Die Datenmedizin steht an einem Scheideweg. Wird sich auf europäischer Ebene bemüht, mit dem European Health Data Space einen europäisch einheitlichen Rahmen für den Umgang mit Gesundheitsdaten zu schaffen, werden Hersteller entsprechender Produkte auf nationaler Ebene weiterhin gegängelt und in ihrer Innovationskraft gehemmt. Es ist Zeit umzudenken.

Datenmedizin als Chance

Betrachtet man heute den noch jungen Markt der digitalen Medizin, so trifft man zunächst auf hitzige Debatten und Streit; Streit vor allem darüber, welche Preise für die Verordnung von digitalen Gesundheitsanwendungen angemessen sein sollen, welche Anforderungen an den evidenzbasierten Nachweis positiver Versorgungseffekte zu stellen sind und wie eine solche Anwendung datenschutzkonform zu gestaltet ist. Jedoch in einem Punkt besteht grundsätzlich Einigkeit; Einigkeit darüber, dass die im Rahmen der Anwendung verarbeiteten Daten im 21. Jahrhundert ein geradezu essentielles Gut darstellen. Dies nicht nur für den Patienten und die Hersteller der Anwendungen, sondern mindestens im gleichen Maße auch Krankenversicherungen. Kurzum – Daten stellen das “neue Gold” und die Datenmedizin die größte Chance unserer Gesundheitswirtschaft dar.

“Damoklesschwert” – Datenschutz

Doch wo es Chancen gibt, gibt es immer auch Risiken und Akteuere, deren erster Reflex die Verlangsamung oder gar die Verhinderung dieser notwendigen Zukunftsprozesse ist. Das “Schwert des Datenschutzes” ist dabei ein gern gewähltes Mittel, um den Pioniergeist nach Möglichkeit bereits im Keim zu ersticken. Bei den Treibern dieses Pioniertums löst dies, zugegeben verständlicher Weise, oftmals die Reaktion aus, dass die Regulation selbst die Wurzel des allen Übels sei. Wir erinnern uns beispielhaft an die Zeit kurz vor sowie kurz nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und die Welle der Panik, die von den unterschiedlichsten Playern am Markt – allen voran Beratern – künstlich erzeugt worden ist. War der Aufschrei ob der angeblich neuen und deutlich höheren Anforderungen zunächst groß, ist auch hier mit der Zeit Normalität eingekehrt. Dabei ist keinesfalls die DSGVO selbst das Problem, sondern vielmehr das, was aus ihr gemacht wird. In der Bundesrepublik besteht diesbezüglich seitens der Aufsichtsbehörden die Tendenz, ursprünglich offen gefasste Regelungen, die dem Verantwortlichen einen gewissen Spielraum einräumen, ausgesprochen restriktiv auszulegen und damit künstliche Hürden zu schaffen, die es zu bewältigen gilt. Auf das Wesentliche herunter gebrochen, wird es den Pionieren am Markt damit deutlich schwerer gemacht, als dies vor dem Hintergrund der reinen Regulation (ohne restriktive Auslegung) eigentlich der Fall sein müsste. Der Kern des Problems liegt folglich nicht in der Regulation selbst, sondern vielmehr in der Art und Weise, wie die, teilweise selbsternannten Autoritäten, mit diesen umgehen. Die Hürden sind also nicht faktisch, sondern rein fiktiv.

Massive Probleme

Welche Triebe dieses Problem schlagen kann wird insbesondere im Zusammenhang mit den digitalen Gesundheitsanwendungen (DiGA) deutlich. Hier haben wir es gleich mit mehreren Autoritäten zu tun, die den zugrundeliegenden Anforderungen “ihren Stempel aufdrücken” wollen. Auf der einen Seite steht das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), welches nicht nur für die Überwachung des Medizinproduktemarktes auf nationaler Ebene, sondern zugleich auch für das Antragsverfahren rund um DiGA verantwortlich zeichnet. Daneben steht das Bundesamt für die Sicherheit in der Informationstechnik (BSI), welches – über die Erstellung von technischen Richtlinien (z.B. BSI TR-03161, Anforderungen an Anwendungen im Gesundheitswesen) umfängliche Anforderungskataloge für digitale Anwendungen im Gesundheitswesen entwirft, die – und das muss so klar geäußert werden – gerade kleinere Herstellerunternehmen vor schier unlösbare Herausforderungen in der technischen Umsetzung ihrer Lösungen stellt. Über alledem “schwebt” schließlich die übergeordnete Datenschutzaufsicht in Form der unterschiedlichen Landesdatenschutzaufsichtsbehörden sowie natürlich dem Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI). In der Mitte dieses Dreiecks der Regulation und Kontrolle befindet sich – weitestgehend alleingelassen – der Hersteller.

Dabei haben wir es mittlerweile mit Anforderungen zu tun, die weit über den Rahmen, wie dieser von der DSGVO ursprünglich vorgesehen war, hinausgehen und die zum Teil auch dazu in der Lage sind, die Usability – also die Gebrauchstauglichkeit – einer Anwendung so stark einzuschränken, dass eine Nutzung der Anwendung schlicht keine Freude mehr bereitet. Ein wesentliches Dauerthema ist in diesem Zusammenhang beispielsweise die Möglichkeit zur Nutzung von Diensten, die im Rahmen von Google Services oder auch Amazon AWS bereitgestellt werden. Zwar befindet sich der Serverstandort stets innerhalb des Geltungsbereichs der DSGVO (regelmäßig in Frankfurt), womit es grundsätzlich erst einmal nicht zu einer Datenübermittlung in Drittstaaten i.S.v. Art. 44 ff. DSGVO kommt, dies ist jedoch vor dem Hintergrund der Anforderungen der DiGAV nicht ausreichend. Hier ist vom Hersteller der Anwendung ergänzend sicherzustellen, dass der Anbieter nicht über einen Mutterkonzern außerhalb des Geltungsbereiches der DSGVO verfügt, womit eine Nutzung der oben beschriebenen Dienste ausscheidet. Keine Berücksichtigung findet in diesem Zusammenhang, dass es – zumindest bisher – keine rein europäischen Dienste gibt, die ein vergleichbar umfangreiches sowie leistungsstarkes Angebot bieten können. Mit “Gaia-x” wurde zwar auf europäischer Ebene ein Projekt geschaffen, welches die Unabhängigkeit der europäischen Dateninfrastruktur von außereuropäischen Diensten (z.B. Google, Amazon, Microsoft) schaffen sollte, der Erfolg dieses Projektes ist jedoch mehr als fraglich.

Ausblick und Fazit

Mit dem Entwurf zur Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten, also dem European Health Data Space (EHDS), wurde im Mai dieses Jahres nun ein nächster Vorstoß in Sachen Datenmedizin seitens der EU-Kommission unternommen. Die Ziele des EHDS sind hehr; Durch die Schaffung des europäischen Datenraums soll die Handlungsfähigkeit der einzelnen Akteuere erweitert und ein “Ökosystem” geschaffen werden, innerhalb dessen der Umgang mit Gesundheitsdaten maßgeblich erleichtert wird. Dieser Vorstoß klingt erst einmal vielversprechend und weckt Hoffnung. Allerdings ist auch hier noch einmal hervorzuheben, dass unsere derzeitigen Probleme im Umgang mit Gesundheitsdaten (z.B. im Kontext von digitalen Gesundheitsanwendung) nicht aus europäischen Verordnungen – wie es die DSGVO auch eine ist – resultieren, sondern durch die viel zu restriktive Auslegung auf nationaler Ebene begründet sind. Sofern es also hier nicht zu einem Umdenken kommt, wird auch der EHDS keine Erlösung bringen.