In Deutschland gibt es derzeit mehr als 400 Register mit Gesundheits- und Behandlungsdaten. Geführt werden sie von Forschungseinrichtungen, Krankenhäusern, öffentlichen Einrichtungen und privatwirtschaftlich organisierten Gesellschaften und Vereinen. Die Strukturen und Formen sind unterschiedlich. Nur wenige davon sind spezialgesetzlich geregelt oder basieren auf allgemeinen gesetzlichen Grundlagen. Die meisten stützen sich bei der Datenverarbeitung auf Einwilligungen. Manche stammen aus abgeschlossenen Forschungsvorhaben, andere werden auf Patienteninitiative oder von Fachgesellschaften zu bestimmten Erkrankungen betrieben; nicht alle werden noch aktiv genutzt. Ihre Rechtsgrundlagen basieren neben der DSGVO auf einer Vielzahl unterschiedlicher Bundes- und Landesgesetze (z. b. den unterschiedlichen Krankenhausgesetzen der 16 Bundesländer). Die Register werden tw. bundesweit, tw. nur regional mit Daten befüllt und dienen unterschiedlichen Zwecken, z. B.
- Behandlungsdaten von Patienten mit Vorhofflimmern (Nr. 4 der Übersicht);
- Krebsregistrierung in Bayern (Nr. 19 der Übersicht);
- COVID-19-Obduktionsdaten (Nr. 46 der Übersicht);
- Krebserkrankungen im Kindes- und Jugendalter (Nr. 60 der Übersicht);
- Versorgungsforschung im Bereich der Lebendspende (Nr. 61 der Übersicht);
- Diabetes-mellitus-Erkrankungen im Alter von 0-14 Jahren (Nr. 80 der Übersicht).
Bei jedem der in der Auflistung genannten Register sind unter „Datenschutz und Qualitätssicherung“ mehrere unterschiedliche Problemstellungen benannt, z. B.:
- „Wird eine Pseudonymisierung durchgeführt?
- Ist ein Registerprotokoll vorhanden?
- Liegt ein Ethikvotum vor?
- Wurde eine Datenschutzfolgeabschätzung durchgeführt?
- Ist eine Datenverknüpfung erlaubt?
- Ist eine Schweigepflichtentbindung enthalten?“
Die Antworten zu diesen und weiteren Fragen sind bei den einzelnen Registern sehr unterschiedlich.
Mit dem Gesundheitsdatennutzungsgesetz (GDNG) wurden erste Voraussetzungen dafür geschaffen, künftig nicht nur die Daten aus den elektronischen Patientenakten der 74 Mio. gesetzlich versicherter Menschen in Deutschland, sondern auch aus den bestehenden Gesundheitsdatenregistern „für die Forschung“ bereit zu stellen. Mit einem Registergesetz, das im Bundesgesundheitsministerium derzeit als Entwurf erarbeitet wird, sollen auch die Daten aus diesen Registern „für die Forschung“ bereitgestellt werden. Und dies im Rahmen des Europäischen Gesundheitsdatenraums (European Health Data Space – EHDS) auch EU-weit. Ein Referentenentwurf für ein Registergesetz ist derzeit noch nicht öffentlich zugänglich und überprüfbar.
Quelle: Bundesgesundheitsministerium („Auf dem Weg zu einem Registergesetz“) – Stand: 08.05.2023
Ziel des geplanten Registergesetzes – so das Bundesgesundheitsministerium – sei die Schaffung einheitlicher Rechtsgrundlagen für die Nutzung der in den Registern angehäuften Daten.
Quelle: Bundesgesundheitsministerium („Geplantes Registergesetz – Versorgungsnahe Daten für eine wissensgenerierende Versorgung“) – Stand: 22.03.2024
Registerdaten sollen „für Forschungszwecke“ künftig auch mit den Daten aus der elektronischen Patientenakte (ePA) verknüpft werden können
In einem Beitrag vom 21.05.2024 auf Heise.de ist zu lesen: „Künftig sollen die Registerdaten für Forschungszwecke nicht nur über das Forschungsdatenzentrum Gesundheit angefragt, sondern beispielsweise auch mit den Daten aus der elektronischen Patientenakte verknüpft werden können… ‚Eine Übermittlung von Daten an die Antragsteller erfolgt – in Abhängigkeit von den Daten – in anonymisierter und aggregierter oder in pseudonymisierter Form‘, schreibt das BMG dazu in einer FAQ.“ Dazu soll – so nachzulesen in diesem Beitrag auf Heise.de – auf der Basis der jedem gesetzlich krankenversicherten lMenschen lebenslang zugeordneten Krankenversichertennummer (§ 290 SGBV) über alle einzelnen Register hinweg ein eindeutiges personenbeziehbares Merkmal zugeteilt werden.
Quelle: Bundesgesundheitsministerium („Auf dem Weg zu einem Registergesetz“) – Stand: 08.05.2023
Dass diese Planungen Risiken für den Schutz von Gesundheits- und Behandlungsdaten beinhalten, darauf hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einer Entschließung vom 22./23.11.2023 hingewiesen und wirksame Maßnahmen zum Schutz dieser Daten eingefordert. Sie sind in 15 Punkten in der Entschließung zusammengefasst. Darunter sind u. a. Folgende Anforderungen benannt:
- „Es sind rechtsklare und verhältnismäßige Regelungen über die Aufbewahrungsdauer und Löschfristen der Registerdaten unter der Maßgabe der Grundsätze der Datenminimierung und Speicherbegrenzung zu treffen…
- Bei der Festlegung von Voraussetzungen für eine datenschutzkonforme Verarbeitung von Registerdaten… sind außer den Maßgaben der Öffnungsklauseln nach Art. 9 Abs. 2 DSGVO und ggf. den Garantien nach Art. 89 Abs. 1 DSGVO auch die Vorgaben des Grundrechts auf Datenschutz zu berücksichtigen…
- Im Zulassungsverfahren sollten relevante Aspekte des Datenschutzes (z. B. die Rechtsgrundlagen und die Gewährleistung der Betroffenenrechte) und der Informationssicherheit geprüft werden. Die DSK empfiehlt, die Festlegung des Zulassungsverfahrens mit ihr abzustimmen, um die technisch-organisatorischen Maßnahmen und die datenschutzrechtlichen Prinzipien – wie Verschlüsselung, Pseudonymisierung, Erforderlichkeitsgrundsatz, Anonymisierung, Nutzung synthetischer Daten – bei der Datenerhebung, bei der Verarbeitung innerhalb des Registers und bei der Bereitstellung der Daten durch das Register zu gewährleisten. Zugleich sollte für die Zulassung ein Verfahren vorgesehen werden, mit dem die Einhaltung der Qualitätsstandards sowie die Angemessenheit des Schutzniveaus in regelmäßigen Abständen wiederholt geprüft und nachgewiesen wird.
- Im Zulassungsverfahren sollten auch das Verfahren, das Schutz- und Vertrauensniveau der Schnittstellen und die Voraussetzungen geprüft werden, mit denen ein Register Daten an Dritte bereitstellt oder übermittelt. Nutzungsanträge und -bewilligungen sollten aus Transparenzgründen vom Register und von der für den Nutzungsantrag zuständigen Stelle veröffentlicht werden.
- Zur Verminderung von Risiken und zur datenschutzkonformen Auswertung von Daten sollte in der gesetzlichen Regelung die Nutzung geeigneter technischer und organisatorischer Methoden einschließlich der dezentralen Speicherung und Verarbeitung gefordert werden.
- Der datenschutzrechtliche Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO steht der Verknüpfung von Datensätzen grundsätzlich entgegen. Sofern für Zwecke der wissenschaftlichen Forschung Datensätze verknüpft werden sollen, bedarf es im Hinblick auf das Grundrecht auf Datenschutz einer besonderen Rechtfertigung…“
U. a. an diesen Maßstäben wird ein Gesetzentwurf des Bundesgesundheitsministeriums für ein Registergesetz zu überprüfen sein.