Nightingale, DVG & Co
Wer darf was mit Krankendaten?
Sensible digitale Gesundheitsdaten kommen kaum aus den Schlagzeilen. Dabei wird viel durcheinandergeworfen, und es entsteht ein Diskursbrei, der weder Datenschutz noch Medizin dient: ein Überblick.
Veröffentlicht:Die Frage, wie unbedarft ein Gesundheitsversorger und ein IT-Unternehmen eigentlich agieren können, darf man angesichts der Diskussion um die Kooperation von Google mit dem katholischen US-Krankenversorger Ascension („Himmelfahrt“) schon stellen.
Zur Erinnerung: Seit 2018 sollen nicht nur von rund 50 Millionen US-Bürgern aus 21 Bundesstaaten Patientendatensätze mit unter anderem Namen, Geburtsdatum und Klinikdokumenten aller Art digital zusammengeführt worden sein, ohne die Patienten oder behandelnde Ärzte zu informieren.
Dem Ganzen wurde auch noch mit „Project Nightingale“ ein Name gegeben, der schon nach Heimlichtuerei klingt – auch wenn englische Muttersprachler eher an Florence Nightingale als an „Nachtigall, ick hör dir trapsen“ denken werden.
Nach allem, was US-Medien recherchiert haben, soll die Datenzusammenführung bei Ascension als Auftragsdatenverarbeitung erfolgen. Das entsprechende US-Gesetz heißt HIPAA, es geht noch auf Bill Clinton zurück.
Geld verdienen mit Patientendaten
In der Tat ermöglicht es, Daten weiterzugeben, ohne Patienten zu informieren. Ob zwischen Google und Ascension wirklich alles mit rechten Dingen zugeht, untersucht jetzt das US-Gesundheitsministerium.
Der Aufschrei begründet sich aber auch weniger in der – in den USA völlig normalen – Zusammenführung von Daten in einer Cloud-Plattform als vielmehr darin, dass Google mit diesen Daten Geld verdienen will, indem Algorithmen mittels künstlicher Intelligenz (KI) trainiert werden.
Das macht das Unternehmen nicht nur mit Ascension: Erst Mitte September hatte die auch nicht kleine Mayo Clinic, in Sachen Öffentlichkeitsarbeit besser beraten, aktiv über eine neue strategische Partnerschaft mit Google informiert.
Auch dabei geht es um die Zusammenführung von klinischen Daten mit dem Ziel, Maschinenlernalgorithmen zu entwickeln, die bei der Patientenversorgung helfen. Im Falle der Mayo Clinic wurde allerdings versichert, dass identifizierende Patientendaten bei einem Einsatz der Datensätze zur Softwareentwicklung entfernt würden.
Stärkere Regulierung in Deutschland
In Deutschland ist Auftragsdatenverarbeitung enger gefasst und stärker reguliert. Dass eine dreistellige Zahl an Mitarbeitern eines IT-Unternehmens weitreichenden Zugriff auf Patientendaten bekommt, ohne dass das irgendjemandem mitgeteilt wird, ist kaum vorstellbar. Gut so.
Aber natürlich gibt es auch bei uns ein Interesse, anhand klinischer Datensätze Softwarelösungen zu trainieren, Beispiel Radiologie, Beispiel Workflow-Tools für OP-Säle.
Über dieses legitime Anliegen wird in Deutschland öffentlich aber kaum gesprochen. Stattdessen fangen alle zu flüstern an, sobald es um digitale Patientendaten geht. Wozu das führt, dazu lieferten die Tage vor der Verabschiedung des Digitale-Versorgung-Gesetzes (DVG) geradezu eine Fallstudie.
Nötig sind Differenzierung und Transparenz. Patientendaten sind nicht gleich Patientendaten, und Auswertung ist nicht gleich Auswertung. Es gibt erstens GKV-Abrechnungsdaten, für deren anonymisierte und/oder pseudonymisierte Beforschung es seit 2004 sozialrechtliche Grundlagen gibt.
Hier kann man schon die Frage stellen, ob es, zumal in einem solidarischen Krankenversicherungssystem, besonders sinnvoll wäre, diese Forschung auch noch mit individuellen Zustimmungen zu erschweren, wie das vereinzelt vorgeschlagen wurde.
Keine Forschung ohne Zustimmung
Anders sieht es bei den klinischen Daten aus, Stichwort elektronische Patientenakte. Hier gilt im Moment: keine Forschung ohne Zustimmung. Die vom Bundesforschungsministerium finanzierte Medizininformatikinitiative, die eine deutsche, klinische Forschungsdateninfrastruktur aufbaut, arbeitet unter genau dieser Prämisse.
Der Vollständigkeit halber sei angemerkt, dass die von der Bundesregierung beauftragte Datenethikkommission in ihrem aktuellen Gutachten auch im Hinblick auf Daten elektronischer Patientenakten die Frage gestellt hat, ob bestimmte Arten der Auswertung nicht sogar ethisch geboten sein könnten. Das müsste transparent diskutiert werden.
Der dritte Bereich ist die genannte Auftragsdatenverarbeitung, die ebenfalls gesetzlich geregelt ist. Hier steht die in Deutschland immer noch „föderal gehandhabte“ Frage im Raum, in welchem Umfang und wie genau Cloud-Lösungen für Patientendaten eingesetzt werden dürfen.
Das vierte Thema schließlich, das davon womöglich separiert werden sollte, ist das „Project Nightingale“-Thema der Datenzusammenführung für die Softwareentwicklung.
Problem: Grauzone
Auch so etwas ist nicht von vornherein böse. Wer beklagt, dass medizinische KI-Lösungen ständig aus USA und China kommen, der muss überlegen, wie auch in Deutschland oder Europa die entsprechenden Daten zugänglich gemacht werden können, schon damit einzelne Unternehmen mit einzelnen Kunden – und im Normalfall mit den besten Absichten – nicht in Grauzonen agieren müssen.
Die Frage ist, wie das deutsche Gesundheitswesen zu einem differenzierten, rationalen Umgang mit digitalen Patientendaten kommt. In Finnland war das Gegenstand eines eigenen Gesetzgebungsverfahrens, inklusive mehrmonatigem öffentlichen Konsultationsprozess.
Das Beispiel zeigt zumindest, dass man an dieses sensible Thema auch anders herangehen kann. In Deutschland entsteht mitunter der Eindruck, dass gesetzliche Intransparenz Methode hat – nicht aus Böswilligkeit, sondern aus Angst vor dem nächsten Shitstorm. Hilfreich ist das nicht.