EU-Parlament bringt „Europäischen Gesundheitsdatenraum“ auf den Weg

Das Europäische Parlament hat Mitte der Woche den Weg für den Europäischen Gesundheitsdatenraum (European Health Data Space, EHDS) geebnet. Die Abgeordneten hatten dem Ergebnis des Trilogs, der Verhandlungen von EU-Kommission, -Rat und -Parlament, zugestimmt.

Der Gesundheitsdatenraum ist eröffnet

Nach der jetzt noch ausstehenden Zustimmung des Europäischen Rates, was als reine Formsache gilt, startet der Aufbau einer EU-weiten Gesundheitsdateninfrastruktur. Diese soll die Primärdatennutzung bei der Versorgung von Patienten als auch die Sekundärdatennutzung durch die Forschung in der EU grenzüber­schreitend ermöglichen.

Zur Primärdatennutzung wird beispielsweise die Möglichkeit gehören, elektronische Rezepte nicht nur im Land der Ausstellung, sondern auch in anderen EU-Staaten ein­zulösen. Ebenfalls sollen dann elektronische Patientenakten EU-weit einsehbar oder auch Laborergebnisse in anderen EU-Ländern abrufbar sein können.

Zur Sekundardatennutzung ist vorgesehen, dass die Gesundheitsdaten europaweit geteilt und für Forschungszwecke genutzt werden können. Geregelt ist auch in dem neuen Gesetzentwurf, dass die Verwendung dieser Daten zu Werbezwecken oder zur Bewertung von Versicherungsverträgen nicht erlaubt ist.

Einspruch bei sensiblen Daten wie psychische Erkrankungen

Bei besonders sensiblen Daten, wie psychischen Erkrankungen, können Patienten die Sichtbarkeit für Ärzte und eine Weiterverwendung für die Forschung verweigern. Im Detail werden sich diese Regelungen in den EU-Ländern unterscheiden können, dafür haben die Mitgliedstaaten zuvor regulatorische Freiheiten verhandelt.

Der Europäische Gesundheitsdatenraum EHDS geht auf Pläne der EU-Kommission aus dem Jahr 2022 zurück, nach denen der EHDS einer der zentralen Bausteine einer starken europäischen Gesundheitsunion sein soll. Im Dezember 2023 hatte das Europa-Parlament den Weg für EHDS grundsätzlich frei gemacht. Seitdem ging es um Details bei den Ausgestaltungen, bis in dieser Woche der Gesetzentwurf verabschiedet wurde.

Bei Inkrafttreten bedeuten die neuen Regeln zunächst einmal für den Bürger bzw. Patienten, dass Gesundheitsdienstleister wie Kliniken oder Ärzte bei der Behandlung auch außerhalb des Heimatlandes auf Daten zugreifen. Oder auch, dass Rezepte EU-weit in Apotheken einlösbar sind.

Nach den neuen Vorschriften soll es also möglich werden, dass ein spanischer Tourist eine Verschreibung in einer deutschen Apotheke abholt oder Ärzte die Gesundheitsinformationen eines belgischen Patienten einsehen können, der beispielsweise in Italien behandelt wird.

Daten für Forschung und Politikgestaltung

Für Forschung und die forschenden Industrien wird damit der Raum zu jeder Menge „Daten-Gold“ eröffnet: Die EU hat als Ziel in Bezug auf die Weitergabe der Daten und deren Nutzung erklärt, mit EHDS „einen vertrauenswürdigen und effizienten Rahmen für die Nutzung von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten zu schaffen“. Die „hohen Datenschutzstandards der EU“ sollen eingehalten werden.

Wer seine Daten nicht weitergegeben wissen will, der muss das extra verfügen. Im ersten Entwurf von 2022 hatte die EU-Kommission kein Opt-out für Patienten vorgesehen. Die Datenweitergabe konnte nicht untersagt werden. Opt-out bedeutet, dass die Teilnahme automatisch erfolgt, es sei denn, der Nutzer entscheidet sich aktiv dagegen. Das Gegenteil wäre auch möglich gewesen: bei Opt-in ist grundsätzlich keine Teilnahme möglich, es sei denn, der Nutzer entscheidet sich aktiv dafür. Im aktuellen Entwurf des Gesetzes ist ein Opt-out implementiert. Allerdings nicht vollumfänglich. Laut EU-Mitteilung ist Folgendes vorgesehen:

„Primärnutzung: Die Mitgliedstaaten können ein vollständiges Opt-out für die im Rahmen des EHDS zu errichtenden Infrastrukturen anbieten.
Sekundärnutzung: Der Text enthält Opt-out-Regeln, mit denen ein ausgewogenes Verhältnis zwischen der Achtung der Patientenwünsche und der Gewährleistung der Verfügbarkeit der richtigen Daten für die richtigen Personen im öffentlichen Interesse hergestellt wird.“

Widerspruchsrecht nur national

Der IT- und Sicherheits-Blogger Günter Born analysiert in einem Blog-Beitrag den „Knackpunkt aus Sicht der Patienten: Es gibt zwar ein Widerspruchsrecht zur Datenweitergabe – aber nicht EU-weit, sondern durch nationale Gesetze wie in Deutschland und Österreich. Wer nicht widerspricht oder im Ausland behandelt wird, kann die Weitergabe der Daten oder den Zugriff durch ausländische Stellen aus heutiger Sicht nicht unterbinden.“

Wenn Daten über einen Patienten in Deutschland in der elektronischen Patientenakte gespeichert werden, fließen diese in Zukunft automatisch in den Europäischen Datenraum ein – als Patient kann man der EHDS-Akte nicht widersprechen. Einziger Schutz, den Patienten dann haben, sofern die nationalen Gesetze das hergeben, so Born, ist es, dem Anlegen der elektronischen Patientenakte zu widersprechen. Dieses ist durch Opt-out möglich. Ob es bei EHDS eine wirksame und für Patienten praktikable Möglichkeit zur Beschränkung der Datenzugriffe auf die Gesundheitsakte geben wird, lässt sich zurzeit nicht abschätzen, so Born.

Risiken von Datenlecks bis KI

Zudem kann ein Schutz vor Datenlecks und Hackerangriffen aus Sicht des Bloggers nach aktuellem Stand nicht ausreichend gewährleistet werden. Eine anonymisierten Weitergabe von Patientendaten zum EHDS für Forschungszwecke wird im Hinblick auf die Anonymisierung nicht funktionieren.

Der Entwurf lässt offen, wie die Daten anonymisiert werden können, so die Kritik. Es benötige eine rechtsklare Regelung der Anforderungen an Methoden und Wirkungen der Anonymisierung. Auch die Struktur der Daten sei bis heute in keiner Weise abgesichert. Bei der elektronischen Patientenakte sollen unterschiedlichste Datenformate eingespeist werden, was sicherheitstechnisch ein Gau sei – vor allem, wenn infizierte Dokumente über Ärzte eingeschleust werden.

Der geplante Einsatz von KI bei der Auswertung von Arztbriefen und Laborberichten überträgt die Daten in ein externes Sprachmodell, ähnlich wie bei ChatGPT. Dort werden die Daten unter Umständen öffentlich verfügbar gemacht.

Auch der Europaabgeordneten Dr. Patrick Breyer (Die Piraten), der sich selbst als digitaler Freiheitskämpfer bezeichnet, kritisiert den Deal zum EU-Gesundheitsdatenraum. Er bemängelt unter anderem, dass die Parlamentsmehrheit die Forderung nach einer unabhängigen Zertifizierung der Sicherheit europäischer Gesundheitsdatensysteme aufgegeben hat. Für ihn bedeutet EHDS vor allem einen Kontrollverlust der Patienten über ihre Daten.

Breyer beruft sich in seiner Kritik auf eine Umfrage, nach der mehr als 80 Prozent der EU-Bürger selbst über die Weitergabe ihrer Patientenakten entscheiden und mehrheitlich um Einwilligung gefragt werden wollen. Der Europaabgeordnete stellt fest: „Der EU-Deal ist weit davon entfernt. Er verrät die Interessen und den Willen der Patienten, um ihre Daten an Big Tech und Pharmariesen zu verkaufen.“

Die EU sieht hingegen ihre zwei Hauptziele, die bessere Gesundheitsversorgung der Bürger und Innovationen durch Datenweitergabe an die Forschung, umgesetzt. Die EU-Kommissarin für Gesundheit und Lebensmittelsicherheit, Stella Kyriakides, sagte zum EHDS:

„Mit einem europäischen Raum für Gesundheitsdaten erhalten die Europäerinnen und Europäer volle Handlungsfähigkeit in Bezug auf ihre eigenen Gesundheitsdaten – Grundlage dafür ist ein solider Rechtsrahmen für die Privatsphäre und den Datenschutz –, während gleichzeitig Innovationen und die Entwicklung neuer bahnbrechender Therapien dadurch gefördert werden.“

Professor Thomas Petri, der Bayerische Landesbeauftragte für Datenschutz, der schon früh den Entwurf zum EHDS kritisch unter die Lupe nahm, weist auf Anfrage von Epoch Times darauf hin, dass das Europäische Parlament den Text nur vorläufig angenommen hat. Die Fassung sei bisher nicht bereinigt und fachjuristisch redigiert, sodass eine endgültige Verabschiedung durch das Parlament voraussichtlich erst nach der Parlamentswahl im Herbst 2024 kommen wird.