Daten-Treuhand für Gesundheitsdaten?

Von Ralf Keuper

Die Idee klingt auf den ersten Blick gar nicht mal so schlecht: Um die Gesundheitsversorgung mit Hilfe der Digitalisierung, d.h. der Möglichkeit große Datenmengen zu speichern und zu analysieren, zu verbessern, soll die elektronische Patientenakte ePA “als versichertengeführte Akte” eingeführt werden. Über die ePA kann der Patient seine Datensouveränität ausüben, indem er z.B. seine Behandlungsgeschichte einsehen kann. Diese wiederum kann er mit den verschiedenen Leistungserbringern teilen. Die ePA soll die Funktion eines “Vertrauensraums” übernehmen. Daneben könnte die ePA als Daten-Treuhänder fungieren. Diesen Vorschlag machen die Bundesdruckerei und iRighs.Lab in der Studie Zukunft Gesundheitsdaten. Wegweiser zu einer forschungskompatiblen elektronischen Patientenakte.

Die Studie nimmt dabei Bezug auf die Ausführungen des Deutschen Ethikrats:

Um Vertrauen zu fördern und Missbrauch zu verhindern, sollten Datenverwender die technischen und organisatorischen Voraussetzungen dafür schaffen, dass Datenbestände nicht unmittelbar an sie selbst übergeben werden müssen, sondern Treuhandmodelle (zum Beispiel gemeinnützige Stiftungen) zwischengeschaltet werden können. Das kann nicht nur Machtungleichgewichte verringern, sondern auch Interessenkollisionen entgegenwirken. Zumindest im Bereich der medizinbezogenen Forschung und klinischen Praxis sollte politisch darauf hingewirkt werden, dass solche Modelle insbesondere auch in Bezug auf Datenverwender im internationalen Kontext (zum Beispiel Google, Apple, Facebook, Amazon und Microsoft) wirksam werden.

Dazu die Studie:

Eine der Funktionen eines Datentreuhänder-Modells wäre schon dann verwirklicht, wenn es gelänge, die ePA als „Vertrauensraum“ auszugestalten und mit einem differenzierten Zugriffsmanagement zu versehen. Es existierte dann ein Verfahren, das verhindert, dass der Einzelne seine Daten unmittelbar an Verwender weitergibt, und das stattdessen stets die verfügbaren Schnittstellen der TI nutzt. Damit auch ein ungewollter Zugriff Dritter im laufenden Betrieb ausgeschlossen ist, sollte die ePAInfrastruktur zudem so konzipiert sein, dass es für Smartphone-Hersteller, Entwickler von Betriebssystemen oder für andere Apps nicht möglich ist, auf die ePA zuzugreifen, wenn der Versicherte sie sich auf seinem Endgerät anzeigen lässt.

Weiterhin

sieht die TI gerade für die Frage der Forschungskompatibilität einen institutionalisierten Weg vor, wie Daten vom einzelnen Patienten zu Forschungseinrichtungen gelangen. Bei diesem Modell ist keine gemeinnützige Stiftung zwischengeschaltet, wie es der Ethikrat fordert, dafür aber öffentliche Stellen des Bunds in Form der (künftigen) Vertrauensstelle und des Forschungsdatenzentrums.

Das Identitätsmanagement für die ePA könnte demnächst über mobile abgeleitete Identitäten auf dem Smartphone erfolgen (Vgl. dazu: OPTIMOS 2.0: Offenes, praxistaugliches Ökosystem sicherer Identitäten für mobile Dienste (Mobile ID). Dafür sei die eID besonders gut geeignet:

Überhaupt erscheint es angesichts der Tatsache, dass die Bundesrepublik mit der eID des neuen Personalausweises bereits über ein sicheres Identifizierungs- und Authentifizierungsmerkmal verfügt, fraglich, ob es politisch sinnvoll ist, eine Parallelstruktur für den Gesundheitsbereich zu schaffen – oder ob es nicht näher läge, den neuen Portalverbund für E-Government und die neue E-Health-Infrastruktur stärker zu verzahnen. Dann könnten eID und eGK künftig aus einem Guss sein – und insofern das Konzept abgeleiteter Identitäten implementieren.

Ob das die Lösung ist? Ein Datentreuhänder, der die Gesundheitsdaten zentral speichert, ist ein beliebtes Ziel von Hackerangriffen. Sind die Daten bei den Ärzten besser aufgehoben, wie einige Kommentatoren fordern?

Vor einiger Zeit hat die Bertelsmann Stiftung ihre Überlegungen zur Ausgestaltung elektronischer Patientenakten in dem Beitrag Access granted: So lassen sich Zugriffs-Berechtigungen in Elektronischen Patientenakten flexibel und individuell regeln vorgestellt (Vgl. dazu: Der digitale Patient: Zugriffsberechtigungen für elektronische Patientenakten). In dem vom Bundesministerium für Wirtschaft und Forschung geförderten Projekt Guided AL hat die Scheer GmbH eine sichere Gesundheitsplattform für die Assekuranz entwickelt (Vgl. dazu: Sichere Gesundheitplattformen für die Assekuranz (Guided AL)). Hervorzuheben in dem Zusammenhang ist der Medical Dataspace.

Zu klären wäre, inwieweit Selbstverwaltete Digitale Identitäten bzw. Decentralized Identifiers (DID) im Gesundheitsbereich zum Einsatz kommen können.

Dieser Beitrag wurde unter Datensouveränität, Digitale Identitäten, SSI, Technik und Gesellschaft veröffentlicht. Setze ein Lesezeichen auf den Permalink.