Können Sie genauer erklären, was unklar ist?
Das ist eine Art Hase-und-Igel-Spiel: Mal hat der De-Anonymisierer die Vorhand, mal ist es der Verarbeiter, der dann versucht, das beispielsweise mit Verrauschungsmethoden wieder hinzubiegen. Im Zweifelsfall werden diese Daten pseudonymisiert zur Verfügung gestellt. In der Regel gibt es da Anträge, die für offene Nutzungen von bis zu fünf Jahren gehen, die dann noch mal um weitere fünf Jahre auf maximal zehn Jahre verlängert werden können. Möglicherweise ist eine kleine Gebühr bezahlen.
Wie sieht es aus mit den Rechten der Patienten?
Im Prinzip ist es die Idee, dass man möglichst viel Datennutzung ermöglicht, um Wertschöpfung zu betreiben. Dementsprechend hat der Patient, der Versicherte, der Krebsregister-Registrierte nach dem Kommissionsentwurf kein Recht, diesen Datentransfers vom Dateninhaber zur nationalen Zugangsstelle oder von der Zugangsstelle zum Datenantrag-Nutzer zu unterbinden. Es ist kein Widerspruch vorgesehen.
Widerspruch ist zwecklos, weil er nicht vorgesehen ist? Was ist mit der DSGVO, die angeblich in Einklang gebracht werden soll?
Wenn Sie gesetzlich eine Verarbeitungsbefugnis schaffen, die als Übermittlungsflicht ausgestaltet ist, dann ist es nach der Datenschutzgrundverordnung so, dass Sie überhaupt keine Möglichkeit haben, das anzugreifen. Denn die Widerspruchsmöglichkeit, die der Artikel 21 nur für besonders gelagerte Einzelfälle vorsieht, entfällt bei Verarbeitungspflichten nach Artikel 6, Absatz 1, Buchstabe c. Sie haben nur dann ein Recht auf Widerspruch, wenn eine Verarbeitung auf Basis eines berechtigten Interesses nach Interessenabwägung erfolgt oder zur Aufgabenerfüllung bei öffentlichem Interesse – aber auch nur dann, wenn ein Ermessensspielraum besteht. Wenn nicht, sind wir wieder bei der Verarbeitungspflicht. Damit sind die Betroffenen, was die Gestaltung der Verarbeitungsprozesse anbelangt, völlig außen vor. Es gibt keine Möglichkeit, zu intervenieren.
Ist die Diskussion im Europäischen Datenschutzausschuss angekommen?
Er hat eine Stellungnahme dazu verabschiedet. Er hat eine engere Zweckbeschreibung angemahnt. Er hat darauf aufmerksam gemacht, dass das Problem des internationalen Datentransfers unbefriedigend gelöst ist. Er befürchtet, dass diese Daten auch die EU-Außengrenzen überschreiten werden. Das ist eine naheliegende Befürchtung, meine ich. Aber den Kernpunkt hat er unangetastet gelassen, nämlich dass die Betroffenen im Bereich der Sekundärnutzung kein Gestaltungsrecht haben. Das hat er nicht kritisiert.
In der Petersberger Erklärung hat die Datenschutzkonferenz von Bund und Ländern aber doch diese Mitwirkungsrechte eingefordert. Wo steht die Debatte jetzt?
Wir sind jetzt so weit, dass das Europäische Parlament und der Rat sich mit dem Vorschlag der Kommission befassen. Und da wird die Frage diskutiert, in welchem Umfang es geboten ist, den Betroffenenrechte auch im Bereich der Sekundärnutzung zu installieren. Aber da gibt es noch keine offiziellen Entwürfe. Im März ist ein erster Entwurf der Berichterstatter im Parlament zu erwarten. Parallel läuft auch die Diskussion im Rat. Dem Vernehmen nach wird da die Frage der Gestaltungsrechte als Widerspruchsrecht wohl auch ventiliert.
Also im Moment wird der Einsatz von ChatGPT sehr intensiv diskutiert. Würde die jetzige Regelung ausschließen, dass Sprachmodelle auf die Daten im Gesundheitsraum zugreifen dürfen?
KI-Anwendungen können Gesundheitsdaten nutzen, wenn sie zum Gesundheitssektor zugeordnet werden. Wenn es darum geht, Gesundheitsdienstleistungen zu fördern oder eine KI-Anwendung im Bereich der Gesundheitsversorgung zu entwickeln und zu trainieren, dann ist es nicht ausgeschlossen. Beispielsweise könnten computergestützten Psychotherapien verwendet werden, um Depressiven die Zeit zu überbrücken, bevor sie wieder face-to-face mit ihrem Psychotherapeuten Sitzungen halten können. Dass man so eine Anwendung mit pseudonymisierten Patientendaten trainiert, wäre durchaus denkbar.
Wenn anhand der Patientendaten ein digitaler Zwilling mit einem typischen Krankheitsprofil erstellt wird, wie kann sichergestellt werden, dass Unbefugte durch eine individuelle Krankheitsgeschichte keinen Zugriff auf die Daten der Person erhalten?
Da wählt der Vorschlag der Kommission einen Ansatz, den wir vom digitalen Versorgungsgesetz bereits auch schon kennen: Es ist der Versuch, das Problem teilweise technisch, teilweise rechtlich zu lösen. Man muss die technisch-organisatorischen Maßnahmen treffen, um das Risiko der Depseudonymisierung oder Deanonymisierung zu minimieren. Das wird begleitet mit der Anweisung, dass es dem verantwortlichen Datennutzer rechtlich verboten ist, eine solche Depseudonymisierung vorzunehmen.
Wie soll das Verbot durchgesetzt werden?
Hier werden Sanktionen angedroht, wobei man über die Wirksamkeit der Sanktionen trefflich streiten kann – es geht hier über Nutzungsausschlüsse. Parallel dazu natürlich auch Datenschutzverletzungen, die dann unter Umständen zu Sanktionen führen könnten, wenn man diese betreffenden Stellen erwischt. In der Praxis wird es daran wohl scheitern. Denn da muss man sich schon ziemlich dämlich anstellen, um erwischt zu werden. Das muss man einfach mal ganz nüchtern konstatieren.
Wer verdient an den Gesundheitsdaten?
Dazu gibt es noch eine Grundsatzfrage zu klären: Wer hat eigentlich die Verwertungslogik? Ist das sicher, wer die Befugnis zur wirtschaftlichen Verwertung hat: Ist das der Datenbesitzer, der Dateninhaber, der Produzent einer Anwendung oder von einem Produkt oder aber der datenschutzrechtlich Betroffene?
Nicht der Betroffene?
Das ist der Punkt: Diese Diskussion läuft ja auf der Sachebene an. In der Öffentlichkeit findet sie so gut wie gar nicht statt. Es gibt keine politische Diskussion, die im Licht der Öffentlichkeit stattfindet. Zugleich ist der Lobbydruck auf die Kommission und auf die Mitgliedsstaaten gewaltig. Zugegebenermaßen haben die Mitgliedstaaten sich allerdings jeweils auf der Öffnungsklausel in der DSGVO etwas ausgeruht, die ihnen erlaubt, den Datenschutz im Gesundheitssektor selbst zu regeln.
Was könnte der Grund gewesen sein, dass in Deutschland und anderen Ländern nichts passiert ist?
Ich möchte nicht ausschließen, dass die Staaten diese Öffnungsklauseln genutzt haben, um ihre Versorgungssysteme, ihre öffentliche Gesundheitsversorgung Systeme einfach so beizubehalten. Das hat dazu geführt, dass diese Gesundheitssysteme einfach nicht kompatibel miteinander sind. Es mag zwar punktuell Datenschutzprobleme geben, aber in allererster Linie ist das eine Schnittstellenproblematik der unterschiedlichen Strukturen in der Gesundheitsversorgung, wo man jahrelang, vielleicht jahrzehntelang nichts gemacht hat, um diese Unterschiede in der Gesundheitsversorgung zu beheben und etwas mehr Parallelität zu schaffen. Erst in den letzten Jahren ist man wirklich aufgewacht, obwohl das Thema schon bekannt war.
Wie hoch sehen Sie die Gefahr, dass die Daten in Folge von Cyberattacken auf Krankenhäuser missbraucht werden? Erhöht sich das Risiko, wenn jetzt noch diese Datenbereitstellungspflicht dazukommt?
Man kann darüber nur mutmaßen. Die Stellen werden ja nicht verpflichtet, Daten vorzuhalten, um sie dann bereitzustellen. Der Vorschlag knüpft an die vorhandenen Daten an. Es ist also nicht so, dass man auf Vorrat die Daten bereithält für den Fall der Fälle und damit das Risiko erhöht, dass Daten missbräuchlich abgegriffen werden. Die Frage ist eher, was bei den Datennutzern passiert. Dass diese möglicherweise mit den Daten etwas machen, was die Verordnung nicht erlaubt. Wie man das unterbinden will, ist mir schleierhaft. Als Aufsichtsbehörde kann ich vielleicht stichprobenartig kontrollieren und decke dann vielleicht einen Fall von tausend auf.
Wie haben Sie die Kontrollaktivitäten der Aufsichtsbehörden in Deutschland im Gesundheitswesen in den letzten Jahren erlebt?
Wir haben sehr viel Licht und Schatten. Wir prüfen die Kliniken relativ häufig, was in der Pandemie etwas zurückgefahren wurde. Es gibt jedenfalls Kliniken mit grundlegenden Defiziten. In einem Fall mussten wir anordnen, sehr schwerwiegende Sicherheitsmängel abzustellen. Die Klinik hat sogar gegen die Anordnung geklagt, um Zeit zu gewinnen – man kann ja nicht mit der Aufsichtsbehörde reden, darüber, dass man vielleicht ein paar Monate mehr braucht. Im Klageverfahren wurden sukzessive die Mängel abgestellt, sodass das Verfahren am Ende als erledigt erklärt werden konnte. Ich fürchte, das ist kein Einzelfall. 
