Datenschutz: Nutzung von Routinedaten in der Lehre

Wie lassen sich die Anforderungen an eine zeitgemäße medizinische Lehre mit dem Persönlichkeitsrecht des Patienten unter der neuen EU-Datenschutz-Grundverordnung vermitteln?

Foto: mauritius images

Die Aus- und Weiterbildung von Ärzten werden ebenso wie die wissenschaftliche Arbeit zunehmend von multimedialen Inhalten geprägt. Auch spielen Kurse mit fallbasiertem problemorientierten Lernen sowie Blended Learning und E-Learning eine immer größere Rolle (2–6). Digitalisierte klinische Befunde, radiologische Diagnostik sowie Bild- und Videodokumentation müssen hierfür auch über die Zwecke der Krankenversorgung hinaus archiviert und anlysiert werden (7, 8). Dabei ist es wichtig, den klinischen Verlauf abzubilden. Um bei der großen Menge an Informationen eine entsprechende Struktur zu bewahren, muss für die Dauer der Datenerhebung – und der kompletten Behandlungszeit – eine Zuordnung des Materials zum Patienten geschaffen werden. Dies ist mit Blick auf den Datenschutz eine Herausforderung.

Dem Interesse der Datennutzung in Forschung und Lehre steht das Recht auf informationelle Selbstbestimmung des Patienten gegenüber. Juristisch sind die Daten aus dem Behandlungskontext doppelt geschützt: einerseits durch die Datenschutzgesetzgebung – Bundesdatenschutzgesetz (BDSG), EU-Datenschutz-Grundverordnung (EU-DSGVO beziehungsweise EU-V 679/2016) – und andererseits durch die ärztliche Schweigepflicht (1).

Neuerungen im Datenschutz

Die Datenschutzgesetzgebung folgt dem Prinzip des Verbots mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist danach unzulässig, wenn sie nicht auf einer Einwilligung der betroffenen Person oder einer anderen Rechtsgrundlage beruht, die sich aus der EU-DSGVO, sonstigem Unionsrecht oder dem Recht der Mitgliedstaaten ergeben kann. Derartige gesetzliche Regelungen für die Forschung finden sich in der nationalen Gesetzgebung etwa in § 24 BDSG (Zweckänderung der Daten) oder § 27 BDSG (Forschungsklausel) wieder.

Die EU-DSGVO stuft Gesundheitsdaten als besonders sensibel und schutzbedürftig ein und regelt im Rahmen besonderer Kategorien personenbezogener Daten (§ 9 EU-DSVGO) auch die Voraussetzungen zur Datenverarbeitung ohne Einwilligung des Betroffenen. So können etwa für Forschungszwecke nationale Regelungen erlassen werden. Auch dürfen die Mitgliedstaaten für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten über die EU-DSGVO hinausgehende, zusätzliche Bedingungen oder Beschränkungen festlegen. Beides wurde für Deutschland in § 22 BDSG umgesetzt. Dort werden die Zulässigkeit der Verarbeitung von Gesundheitsdaten und die Voraussetzungen durch technische und organisatorische Maßnahmen (TOM) definiert.

Entsprechend den Art. 13 und 14 der EU-DSGVO sowie der §§ 32–33 des BDSG-neu besteht zudem die Pflicht, die betroffene Person über die Erhebung personenbezogener Daten einschließlich deren Bestimmungszweck und Speicherungsdauer zu informieren. Das Auskunftsrecht, Recht auf Löschung und Widerspruchsrecht regeln die §§ 34–36 BDSG-neu.*

Die Verwendung von anonymisierten Daten wäre in einer Vorlesung (mithin für die Lehre) grundsätzlich möglich, da diese nicht den Datenschutzregelungen unterliegen und Aspekte der strafrechtlichen, ärztlichen Schweigepflicht nicht betroffen sind. Dabei ließe sich eine absolute und zum Teil auch nur eine faktische Anonymität der Daten herstellen, wie es noch das „alte“ BDSG differenziert hat. Absolute Anonymisierung ist dabei eine Eigenschaft der Daten und bedeutet, dass diese auch nicht mit zusätzlichem Wissen oder der Anwendung mathematischer/informatischer Methoden einer bestimmten Person zugeordnet werden können. Hierfür müssen zu möglichst vielen Individuen möglichst wenige Merkmale (Datensparsamkeit) möglichst grob erfasst werden. Dies gilt auch für Bilddaten, etwa einer cranialen Computertomografie (CCT): Aus den CCT-Daten ist eine Gesichtsrekonstruktion und damit eine Zuordnung zu einer Person möglich. Die Bilddaten müssten daher so verändert werden, dass diese Zuordnung nicht mehr möglich ist (Anonymisierung durch „Defacing“) (10, 11).

Absolut oder faktisch anonym

Häufig ist in Forschung und Lehre eine absolute Anonymität der Daten nicht möglich, ohne dass das Ziel der Datenverarbeitung gefährdet beziehungsweise der Aufwand zu hoch wird (zum Beispiel Defacing für die Verwendung eines CTs in einer Vorlesung). In diesem Fall sind TOM erforderlich, um die Gefahr einer Identifizierung eines Individuums zu minimieren. Werden etwa Bilddaten nur in einer Vorlesung oder einem Vortrag präsentiert, aber nicht herausgegeben, ist eine Gesichtsrekonstruktion auszuschließen, sodass sich die Daten nach Meinung der Autoren als faktisch anonym betrachten lassen.

Die DSGVO enthält allerdings nicht mehr die begriffliche Unterscheidung zwischen absoluter und faktischer Anonymisierung, sondern unterscheidet lediglich Anonymisierung und Pseudonymisierung. Die Formulierungen des Erwägungsgrundes 26 zur DSGVO zielen dem Verständnis nach eher darauf ab, dass mit Anonymisierung nur die bisherige absolute Anonymisierung gemeint ist. Bei medizinischen Daten sind aber die Möglichkeiten der Re-Identifizierung stets immanent, siehe etwa genetische Daten, Bilddaten oder medizinische Daten in Abhängigkeit von Gruppenanzahl. Daher ist unter Einbezug aktueller und künftiger technischer Möglichkeiten nebst den im Internet potenziell verfügbaren Daten oft nur eine faktische Anonymisierung möglich. Medizinische Daten lassen sich somit eher schwierig im Sinne der DSGVO anonymisieren, sondern meist nur pseudonymisieren. Daher bleibt abzuwarten, ob sich dieses Verständnis im Sinne einer absoluten Anonymisierung nach der DSGVO dauerhaft halten wird (Kasten).

Können medizinische Daten lediglich pseudonymisiert werden, bedarf es ebenso wie bei nicht pseudonymisierten Daten einer Rechtsgrundlage oder der Einwilligung des Betroffenen zur Datenverarbeitung. Während es für die Forschung gegebenenfalls im BDSG oder in Landesgesetzen entsprechende Forschungsklauseln gibt, fehlen diese für die Lehre, sodass für die Verarbeitung pseudonymisierter Daten einschließlich Bilddaten eine Einwilligung der betroffenen Person erforderlich ist. Dies empfiehlt sich auch aus berufsethischen und berufsrechtlichen (Schweigepflicht) Gründen.

Aufwand bei der Einwilligung

Das Einholen einer Einwilligung ist bei Patienten, die zum Behandlungszeitpunkt aufgrund etwa eines schweren Traumas nicht einwilligungsfähig sind, nicht oder nur mit einem nicht erbringbaren Aufwand möglich. Richtlinien oder Empfehlungen zum Umgang mit Daten von nichteinwilligungsfähigen Personen gibt es zwar für die Forschung (9), für die Lehre wurden diese nach Kenntnis der Autoren jedoch noch nicht getroffen.

Daher sollten bei der Verwendung von Daten und Bildmaterial von nichteinwilligungsfähigen Personen diese Daten entweder anonymisiert oder aber die Einwilligung eines berechtigten Vertreters (zum Beispiel gesetzlicher Vertreter bei Kindern oder bei Volljährigen Vorsorgevollmacht, gerichtlich bestellter Betreuer) eingeholt werden. Gleiches gilt für die Verwendung von Daten beim Bed Side Teaching oder als Fallbeispiel für problemorientiertes Lernen beziehungsweise E-Learning.

Kommt eine Verarbeitung nur aufgrund einer Einwilligung in Betracht, sollte der Patient nach entsprechender Information schriftlich seine Zustimmung geben.

Die Einwilligungserklärung muss zudem auf einen bestimmten Fall gerichtet sein, also recht genau den Umfang und Zweck der Datenverarbeitung beschreiben. Gerade in der Forschung lässt sich der Zweck jedoch oftmals nicht genau eingrenzen. Die Rechtsunsicherheit, die schon nach der alten Rechtslage bezüglich des „broad consent“ als Einwilligung für nicht näher bezeichnete Forschungszwecke bestand, setzt sich somit auch in der DSGVO fort (12). Nach Erwägungsgrund 33 DSGVO soll zumindest eine Einwilligung für „bestimmte Bereiche wissenschaftlicher Forschung“ ausreichen beziehungsweise eine solche Konkretisierung notwendig sein. Die Einwilligungserklärungen für die Verwendung personenbezogener Daten in Forschung und Lehre sollten mithin so konkret wie möglich und nur so abstrakt wie nötig formuliert werden. Im Zweifel wird eine abgestufte Aufklärung und Einwilligung empfohlen, bei der die konkreten von den unbestimmten Forschungsvorhaben getrennt werden.

Regelungen für die Lehre fehlen

Die Regelungen und Kommentare beziehen sich dabei immer auf die Forschung – eine entsprechende Regelung oder Rechtsfortschreibung für die Lehre erscheint dringend erforderlich (12). Für die Lehre ließe sich zumindest der Verarbeitungszweck entsprechend eingrenzen oder einigermaßen konkret beschreiben. Schwieriger dürfte es dagegen sein, den Empfängerkreis für jede denkbare Konstellation zu benennen.

Darüber hinaus sind stets auch technisch-organisatorische Maßnahmen zu treffen, die die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme im Hinblick auf den Schutz von personenbezogenen Daten sicherstellen. Regelmäßige Überprüfungen der Wirksamkeit der TOM sollen dabei die Sicherheit der Datenverarbeitung gewährleisten. Anders als in der Forschung sind diese Aspekte für die Lehre nicht gesetzlich geregelt.

Besteht durch die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheit natürlicher Personen, ist gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen. Hierbei kommt es nicht darauf an, ob Daten für die Forschung oder Lehre verarbeitet werden. Vielmehr geht es um eine Risikobetrachtung im Hinblick auf die Form der Datenverarbeitung und ihre Folgen für die betroffenen Personen. Besteht nach der Bewertung von Art, Umfang, Umständen und Zwecken der Datenverarbeitung in Forschung und Lehre eine Pflicht zur Folgenabschätzung, wären bei der Verwendung von Bilddaten etwa auch zukünftige technologische Entwicklungen mit einzubeziehen (siehe das Beispiel Defacing).

Ein Sonderfall ist die Verarbeitung von Daten Verstorbener. Die DSGVO ist nicht auf Daten Verstorbener anzuwenden. Eine Ausnahme davon regelt auch das BDSG nicht. Das bedeutet aber nicht, dass diese Daten ohne jeglichen Schutz sind, denn zum einen wirken Persönlichkeitsrechte des Verstorbenen fort, zum anderen unterliegen Berufsgeheimnisträger der ärztlichen Schweigepflicht, die auch über den Tod hinaus fortbesteht. Generell gilt, dass die ärztliche Schweigepflicht eine unbefugte Offenbarung von Daten schützt und deshalb tangiert ist, wenn Daten an Dritte weitergeben werden sollen, so wie es im Rahmen der Lehre meist beabsichtigt sein wird. Eine Datenweitergabe kann neben dem Vorliegen einer Einwilligung und in Notstandsfällen (§ 34 StGB) auch erlaubt sein, wenn ein Gesetz es zulässt, wie etwa bestehende Forschungsklauseln der Landeskrankenhausgesetze.

Für die Lehre indessen fehlen vergleichbare Normen. Daher wäre die Weitergabe von der Schweigepflicht unterliegenden Daten Verstorbener zu Lehrzwecken lediglich aufgrund einer sogenannten mutmaßlichen Einwilligung möglich. Allerdings ist es schwierig, rechtssicher zu beurteilen, ob der dafür zu bildende hypothetische Patientenwille tatsächlich auch darauf gerichtet sein könnte, dass und in welchem Umfang oder wie dieser seine Daten der Lehre zur Verfügung stellen würde.

Bei dem Umfang der datenschutzrechtlichen Vorgaben und der mitunter anspruchsvollen Bewertung, wann weitere, spezifische Aspekte zu beachten sind, ist es daher grundsätzlich ratsam, frühzeitig den betrieblichen Datenschutzbeauftragten einzubeziehen.

Vor diesem Hintergrund wird deutlich, dass nicht nur für die Verarbeitung von Patientendaten im Rahmen der Krankenbehandlung die Kenntnis und Beachtung des spezifischen Datenschutzrechts sehr wichtig sind, sondern genauso für die medizinische Forschung und Lehre. Die Autoren befürworten daher eine Pflichtvorlesung für Studierende zum Umgang mit personenbezogenen Daten, Datenschutz und Schweigepflicht vor dem ersten Kontakt mit Patienten und Patientendaten.

Fazit für die Praxis

Im Zuge der DSGVO und des BDSG entwickeln sich neue Herausforderungen. Während für die Forschung explizite Regelungen in Gesetzen existieren und zahlreiche Kommentierungen vorliegen, besteht hier für die Lehre noch eine größere Unsicherheit. Auf jeden Fall sind vorhandene klinikeigene Regelungen an die neuen Informationspflichten anzupassen und gegebenenfalls Datenschutzfolgeabschätzungen durchzuführen. Dabei sind vor allem die Anonymität der Daten sowie die heutigen und künftigen Risiken einer Re-Identifizierung und deren Folgen zu bewerten.

Eine zentrale Problematik ist jedoch noch nicht geklärt: Für die Verwendung von personenbezogenen Daten nichteinwilligungsfähiger Patienten beziehungsweise von Patienten, die vor Wiedererlangung der Einwilligungsfähigkeit verstorben sind, gibt es derzeit noch keine zufriedenstellende Lösung. An dieser Stelle ist eine gesellschaftliche Diskussion erforderlich, um ein konsentiertes Vorgehen festzulegen.

• Zitierweise dieses Beitrags:
  Dtsch Arztebl 2019; 116 (3): A 72–6

Anschrift der Verfasser:
Dr. med. Benjamin Lucas,
Universitätsklinik für Unfallchirurgie,
Universitätsklinikum Magdeburg,
Leipziger Straße 44, 39120 Magdeburg,
benjamin.lucas@med.ovgu.de

Literatur im Internet:
www.aerzteblatt.de/lit0319
oder über QR-Code.

* Hier wurde die bundeseinheitlich geltende EU-DSGVO in Verbindung mit dem BDSG betrachtet. Durch die Gesetzgebungskompetenzen der Bundesländer gelten auch die jeweiligen Landesdatenschutzgesetze sowie etwaige Datenschutzregelungen in anderen Landesgesetzen wie etwa den Landeskrankenhausgesetzen.

Glossar

• Pseudonymisierung (Art. 4 Nr. 5 EU-DSGVO): die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
• Betroffene Person (Art. 4 Nr. 1 EU-DSGVO): identifizierte oder identifizierbare natürliche Person.
• Verantwortlicher (Art. 4 Nr. 7 EU-DSGVO): die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
• Verarbeitung (Art. 4 Nr. 2 EU-DSGVO): jeder mit oder ohne automatisierte Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.