Der Europäische Datenschutzausschuss EDSA (European Data Protection Board EDPB) und der Europäische Datenschutzbeauftragte EDSB (European Data Protection Supervisor EDPS) haben am 12. Juli 2022 eine 30-seitige gemeinsame Stellungnahme veröffentlicht (EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space) zum Vorschlag für eine Verordnung über den europäischen Raum für Gesundheitsdaten (Eropean Health Data Space EHDS) der Europäischen Kommission (Proposal for a regulation – The European Health Data Space), der am 3. Mai 2022 veröffentlicht worden war.
Um eine Stellungnahme hatte sie die Europäische Kommission ausdrücklich gebeten. Der EDSA und der EDSB begrüssen das Ziel des Vorschlags, den Austausch verschiedener Arten elektronischer Gesundheitsdaten (insb. elektronische Patientenakten, Genomdaten, Patientenregister) und den Zugang zu diesen Daten zu verbessern, um dadurch nicht nur die Primärnutzung (Gesundheitsversorgung) sondern auch die Sekundärnutzung (gesundheitsbezogene Forschung, Innovation, Politikgestaltung, Regulierungszwecke und personalisierte Medizin) elektronischer Gesundheitsdaten zu unterstützen.
Kritik
Der EDSA und der EDSB üben aber auch Kritik am Vorschlag. Der Erfolg des EHDS werde von einer soliden Rechtsgrundlage abhängen, die sowohl mit dem EU-Datenschutzrechtsrahmen als auch mit der Rechtsprechung des EuGH in Einklang stehen müsse. Die allgemeinen Verweise auf die DSGVO seien unzureichend. Es bestehe die Gefahr der Fehlinterpretation zentraler Datenschutzbestimmungen, was zu einer Absenkung des Schutzniveaus führen könnte, das den betroffenen Personen derzeit im Rahmen des bestehenden EU-Datenschutzrechtsrahmens gewährt werde.
“[…] the provisions in this Proposal will add yet another layer to the already complex (multi-layered) collection of provisions (to be found both in the EU and Member States law) on the
processing of health data (in the health care sector). The interplay between those different pieces of legislation needs to be (crystal) clear.”
Die in der gemeinsamen Stellungnahme formulierten Kritikpunkte und Änderungsvorschläge lassen sich wie folgt zusammenfassen:
Ungenaue Beschreibung von DSGVO-Rechten
Dass im Vorschlag auf die Rechte gemäss DSGVO verwiesen wird (z.B. das Recht auf kostenlosen Zugang und das Recht auf eine Kopie der Daten), sei zu begrüssen. Ihre Beschreibung weiche jedoch inhaltlich von der DSGVO ab. Es sei Klarheit über das Verhältnis zwischen diesen Bestimmungen zu schaffen.
Keine Ausweitung der Ausnahmen von den DSGVO-Garantien
Nach Artikel 38 Absatz 2 des Vorschlags sind die Zugangsstellen für Gesundheitsdaten (ernannt durch die Mitgliedstaaten; sie gewähren den Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung) nicht verpflichtet, jeder natürlichen Person die spezifischen Informationen gemäß Artikel 14 DSGVO über die Verwendung ihrer Daten für Projekte, für die eine Datengenehmigung erteilt wurde, zur Verfügung zu stellen. Der EDSA und der EDSB sehen darin eine ausdrückliche Abweichung von der DSGVO. Die neue Ausnahmeregelung könne unbeabsichtigte Folgen für die Grundrechte und ‑freiheiten der betroffenen Personen haben, da konkrete Bedingungen fehlen, unter denen die neue Ausnahme anwendbar sei.
Streichung von Wellness-Apps und sonstiger digitaler Gesundheitsanwendungen aus Kapiteln III und IV
Kapitel III des Vorschlags befasst sich mit der Umsetzung einer verbindlichen Regelung für die Selbstzertifizierung von EHR-Systemen in Situationen, in denen solche Systeme grundlegende Anforderungen in Bezug auf Interoperabilität und Sicherheit erfüllen müssen. Das Kapitel enthält auch Bestimmungen über die freiwillige Kennzeichnung von Wellness-Apps, die mit EHR-Systemen interoperabel sind. Kapitel IV erleichtert die Sekundärnutzung elektronischer Gesundheitsdaten, z. B. für Forschung, Innovation, Politikgestaltung, Patientensicherheit oder Regulierungstätigkeiten. Darin wird eine Reihe von Datenarten definiert, die für bestimmte Zwecke verwendet werden können, und es werden unzulässige Zwecke festgelegt (z. B. Nutzung von Daten gegen Personen, kommerzielle Werbung, Erhöhung der Versicherung, Entwicklung gefährlicher Produkte). Der EDSA und der EDSB empfehlen die Streichung der Wellness-Apps und der digitalen Gesundheitsanwendungen aus diesen Kapiteln.
“The EDPB and the EDPS acknowledge the provisions in Chapter III that aim to improve the interoperability of Electronic Health Records and to facilitate the connectivity of wellness-apps with such electronic health records. However, the […] the latter should not be included in the secondary use of health data under Chapter IV of the Proposal. First, because health data generated by wellness applications and other digital health applications do not have the same data quality requirements and characteristics of those generated by medical devices. Moreover, these applications generate an enormous amount of data and can be highly invasive since it relates to every step individuals takes in their everyday lives.”
Sollten diese Daten beibehalten werden, sei die Verarbeitung für die Sekundärnutzung nur mit vorheriger Einwilligung im Sinne der DSGVO zulässig. Der Vorschlag wäre entsprechend zu ergänzen. Zweitens müssten die spezifischen Bedingungen für die Weiterverarbeitung dieser personenbezogenen Daten im Einklang mit den Datenschutzvorschriften eindeutig festgelegt werden, und es müssten geeignete Mechanismen geschaffen werden, um sicherzustellen, dass der Wille der betroffenen Personen hinsichtlich der Weiterverarbeitung ihrer (durch Wellness- und andere digitale Anwendungen erzeugten) personenbezogenen Gesundheitsdaten respektiert werde. Darüber hinaus falle eine solche Verarbeitung in den Anwendungsbereich der Datenschutzrichtlinie für elektronische Kommunikation.
Unklarer Bezug zu DSGVO-Ausnahmen vom Verbot der Verarbeitung sensibler Daten
Artikel 9 Absatz 2 Buchstabe h der DSGVO sieht Ausnahmen vor, in denen die Verarbeitung von sensiblen Daten für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die medizinische Versorgung oder Behandlung oder die Verwaltung der Gesundheitssysteme und ‑dienste auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich ist. Der Vorschlag sollte Bedingungen und Garantien für die Verarbeitung elektronischer
Gesundheitsdaten durch Gesundheitsdienstleister und Angehörige der Gesundheitsberufe im Einklang mit dieser Ausnahmebestimmung vorsehen. Der EDSB und der EDSB bemängeln, dass sich dies nicht in den Kriterien widerspiegelt, nach denen die zuständigen Stellen den Zugang zu den verlangten Gesundheitsdaten erteilen (Artikel 45 f. des Vorschlags). Es sei nicht klar, wie sich diese Bestimmungen auf die Grundsätze und Bestimmungen der DSGVO beziehen, insbesondere auf Artikel 9 Absatz 2 DSGVO.
Ergänzung betreffend Speicherung in der EU/im EWR gefordert
In Kapitel V werden weitere Massnahmen zur Förderung des Kapazitätsaufbaus durch die Mitgliedstaaten vorgeschlagen, die die Entwicklung des EHDS begleiten sollen. Dazu gehören der Austausch von Informationen über digitale öffentliche Dienste, Finanzierung usw. Darüber hinaus regelt dieses Kapitel den internationalen Zugang zu nicht personenbezogenen Daten im EHDS. Aufgrund der grossen Menge der zu verarbeitenden Daten, ihres hochsensiblen Charakters, des Risikos eines unrechtmässigen Zugriffs und der Notwendigkeit, eine wirksame Überwachung dieser Daten zu gewährleisten fordern der EDSB und der EDSB, diesen Vorschlag um eine Bestimmung zu ergänzen, die eine Speicherung der personenbezogenen elektronischen Gesundheitsdaten in der EU/im EWR vorsieht, unbeschadet weiterer Übermittlungen im Einklang mit Kapitel V der DSGVO.
Governance
Was schliesslich das durch den Vorschlag geschaffene Governance-Modell betrifft, so müssen die Aufgaben und Zuständigkeiten der neuen öffentlichen Einrichtungen sorgfältig zugeschnitten werden, insbesondere unter Berücksichtigung der Aufgaben und Zuständigkeiten der nationalen Aufsichtsbehörden, des Europäischen Datenschutzbeauftragten und des EDSA im Bereich der Verarbeitung personenbezogener (Gesundheits-)Daten. Überschneidungen von Zuständigkeiten sollten vermieden werden, und die Bereiche und Anforderungen für die Zusammenarbeit sollten spezifiziert werden.