" und erwähnt dabei explizit Gesundheitsplattformen. Teilen Sie diese Ansicht?

Morand: Die Vorfälle, die sich bei den Gesundheitsplattformen zugetragen haben, können nicht ignoriert werden. Es ist richtig, dass der EDÖB diese aufgreift und zum Diskussionsthema macht. Der EDÖB hat auch für diese Fälle jeweils eine Sachverhaltsabklärung durchgeführt und Empfehlungen ausgesprochen. Bei den Abklärungen wurden ernsthafte Sicherheitslücken in technischer Hinsicht entdeckt. Jedoch ist das Statement «Geringschätzung der Privatsphäre» unseres Erachtens nicht ganz zutreffend bzw. überspitzt formuliert. Es ist zwar korrekt, dass durch die technischen Lücken die Privatsphäre der Nutzer beeinträchtigt wurde, allerdings impliziert der Ausdruck «Geringschätzung», dass hinter den Mängeln der Gesundheitsplattformen nicht bloss ein IT-Problem, sondern ein allgemeines Problem mit der Einstellung der Anbieter betreffend Datenschutz steckt. Bei den genannten Beispielen lag das Hauptproblem wohl aber vor allem bei der ungenügenden Organisation und unzureichenden Zuteilung der Verantwortlichkeiten.

Wer ist Ihrer Meinung nach gefordert, damit sich dies ändert?

Isler: Grundsätzlich sollten bei neuen Projekten im Gesundheitsbereich die Ursachen für die in der Vergangenheit eingetretenen Sicherheitsprobleme analysiert werden, sodass bereits ab Beginn ein möglichst sicheres System auf die Beine gestellt werden kann. Das Thema Datensicherheit hat dabei jeweils im Zentrum solcher Projekte zu stehen. Auch müssen die involvierten Parteien solcher Projekte von Beginn ihre Rolle kennen. Die datenschutzrechtliche Compliance sollte eine zwingende Voraussetzung für die Sprechung von Geldern durch den Bund darstellen und jeweils auch regelmässig überprüft werden. Generell ist wohl wichtig, in der Gesellschaft ein besseres Verständnis für den Datenschutz zu fördern.

In welchen Fällen könnte der mögliche medizinische Nutzen von Patientendaten über allfällige Datenschutzbedenken gestellt werden?

Morand: Beispielsweise könnte eine gemeinsame Database für Patienten mit chronischen Krankheiten, die bei mehreren Ärzten und Spitälern in Behandlung sind, vorteilhaft sein und zu einer Verbesserung der medizinischen Behandlungsqualität führen. Auch für die klinische Forschung wäre ein erleichterter Zugang zu sogenannter Real World Evidence enorm fruchtbar. In eine ähnliche Richtung zielt die am 22. August 2022 eingereichte Motion der Kommission für Wissenschaft, Bildung und Kultur des Ständerates. Hierbei soll der Bundesrat beauftragt werden, Grundlagen für die Sekundärnutzung von Daten zu schaffen. Konkret wird gefordert, dass der Bundesrat die Rahmenbedingungen für den Aufbau und den Betrieb von Datennutzungsinfrastrukturen regelt. Dadurch soll insbesondere eine verbesserte Kooperation zwischen privaten, halbprivaten und öffentlichen Marktakteuren, der Forschung, der Bildung und dem Staat ermöglicht werden. Eine nationale Regulierung würde den Vorteil einheitlicher Rechtsregeln bringen, was eine Fragmentierung der Gesetzgebung, wie sie im Gesundheitsbereich bereits durch die kantonalen Gesundheitsgesetze besteht, verhindern würde. Zum Datenschutz wurde im Motionstext bisher noch nicht viel gesagt. Es ist aber wichtig, dass der Datenschutz bei entsprechenden Gesetzesprojekten von Beginn an mitgedacht wird.

Gibt es innerhalb des neuen Datenschutzgesetzes auch Regelungen, die den Umgang mit Patientendaten innerhalb eines Gesundheits-Ökosystems betreffen?

Isler: Das revidierte Datenschutzgesetz will unter anderem auch die Verantwortlichkeiten klarer zuordnen, indem zwischen der Rolle des Verantwortlichen für den Datenschutz und dem Auftragsbearbeiter unterschieden wird. Die Praxis greift hier allerdings schon lange vor und arbeitetet mit diesem Rollenkonzept. Der Treiber ist weniger das revidierte Datenschutzgesetz als vielmehr die europäische Rechtsentwicklung. In der Beratung gewinnt zudem die gemeinsame Verantwortung immer mehr Gewicht. Damit sollen Ökosysteme eingefangen werden, die sich in keine hierarchische Struktur pressen lassen.

Bräuchte es aus ihrer Sicht nationale Richtlinien, wann, wie und in welcher Form gesundheitsbezogenen Daten innerhalb von medizinischen Ökosystemen geteilt werden können/dürfen?

Morand: Nationale Richtlinien über die weitere Verwendung von Gesundheitsdaten hätten den Vorteil, dass offene Fragen einheitlich geregelt würden, zum Beispiel Standards, wie Patientenprofile und Krankheitsverläufe pseudonymisiert oder anonymisiert werden sollen, um Datenschutzrisiken zu reduzieren. Es könnten damit auch Ängste abgebaut werden, denn mitunter fusst die Zurückhaltung der Akteure im Umgang mit Gesundheitsdaten nicht auf gesetzlichen Restriktionen, sondern auf einer sehr verständlichen Risikoaversion. Es wird wohl noch etwas dauern, bis sich der Umgang mit Daten in medizinischen Ökosystemen festigt und sich einheitliche Standards herausbilden. Bis dahin ist es möglich, dass es von Kanton zu Kanton oder je nach Gesundheitsinstitut zu Abweichungen kommt. Nationale Richtlinien, welche die datenschutzrechtliche Gesetzgebung präzisieren und ausführen, könnten durchaus Abhilfe schaffen und als Katalysator wirken. Jedoch ist hier auch anzumerken, dass in einem medizinischen Ökosystem unterschiedliche Akteure des Gesundheitswesens mit unterschiedlichen Aufgaben involviert sind. Richtlinien, welche für ein Spital gelten, können nicht identisch auf eine Apotheke oder eine Versicherung übertragen und angewendet werden. Um wirklich konkrete und für die Praxis hilfreiche Standards zu etablieren, wäre es deshalb bei der Ausarbeitung solcher Richtlinien von Vorteil, wenn zwischen den einzelnen Gesundheitsinstituten differenziert würde. Für die Forschung gelten wiederum andere Prämissen wie für die medizinische Behandlung.

Auch beim elektronischen Patientendossier EPD gibt es aus der Bevölkerung immer wieder Datenschutzbedenken, wie sieht es dort aus mit der Datensicherheit?

Isler: Die Datensicherheit geniesst beim EPD einen sehr hohen Stellenwert. Das ist auch deshalb wichtig, weil das EPD selbst als dezentrales Sekundärsystem aufgesetzt ist und deshalb über zahlreiche Schnittstellen mit den Primärsystemen der Gesundheitseinrichtungen verbunden ist – eine typische Ökosystem-Konstellation. Die komplexe Sicherheitsarchitektur ist auch mit ein Grund, weshalb das EPD nicht vom Fleck kommt. Die von verschiedener Seite geäusserten Datenschutzbedenken stellen denn auch kaum je die Datensicherheit in Frage, sondern haben eine andere Stossrichtung. Zum Beispiel wird die übermässige Dauer der Datenspeicherung oder die bedingte Nachvollziehbarkeit der Datenbearbeitungsvorgänge in diesem komplexen System kritisiert. Bei letzterem Punkt wird konkret in Frage gestellt, ob die Art der Bearbeitung, die Beschaffung und der Zweck für EPD-Nutzer immer transparent erkennbar ist. Ein weiterer Kritikpunkt ist die Opt-out-Variante beim Datenzugriff. Neu aufgenommene Daten sollen automatisch der Vertraulichkeitsstufe „normal zugänglich“ zugeordnet werden, wenn ein Nutzer keine eigene Zuteilung der Vertraulichkeitsstufe vornimmt. Dadurch könnten mehr Gesundheitsfachpersonen auf diese Daten im EPD zugreifen, weshalb von verschiedenen Seiten mit Blick auf die Zuteilung der Vertraulichkeitsstufen eine Opt-in-Lösung bevorzugt wird.

Würden Sie persönlich ein EPD anlegen? Hat ihre Entscheidungen einen datenschutztechnischen Hintergrund?

Morand: Ich finde die Idee eines EPD sehr gut, da ein besserer Überblick über die eigenen gesundheitsrelevanten Daten besteht. In meiner früheren Funktion beim EDÖB hatte ich mit einigen EPD-Anbietern das Vergnügen und dabei festgestellt, dass man sich beim Datenschutz viele Gedanken gemacht hat. Der Bundesrat hat am 27. April 2022 sodann verlauten lassen, dass er das EPD weiterentwickeln will und das EPD u.a. zu einem Instrument der obligatorischen Krankversicherung werden soll. Der Bund hätte in diesem Fall eine weitreichende Regelungskompetenz. Diese Entwicklung werde ich sicherlich weiterverfolgen. Ich ziehe aber durchaus in Betracht, künftig ein EPD zu eröffnen.

Isler: Ich hatte eigentlich vor, mit gutem Beispiel voranzugehen und ein EPD zu eröffnen, verzagte aber aufgrund der zahlreichen Medienbrüche. Es wird tatsächlich verlangt, die Geschäftsstelle der Stammgemeinschaft aufzusuchen, um dort sein schriftliches Einverständnis zu dokumentieren. Das wollte ich mir angesichts des aktuell noch sehr geringen Nutzens des EPD dann doch nicht zumuten.