EDSA und EDSB: Gemein­sa­me Stel­lung­nah­me zum Vor­schlag einer Ver­ord­nung über den euro­päi­schen Raum für Gesundheitsdaten

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA (Euro­pean Data Pro­tec­tion Board EDPB) und der Euro­päi­sche Daten­schutz­be­auf­trag­te EDSB (Euro­pean Data Pro­tec­tion Super­vi­sor EDPS) haben am 12. Juli 2022 eine 30-sei­ti­ge gemein­sa­me Stel­lung­nah­me ver­öf­fent­licht (EDPB-EDPS Joint Opi­ni­on 03/2022 on the Pro­po­sal for a Regu­la­ti­on on the Euro­pean Health Data Space) zum Vor­schlag für eine Ver­ord­nung über den euro­päi­schen Raum für Gesund­heits­da­ten (Ero­pean Health Data Space EHDS) der Euro­päi­schen Kom­mis­si­on (Pro­po­sal for a regu­la­ti­on – The Euro­pean Health Data Space), der am 3. Mai 2022 ver­öf­fent­licht wor­den war.

Um eine Stel­lung­nah­me hat­te sie die Euro­päi­sche Kom­mis­si­on aus­drück­lich gebe­ten. Der EDSA und der EDSB begrü­ssen das Ziel des Vor­schlags, den Aus­tausch ver­schie­de­ner Arten elek­tro­ni­scher Gesund­heits­da­ten (insb. elek­tro­ni­sche Pati­en­ten­ak­ten, Genom­da­ten, Pati­en­ten­re­gi­ster) und den Zugang zu die­sen Daten zu ver­bes­sern, um dadurch nicht nur die Pri­mär­nut­zung (Gesund­heits­ver­sor­gung) son­dern auch die Sekun­där­nut­zung (gesund­heits­be­zo­ge­ne For­schung, Inno­va­ti­on, Poli­tik­ge­stal­tung, Regu­lie­rungs­zwecke und per­so­na­li­sier­te Medi­zin) elek­tro­ni­scher Gesund­heits­da­ten zu unterstützen.

Kri­tik
Der EDSA und der EDSB üben aber auch Kri­tik am Vor­schlag. Der Erfolg des EHDS wer­de von einer soli­den Rechts­grund­la­ge abhän­gen, die sowohl mit dem EU-Daten­schutz­rechts­rah­men als auch mit der Recht­spre­chung des EuGH in Ein­klang ste­hen müs­se. Die all­ge­mei­nen Ver­wei­se auf die DSGVO sei­en unzu­rei­chend. Es bestehe die Gefahr der Fehl­in­ter­pre­ta­ti­on zen­tra­ler Daten­schutz­be­stim­mun­gen, was zu einer Absen­kung des Schutz­ni­veaus füh­ren könn­te, das den betrof­fe­nen Per­so­nen der­zeit im Rah­men des bestehen­den EU-Daten­schutz­rechts­rah­mens gewährt werde.

[…] the pro­vi­si­ons in this Pro­po­sal will add yet ano­t­her lay­er to the alrea­dy com­plex (mul­ti-laye­red) collec­tion of pro­vi­si­ons (to be found both in the EU and Mem­ber Sta­tes law) on the
pro­ces­sing of health data (in the health care sec­tor). The inter­play bet­ween tho­se dif­fe­rent pie­ces of legis­la­ti­on needs to be (cry­s­tal) clear.”

Die in der gemein­sa­men Stel­lung­nah­me for­mu­lier­ten Kri­tik­punk­te und Ände­rungs­vor­schlä­ge las­sen sich wie folgt zusammenfassen:

Unge­naue Beschrei­bung von DSGVO-Rechten
Dass im Vor­schlag auf die Rech­te gemäss DSGVO ver­wie­sen wird (z.B. das Recht auf kosten­lo­sen Zugang und das Recht auf eine Kopie der Daten), sei zu begrü­ssen. Ihre Beschrei­bung wei­che jedoch inhalt­lich von der DSGVO ab. Es sei Klar­heit über das Ver­hält­nis zwi­schen die­sen Bestim­mun­gen zu schaffen.

Kei­ne Aus­wei­tung der Aus­nah­men von den DSGVO-Garantien
Nach Arti­kel 38 Absatz 2 des Vor­schlags sind die Zugangs­stel­len für Gesund­heits­da­ten (ernannt durch die Mit­glied­staa­ten; sie gewäh­ren den Zugang zu elek­tro­ni­schen Gesund­heits­da­ten für die Sekun­där­nut­zung) nicht ver­pflich­tet, jeder natür­li­chen Per­son die spe­zi­fi­schen Infor­ma­tio­nen gemäß Arti­kel 14 DSGVO über die Ver­wen­dung ihrer Daten für Pro­jek­te, für die eine Daten­ge­neh­mi­gung erteilt wur­de, zur Ver­fü­gung zu stel­len. Der EDSA und der EDSB sehen dar­in eine aus­drück­li­che Abwei­chung von der DSGVO. Die neue Aus­nah­me­re­ge­lung kön­ne unbe­ab­sich­tig­te Fol­gen für die Grund­rech­te und ‑frei­hei­ten der betrof­fe­nen Per­so­nen haben, da kon­kre­te Bedin­gun­gen feh­len, unter denen die neue Aus­nah­me anwend­bar sei.

Strei­chung von Well­ness-Apps und son­sti­ger digi­ta­ler Gesund­heits­an­wen­dun­gen aus Kapi­teln III und IV
Kapi­tel III des Vor­schlags befasst sich mit der Umset­zung einer ver­bind­li­chen Rege­lung für die Selbst­zer­ti­fi­zie­rung von EHR-Syste­men in Situa­tio­nen, in denen sol­che Syste­me grund­le­gen­de Anfor­de­run­gen in Bezug auf Inter­ope­ra­bi­li­tät und Sicher­heit erfül­len müs­sen. Das Kapi­tel ent­hält auch Bestim­mun­gen über die frei­wil­li­ge Kenn­zeich­nung von Well­ness-Apps, die mit EHR-Syste­men inter­ope­ra­bel sind. Kapi­tel IV erleich­tert die Sekun­där­nut­zung elek­tro­ni­scher Gesund­heits­da­ten, z. B. für For­schung, Inno­va­ti­on, Poli­tik­ge­stal­tung, Pati­en­ten­si­cher­heit oder Regu­lie­rungs­tä­tig­kei­ten. Dar­in wird eine Rei­he von Daten­ar­ten defi­niert, die für bestimm­te Zwecke ver­wen­det wer­den kön­nen, und es wer­den unzu­läs­si­ge Zwecke fest­ge­legt (z. B. Nut­zung von Daten gegen Per­so­nen, kom­mer­zi­el­le Wer­bung, Erhö­hung der Ver­si­che­rung, Ent­wick­lung gefähr­li­cher Pro­duk­te). Der EDSA und der EDSB emp­feh­len die Strei­chung der Well­ness-Apps und der digi­ta­len Gesund­heits­an­wen­dun­gen aus die­sen Kapiteln. 

The EDPB and the EDPS ack­now­ledge the pro­vi­si­ons in Chap­ter III that aim to impro­ve the inter­ope­ra­bi­li­ty of Elec­tro­nic Health Records and to faci­li­ta­te the con­nec­ti­vi­ty of well­ness-apps with such elec­tro­nic health records. Howe­ver, the […] the lat­ter should not be inclu­ded in the secon­da­ry use of health data under Chap­ter IV of the Pro­po­sal. First, becau­se health data gene­ra­ted by well­ness app­li­ca­ti­ons and other digi­tal health app­li­ca­ti­ons do not have the same data qua­li­ty requi­re­ments and cha­rac­te­ri­stics of tho­se gene­ra­ted by medi­cal devices. Moreo­ver, the­se app­li­ca­ti­ons gene­ra­te an enor­mous amount of data and can be high­ly inva­si­ve sin­ce it rela­tes to every step indi­vi­du­als takes in their ever­y­day lives.”

Soll­ten die­se Daten bei­be­hal­ten wer­den, sei die Ver­ar­bei­tung für die Sekun­där­nut­zung nur mit vor­he­ri­ger Ein­wil­li­gung im Sin­ne der DSGVO zuläs­sig. Der Vor­schlag wäre ent­spre­chend zu ergän­zen. Zwei­tens müss­ten die spe­zi­fi­schen Bedin­gun­gen für die Wei­ter­ver­ar­bei­tung die­ser per­so­nen­be­zo­ge­nen Daten im Ein­klang mit den Daten­schutz­vor­schrif­ten ein­deu­tig fest­ge­legt wer­den, und es müss­ten geeig­ne­te Mecha­nis­men geschaf­fen wer­den, um sicher­zu­stel­len, dass der Wil­le der betrof­fe­nen Per­so­nen hin­sicht­lich der Wei­ter­ver­ar­bei­tung ihrer (durch Well­ness- und ande­re digi­ta­le Anwen­dun­gen erzeug­ten) per­so­nen­be­zo­ge­nen Gesund­heits­da­ten respek­tiert wer­de. Dar­über hin­aus fal­le eine sol­che Ver­ar­bei­tung in den Anwen­dungs­be­reich der Daten­schutz­richt­li­nie für elek­tro­ni­sche Kommunikation.

Unkla­rer Bezug zu DSGVO-Aus­nah­men vom Ver­bot der Ver­ar­bei­tung sen­si­bler Daten
Arti­kel 9 Absatz 2 Buch­sta­be h der DSGVO sieht Aus­nah­men vor, in denen die Ver­ar­bei­tung von sen­si­blen Daten für Zwecke der Gesund­heits­vor­sor­ge oder der Arbeits­me­di­zin, für die Beur­tei­lung der Arbeits­fä­hig­keit des Beschäf­tig­ten, für die medi­zi­ni­sche Dia­gno­stik, die medi­zi­ni­sche Ver­sor­gung oder Behand­lung oder die Ver­wal­tung der Gesund­heits­sy­ste­me und ‑dien­ste auf der Grund­la­ge des Uni­ons­rechts oder des Rechts der Mit­glied­staa­ten erfor­der­lich ist. Der Vor­schlag soll­te Bedin­gun­gen und Garan­tien für die Ver­ar­bei­tung elektronischer
Gesund­heits­da­ten durch Gesund­heits­dienst­lei­ster und Ange­hö­ri­ge der Gesund­heits­be­ru­fe im Ein­klang mit die­ser Aus­nah­me­be­stim­mung vor­se­hen. Der EDSB und der EDSB bemän­geln, dass sich dies nicht in den Kri­te­ri­en wider­spie­gelt, nach denen die zustän­di­gen Stel­len den Zugang zu den ver­lang­ten Gesund­heits­da­ten ertei­len (Arti­kel 45 f. des Vor­schlags). Es sei nicht klar, wie sich die­se Bestim­mun­gen auf die Grund­sät­ze und Bestim­mun­gen der DSGVO bezie­hen, ins­be­son­de­re auf Arti­kel 9 Absatz 2 DSGVO.

Ergän­zung betref­fend Spei­che­rung in der EU/im EWR gefordert
In Kapi­tel V wer­den wei­te­re Mass­nah­men zur För­de­rung des Kapa­zi­täts­auf­baus durch die Mit­glied­staa­ten vor­ge­schla­gen, die die Ent­wick­lung des EHDS beglei­ten sol­len. Dazu gehö­ren der Aus­tausch von Infor­ma­tio­nen über digi­ta­le öffent­li­che Dien­ste, Finan­zie­rung usw. Dar­über hin­aus regelt die­ses Kapi­tel den inter­na­tio­na­len Zugang zu nicht per­so­nen­be­zo­ge­nen Daten im EHDS. Auf­grund der gro­ssen Men­ge der zu ver­ar­bei­ten­den Daten, ihres hoch­sen­si­blen Cha­rak­ters, des Risi­kos eines unrecht­mä­ssi­gen Zugriffs und der Not­wen­dig­keit, eine wirk­sa­me Über­wa­chung die­ser Daten zu gewähr­lei­sten for­dern der EDSB und der EDSB, die­sen Vor­schlag um eine Bestim­mung zu ergän­zen, die eine Spei­che­rung der per­so­nen­be­zo­ge­nen elek­tro­ni­schen Gesund­heits­da­ten in der EU/im EWR vor­sieht, unbe­scha­det wei­te­rer Über­mitt­lun­gen im Ein­klang mit Kapi­tel V der DSGVO.

Gover­nan­ce
Was schliess­lich das durch den Vor­schlag geschaf­fe­ne Gover­nan­ce-Modell betrifft, so müs­sen die Auf­ga­ben und Zustän­dig­kei­ten der neu­en öffent­li­chen Ein­rich­tun­gen sorg­fäl­tig zuge­schnit­ten wer­den, ins­be­son­de­re unter Berück­sich­ti­gung der Auf­ga­ben und Zustän­dig­kei­ten der natio­na­len Auf­sichts­be­hör­den, des Euro­päi­schen Daten­schutz­be­auf­trag­ten und des EDSA im Bereich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner (Gesundheits-)Daten. Über­schnei­dun­gen von Zustän­dig­kei­ten soll­ten ver­mie­den wer­den, und die Berei­che und Anfor­de­run­gen für die Zusam­men­ar­beit soll­ten spe­zi­fi­ziert werden.