05.09.2023. Mit dem Gesundheitsdatennutzungsgesetz (GDNG) geht eines der wichtigsten Gesetzesvorhaben des Bundesgesundheitsministeriums in die parlamentarische Abstimmung. Die Medizininformatik-Initiative (MII) beschäftigt sich seit Jahren mit diesem Thema – stark gefördert durch das Bundesministerium für Bildung und Forschung. Sebastian C. Semler, Geschäftsführer der Technologie- und Methodenplattform für die vernetzte medizinische Forschung (TMF) und Leiter der MII-Koordinationsstelle, warnt davor, sich zu sehr an Sonderfällen abzuarbeiten und das große Ganze aus den Augen zu verlieren.
Die Medizininformatik-Initiative (MII) ist angetreten, eine verteilte Dateninfrastruktur für die klinische Forschung zu etablieren. Zu den Komponenten gehören die Datenintegrationszentren (DIZ) an den einzelnen Standorten, das Forschungsdatenportal für Gesundheit (FDPG), das einen Überblick über die vorhandenen Daten gibt und von dem aus Forschungsprojekte initiiert werden können, dazu eine Vertrauensinfrastruktur und andere zentrale Dienste. Kurzes Update nach Beginn der Ausbau- und Erweiterungsphase, die bis 2026 läuft: Was von all dem ist schon im Echtbetrieb?
Einerseits funktioniert eine ganze Menge, andererseits haben wir noch viel Heterogenität. Alle 29 Standorte der ersten Hauptförderphase haben ein DIZ aufgebaut, und diese sind auch vernetzt und nahezu vollständig an das FDPG angeschlossen. Die Standorte, die jetzt dazukommen, bauen ihre DIZ in hoher Geschwindigkeit auf, darunter jetzt auch einige nicht-universitäre bzw. neu-universitäre Häuser. Diese DIZ stellen – neben anderen, lokalen Projekten – aufbereitete Versorgungsdaten auf Basis des MII-Kerndatensatzes zur Verfügung. Hier beginnt die Heterogenität. Der Kerndatensatz selbst ist im FHIR-Format standardisiert, aber es hat noch nicht jeder Standort jedes einzelne Modul des Kerndatensatzes implementiert. Die Basismodule sind relativ gut vertreten. Aber es gibt auch Lücken, so z.B. bei der Arzneimitteldokumentation, weil diese schlicht und ergreifend an vielen Standorten in der Versorgung nicht vollständig elektronisch vorhanden ist. Wir können nur das erschließen und aufbereiten, was in den Kliniken strukturiert dokumentiert wird. Bei den Erweiterungsmodulen sind die Standorte unterschiedlich weit, da sind wir noch nicht in der Fläche.
Von welchen Patientendaten genau reden wir in den DIZ?
Da müssen wir unterscheiden. Grundsätzlich ist die Eigenforschung am Standort in den meisten Bundesländern erlaubt, das heißt, eine Änderung des Nutzungszwecks der Daten von Versorgung zu Forschung ist ohne spezifische Einwilligung möglich. Auch diese Patientendaten landen im jeweiligen DIZ, was bedeutet, dass deutlich mehr Daten in den DIZ vorliegen als von den Patient:innen, die spezifisch unserer breiten MII-Patienteneinwilligung, dem Broad Consent, zugestimmt haben. Nur die Daten mit Broad Consent dürfen für die standortübergreifende Forschung herausgegeben werden, während am Standort selbst mit Hilfe der DIZ sehr viel mehr Forschung möglich ist. Es gibt mehrere Publikationen aus der COVID-Zeit, für die Daten an den Standorten verteilt ausgewertet, also nicht transferiert wurden. Bei dieser verteilten Analyse werden die Algorithmen zu den Daten gesendet. Dieser Weg erlaubt es, deutlich umfassendere Datenbestände zu analysieren als jene, die konsentiert vorliegen.
Wie sieht es aus mit der Umsetzung des Broad Consent an den Standorten?
Der Broad Consent wurde 2020 von der Datenschutzkonferenz des Bundes und der Länder verabschiedet, er ist aber noch nicht überall implementiert. Viele Standorte haben damit große Mühen. Manche Datenschützer und Ethikkommissionen pochen auf standortindividuelle Änderungen. Das ist die Realität in Deutschland. Bezüglich der Patienteneinwilligung haben wir nicht nur ein behördliches Problem, sondern auch ein Umsetzungsproblem. Denn es gibt ein Ressourcenproblem der Einwilligungseinholung. Das liegt zum einen am Umfang der Einwilligung, der elf Seiten beträgt; die Schweiz braucht für eine analoge Erklärung anderthalb. Aber auch mit neun Seiten weniger bleibt es ein Einwilligungsvorgang, der persönliche Interaktion und Zeit benötigt – und damit auch Personalressourcen benötigt und Geld kostet.
Die Grundidee wäre, dass jeder, der aufgenommen wird, den Broad Consent unterzeichnet?
Das ist die Grundidee, schon deswegen, damit am Ende nicht schwer überprüfbare Bias-Effekte entstehen. Wenn wir repräsentativ sein wollen, müssen wir möglichst alle Patient:innen um Einwilligung bitten.
Wie viele willigen denn ein, und wie genau wird der Broad Consent im Alltag umgesetzt?
Wir haben einige wenige Standorte, die sehr viele Patient:innen einschließen, andere stehen noch bei nahezu null. Die, die den Prozess gut umsetzen, kommen auf Zustimmungsquoten von über 80%, teils über 90%. Die dafür nötigen Prozesse müssen entwickelt werden, das Personal muss vorhanden sein. Manche machen das im Rahmen der zentralen Aufnahme, andere erst auf Station. Man muss realistisch sein: Eine flächendeckende Einwilligung kostet Zeit und Geld, das haben wir auch von Anfang an gesagt. Es gibt in der Schweiz Kliniken, die haben für diese Aufgaben sechs zusätzliche Stellen bewilligt bekommen. Kurz gesagt: Wir vermelden Progress, aber es ist aufwändig. FHIR-Ressourcen zu standardisieren ist der einfachere Teil bei solchen Projekten. Die Probleme fangen danach an. Was auch immer unterschätzt wird: Hinter allem steht ein Vertragswerk. Das ist in der MII bereits erarbeitet und ein ganz wichtiger Punkt.
Was leistet aktuell das FDPG?
Es ist seit dem 16. Mai in Echtbetrieb und macht die Daten der einzelnen Standorte beantragbar, inklusive Feasibility-Abfragen. Wir fangen gerade damit an, über das Portal auch eine Abfrage der nicht konsentierten Patientendatensätze zu ermöglichen, weil es die geschilderte Möglichkeit der dezentralen Forschung über verteilte Analysen gibt. Dabei bekommen die Forscher:innen keine Daten, sondern senden einen Algorithmus an die Standorte und erhalten die Auswertungsergebnisse zurück. Daran arbeiten wir technisch noch, aber das wird kommen.
Inwieweit hilft Ihnen bei diesem Punkt das Gesundheitsdatennutzungsgesetz (GDNG)?
Der GDNG-Entwurf sieht die Stärkung der Eigenforschung vor, und er zielt darauf ab, das datenschutzrechtliche Prozedere weiter zu harmonisieren. Das würde uns helfen, weil dann einige immer noch bestehende Bundeslandspezifika abgebaut werden. Nur ein Beispiel: In Nordrhein-Westfalen ist es so, dass schon die Feasibility-Abfragen über das Forschungsdatenportal eine Zweckänderung konstituieren und entsprechend nicht ohne Consent durchgeführt werden können. Das ist ziemlich kurios, das macht so auch kein anderes Bundesland. Hier und bei einigen an- deren Punkten könnte das GDNG mit seinen Harmonisierungsplänen sehr helfen. Als dritte Option der Datenbereit- stellung kommen schließlich so genannte „trusted research environments“ ins Spiel, also physische oder virtuelle Orte, an denen die Nutzung der Daten für Forscher:innen datenschutzkonform möglich ist, ohne dass diese physisch ge- doppelt und zum Nutzer transferiert werden müssen. Eine solche Lösung haben wir in der MII bisher hintangestellt, es gibt aber Knowhow und Erfahrungen in der MII-Community, und auch schon Lösungen bei Partnern, zum Bespiel in einer vergleichbaren Initiative in der Schweiz, Swiss Personalized Health Network (SPHN). Auch das Forschungsdatenzentrum (FDZ) am BfArM baut für seine Abrechnungsdaten eine solche sichere Verarbeitungsumgebung auf. Nicht zuletzt sind solche Infrastrukturen für die Zusammenführung von Daten, z.B. bei der Verknüpfung von Datensätzen aus unterschiedlichen Quellen, relevant.
Verknüpfung von Datensätzen ist ein zentraler Punkt im GDNG, und auch bei den Planungen für den European Health Data Space (EHDS). Inwieweit ist die MII im Bereich Verknüpfung aktiv?
Verknüpfung von verteilt vorhandenen Datensätzen zum gleichen Behandlungsfall ist essentiell für eine dezentrale Dateninfrastruktur, wie wir sie in Deutschland haben und wie sie auch – siehe Koalitionsvertrag – politisch gewollt ist. Wir erhoffen uns daher vom GDNG wichtige Impulse hierzu, die auch über das Szenario hinausgehen müssen, das im Referentenentwurf zum GDNG bislang adressiert ist. Dort wird die Verknüpfung von Kassen- und Krebsregisterdaten angegangen. Das ist verdienstvoll und wichtig – wir brauchen aber eine durchgängige, systematische Lösung hierfür, die sicher ist und Akzeptanz in der Bevölkerung
findet. Für die sinnvolle Nutzung der klinischen Versorgungsdaten in den DIZ der MII ist es beispielsweise wichtig, dass wir diese fallbezogen mit Daten der Krankenkassen, der Krebsregister oder anderer klinischer Register zusammen auswerten können.
Was genau leistet ein trusted research environment bei der Datenverknüpfung mehr als das, was die MII jetzt schon leistet? Auch die MII führt ja Daten zusammen.
Die Grundfrage ist: Wie lässt sich sicherstellen, dass Daten nicht missbraucht bzw. Patient:innen nicht rechtswidrig reidentifiziert werden. Der erste Schritt ist „Vertrag und Strafe“, so wird das in vielen Bereichen gemacht. Mit einem trusted research environment wird dies quasi technisch hinterlegt. Nötig wird das dann, wenn die Datenzusammenführung komplexer wird. Ein Beispiel: Wir haben im Broad Consent mehrere Module hinterlegt, und eines bezieht sich auf die Anfrage und Nutzung von Abrechnungsdaten bei den Krankenkassen durch die Forscher:innen. Dafür haben wir jetzt schon knapp 90.000 Einwilligungen, und wir müssen uns überlegen, wie wir das konkret umsetzen. Wir werden nicht einfach einen riesigen Kassendatensatz zugeschickt bekommen und an einzelne Datennutzer weiterleiten können. Ein trusted research environment ist eine Möglichkeit, das umzusetzen.
Was sind die Nachteile?
Manche würden diesen Weg am liebsten für alles gehen, mit der Begründung, die Datenherausgabe sei prinzipiell unsicher. Auf der anderen Seite gibt es Forscher:innen, die sagen, dass bestimmte Arten von Forschung in trusted research environments nicht ohne weiteres machbar sind. Ich denke, wir sollten beides können. Die MII hat sich bisher auf die dezentral-föderierte Abfrage konzentriert, die gab es in Deutschland bisher ja noch nicht. Und natürlich stellt sich jetzt die dringende Frage, wie viel von diesen Dingen mehrfach entwickelt werden muss bzw. ob man nicht einiges in Kooperation zum Beispiel mit dem FDZ machen kann. Ich glaube, unser Weg ist gut komplementär mit dem, was ein FDZ leistet bzw. leisten soll. Das muss man jetzt allerdings auch vernünftig zusammenführen.
Bevor wir darauf im Detail eingehen: Wie funktioniert das ganze Thema Pseudonymisierung und Vertrauensstelle bei der MII?
Wir haben an jedem Standort eine unabhängige Vertrauensstelle. Aktuell sind wir dabei, diese zu föderieren, und zwar über die föderierte Treuhandstelle, die für das Netzwerk Universitätsmedizin (NUM) aufgebaut wurde. Das ist die Treuhandstelle Greifswald, die diese Aufgabe auch für die NaKo Gesundheitsstudie übernimmt. Danach können wir dann auch standortübergreifend Patientendaten nachverfolgen. Das ist bei einigen speziellen Erkrankungen sehr hilfreich. Für die COVID-Datenbank war die Zusammenführung zwingend nötig, deswegen wurde die föderierte Treuhandstelle primär über das NUM aufgebaut.
Stichwort „vernünftig zusammenführen“. Die MII ist nicht die einzige Forschungsdateninfrastruktur. Wir haben das FDZ, das Abrechnungsdaten zugänglich macht und zusammenführt, unterstützt von einer Vertrauensstelle beim Robert- Koch-Institut (RKI). Im Rahmen des GDNG soll diese Infrastruktur jetzt erweitert werden u.a. auf die elektronische Patientenakte (ePA) sowie auf Register, speziell die klinischen Krebsregister. Sie hatten an anderer Stelle gesagt, Sie erhofften sich, dass das GDNG die unterschiedlichen Forschungsinfrastrukturen etwas stärker zueinander führt. Tut der Entwurf das?
Tut er sicher noch nicht umfassend genug, aber beginnen wir damit, was wir gut finden. Über die Harmonisierung der föderalen Regulatorik hatten wir schon gesprochen. Das wäre ein großer Schritt für jedes bundesweite Forschen. Die Vereinheitlichung der Rechtsgrundlage für einwilligungsfreie Eigenforschung der Leistungserbringer ist vermutlich der stärkste Impuls des GDNG. Hier muss freilich noch berücksichtigt werden, dass Eigenforschung im Leistungserbringerverbund erfolgen können muss – es ist beispielsweise schwerlich vorstellbar, dass die einzelne Arztpraxis sinnvoll mit ihren Daten allein forschen kann. Ich finde es natürlich auch richtig, dass die ePA für die Forschung erschlossen, das FDZ gestärkt und mehr Forschung mit Abrechnungsdaten ermöglicht werden soll. Beim Thema Sozialdatennutzung und Strafbewehrung von missbräuchlicher Datennutzung hätten wir uns gerne mehr gewünscht; da ist leider einiges Sinnvolle gegenüber der Vorversion wieder herausgefallen. Auch die Stärkung des Federführungsprinzips bei der föderal organisierten Datenschutzaufsicht ist absolut zu begrüßen, muss nur auch verbindlich umgesetzt und insbesondere für die einwilligungsbasierte Forschung Anwendung finden. Und schließlich ist es absolut sinnvoll, sich schon jetzt im nationalen Rechtsrahmen auf den kommenden EHDS vorzubereiten, auch wenn wohl die europäischen Verhandlungen hierzu noch sehr im Fluss sind. Vieles kann daher noch nicht so konkret sein. Aber: Was schon konkret zur Einführung einer Datenzugangs- und -koordinierungsstelle für den EHDS im Gesetzentwurf steht, ist aus Wissenschaftssicht nicht optimal. Dass wir uns hierfür einen anderen Prozess und andere Akteure wünschen, ist kein Geheimnis.
Konkret soll am BfArM eine Datenzugangs- und -koordinierungsstelle (DZKS) eingerichtet werden, die bei Forschungsanfragen, die datenquellenübergreifend sind, die also zum Beispiel Krebsregisterdaten mit FDZ-Daten oder künftig mit ePA-Daten verknüpfen wollen, diese Verknüpfung ermöglicht. Das soll mit Hilfe eines anlassbezogenen Forschungspseudonyms auf Basis der Krankenversichertennummer (KVNR) im Zusammenspiel mit der Vertrauensstelle beim RKI geschehen. Zusätzlich soll diese Stelle im Rahmen des EHDS der nationale Zugangsknoten sein. Warum gefällt Ihnen das nicht?
Wenn man sich die Beschreibung dieser Stelle im Entwurf anschaut, so liest man vor allem eines heraus: viel Information, Beratung und Kommunikation mit wissenschaftlichen Datennutzer:innen. Hier gibt es weder ordnungspolitisch eine Begründung, warum diese Aufgaben behördlich angesiedelt sein müssen, noch sind Behörden prädestiniert für die notwendige dynamische Serviceorientierung im wissenschaftlichen Umfeld. Für Kontrollaufgaben, wie die Genehmigung von geschützten Datenverknüpfungen, ist eine staatliche Aufsicht sinnvoll, und das kann in einer Behörde angesiedelt werden. Darüber hinaus aber muss die DZKS gut integriert sein in die wissenschaftlichen Strukturen, und ihr Betrieb wird nur im Netzwerk von wissenschaftlichen Datenbereitstellern und Datennutzern funktionieren. Und ich rede da nicht primär über die Technik, sondern über den ganzen organisatorischen Aufbau, der den Kern dieser Aufgaben ausmacht. Ich denke, dass hierbei Strukturen wie die der MII, die mit rund einer halben Milliarde Euro Steuergeldern über mehrere Jahre mühsam aufgebaut wurden, in ein solches Datenzugangskonzept gleichwertig integriert werden müssen. Das gilt übrigens auch für die NaKo, die sich mit dieser Thematik seit Jahren blendend auskennt. Das BfArm als Akteur der Datenhaltung – als Betreiber des FDZ – muss natürlich ebenfalls beteiligt werden. Es macht aber keinen Sinn, jetzt einfach zu sagen, diese wissenschaftlichen Aufgaben übernimmt allein eine Bundesbehörde. Nötig ist ein wissenschaftlich-organisatorisches Gesamtkonzept und eine Gesamtarchitektur, und diese braucht es vor der Einrichtung der DZKS und nicht erst später oder erst „zur Weiterentwicklung“, wie es der Entwurf vorsieht.
Was würden Sie konkret vorschlagen?
Für den DZKS-Aufbau braucht es eine wissenschaftliche Kommission, die die eben genannten und etliche weitere Akteure einschließt. Hier sind wir uns mit vielen wissenschaftlichen Organisationen einig. Ebenso für das bereits angesprochene Thema Datenverknüpfung: Es ist wichtig, die FDZ-Daten mit den künftigen ePA-Daten zu verknüpfen und auch die Krebsregister mit den FDZ-Daten. Aber wir müssen aufpassen, dass wir uns nicht von Sonderfall zu Sonderfall hangeln. Der Regelfall ist, dass wir keine einheitliche Vertrauensstelle haben und schon gar nicht die KVNR, die genutzt werden soll, um das Forschungspseudonym zu erstellen. Entsprechend sollte man sich zunächst einmal grundsätzlich überlegen, was wir für das Thema Datenverknüpfung insgesamt an Infrastruktur brauchen. Die TMF hat 2021 im Registergutachten beschrieben, dass es eine Kommission bräuchte, die die relevanten Verknüpfungsfälle beleuchtet. Wir sollten nicht einfach zwei Sonderfälle regeln, bei denen das RKI ohnehin schon eine gesetzliche Rolle hat und die deswegen schnell ungesetzt sind. Entscheidend ist: Diese Aufgabe ist unabhängig vom EHDS. Wir brauchen das in jedem Fall.
Wäre die KVNR als Ausgang für ein Forschungspseudonymein sinnvolles Modell?
Es wäre ein Modell, das insofern Charme hätte, als man zumindest an Versorgungsstandorten Zugang zur KVNR hätte, denn diese ist im KIS hinterlegt. Aber an anderen Stellen ist die KVNR nicht vorhanden, denken Sie an bevölkerungsbezogene Kohorten, an viele Register. Das sind Dinge, die eine Kommission diskutieren müsste. Vielleicht wäre ein KVNR-unabhängiges Forschungspseudonym zielführender. Der Begriff „Forschungspseudonym“ ist gut gewählt, der gäbe auch mehr her.
Wer sollte in einer solchen Kommission sitzen?
Alle, die große Datenbestände betreiben. Die NaKo, die MII bzw. die Universitätsmedizin, die Krebsregister, einige wichtige nicht gesetzlich geregelte Register, das BfArM und sein FDZ, außerdem einige Akteure aus der Ärzteschaft, dem Krankenhaussektor, der Medizinethik und des Datenschutzes sowie Datensicherheitsexpert:innen. Es braucht auch die Politik. Zum Beispiel stellt sich mir die Frage, ob übergeordnete Aufgaben wie die Schlüsselverwaltung von einer Einrichtung wie dem neuen Dateninstitut geleistet werden könnten, dessen Aufgaben bisher noch recht unklar sind, zumal hinsichtlich der politisch verkündeten Unterstützung der Gesundheitsforschung. Insgesamt sollte diese Kommission Use-Case-bezogen für die unterschiedlichen Datenbestände die Verknüpfung analysieren und am Ende eine Architektur beschreiben, die alle Szenarien berücksichtigt.
Prinzipiell könnte eine Daten- und Koordinierungsstelle am BfArM viele dieser Aufgaben ja leisten. Ist der Charme am BfArM nicht, dass das eine Institution ist, die dauerhaft existiert, während eine MII- oder NAKO-Förderung irgendwann auslaufen wird?
Zum einen halte ich das nur für begrenzt stichhaltig. Auch Haushalte von Bundesinstituten sind Haushaltsrisiken ausgesetzt, und selbst Bundesinstitute können verschwinden – denken Sie an das DIMDI. Andere Rechtsformen jenseits von Bundesinstituten können ebenfalls sehr lange existieren und dauerhafte Aufgaben übernehmen. Am Ende ist das immer eine Frage der verlässlichen Planbarkeit notwendiger Finanzen für die jeweiligen Aufgaben. Es gibt auch genügend behördliche Projekte, die wegen schlechter Finanzierung nicht vom Fleck kommen. Ja, es gibt Schwierigkeiten bei der Nachhaltigkeit von Forschungsinfrastrukturen, das ist richtig. Aber den Umkehrschluss, dass Behörden Forschungsinfrastruktur besser und nachhaltiger können, halte ich für nicht zulässig. Zum anderen aber finde ich die Fragestellung im Grundsatz falsch. Sollten wir nicht vielmehr für ein wichtiges neues technisches, wissenschaftliches und gesellschaftliches Feld die Institutionen schaffen, die hierfür möglichst optimal aufgestellt sind? Wenn wir nach 2050 wollen, sollten wir vielleicht nicht im Baukasten von 1980 suchen.
Das Ganze hat ja auch eine finanzielle Dimension. Das BfArM soll für die Datenstelle ein Budget von einer Million Euro pro Jahr erhalten. Ist das eine realistische Größenordnung?
Ich habe das mit Interesse gelesen. Für den Einstieg mag diese Hausnummer nicht schlecht sein, die Frage ist natürlich, welche Aufgaben da dranhängen. Wenn ich mir aber das an der Aufgabenbeschreibung hängende Beratungsspektrum anschaue, die notwendige Partizipation vieler Akteure, nicht zuletzt auch der Organisationen der Patientinnen und Patienten, und dann auf den Aufwand, den alleine wir in der MII haben und kennen – dann kann das auch sehr schnell unterbudgetiert sein. Am Ende kostet die Technik immer am wenigsten. Was wir unabhängig vom Geld für eine Betreiberorganisation am Ende brauchen, wenn wir Daten verknüpfen und Daten nutzen wollen, ist extrem viel Netzwerkarbeit. Es geht darum, Datennutzer:innen mit Expert:innen für die jeweiligen Datenbestände zusammenzubringen. Diese Netzwerkarbeit ist nicht voll finanzierbar. Umso wichtiger sind partizipative Organisationsmodelle und die Nutzung der intrinsischen Motivation der Expert:innen.
Themenwechsel: Die elektronische Patientenakte soll als Opt-out-ePA etabliert werden. Ein Opt-out soll auch für den forschenden Zugriff auf ePA-Daten gelten. Dass es bei der Universitätsmedizin den aufwändigen Broad Consent braucht, während hier einfach per Default geforscht werden kann, ist das nicht ein bisschen schwierig zu kommunizieren?
Das sind unterschiedliche Dinge. Die klassische Forschungsklausel in den Datenschutzgesetzen, die Forschung ohne explizite Einwilligung ermöglicht, wenn für das betreffende Forschungsprojekt eine Abwägung zur Durchführbarkeit und zum öffentlichen Interesse stattgefunden hat, funktioniert nicht, weil die Forschenden im Zweifel haften. Das klappte nicht mal während der Pandemie. Daher wird in der Regel versucht, ein Verfahren mit Einwilligungseinholung umzusetzen – was andere Probleme nach sich zieht und insbesondere bevölkerungsbezogene Auswertungen nahezu verunmöglicht. Daher war unsere Forderung immer, dass die im Datenschutzrecht verankerte einwilligungsfreie Forschung vereinfacht und rechtssicher gemacht werden sollte. Wir haben dafür eine Stelle vorgeschlagen, die verbindlich Auskunft geben muss und Einrichtungen dabei hilft, einwilligungsfreie Forschung zu genehmigen und die dann auch in Sachen Haftung eine Entlastung bringt. Solange wir eine solche Stelle nicht haben, gibt es nur zwei Wege zu einer Rechtsgrundlage: entweder man holt eine Einwilligung des Betroffenen ein – oder es besteht eine dezidierte gesetzliche Regelung, wie jetzt bei der ePA vorgesehen. Hier allerdings nicht einwilligungsfrei, sondern mit einer Opt-out-Möglichkeit.
Trotzdem: Dass die Datenschützer den gesetzlichen Optout bei der ePA-Forschung jetzt einfach so durchwinken, nachdem Sie zwei Jahre lang mit denselben Datenschützern um den Broad Consent in der MII gerungen haben, stört sie nicht?
Wir werden noch sehen, wer was alles durchwinkt oder nicht. Wir sind auf jeden Fall die letzten, die sagen würden, alle Welt muss mit unserem Broad Consent forschen. Für die ePA geht der Gesetzgeber jetzt einen anderen Weg. Das halte ich nicht nur für legitim, sondern das begrüße ich absolut. Denn in der Tat ist die klassische Einwilligung nach Datenschutzrecht zumindest mit Schwierigkeiten behaftet: Das Einholen einer Einwilligung in einer Stresssituation bei Aufnahme in die Klinik ist sowohl für Patient:innen wie für medizinisches Personal nicht ideal, sodass man sich schon die Frage stellen kann, ob man diese Einwilligung nicht außerhalb der Klinik einholen sollte. Und wenn das schwer zu organisieren ist, kann man sich berechtigt die Frage stellen, ob nicht am Ende eine gut unterstützte Opt-out-Lösung unter bestmöglicher Umsetzung von Betroffenenrechten auch für andere Forschungsszenarien eine Option wäre.
Aber so weit sind wir noch nicht?
Nein, das ist auch gar nicht so einfach. Denn warum macht der Gesetzgeber das bei der ePA – und nur für die ePA-Daten? Weil er dafür Gesetzgebungskompetenz auf Bundesebene hat. Es ist höchst fraglich, ob es überhaupt die Bundeskompetenz gäbe, einen über die ePA hinausgehenden Opt-out zu schaffen. Nochmal: Wir sind keine „Broad-Consent-Dogmatiker“, aber ich sehe auf absehbare Zeit keine bundeseinheitliche, gesetzliche Regelung für einen generellen Forschungsdaten-Opt-out, und ich habe Zweifel, ob es die jemals geben wird. Und dann gibt es natürlich auch noch die großen Themen Umsetzung und Akzeptanz.
Wie spielt die hier rein?
Akzeptanz der Betroffenen wie der Gesellschaft insgesamt ist extrem wichtig. Wir sehen gerade bei anderen gesellschaftlichen Feldern, wie schnell Akzeptanz verloren gehen kann. Wenn also eine Datennutzung aufgrund einer gesetzlichen Regelung ohne Einwilligung erfolgen soll, reicht es nicht, dass dies im Gesetz steht. Es muss vielmehr dort, wo die direkte Konfrontation mit dem Thema stattfindet, den Versicherten, den Patient:innen plausibel und vertrauenswürdig erklärt werden: Welchen Nutzen hat die Datennutzung, warum werde ich nicht gefragt, wie sicher ist das alles, und was hat die Gesellschaft davon? Dies ist eine wichtige und aufwendige Kommunikationsaufgabe für die jeweilig Zuständigen. Bei der ePA gibt es klare Betreiber, nämlich die sehr wenigen ePA-Betreiber, die im Auftrag der Krankenkassen agieren. Die Krankenkassen haben den Versichertenkontakt und können ihnen den Opt-out erklären. Die Krankenkassen sind zusammen mit der Politik auch zuständig dafür, dass die Opt-out-ePA gesellschaftliche Akzeptanz erreicht. Jenseits der ePA gibt es das alles nicht in dieser Eindeutigkeit. Wem gegenüber wird der Opt-out geäußert? Wie ist das mit der Transparenz für die Patient: innen, die bei der ePA-Forschung ja vorgesehen ist? Das wird in verteilten Forschungsszenarien schnell unübersichtlich. Deswegen: Ich halte die Ansätze für sich ergänzende Wege, die jeweils in unterschiedlichen Kontexten ihre Berechtigung haben. Wir brauchen sowohl Broad Consent wie Opt-out-Forschung und separat davon in bestimmten Fällen die einwilligungsfreie Forschung ohne Opt-out-Möglichkeit, wie sie zum Beispiel der aktuelle GDNG-Gesetzentwurf für die Eigenforschung der Leistungserbringer vorsieht.
Quelle: Erschienen in der Ausgabe 5/23 von E-HEALTH-COM. Das Interview führte Philipp Grätzel von Grätz, Chefredakteur von E-HEALTH-COM.
