+49 30 4172-3875 info@cdgw.de
EN DE

cdgw-Workshop 2016

Das Interesse am cdgw-Workshop war außergewöhnlich groß. Offensichtlich handelt es sich um Thema, das viele Akteure in der Gesundheitswirtschaft doch ganz direkt in ihrem geschäftlichen Alltag betrifft und deshalb von hoher Relevanz ist: die Datenschutzgrundverordnung der Europäischen Union. Dahinter verbirgt sich die Harmonisierung von Regeln für den Umgang mit Daten in den 28 Mitgliedsländern. Jedes Unternehmen und jeder Bürger ist unmittelbar davon betroffen. Dazu hatte der cdgw am 22. März einen von Präsidiumsmitglied Alois G. Steidel moderierten Workshop organisiert. Knapp 70 Mitglieder und Gäste waren nach Berlin in den International Club gekommen.

Zum Thema sprachen und diskutierten: Elisabeth Kotthaus, stellvertretende Leiterin der politischen Abteilung der EU-Kommission in Berlin, Marina Schmidt, Europavertretung der Deutschen Sozialversicherung in Brüssel, Ekkehard Mittelstaedt, Geschäftsführer, Bundesverband Gesundheits-IT, Alexander Britz, Senior Director Public Sector Microsoft Deutschland, Eckhard Oesterhoff, Klinikverbund der gesetzlichen Unfallversicherung, und Rechtsanwältin und Fachanwältin für Medizinrecht Dr. Silke Dulle, Beiten Burkhardt Berlin.

Den Auftakt machte Elisabeth Kotthaus mit einem Impulsvortrag. Sie strich die wichtigsten Punkte des Regelwerks heraus, das seit Mitte Dezember 2015 als finaler Entwurf der Verhandlungsführer des Europäischen Parlaments, der EU-Kommission und des Ministerrats vorliegt:

• Es handelt sich um eine EU-Verordnung und nicht um eine Richtlinie, das heißt: Sie gilt unmittelbar.
• Unternehmen haben es EU-weit nur noch mit einem Datenschutzbeauftragten in ihrem Land als Ansprechpartner zu tun; das gleiche gilt für jeden Bürger.
• Bei Nichteinhaltung der Vorgaben der Verordnung sind hohe Sanktionen vorgesehen – bis zu vier Prozent des Jahresumsatzes eines Unternehmens.
• Es gibt ein Recht auf vergessen.
• Die Portabilität von Daten ohne Nachteile für den Betroffenen ist festgeschrieben.
• Es gilt das Marktortprinzip: Jeder, der sich mit Datenverarbeitung befasst, muss sich an die im Geltungsbereich der EU-Verordnung geltenden rechtlichen Bestimmungen halten; damit sind gleiche Bedingungen für alle gegeben.
• Kontroll- und Berichtspflichten sollen für kleinere und mittlere Unternehmen an ihren Möglichkeiten nach dem Prinzip der Verhältnismäßigkeit ausgerichtet sein.
• Die Verordnung ist offen für künftige gesellschaftliche und technologische Entwicklungen, deshalb werden in erster Linie Grundsätze formuliert, keine Details.

Im Bereich der Gesundheitsdaten ist es so, unterstrich Elisabeth Kotthaus, dass Patienten einer Erhebung, Bearbeitung und Weitergabe ausdrücklich zustimmen müssen. Denn diese fallen in den Bereich der besonders sensiblen Daten. Ausnahmen von diesem Verarbeitungsverbot bedürfen einer nationalen oder EU-weiten rechtlichen Regelegung. Das könnte zum Beispiel für ein öffentliches Interesse an Daten bei der Bekämpfung grenzüberschreitender Gesundheitsgefahren, für Wissenschaft und Forschung sowie statistische Erhebungen der Fall sein.

Auch im Bereich von „Mobile Health“ braucht es ein klares Einverständnis zur Weitergabe und Weiterverarbeitung von Daten. Die Nutzer von mittlerweile mehreren hunderttausend Gesundheits-Apps müssen wissen, was mit ihren Daten passiert, berichtete Kotthaus. Einige Apps könnten künftig sogar unter das Medizinproduktegesetz fallen, womit strengere Regelungen für eine Zulassung greifen.
In der anschließenden Diskussion waren sich die Podiumsteilnehmer grundsätzlich einig, dass es sich bei der Verordnung um ein sinnvolles Unterfangen handelt, ist das Ziel doch die Harmonisierung von bisher höchst unterschiedlichen Rechtsstandards in 28 Mitgliedsländern der EU.

Rechtsanwältin Dr. Silke Dulle wies allerdings auf die rund 50 Öffnungsklauseln für die jeweiligen nationalen Gesetzgeber in der Verordnung hin. Viele Formulierungen seien überdies unpräzise. Für die Unternehmen sieht sie in jedem Falle einen Zwang, sich mit dem Thema zu beschäftigen. Dr. Dulle: „Ich wünsche mir einen nationalen Gesetzgeber mit Augenmaß, der bei der Ausgestaltung der offenen Punkte die Handlungsmöglichkeiten der Unternehmen der Gesundheitswirtschaft nicht zu stark einschränkt.“
Eckhard Oesterhoff vom Klinikverbund der gesetzlichen Unfallversicherung wies auf die praktischen Probleme der Krankenhäuser hin. Schon heute sei in deutschen Krankenhäusern viel US-amerikanische Software im Einsatz. Es sei kaum nachzuvollziehen, wer da in welchem Maße auf die Daten zugreife. Bei der Aufstellung elektronischer Patientenakten müsse die Klinik nun künftig jedem Patienten sagen, wer wann auf seine Datensätze zugreife. Das sei in der Praxis gar nicht zu realisieren. Denn in einem Krankenhaus befinden sich Dutzende unterschiedliche Datenverarbeitungssysteme höchst unterschiedlicher Anbieter im Einsatz. Oesterhoff: „Mir graut vor dieser Aufgabe.“

Ekkehard Mittelstaedt vom Bundesverband Gesundheits-IT wies darauf hin, dass 70 Prozent der Unternehmen in seinem Verband international tätig seien. Vom Grundsatz her sehe der Bundesverband Gesundheits-IT die EU-Verordnung positiv. Die zahlreichen Sonderklauseln seien aber nicht im Interesse der Industrie. Der Datenaustausch werde dadurch massiv erschwert. In Deutschland mit seinen knapp 2.000 Akutkliniken, hunderttausenden niedergelassenen Ärzten, mehr als 10.000 Pflegeheimen und ungezählten weiteren Anbietern von Gesundheitsdienstleistungen sei für eine optimale Versorgung von Patienten ein kontinuierlicher Datenaustausch notwendig. Mittelstaedt sagte: „Ich sehe die Gefahr einer sehr kleinteiligen nicht zielgerichteten Umsetzung. Es wird sehr darauf ankommen, wie der nationale Gesetzgeber den Gestaltungsspielraum nutzt.“

Marina Schmidt von der Europavertretung der Deutschen Sozialversicherung in Brüssel unterstrich für ihre Organisation: „Wir begrüßen das gemeinsame Datenschutzwerk, denn die Verordnung regelt im Grundsatz die personenbezogenen Daten.“ Vor dem Hintergrund der Vielfalt und der höchst unterschiedlichen Standards der 28 nationalen Sozial- und Gesundheitssysteme in der EU wollten wir diese Regelungen auf der nationalen Ebene behalten. Diese Forderung wurde erfüllt.“

Alexander Britz von Microsoft unterstrich, dass sich die Industrie eine einheitliche Lösung wünscht. Die zahlreichen Öffnungsklauseln trübten aber den Enthusiasmus, „denn wir können als Industrie 28 nationale und eine Vielzahl von regionalen Regelungen nicht handeln“. Die EU-Verordnung betreffe Microsoft fast auf jedem Niveau: bei den Apps, den Clouds, den Partnern, die Microsoft-Produkte nutzen, den Fitness-Devices etc. Wichtig sei deshalb aus seiner Sicht die Beantwortung der Frage: „Wie schaffen wir es, pragmatische Lösungen zu gestalten, die für die Industrie, den Bürger und die Patienten Sinn machen? Ich habe da eine große Skepsis.“

Datenschutzgrundverordnung

Die Datenschutzgrundverordnung wurde am 14. April durch das EU Parlament angenommen. Sie wird somit voraussichtlich ab Juni in Kraft treten und ab Mai 2018 gelten. Der deutsche Gesetzgeber wird entsprechend handeln und ein „BDSG-Ablösungsgesetz“ auf den Weg bringen.

An den Anfang scrollen