Beim Thema Gesundheitsdaten ist die Warnung vor Missbrauch nicht weit. Dabei kann mit Gesundheitsdaten auch viel Nutzen gestiftet werden – für Einzelne und die ganze Bevölkerung.

Patientendaten sind in die Diskussion gekommen. Innerhalb weniger Wochen gab es eine ganze Reihe plakativer Schlagzeilen, die den Eindruck vermittelten, digitale Gesundheitsanwendungen aller Art seien offen wie Scheunentore, und mit digitalen Gesundheitsdaten mache jeder, was er will. Meist ist das, was übrigbleibt, wenn man etwas genauer hinsieht, deutlich weniger spektakulär. Die Kooperation des US-Krankenversorgers Ascension mit Google im so genannten „Project Nightingale“, bei der es um die Entwicklung von Künstliche-Intelligenz-Algorithmen auf Basis von mehreren zehn Millionen Patientendatensätzen geht, mag ungeschickt gewesen sein. Nach allem, was bisher bekannt ist, bewegte sie sich aber auf dem Boden des US-Rechts. Es gibt eine Reihe ähnlicher Projekte in den USA, und längst nicht nur von Google.

Das Problem an einer sensationalistischen Berichterstattung über Scheinskandale ist, dass dadurch eine andere Diskussion erschwert wird, die an der Schwelle zum digitalen Zeitalter in der Medizin mindestens genauso wichtig ist, nämlich die Diskussion über sinnvolles, nutzenstiftendes Arbeiten mit digitalen Gesundheitsdaten. Der Bundesgesundheitsminister hat das erkannt: „Wir können über die Ethik von Datennutzung streiten, aber wir können auch über die Ethik der Nicht-Datennutzung trefflich streiten“, sagte Jens Spahn Ende November bei der jährlichen Digital Health Konferenz des IT-Branchenverbands BITKOM.

Spahn wiederholte damit nur, was die von der Bundesregierung beauftragte Datenethikkommission in ihrem im Herbst vorgelegten Bericht bereits angemerkt hatte: Nicht nur durch Datenmissbrauch, auch durch die Nichtnutzung existierender Daten kann Schaden entstehen. Für Mediziner ist diese Erkenntnis eigentlich ein „No-Brainer“. Wer den Nierenwert, das Kreatinin, bei seinen diagnostischen oder therapeutischen Entscheidungen ignoriert, handelt grob fahrlässig und gefährdet unter Umständen den Patienten massiv. Deswegen wird der Kreatininwert, wenn er vorliegt, selbstverständlich verwendet. Bei digitalen Daten laufen die Diskussionen dagegen häufig anders.

Eines der Probleme der aktuellen Datendiskussionen im Gesundheitswesen ist, dass gerne alles über einen Kamm geschert wird. Dabei sind Daten nicht gleich Daten. Differenzierung tut not. Es gibt zum einen die Abrechnungsdaten, die die Krankenkassen von den Leistungserbringern erhalten, um die „finanzielle Seite“ der Gesundheitsversorgung abwickeln zu können. Hier gab es Anfang November einen großen Aufschrei, weil das Digitale-Versorgung-Gesetz (DVG) der Bundesregierung angeblich die Schleusen für eine komplett unregulierte Forschung geöffnet habe, bei der individuelle Patienten im Handumdrehen identifiziert werden könnten.

Das stimmte nicht. Zum einen ist eine Forschung mit Abrechnungsdaten, die gemäß Sozialgesetzbuch V erhoben werden, schon seit 2004 möglich. Auch GKV-Spitzenverband und Bundesoberbehörden sind in den Datenfluss bei den Abrechnungsdaten schon lange involviert. Die Änderung im DVG betraf im Wesentlichen die Geschwindigkeit der Auswertbarkeit – es dauert jetzt nur noch ein statt bisher vier Jahre, bis Forschung möglich wird. Außerdem werden einige neue (Abrechnungs-)Daten analysierbar, die bisher von Wissenschaftlern schmerzlich vermisst wurden. Und seitens der Bundesoberbehörden wandert die Verantwortung vom DIMDI zum BfArM, da die beiden Behörden fusioniert werden.

Nun kann darüber gestritten werden, ob Versicherte einer Forschung an derartigen SGB V-Daten zustimmen können sollten oder nicht. Die aktuelle Bundesregierung steht – genau wie ihre Vorgängerinnen – auf dem Standpunkt, dass das nicht erforderlich ist, weil es um Daten der solidarischen Krankenversicherung geht. Das muss man nicht so sehen, aber zur Wahrheit gehört auch, dass eine detaillierte Zustimmungspflicht für Forschung mit Abrechnungsdaten auch international unüblich ist. Natürlich muss Datenmissbrauch verhindert werden. Dies geschieht bei den Abrechnungsdaten durch eine Vertrauensstelle, die sich um Anonymisierung/Pseudonymisierung kümmert. Außerdem gibt es eine Forschungsdatenstelle, die für den verantwortungsvollen Zugang zu den Daten zuständig ist und die nur jene Institutionen forschen lässt, die das laut Gesetz dürfen.

Anders sieht es aus, Stichwort Differenzierung, wenn es um aktuelle Daten aus der medizinischen Versorgung geht. Die sind deutlich sensibler als die Abrechnungs-Codes. Diese Daten sollen künftig in elektronischen Patientenakten gesammelt werden, sofern der Einzelne das möchte. Hier gilt, dass der Patient nicht nur entscheiden kann, ob er überhaupt eine elektronische Patientenakte nutzen möchte. Er soll auch entscheiden können, ob und wenn ja wem er diese Daten zugänglich macht. Keine Nutzung ohne Zustimmung, das ist nicht zuletzt Anforderung der deutschen Datenschutzgesetze und der europäischen Datenschutzgrundverordnung, der DSGVO. (Für Daten wie die oben erwähnten, gesetzlich definierten Abrechnungsdaten kennt die DSGVO Ausnahmeregeln.)

Wenn nun bei elektronischen Patientenakten eine Datennutzung an die Patientenzustimmung gekoppelt wird, dann stellt sich die Frage, wie diese Zustimmung, neudeutsch „Consent“, genau umgesetzt wird. Das ist bisher noch offen, denn übergreifende elektronische Patientenakten müssen den GKV-Versicherten laut Gesetzgeber ja erst ab 2021 verpflichtend angeboten werden. Trotzdem wird am Thema „Consent“ bereits intensiv gearbeitet.

Ein wichtiger Akteur dabei ist die Medizininformatik-Initiative. Hier haben sich auf Initiative des Bundesforschungsministeriums vier große Konsortien aus Universitätskliniken zusammengetan, um eine forschungskompatible elektronische Patientenakte zu entwickeln, mit der Wissenschaftlern klinische Forschung über Einrichtungsgrenzen hinweg ermöglicht werden soll. Das „Zieldatum“ für diese forschungskompatible elektronische Patientenakte ist in der Hightech-Strategie der Bundesregierung niedergelegt, es ist das Jahr 2025.

Konkret entwickelt die Medizininformatikinitiative Consent-Modelle, um die Patienteneinwilligung umzusetzen, und zwar in enger Abstimmung mit den Landes- und Bundesdatenschützern. Ein wichtiges Stichwort dabei ist der „Broad Consent“. Das ist eine Zustimmungsvariante zur Datennutzung, bei der der Patient oder Bürger seine Daten für künftige Forschungsprojekte innerhalb eines vom ihm zu definierenden Rahmens freigibt, ohne dass die Wissenschaftler bei jedem neuen Forschungsprojekt erneut nachfragen müssen.

Es gibt noch eine dritte Variante der Nutzung von Gesundheitsdaten, und das ist die Auftragsdatenverarbeitung durch IT-Unternehmen. Die ist seit vielen Jahren gesetzlich geregelt, doch werden die Regelungen von Bundesland zu Bundesland unterschiedlich ausgelegt. Die Auftragsdatenverarbeitung ist außerdem in die Diskussion gekommen, weil einige Unternehmen Patientendaten im Rahmen einer Auftragsdatenverarbeitung nutzen wollen, um Künstliche Intelligenz Algorithmen zu trainieren und damit dann Geld zu verdienen.

Rechtlich ist das im Moment genauso eine Grauzone wie der Weiterverkauf anonymisierter Daten, die im Rahmen gesetzlich geregelter (Abrechnungs-)Prozesse an unterschiedlichen Stellen des Gesundheitswesens anfallen. Viele sehen bei diesen Themen noch Klärungsbedarf. Aber auch hier gilt es, genau hinzusehen: Geht es darum, einem pharmazeutischen Unternehmen beim Marketing unter die Arme zu greifen? Oder geht es darum, dass sich Ärzte bei der Diagnose oder der Therapie von einem gut trainierten Algorithmus unterstützen lassen? Im letzteren Fall wird die Qualität der medizinischen Versorgung unter Umständen stark verbessert – wovon einzelne Patienten, aber auch das Solidarsystem als Ganzes profitieren. In jedem Fall gilt: Die digitale Verarbeitung von Gesundheitsdaten ist nicht nur ein „Risikothema“, sondern auch ein „Nutzenthema“.

Sehen Sie zu dem Thema auch unser Video:
Die Gesundheitsgemeinschaft: Koordinierte patientenzentrierte Versorgung

• Creating Sustainable 21st Century Health Systems
• Interoperabilität und mehr