ArchivDeutsches Ärzteblatt8/2018Datenschutz-Grundverordnung: Recht auf Datenübertragbarkeit

THEMEN DER ZEIT

Datenschutz-Grundverordnung: Recht auf Datenübertragbarkeit

Dtsch Arztebl 2018; 115(8): A-330 / B-282 / C-282

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Die europäische Datenschutz-Grundverordnung verpflichtet Unternehmen dazu, bereitgestellte Daten eines Betroffenen auf dessen Verlangen in einem strukturierten, gängigen und maschinenlesbaren Format auszuhändigen.

Betroffenenrecht bedeutet: Einerseits dürfen Betroffene sich Daten, die sie einem Unternehmen bereitgestellt haben, aushändigen lassen oder aber diese Daten an einen beliebigen Dritten transferieren lassen. Foto: fotojog/iStockphoto
Betroffenenrecht bedeutet: Einerseits dürfen Betroffene sich Daten, die sie einem Unternehmen bereitgestellt haben, aushändigen lassen oder aber diese Daten an einen beliebigen Dritten transferieren lassen. Foto: fotojog/iStockphoto

Weder die EU-Datenschutzrichtlinie 95/46/EG noch die deutschen Datenschutzgesetze kennen bislang ein Recht auf Datenübertragbarkeit. Ab dem 25. Mai 2018 können Betroffene, wie zum Beispiel Bürger, Patienten oder Probanden, das Recht entsprechend Art. 20 der europäischen Datenschutz-Grundverordnung (DS-GVO) wahrnehmen. Zu diesem Zeitpunkt ist die DS-GVO, die seit 25. Mai 2016 in Kraft ist, direkt geltendes nationales Recht. Mit der Einführung des neuen Rechts will der Gesetzgeber das informationelle Selbstbestimmungsrecht stärken. Die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) hat hierzu eine ausführliche Stellungnahme veröffentlicht (http://daebl.de/CU61), die vor allem auf die Bedeutung im medizinischen Kontext eingeht.

Anzeige

Beim Art. 20 handelt es sich um ein Betroffenenrecht: Einerseits dürfen Betroffene sich Daten, die sie einem Unternehmen bereitgestellt haben, aushändigen lassen oder aber diese Daten an einen beliebigen Dritten transferieren lassen. „Ob an ein anderes Krankenhaus, an eine Arztpraxis oder an Facebook – das ist die Entscheidung der betroffenen Person, allein diese bestimmt dies“, erläutert Dr. Bernd Schütze, Mitglied der für das Papier verantwortlichen GMDS-Arbeitsgruppe Datenschutz und IT-Sicherheit im Gesundheitswesen. Die Daten von A nach B zu übertragen, sei heute jedoch nicht ohne Weiteres möglich, etwa wenn man den Hausarzt wechseln oder eine Zweitmeinung einholen will.

Das Recht ist zudem nur anwendbar, wenn es sich um personenbezogene Daten handelt. Darunter fallen auch Pseudonyme, wie sie etwa in Forschungsprojekten verwendet werden. Weitere Voraussetzungen: Der Betroffene muss dem Verantwortlichen Daten zur Verarbeitung bereitgestellt haben und die Verarbeitung muss auf einer datenschutzrechtlichen Einwilligung oder auf einem Vertrag beruhen. Auch muss die Verarbeitung mittels automatisierter Verfahren erfolgen, zum Beispiel per Smartphone, Tablet oder Computer.

Betroffenenrecht bleibt bestehen

Was ist unter „bereitgestellten Daten“ zu verstehen? Laut Schütze definiert der „Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte“ Bereitstellung als „Verschaffung des Zugangs zu oder die Zurverfügungstellung von digitalen Inhalten“ – eine sehr weit gefasste Formulierung. Darunter fallen viele Daten im Gesundheitswesen, sei es in der Arztpraxis, im Krankenhaus oder in der medizinischen Forschung. „Daten werden dann bereitgestellt, wenn der Betroffene dem Verantwortlichen Zugriffsmöglichkeiten einräumt“, meint der Datenschutzexperte. Nicht bereitgestellte Daten sind zum Beispiel Metadaten oder Protokolldaten, die beim Verarbeiter selbst anfallen.

Entsprechend Art. 20 Abs. 3 DS-GVO bleibt das Betroffenenrecht „auf Löschung“ gemäß Art. 17 durch die Ausübung des Rechts auf Datenübertragung unberührt. Eine Datenübertragung geht somit nicht mit einer Löschung der Daten bei dem (ursprünglichen) Verantwortlichen einher. Vielmehr ist davon auszugehen, dass immer eine Kopie der Daten übermittelt wird und die ursprünglichen Daten beim übermittelnden Verantwortlichen verbleiben.

Nach wörtlicher Auslegung des Gesetzes wären Verträge entsprechend Art. 9 Abs. 2 lit. h DS-GVO (Vertrag mit „Angehörigen eines Gesundheitsberufs“) von der Regelung ausgenommen, das heißt, der Behandlungsvertrag würde nicht der tatbestandlichen Voraussetzung von Art. 20 entsprechen. Aus Erwägungsgrund (ErwGr.) 68 zum Gesetzestext schließen die GMDS-Experten jedoch, dass der europäische Gesetzgeber eigentlich beabsichtigte, auch im Rahmen von zivilrechtlichen Behandlungsverträgen verarbeitete Patientendaten einzubeziehen. Danach würde auch ein „Erst-Recht-Schluss“ zu dem Ergebnis kommen, dass das Recht auf Datenübertragbarkeit auch für Verträge nach Art. 9 Abs. 2 lit. h gelten müsste. „Die Intention der DS-GVO ist ja, die Rechte der betroffenen Person zu wahren“, meint Schütze. So könne es nicht für „normale“ Daten ein Recht der betroffenen Person geben, das für Daten, die besonders schützenswert sind und für die die Person daher umfassendere Rechte benötigt, nicht gelte. „Daher kann man argumentieren, dass ein Versehen des Gesetzgebers vorliegt und das Recht auch hier gelten muss“, so Schütze.

Keine Filterung möglich

Hinzu kommt: IT-Systeme ermöglichen in der Regel nicht die Selektion von Daten, die aufgrund einer Einverständniserklärung oder eines Vertrages verarbeitet werden. Unter den personenbezogenen Daten sind in der Regel auch solche enthalten, die auf einer Einwilligung beruhen (wie etwa die Abrechnung von Privatpatienten, die Übermittlung eines Entlassbriefs an den Hausarzt, die Weitergabe von Patientendaten zu Forschungszwecken). Da in den IT-Systemen nach Daten im Hinblick auf den rechtlichen Tatbestand der Verarbeitung nicht gefiltert werden kann, erscheint die Frage eher rechtstheoretischer als praktischer Natur. „Wie soll man dem Recht auf Datenübertragbarkeit bezüglich Daten, die auf einer Einwilligung beruhen, nachkommen, wenn man diese Daten nicht herausfiltern kann? Das geht wohl nur, wenn man alle Daten exportiert“, erklärt der Datenschutzexperte.

Vor diesem Hintergrund sei im medizinischen Kontext davon auszugehen, „dass häufig sowohl die bei der Patientenversorgung anfallenden Daten als auch die im Rahmen der Sekundärnutzung verarbeiteten Daten dem Recht auf Datenübertragbarkeit unterliegen“, so die GMDS-Stellungnahme.

Das Gesetz enthält darüber hinaus weitere Anforderungen: Die Daten müssen ohne Behinderung, etwa durch zu lange Bearbeitungszeiten oder unzumutbare Bedingungen für die Antragstellung („Füllen Sie bitte die beiligenden 128 Formularseiten aus . . .“), übermittelt werden. Eine Ausnahme davon ist der Fall, wenn die Behinderung technisch bedingt ist, etwa wenn keine Daten elektronisch verarbeitet werden können (Beispiel: ein Physiotherapeut, der ohne Computer arbeitet). Ohne automatisierte Verarbeitung hat die betroffene Person nicht das Recht auf Datenübertragbarkeit.

Vertragsbedingungen, nach denen ein Betroffener seine Daten nicht mitnehmen kann, sind hingegen ungültig und nichtig. Die Verweigerung der Datenübertragung durch den Verantwortlichen ist dabei bußgeldbewehrt, die Strafen werden deutlich höher angesetzt als heute. Der Gesetzgeber sieht für Verstöße gegen Art. 20 Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes vor.

Die Daten müssen zudem in einem „strukturierten, gängigen und maschinenlesbaren Format“ übergeben werden. Der ErwGr. 68 des Gesetzgebers fordert zusätzlich ein interoperables Format: „Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen.“ Für Deutschland mit der starken sektoralen Trennung ist diese Anforderung der EU-DSGVO eine große Herausforderung, da die Standards im ambulanten und im stationären Bereich derzeit jeweils andere sind. Nebenbedingungen sind darüber hinaus der Stand der Technik und der Grundsatz der Verhältnismäßigkeit. Auch muss der wirtschaftliche Einsatz der Umsetzung zumutbar sein.

Laut DS-GVO ist es Sache des Verantwortlichen (nicht des Herstellers), sich um die standardisierten Formate zu kümmern. Damit ist das Krankenhaus, die Arztpraxis oder die Apotheke als datenverarbeitende Stelle adressiert, auf interoperable Formate hinzuwirken und diese in Zusammenarbeit mit den Herstellern zu entwickeln.

Finanzielle Anreize notwendig

Aus Sicht der GMDS-Experten ist zur Erarbeitung eines entsprechenden interoperablen Formats eine übergreifende Initiative erforderlich, der zumindest Verantwortliche und Hersteller von IT-Lösungen angehören. Zusätzlich fordern sie hierfür finanzielle Anreize, da eine alleinige Finanzierung durch die Leistungserbringer als Verantwortliche „faktisch nicht möglich“ sei.

Solange kein interoperables Format, das dem Recht Genüge tut, verfügbar ist, plädieren die GMDS-Experten für PDF-Dateien, eingebettet in den Patienten und Behandler identifizierenden Metadaten, als Übergangslösung. Als endgültige Lösung empfehlen sie das internationale „HL7 CDA Level 3“-Format, das alle Daten in einem strukturierten Format enthält, sodass alle Behandlungsdaten vom empfangenden System auch wiederverwendet werden können. Ebenso gibt es im radiologischen Bereich mit DICOM ein etabliertes Format für den Datenaustausch. Allerdings sind genaue Spezifikationen und Leitfäden zur Implementierung erforderlich, mit deren Erarbeitung zum Beispiel die Organisation HL7 Deutschland beauftragt werden könnte, regt die Arbeitsgruppe an. Heike E. Krüger-Brand

Art. 20 der EU-Datenschutz-Grundverordnung

Recht auf Datenübertragbarkeit

(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und

b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

(3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. (. . .)

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Themen:

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Anzeige