Forschung mit Gesundheitsdaten: Was Sie dazu wissen sollten
Teil 1: Was schon jetzt mit Ihren Daten passiert
Die Digitalisierung im Gesundheitswesen verspricht mehr Daten für die Forschung. Was bedeutet das für den Datenschutz, wer hat etwas davon? Der erste Teil unserer Serie beleuchtet den aktuellen Stand.
Mehr Digitalisierung im Gesundheitswesen soll die Patientenversorgung verbessern, etwa wenn der Hausarzt unkompliziert auf die Befunde der Kardiologin zurückgreifen kann, ohne dass viel Papier von einem Ort zum anderen transportiert werden muss. Das ist die Idee hinter der elektronischen Patientenakte (ePA).
Dabei geht es aber auch um weitere Fragen: So gibt es heute schon Forschung mit Gesundheitsdaten. Darum geht es in diesem ersten Teil der Serie. Aber Forschende und Unternehmen der Gesundheitswirtschaft fordern seit Jahren einen leichteren Zugang. Länder wie Israel, in denen Forschung mit Daten aus der Gesundheitsversorgung etablierter ist als in Deutschland, fanden in der Corona-Pandemie so heraus, wie lange der Impfschutz nach der zweiten Impfung während der Delta-Welle anhielt. Inzwischen gibt es sowohl in Deutschland als auch auf europäischer Ebene neue Gesetzesvorhaben, die die Forschung mit Gesundheitsdaten erleichtern sollen. Der zweite Teil in der nächsten Ausgabe von GPSP widmet sich den zukünftigen Entwicklungen.
?# Was zählt zu den Gesundheitsdaten?
Alle Daten, die Rückschlüsse auf den Gesundheitszustand eines Menschen zulassen, sind Gesundheitsdaten. Dazu zählen aus der ärztlichen Behandlung etwa Angaben zu Diagnosen und Beschwerden, Daten aus Laboranalysen wie Blutwerte oder genetische Tests, Angaben zu Medikamenten und anderen Therapien.
?# Wer bekommt heute schon meine Gesundheitsdaten?
Die Krankenkasse erhält einen Teil Ihrer Gesundheitsdaten für Abrechnungszwecke. Aus diesen geht etwa hervor, welche Diagnose gestellt wurde, wann die Arztbesuche waren, was verordnet wurde und welche Apotheke wann welche Medikamente abgegeben hat. Wenn Patient:innen an Studien teilnehmen, fließen die Daten in die Forschung ein. Schließlich gibt es gesetzlich verankerte Meldepflichten für 21 medizinische Register. Dazu gehören klinische und epidemiologische Krebsregister, das Transplantationsregister oder das Implantateregister.
?# Was passiert mit den Gesundheitsdaten?
Abrechnungsdaten der Krankenkassen können zum Beispiel für die Versorgungsforschung genutzt werden. Damit lassen sich etwa die Fragen beantworten, wie häufig bestimmte Diabetes-Komplikationen sind oder wie viele Menschen Früherkennung in Anspruch nehmen. Auch im Bereich der Arzneimittelsicherheit wird mit solchen Daten geforscht. Daten aus gesetzlichen Registern können helfen, die Qualität medizinischer Einrichtungen zu überwachen, etwa von Krebszentren, oder Probleme bei künstlichen Gelenken zu erkennen.
?# Wissen die jetzt alles über mich?
Krankenkassen müssen grundsätzlich die Abrechnungsdaten vor der Weitergabe an Forschende anonymisieren. Wenn das für die jeweilige Forschungsfrage nicht ausreicht, dürfen sie die Daten auch lediglich pseudonymisiert weitergeben. Bei pseudonymisierten Daten werden identifizierende Angaben wie Name oder Krankenversicherungsnummer etwa durch eine Kennung ersetzt. Diese erlaubt keinen direkten Rückschluss auf die Person, von der die Daten stammen, aber eine Zusammenführung mehrerer Datensätze, zum Beispiel aus einer Hausarztpraxis und einem Krankenhaus.
An die Forschung werden also grundsätzlich keine Klardaten weitergegeben. Wie gut die Daten durch Pseudonymisierung oder Anonymisierung geschützt sind, hängt aber entscheidend von den Details des gewählten Verfahrens ab. Im schlechtesten Fall lassen sich die Daten durch Zusatzwissen doch wieder Personen zuordnen.
Datenschutz hängt aber auch an der IT-Sicherheit: Werden die Daten beispielsweise zentral an einem Ort gespeichert, ist das Risiko größer, dass etwa aufgrund einer Sicherheitslücke „alles“ über eine Person bekannt wird.
In den letzten Jahren sind mehrere Fälle aus Großbritannien, Finnland und den USA bekannt geworden, in denen Patientendaten von Hackern erbeutet wurde, teilweise um die Betroffenen zu erpressen. So wurden in den USA zur Jahreswende 2014/15 die Datenbankserver der zweitgrößten Krankenkasse der USA gehackt und die Gesundheitsdaten von knapp 79 Millionen Versicherten erbeutet.
?# Hätte ich der Datennutzung nicht zustimmen müssen?
Für personenbezogene Gesundheitsdaten gilt: Weil sie den Kernbereich privater Lebensgestaltung berühren, zählen sie zu den besonders schützenswerten Daten. Als besonders sensibel gelten psychiatrische und genetische Daten. Die Datenschutz-Grundverordnung (DSGVO) sieht grundsätzlich die informierte freiwillige Einwilligung für einen „bestimmten Fall“ vor. Das bedeutet, dass eine ausdrückliche Einwilligung nötig ist, wenn personenbezogene (vollständige oder pseudonymisierte) Daten genutzt werden und für die Datennutzung keine gesetzlichen Regelungen greifen. Solche Regelungen gibt es derzeit etwa bei der Weitergabe von Abrechnungsdaten der gesetzlichen Krankenkassen für die Forschung.
In der Praxis ist die Einwilligung manchmal schwierig umzusetzen, etwa dann, wenn Blut- oder Gewebeproben für künftige genetische Krebsforschung aufbewahrt werden sollen. Dann lässt sich der Forschungszweck nicht immer vorausschauend so genau definieren, wie es für eine gültige Einwilligung eigentlich erforderlich wäre. In solchen Fällen ist eine „breite Einwilligung“ (broad consent) möglich, die es in bestimmten Grenzen offenlässt, was wie genau mit den Daten zukünftig erforscht werden kann.
?# Wer hat etwas von meinen Gesundheitsdaten?
Wenn zum Beispiel Ärzt:innen für die Gesundheitsversorgung auf die bereitgestellten Patientendaten zugreifen, etwa die Hausärztin auf Röntgenbilder aus dem Krankenhaus, kommt das den Patient:innen unmittelbar zugute. Die Nutzung von Registerdaten kann im Idealfall helfen, die Gesundheitsversorgung für alle zu verbessern. Gleiches gilt auch, wenn Patient:innen in Studien ihre Daten zur Verfügung stellen. Ob von einer breiteren Nutzung von Gesundheitsdaten Patient:innen in jedem Fall profitieren, ist nicht so sicher. Außerdem sind auch zentrale Fragen zum Datenschutz nicht abschließend geklärt. Um diese Fragen geht es im kommenden zweiten Teil.
Zum Weiterlesen:
Stand: 26. April 2023 – Gute Pillen – Schlechte Pillen 03/2023 / S.18