Zusammenfassung
Die Digitalisierung bietet erhebliche Potenziale für eine Stärkung der Prävention im Gesundheitswesen. Daten aus verschiedenen klinischen und außerklinischen Quellen können strukturiert erfasst und mithilfe von Algorithmen systematisch verarbeitet werden. Präventionsbedarfe lassen sich schneller und präziser ermitteln, Interventionen zielgruppenspezifisch planen, implementieren und evaluieren. Zugleich ist es jedoch erforderlich, dass die Datenverarbeitung nicht nur hohen technischen, sondern auch ethischen Standards und den gesetzlichen Datenschutzbestimmungen entspricht, um Risiken zu vermeiden oder zu minimieren.
Der vorliegende Diskussionsbeitrag beleuchtet in ethischer und rechtlicher Hinsicht die Potenziale und Risiken der digitalen Prävention zum einen aus einer „Datenperspektive“, bei der es um die Nutzung von gesundheitsrelevanten Daten geht, und zum anderen aus einer „Algorithmenperspektive“, bei der der Einsatz algorithmischer Systeme, einschließlich künstlicher Intelligenz, zur Bedarfserhebung und Evaluation präventiver Maßnahmen im Mittelpunkt steht. Abschließend werden Empfehlungen für Rahmenbedingungen formuliert, die geschaffen werden sollten, um die Weiterentwicklung der Prävention im Gesundheitswesen zu stärken.
Abstract
Digitization offers considerable potential for strengthening prevention in the healthcare system. Data from various clinical and nonclinical sources can be collected in a structured way and systematically processed using algorithms. Prevention needs can thus be identified more quickly and precisely, and interventions can be planned, implemented, and evaluated for specific target groups. At the same time, however, it is necessary that data processing not only meets high technical but also ethical standards and legal data protection regulations in order to avoid or minimize risks.
This discussion article examines the potentials and risks of digital prevention first from a “data perspective,” which deals with the use of health-related data for the purpose of prevention, and second from an “algorithm perspective,” which focuses on the use of algorithmic systems, including artificial intelligence, for the assessment of needs and evaluation of preventive measures, from an ethical and legal point of view. Finally, recommendations are formulated for framework conditions that should be created to strengthen the further development of prevention in the healthcare system.
Avoid common mistakes on your manuscript.
Einleitung
Die Digitalisierung durchdringt sämtliche Lebensbereiche und in hohem Maße auch die Gesundheitsversorgung. Beispielsweise sind im Internet vielfältige Gesundheitsinformationen verfügbar, die Wissen über gesundheitsförderliche Fragestellungen breit verfügbar machen. Zudem bieten am Körper tragbare Geräte (Wearables) sowie Apps Unterstützung für eine gesunde Lebensführung an. Von der elektronischen Patientenakte (ePA) wird erwartet, dass sie das Verständnis der Patient*innen für ihre Erkrankungen und Erkrankungsrisiken erhöht und gesundheitszuträgliches Verhalten fördert. Nicht zuletzt sollen breit angelegte Datenbanken zum Erkenntnisgewinn über gesundheitliche Risikofaktoren und davon ausgehend zur Entwicklung und Evaluation präventiver Strategien beitragen [1].
Unter Prävention werden im Allgemeinen Maßnahmen verstanden, mit denen die Möglichkeit der Entstehung eines gesundheitlichen Schadens oder ein bereits aufgetretener Schaden reduziert werden soll [2]. Digitale Produkte und Services können in unterschiedlicher Weise zur Prävention beitragen. Mit Blick auf den Krankheitsverlauf können sie dabei helfen, etwa durch eine effizientere Identifizierung und Bekämpfung von Risikofaktoren den Ausbruch einer Krankheit zu verhindern (Primärprävention), eine Erkrankung im noch nicht symptomatischen Frühstadium z. B. durch Monitoring von Herz-Kreislauf-Funktionen zu erkennen und frühzeitig zu behandeln (Sekundärprävention) oder die Folgen und die Verschlimmerung einer bereits bestehenden Erkrankung zu minimieren (Tertiärprävention). Mit Blick auf die Zielgruppen präventiver Maßnahmen eröffnen die Erhebung und Auswertung von Daten u. a. mit den Mitteln von künstlicher Intelligenz (KI) und Big Data Analytics die Möglichkeit einer stärkeren Individualisierung von Maßnahmen und damit den Übergang von einer universellen hin zu einer selektiven und schließlich zu einer indizierten Prävention [3].
Die Digitalisierung und die damit einhergehende technische Verfügbarkeit und Verknüpfbarkeit unterschiedlicher Daten aus verschiedenen Lebensbereichen ermöglicht, dass das schon lange eingeforderte breite Verständnis von Gesundheit als ein biopsychosoziales Konzept, wie es auch die WHO in den Vordergrund stellt, in Forschung und Praxis zur Geltung kommen kann [4]. Komplexe Einflüsse auf die Gesundheit werden durch die technologischen Entwicklungen wissenschaftlich untersuchbar, wenn auch die methodischen Herausforderungen der Generierung von Evidenz nicht zu unterschätzen sind [5, 6].
Will man die Potenziale der Digitalisierung für die Prävention nutzbar machen, stellen sich wesentliche ethische und rechtliche Herausforderungen, was den Schutz grundlegender Rechte und Freiheiten sowie gesellschaftlich relevanter Werte angeht [7]. Dazu gehören neben der Gesundheit des Individuums und der Gesellschaft v. a. die (informationelle) Selbstbestimmung, die Privatsphäre, die Solidarität und die Gerechtigkeit.
Im ersten Teil dieses Artikels werden die Potenziale und Herausforderungen der Digitalisierung in der Prävention mit Blick auf die Beförderung oder Schwächung dieser zentralen Werte einer ethischen Analyse unterzogen. Die Analyse erfolgt dabei aus zwei verschiedenen Perspektiven: zum einen aus der „Datenperspektive“, bei der es um den Zugang zu und die Nutzung von gesundheitsrelevanten Daten aus verschiedenen Quellen zum Zwecke der Prävention geht (siehe nächster Abschnitt), zum anderen aus der „Algorithmenperspektive“, bei der der Einsatz algorithmischer Systeme, einschließlich künstlicher Intelligenz, zur Bedarfserhebung und Evaluation präventiver Maßnahmen im Mittelpunkt steht (siehe übernächster Abschnitt). Die beiden Perspektiven ergänzen und überlappen sich, gleichwohl fokussieren sie jeweils unterschiedliche Aspekte des soziotechnischen Systems. Für ein soziotechnisches System sind Beziehungen und Wechselwirkungen sozialer und technischer Systeme charakteristisch [8]. Die anschließende rechtliche Analyse erfordert zunächst, Datenverarbeitungsvorgänge im Gesundheitswesen in drei Phasen zu gliedern. Daran anknüpfend werden das sogenannte datenschutzrechtliche Verbotsprinzip erörtert und geeignete Erlaubnistatbestände diskutiert. Schließlich wird ein Blick auf das Diskriminierungsrisiko geworfen, das mit der Datenverarbeitung im Gesundheitswesen einhergeht.
Nutzung gesundheitsrelevanter Daten zu Zwecken der Prävention
Die Entwicklung und Implementierung präventiver Maßnahmen kann von einer Vielzahl verschiedener Daten und Datenquellen profitieren. Dazu gehören Daten aus dem klassischen Bereich des Gesundheitssystems, etwa aus der ePA oder aus Forschungsdatenbanken, wie z. B. Gendatenbanken [9]. Auch zählen Abrechnungsdaten der Gesetzlichen Krankenversicherung (GKV) dazu sowie Daten, die bei einem Besuch von Webpages und bei der Nutzung von sozialen Medien anfallen. Weiterhin sind Ernährungs- und Aktivitätsdaten aus der Nutzung von Smartphone-Apps und Wearables relevant.
Daten, die bei der Nutzung des Internets oder sozialer Medien generiert werden, können etwa für die Vorhersage von Epidemien genutzt werden, um ihren Ausbruch zu vermeiden oder zumindest die Ausbreitung einzudämmen [10]. Wird hierbei mit anonymisierten Daten gearbeitet, stehen in ethischer Hinsicht Fragen der Qualitätssicherung, einer möglichen Diskriminierung und eines verantwortungsvollen Einsatzes von Ressourcen hinsichtlich der gerechtigkeitsrelevanten Vermeidung von überschießenden oder mangelhaften präventiven Maßnahmen im Vordergrund.
Auf personenbezogener Ebene ist die Verwendung von Daten zum Zweck der Suizidprävention durch Facebook ein viel diskutiertes Beispiel. Durch die Auswertung von Wortwahl und Formulierungen in Nutzer*innenbeiträgen sollen Hinweise auf Suizidalität identifiziert und eine Intervention in Form eines Alarms an Ersthelfer*innen wie etwa Bekannte oder sogar Polizei eingeleitet werden [11]. Das Potenzial solcher Präventionsangebote scheint zunächst erheblich zu sein, da Suizide bei den 15- bis 39-Jährigen weltweit zu den häufigsten Todesursachen zählen [12] und Männer und Frauen in dieser Alterskohorte derzeit die größte Nutzer*innengruppe stellen [13]. Allerdings stellt die Nutzung dieser Daten einen erheblichen Eingriff in die Privatsphäre und die persönliche Integrität dar, da aus ihnen – auch wenn sie öffentlich geteilt wurden – durch die algorithmische Auswertung sensible Informationen über das Leben eines Menschen, nämlich seine Suizidalität, geschlussfolgert werden.
Zudem wird die informationelle Selbstbestimmung verletzt, wenn keine Einwilligung für diese konkrete Art der Datenverwendung eingeholt wird. Problematisch ist zudem die Frage der Relevanz der verwendeten Daten und damit verbunden der Qualität der datenbasierten Diagnostik einer Suizidalität. Der Facebook-Konzern hat bislang nicht offengelegt, wie Mitarbeiter*innen aufgrund der algorithmenbasierten Empfehlungen über Interventionen entscheiden [11]. Zudem ist unklar, ob bei den von Facebook identifizierten Fällen tatsächlich eine Suizidalität vorlag und ob die Intervention einen Nutzen erbracht hat. Da es sich um sensible, personenbezogene Daten handelt, wurde bereits gefordert, dass eine solche Erhebung und Verwendung von Daten den gleichen Ansprüchen genügen müsse, wie klinische Forschung im engeren Sinne [11]. Zunehmend befassen sich auch andere soziale Plattformen mit Fragen der psychischen Gesundheit. Beispielsweise werden im Instant-Messaging-Dienst „Snapchat“ durch das Tool „Here For You“ beim Eintippen bestimmter Signalbegriffe wie „Angst“, „Stress“, „Trauer“, „Suizidgedanken“ und „Mobbing“ etc. Gesundheitsinformationen und gezielte Hilfsangebote eingeblendet [14]. Ob diese den Anwender*innen nutzen oder schaden und welche sozialen Auswirkungen derartige Angebote haben, ist noch weitgehend ungeklärt.
Weitere für präventive Zwecke relevante Daten können durch die Verwendung einschlägiger Wearables und Apps erzeugt werden. Sie werden in der Regel im außerklinischen Kontext genutzt, können unter bestimmten Voraussetzungen aber auch in der klinischen Versorgung zum Einsatz kommen [15]. In der Tertiärprävention bei Diabetes mellitus etwa eröffnen sich neue Möglichkeiten der selbstbestimmten Lebensführung von Patient*innen. Die Messung der Blutzuckerwerte und das Management der Insulinverabreichung lassen sich leichter in den Alltag integrieren. Zudem können Vitalwerte fortlaufend selbstständig ermittelt, gespeichert und mit den behandelnden Ärzt*innen geteilt werden. Problematisch wäre allerdings, die anfallenden Daten ohne Einwilligung zur Überwachung des Gesundheitsverhaltens zu nutzen, da dies einen Eingriff in die Privatsphäre darstellen würde.
Daten aus Forschungsdatenbanken können ebenfalls für präventionsmedizinische Zwecke verwendet und gegebenenfalls mit Daten aus anderen Quellen verknüpft werden. Die Zusammenführung von Daten zu hormonellen Risikofaktoren, Brustdichte und Familiengeschichte mit genetischen Daten aus einer Datenbank z. B. kann eine verbesserte Identifikation des individuellen Brustkrebsrisikos ermöglichen [16]. Auf dieser Grundlage lassen sich gezielte Interventionen entwickeln und anbieten, bei denen dann wiederum die üblichen Anforderungen an ein qualitativ gutes und ethisch vertretbares Präventionsprogramm zu berücksichtigen sind [17]. Werden genetische Daten verarbeitet, ist zudem zu bedenken, dass diese nicht nur die jeweilige Person, sondern auch ihre Verwandten betreffen. Daraus kann sich ein Konflikt zwischen individuellen Gesundheitsinteressen und dem Prinzip der informationellen Selbstbestimmung ergeben.
Angesichts ihres hohen Potenzials für die Generierung von Evidenz und für die Weiterentwicklung der Möglichkeiten einer effizienten Prävention ist die Nutzung digitaler Daten im Grundsatz wünschenswert. Gleichzeitig aber sind die grundlegenden Rechte und Freiheiten der einzelnen Person zu wahren. Perspektivisch wird ein Ausgleich wohl nur durch ein Bündel an Maßnahmen zu gewährleisten sein. Diskutiert werden etwa eine gesetzliche Klarstellung des Weiterverarbeitungsprivilegs, Verwertungsverbote in anderen Sektoren wie dem Versicherungswesen und dem Arbeitsmarkt, ein strafbewehrtes Verbot der Deanonymisierung von Daten sowie ein innovatives Einwilligungsmodell in die Weiterverwendung von Daten zu Forschungszwecken wie der Meta-Consent [7, S. 127–132]. Der Meta-Consent basiert auf der Idee, dass Individuen differenziert nach Art und Kontext der Forschung sowie Datenquelle entscheiden können sollen, wann sie mit Anfragen zu einer Sekundärnutzung ihrer Daten konfrontiert werden wollen. Dieses umstrittene und unter der Geltung der Datenschutz-Grundverordnung (DSGVO) zu präzisierende Einwilligungskonzept geht auf Thomas Ploug und Søren Holm zurück. Die beiden Ethiker wollen mit dem Meta-Consent die Selbstbestimmung der Individuen bewahren und zugleich wichtige Forschungsinteressen der Allgemeinheit nicht durch komplexe Einwilligungsverfahren behindern [18].
Algorithmengestützte Erhebung von Bedarfen und Maßnahmenevaluation
Daten und Datensätze können nur dann Nutzen generieren, wenn qualitativ hochwertige Algorithmen zu ihrer Auswertung zur Verfügung stehen [19].
Die Algorithmen, die zur Verarbeitung großer Datenmengen (Big Data) eingesetzt werden, weisen unterschiedliche Komplexitätsgrade auf. Einfache Algorithmen führen individuell programmierte Operationen aus. Im Rahmen des maschinellen Lernens hingegen werden Algorithmen mit großen Referenzdatensätzen trainiert, um eigenständig Regeln aus Daten abzuleiten, diese anschließend auf neue Datensätze anzuwenden und ggf. weiterzuentwickeln [20, S. 8–11].
Mit Blick auf Präventionsprogramme können Algorithmen z. B. genutzt werden, um verfügbare Datensets umfassend und schnell im Hinblick auf lebensstilbedingte Erkrankungsrisiken bei sogenannten Zivilisationskrankheiten zu untersuchen oder spezifische Risikoprofile für verschiedene Subpopulationen zu erstellen. Im Anschluss können sie Schlussfolgerungen und Lösungsvorschläge für spezifische Situationen und Probleme generieren [20, S. 84].
Auch können Algorithmen genutzt werden, um die Ausbreitung von Infektionskrankheiten zu erfassen und so frühzeitige und effektive Interventionen zu ermöglichen. Eingesetzt wurden sie u. a. bereits zur Modellierung der Ausbreitungswege der Ebolaviruserkrankung in Westafrika. Algorithmengestützte Simulationen zeigten an, welche Regionen ein höheres Infektionsrisiko aufwiesen, und boten damit Orientierung für die Durchführung von Interventionen vor Ort [21]. Die Aussagekraft solcher Simulationen hängt dabei in erheblichem Maße von der Relevanz und Qualität der analysierten Daten ab.
Dies zeigt sich auch bei der Verwendung von Proxys, also stellvertretenden Informationen, zur Bestimmung von Bedarfen. Diese ist durchaus üblich, kann jedoch erhebliche Verzerrungen der Ergebnisse bedingen, wie z. B. eine US-amerikanische Studie von Obermeyer et al. zeigt. Darin werden im Rahmen der tertiären Prävention eingesetzte algorithmengestützte Programme zur Ermittlung bestimmter Patient*innengruppen analysiert, die aufgrund komplexer Gesundheitsbedürfnisse in besonderer Weise von High-Risk-Care-Managementprogrammen profitieren könnten. Trotz bestehender Bedarfe würden Schwarze Menschen durch den Algorithmus als Niedrigrisikopatient*innen eingestuft werden. Dies sei dadurch bedingt, dass bereits produzierte Gesundheitskosten als Stellvertreterinformation für die allgemeine Gesundheit einer Person verwendet würden und Schwarze Menschen tendenziell niedrigere Gesundheitskosten produzieren. Dies sei, so Obermeyer et al., allerdings v. a. dadurch bedingt, dass sie durch den Wohnort oft schlechteren Zugang zu Krankenhäusern und weniger flexible Arbeitszeiten hätten [22]. Es zeigte sich also, dass die Algorithmen ohne die relevanten „Hintergrunddaten“ die tatsächlich problematische Versorgungslage dieser Bevölkerungsgruppe nicht erfassen können. Aufgrund der Wahl des Datensatzes entsteht eine Verzerrung (Bias). Werden auf dieser Grundlage Entscheidungen über Bedarfe getroffen, kommt es nicht allein zu Fehlallokationen knapper Mittel für die Gesundheitsversorgung, sondern zu einer Verschärfung gesundheitlicher Ungleichheiten und zu Diskriminierung (vgl. unten Diskriminierungsrisiko).
Gesundheitliche Ungleichheiten können sich auch dann durch Digitalisierung verstärken, wenn zunehmend Daten aus der Nutzung digitaler Angebote für die Bedarfsermittlung verwendet werden. Nur wenige Hochaltrige z. B. nutzen diese Dienste [23], ihre Daten werden also nicht ins System eingespeist. Diese gesundheitlich besonders vulnerable Patient*innengruppe kann dann nicht am Nutzen der Digitalisierung teilhaben, was zu noch weiterer Exklusion führen kann.
Besonders in der Primärprävention nichtübertragbarer Krankheiten werden neben sozioökonomischen Faktoren auch Daten relevant, die den Lebensstil betreffen, z. B. Tabak- oder Alkoholkonsum und das Maß körperlicher Aktivität. Durch die Verknüpfung solcher Daten untereinander sowie mit weiteren klinischen Daten kann ihre prognostische Bedeutsamkeit erheblich erhöht werden. Dies wird bereits heute für die Risikostratifizierung und zielgruppengerechte Bedarfserhebung genutzt [24]. Die verbreitete Nutzung von Wearables zur Erfassung individueller Ernährungs- und Bewegungsdaten sowie zunehmend umfassende Datenbanken lassen für die Zukunft hier grundlegend neue Möglichkeiten für die Bedarfserhebung erwarten. Allerdings werden gegebenenfalls Daten unterschiedlicher Qualität miteinander verknüpft. Besonders die Qualität privat erfasster Vitaldaten gilt als ungesichert und auch die Verknüpfbarkeit ist nicht immer technisch gewährleistet. Die Qualität des mithilfe von Algorithmen generierten Outputs hängt jedoch von der Qualität des Inputs ab. Datensätze, die auf bspw. Schrittzählern, Aufzeichnungen von Trainingseinheiten, Ernährungs- und Schlaftagebüchern basieren, sind oft unvollständig, ungenau und über einen zu kurzen Zeitraum gesammelt [25].
Weitere Herausforderungen bestehen hier auch mit Blick auf die Aufrechterhaltung gesellschaftlicher Solidarität, die im Solidarprinzip der gesetzlichen Krankenversicherung zum Ausdruck kommt. Eine aktuelle Studie zeigt, dass Menschen, die fitnessbezogene Wearables und Apps nutzen, mit größerer Wahrscheinlichkeit als solche, die sie nicht nutzen, bestimmte Möglichkeiten der Entsolidarisierung befürworten, z. B. was die Reduktion des Versicherungsbeitrags bei vorliegender Bereitschaft zum Teilen von Daten angeht [26]. Zwar ist in der gesetzlichen Krankenversicherung eine Tarifbildung aufgrund individueller Gesundheitsrisiken gesetzlich verboten. Dennoch könnten Bonusprogramme den Druck auf Individuen erhöhen, ihre Daten preiszugeben, auch wenn sie das vorher nicht wollten. Sobald die Datenoffenlegung als Norm gilt, kann eine Weigerung dazu mit dem Stigma belegt sein, etwas verbergen zu wollen, wie bspw. schlechte gesundheitsbezogene Messwerte [27].
Beim Einsatz von algorithmischen Systemen ist zu beachten, dass den durch sie generierten Empfehlungen aufgrund vermeintlicher Objektivitätsansprüche zu unkritisch gefolgt werden könnte (Automationsbias). Zwar ist die automatische Verarbeitung umfangreicher Datensätze prinzipiell geeignet, die für die Planung und Evaluation von Maßnahmen unerlässliche Evidenz zu erhöhen, ein unbesehenes Vertrauen in die Ergebnisse maschineller Analysen wäre jedoch problematisch. Neben Mängeln in der Datenqualität kann auch die Funktionsweise selbst lernender Algorithmen die Überprüfung der Ergebnisse für den einzelnen Anwender erschweren (Blackboxeffekte). Fraglich ist, wie mit diesem Mangel an Transparenz und Nachvollziehbarkeit umgegangen werden sollte. Die Datenethikkommission der Bundesregierung hat auch mit Blick auf Transparenz und Nachvollziehbarkeit konkrete Empfehlungen für eine risikoadaptierte Regulierung auf europäischer und deutscher Ebene unterbreitet, bei der je nach dem Schädigungspotenzial des algorithmischen Systems fünf Stufen voneinander unterschieden werden. Diese Stufen reichen von einem allenfalls geringen bis zu einem unvertretbaren Schädigungspotenzial. Mit zunehmendem Schädigungspotenzial erhöhen sich die regulatorischen Anforderungen, etwa eine Offenlegungspflicht gegenüber Aufsichtsinstitutionen bis hin zu einer Zulassungspflicht oder gar einem Verbot [7, S. 180–182].
Datenschutzrecht: Drei Phasen der Datenverarbeitung im Gesundheitswesen
Das Datenschutzrecht ist ein komplexes Regelungskonzept aus europarechtlichen sowie nationalen Gesetzen, insbesondere der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Fünften Buch Sozialgesetzbuch (SGB V). Im Gesundheitswesen wird die Komplexität durch die multipolare Struktur des Regelungsbereichs noch gesteigert. Es ist durch das Zusammenwirken unterschiedlicher Akteur*innen geprägt, die Daten in unterschiedlichen Zusammenhängen verarbeiten. Je nach Akteur*in, Zweck des Datenverarbeitungsschrittes und Art der Daten stellt das Datenschutzrecht unterschiedliche Anforderungen an die verantwortliche Stelle.
Insbesondere kann Datenverarbeitung zwecks Prävention aus datenschutzrechtlicher Perspektive nicht als einheitlicher Vorgang betrachtet werden. Im Wesentlichen sind drei Phasen zu unterscheiden, in denen verschiedene Verarbeitungsschritte stattfinden. Zunächst werden Gesundheitsdaten anlässlich Heilbehandlungen und Gesundheitsförderung verarbeitet. Dann werden diese Daten mit algorithmischen Systemen (einschließlich KI) ausgewertet. Aus dem Ergebnis der Datenauswertung werden in der dritten Phase Rückschlüsse für die Gesundheitsversorgung einzelner Personen und der Gesamtgesellschaft gezogen. Die gewonnenen Erkenntnisse werden insbesondere im Rahmen der Bedarfserhebung eingesetzt sowie der Evaluation.
Während das Datenschutzrecht für die erste Phase vergleichsweise ausdifferenziert ist [28,29,30], stellen die zweite und dritte Phase das geltende Recht vor Herausforderungen. Denn der Mehrwert moderner Verarbeitungsmethoden hängt wesentlich von Menge und Vielfalt der verfügbaren Daten und deren Verwendungsmöglichkeiten ab. Dem steht das sogenannte Verbotsprinzip des Art. 9 I DSGVO gegenüber. Zudem müssen Diskriminierungsrisiken, die in der dritten Phase flagrant werden, bereits bei der Datenverarbeitung der ersten beiden Phasen mitgedacht werden.
Das „Verbotsprinzip“
Die Verarbeitung von Gesundheitsdaten ist gemäß Art 9 I DSGVO grundsätzlich verboten und nur in AusnahmefällenFootnote 1 zulässig. Auch die Weiterverarbeitung von Daten ist nur erlaubt, soweit ein Erlaubnistatbestand vorliegt. Jeder Verarbeitungsschritt muss durch eine Rechtsgrundlage legitimiert sein.
Grundsätzlich kommen drei Typen von Erlaubnistatbeständen in Betracht, die im Folgenden diskutiert werden: Der Erlaubnistatbestand der Datenerhebung setzt voraus, dass der Zweck der Prävention mit dem Erhebungszweck vereinbar ist. Die Weiterverarbeitung könnte durch eine wirksame Einwilligung der datengebenden Person legitimiert sein. Schließlich kommt eine gesetzlich geregelte Ausnahme in Betracht.
Zweckvereinbarkeit
Nach dem Zweckbindungsgrundsatz, Art. 5 Abs. 1 litera b DSGVO (Art. 5 I b DSGVO), müssen personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“. Maßstab für die Zweckvereinbarkeit ist grundsätzlich Art. 6 IV DSGVO. Danach sind u. a. die Verbindung zwischen den Zwecken, das Verhältnis der betroffenen Person und der verarbeitenden Stelle, die möglichen Folgen der Weiterverarbeitung für die betroffene Person sowie geeignete Garantien zu berücksichtigen. Zudem ist die Art der verarbeiteten Daten relevant; bei der Weiterverarbeitung von Gesundheitsdaten ist Zweckvereinbarkeit nur mit besonderer Vorsicht zu bejahen. Ergänzend regelt Art. 5 I b DSGVO, dass die Vereinbarkeit vermutet wird, wenn die Weiterverarbeitung u. a. zu wissenschaftlichen Forschungszwecken und zu statistischen Zwecken erfolgt.
Nach diesen Vorschriften verbietet es sich, die Weiterverarbeitung von Gesundheitsdaten zu präventiven Zwecken mit den Erhebungszwecken der Heilbehandlung pauschal für vereinbar zu erklären. Die Vereinbarkeit hängt von der konkreten Situation und dem Verarbeitungsschritt ab. Darüber hinaus ist die Reichweite der Privilegierung des Art. 5 I b DSGVO umstritten [31, 32, Art. 5 DSGVO Rn. 103]. Jedenfalls greift sie nur, wenn die Garantien des Art. 89 DSGVO vorliegen, d. h. „die Grundsätze der Datenminimierung, der Speicherbegrenzung und des Systemdatenschutzes eingehalten werden“ [32, Art. 6 IV DSGVO Rn. 41 m. w. N.]. Die Prüfung der Vereinbarkeit ist aufwendig und hinsichtlich der besonderen Sensibilität von Gesundheitsdaten wenig Erfolg versprechend. Für den Einsatz moderner Verarbeitungsmethoden zwecks Prävention ist das keine stabile Grundlage.
Einwilligung
Denkbar ist, die Weiterverarbeitung durch Einwilligung der betroffenen Person zu legitimieren. Eine solche ist gem. Art. 4 Nr. 11 DSGVO nur wirksam, wenn sie für einen „bestimmten Fall“ und „in informierter Weise“ erfolgt. Art. 5 I b DSGVO verlangt einen eindeutig festgelegten Verarbeitungszweck. Der damit angesprochene Grundsatz der Zweckfestlegung [32, Art. 5 DSGVO Rn. 72 ff., 33, Art. 5 DSGVO Rn. 12 ff.] verbietet die Verarbeitung personenbezogener Daten für abstrakte, allgemeine oder später zu konkretisierende Zwecke [32, Art. 5 DSGVO Rn. 72, 76, 33, Art. 5 DSGVO Rn. 13]. Geht es um die Verarbeitung von Gesundheitsdaten, ist bei der Prüfung der Vereinbarkeit besondere Sensibilität gebotenFootnote 2.
Eine Einwilligung in die Weiterverarbeitung von Gesundheitsdaten zwecks Prävention ist kaum wirksam möglich. Die betroffene Person müsste nicht nur verständlich darüber informiert werden, ob die Weiterverarbeitung zwecks primärer, sekundärer oder tertiärer Prävention erfolgt. Auch die Unterscheidung von Verhaltens- und Verhältnisprävention genügte den Anforderungen nicht. Sie müsste verstehen, welche konkreten Maßnahmen für wen und welche Krankheitsbilder entwickelt werden sollen und vieles mehr. Diese Details konkretisieren sich oft erst im Laufe der Verarbeitung und verändern sich währenddessen.
Auch ein sogenannter Broad Consent bringt keine generelle Erleichterung. Zwar soll nach Erwägungsgrund 33 DSGVO erlaubt sein, eine „Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht“. Die (Un)Möglichkeit einer solchen breiten Einwilligung wird aus datenschutzrechtlicher Perspektive aber kritisch betrachtet [28, S. 931, 34, Art. 89 DSGVO Rn. 37 ff., 35]. Insbesondere ist zweifelhaft, dass eine breite Einwilligung „informiert“ erfolgt, wie Art. 4 Nr. 11 DSGVO fordert ([36], vgl. [37]).
Dagegen könnte theoretisch ein sogenannter Dynamic Consent, bei dem die Einwilligung der betroffenen Person fortlaufend für neue Verarbeitungszwecke abgefragt wird [34, Art. 89 DSGVO Rn. 41], den Anforderungen der Zweckbestimmtheit und Informiertheit ein Stück weit Rechnung tragen. Voraussetzung ist, dass die betroffene Person regelmäßig über die aktuelle und geplante Verarbeitung ihrer Daten und die konkreten Zwecke unterrichtet wird. Die praktische Umsetzbarkeit dieses Modells ist allerdings fraglich.
Gesetzlicher Erlaubnistatbestand
Schließlich kommen gesetzlich geregelte Ausnahmefälle des Art. 9 II DSGVO als Erlaubnisnormen in Betracht. Auf den ersten Blick ist das Erfolg versprechend. Gleich mehrere der aufgezählten Varianten scheinen prädestiniert, die Weiterverarbeitung von Gesundheitsdaten zu legitimieren.
Bei genauerem Hinsehen schrumpft die Zahl der geeigneten Rechtsgrundlagen aber. So ist in Art. 9 II h DSGVO von Datenverarbeitungsvorgängen „für Zwecke der Gesundheitsvorsorge“ die Rede. In Art. 9 II i DSGVO geht es um Verarbeitungsvorgänge „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit“. Liest man die Normtexte aber weiter, stellen sie hohe Anforderungen. Insbesondere setzen sie weitere gesetzliche Regelungen und damit Konkretisierungen voraus. Der Erlaubnistatbestand tritt dann in Gestalt langer Normketten mit detaillierten Anforderungen auf (z. B. Art. 9 II h, III DSGVO, §§ 23 II, 22 I Nr. 1 b, Nr. 2, II DSGVO oder Art. 9 II i DSGVO, §§ 23 I, 22 I Nr. 1 c, Nr. 2, II DSGVO). Stets ist eine detaillierte Abwägung der Interessen im konkreten Fall vorzunehmen. Damit eignet sich keine der infrage kommenden Normen für eine pauschale Legitimation der Verarbeitung zwecks nicht näher konkretisierter Prävention. Vielmehr ist die datenschutzrechtliche Zulässigkeit für jeden einzelnen Verarbeitungsschritt und unter Berücksichtigung aller Umstände des Einzelfalls zu beurteilen. Im Ergebnis müssen viele unterschiedliche gesetzliche Grundlagen herangezogen werden, um die Verarbeitung zu legitimieren.
Vor dem Hintergrund dieser komplexen Gesetzeslage ist das Vorhaben der Bundesregierung, gesetzliche Regelungen zu schaffen, um die Verarbeitung zu wissenschaftlichen Forschungszwecken zu erleichtern [38], begrüßenswert. Die konkrete Umsetzung im Digitale-Versorgung-Gesetz ist aber bedenklich. Aus Perspektive des Datenschutzes ist insbesondere problematisch, dass personenbezogene Daten nur pseudonymisiert und nicht anonymisiert zentral gespeichert werden sollen. Hinzu kommt das Fehlen einer Widerspruchsmöglichkeit [39, 40].
Diskriminierungsrisiko
In der dritten Phase zeigen sich – neben den erwähnten ethischen – auch weitere rechtliche Herausforderungen, insbesondere ein hohes Diskriminierungsrisiko. Das muss bereits auf Ebene der Datenverarbeitung der ersten beiden Phasen mitgedacht werden. Es besteht bereits heute die Gefahr, dass bestimmte Personengruppen vernachlässigt oder strukturell benachteiligt werden. Das Risiko wird durch Methoden der KI noch gesteigert [41, 42]. Bereits heute geht es nicht nur darum, aus mehreren denkbaren Therapien die beste herauszufiltern, sondern (auch) um die Verteilung begrenzter Ressourcen. Aus der Frage, ob die präventive Maßnahme A oder B wirksamer ist, droht die Frage zu werden, ob Krankheitsgruppe X oder Y verstärkt behandelt und erforscht wird. Der Vorteil für Personengruppe X ist faktisch mit einer Benachteiligung der Gruppe Y verbunden. Datenschutzrecht hat (u. a.) den Zweck, Diskriminierungsrisiken zu minimieren. Ihm geht es insbesondere um solche Diskriminierungen, die nur schwer erkennbar und beweisbar sind. Da reaktive Maßnahmen wie Diskriminierungsverbote solchen Diskriminierungen nicht gerecht werden, setzt Datenschutzrecht im Vorfeld von Entscheidungen an. Ein Beispiel ist Art. 9 I DSGVO, der die Verarbeitung eben jener Daten verbietet, die auch das Antidiskriminierungsrecht schützt.
Ausblick
Die algorithmengestützte Verarbeitung großer Datenmengen aus verschiedenen Quellen kann die Generierung von Evidenz in der Prävention erheblich befördern und durch digitale Anwendungen ihre Effektivität und Effizienz steigern. Interventionen können genauer auf die Bedarfe unterschiedlicher Zielgruppen zugeschnitten und gesundheitlich zuträgliches Handeln durch eine digital gestützte Gesundheitskommunikation befördert werden. Eine verbreiterte Datenlage kann zudem die Evaluation von Präventionsmaßnahmen und -programmen erheblich verbessern. Gleichzeitig zeichnen sich in zahlreichen Studien und Anwendungen bereits heute eine Reihe ethischer und rechtlicher Risiken ab, die es interdisziplinär zu diskutieren gilt und für die auf gesellschaftlicher sowie politischer Ebene passende Rahmenbedingungen geschaffen werden müssen.
Angesichts der erheblichen Potenziale der Digitalisierung für die Prävention, sowohl in Hinblick auf epidemiologische Forschungszwecke als auch die Entwicklung, Implementierung und Evaluation von Präventionsmaßnahmen und -programmen, ist es von zentraler Bedeutung, dass
hohe Standards der Datenqualität gewährleistet werden, um so die Grundlage für evidenzbasierte Forschung und Vertrauen in Präventionsmaßnahmen und -programme zu schaffen;
die Interoperabilität von Datenbeständen befördert wird, sodass sie im gesamten soziotechnischen Datenökosystem nutzbar gemacht werden können;
Daten durch umfassende Datenschutzmaßnahmen auch technisch vor unberechtigten Zugriffen geschützt werden, sodass die Persönlichkeitsrechte der datengebenden Personen geschützt sind;
innovative Einwilligungsformate für die Erhebung und Verwendung von Daten entwickelt werden, um die Informiertheit und Freiwilligkeit einer Einwilligung sicherzustellen und die informationelle Selbstbestimmung bei gleichzeitiger gemeinwohlorientierter Datennutzung zu stärken;
streng auf die Relevanz und das Diskriminierungsrisiko der zu Präventionszwecken verwendeten Datensätze und deren Verarbeitung geachtet wird;
Anwender*innen für den Umgang mit gesundheitsrelevanten Daten und den Umgang mit algorithmengestützten Empfehlungssystemen geschult werden, um Vertrauensverlusten und Phänomenen wie etwa dem „Automationsbias“ vorzubeugen;
die Reichweite des Weiterverarbeitungsprivilegs rechtlich konkretisiert wird. Denkbar sind z. B. auch ein Verwertungsverbot in anderen Sektoren wie dem Versicherungswesen und dem Arbeitsmarkt sowie ein strafbewehrtes Verbot der Deanonymisierung von Daten.
Notes
Art. 9 II a–j DSGVO.
Vgl. gesteigerte Anforderungen Art. 9 II a DSGVO ggüb. Art. 6 I a DSGVO.
Literatur
Tresp V, Marc Overhage J, Bundschus M, Rabizadeh S, Fasching PA, Yu S (2016) Going digital: a survey on digitalization and large-scale data analytics in healthcare. Proc IEEE 104:2180–2206
Hurrelmann K, Laaser U (2006) Gesundheitsförderung und Krankheitsprävention. In: Hurrelmann K, Laaser U, Razum O (Hrsg) Handbuch Gesundheitswissenschaften. Juventa, Weinheim, S 749–780
Gordon RS Jr (1983) An operational classification of disease prevention. Public Health Rep 98:107–109
WHO (2006) Constitution of the World Health Organization. https://www.who.int/governance/eb/who_constitution_en.pdf. Zugegriffen: 2. Dez. 2019
Antes G (2016) Ist das Zeitalter der Kausalität vorbei? Z Evid Fortbild Qual Gesundhwes 112:16–22
Wired (2013) Beware the big errors of ‘big data. https://www.wired.com/2013/02/big-data-means-big-errors-people/. Zugegriffen: 2. Dez. 2019
Datenethikkommission (2019) Gutachten der Datenethikkommission der Bundesregierung
Karafyllis NC (2019) Soziotechnisches System. In: Liggieri K, Müller O (Hrsg) Mensch-Maschine-Interaktion. Metzler, Stuttgart, S 300–303
Innovations report (2012) Gendatenbank mit 100.000 Erregern im Entstehen. https://www.innovations-report.de/html/berichte/medizin-gesundheit/gendatenbank-100-000-erregern-entstehen-199002.html. Zugegriffen: 2. Dez. 2019
Ning S, Yang S, Kou SC (2019) Accurate regional influenza epidemics tracking using internet search data. Sci Rep. https://doi.org/10.1038/s41598-019-41559-6
Barnett I, Torous J (2019) Ethics, transparency, and public health at the intersection of innovation and facebook’s suicide prevention efforts. Ann Intern Med. https://doi.org/10.7326/M19-0366
World Health Organization (2009) World suicide prevention day media release: suicide prevention (Supre). http://www.who.int/mental_health/prevention/suicide/suicideprevent/en. Zugegriffen: 2. Dez. 2019
Statista (2019) Distribution of Facebook users worldwide as of October 2019, by age and gender. https://www.statista.com/statistics/376128/facebook-global-user-age-distribution/. Zugegriffen: 2. Dez. 2019
MIT technology review (2020) Snapchat will now offer mental health tools in the app. https://www.technologyreview.com/f/615192/snapchat-will-now-offer-mental-health-tools-in-the-app/. Zugegriffen: 17. Febr. 2020
Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation. Digitale-Versorgung-Gesetz-DVG. Bundesgesetzblatt Jahrgang 2019 Teil I Nr. 49.
Lee A, Mavaddat N, Wilcox AN et al (2019) BOADICEA: a comprehensive breast cancer risk prediction model incorporating genetic and nongenetic risk factors. Genet Med. https://doi.org/10.1038/s41436-018-0406-9
Commission on Chronic Illness (1957) Prevention of chronic illness. Chronic illness in the United States, Bd. I. Harvard University Press, Cambridge, S 48
Ploug T, Holm S (2016) Meta consent – a flexible solution to the problem of secondary use of health data. Bioethics. https://doi.org/10.1111/bioe.12286
Benke K, Benke G (2018) Artificial intelligence and big data in public health. Int J Environ Res Public Health. https://doi.org/10.3390/ijerph15122796
Jannes M, Friele M, Jannes C, Woopen C (2018) Algorithmen in der digitalen Gesundheitsversorgung. Eine interdisziplinäre Analyse. Bertelsmann, Gütersloh
Riad MH, Sekamatte M, Ocom F et al (2019) Risk assessment of ebola virus disease spreading in uganda using a two-layer temporal network. Sci Rep. https://doi.org/10.1038/s41598-019-52501-1
Obermeyer Z, Powers B, Vogeli C et al (2019) Dissecting racial bias in an algorithm used to manage the health of populations. Science. https://doi.org/10.1126/science.aax2342
Schlomann A, Seifert A, Zank S, Woopen C, Rietz C (2019) Use of information and communication technology (ict) devices among the oldest-old: loneliness, anomie, and autonomy. Innovation in Aging. https://doi.org/10.1093/geroni/igz050
Gohlke H (2007) Moderne Risikoanalyse bei intermediärem Risiko für kardiovaskuläre Ereignisse. Clin Res Cardiol Suppl. https://doi.org/10.1007/s11789-007-0021-9
Codella J, Partovian C, Chang HY, Chen CH (2018) Data quality challenges for person-generated health and wellness data. IBM J Res Devel. https://doi.org/10.1147/jrd.2017.2762218
Friedrich-Ebert-Stiftung (2019) Gefährdet die Nutzung von Gesundheits-Apps und Wearables die solidarische Krankenversicherung? Eine bevölkerungsrepräsentative Bestandsaufnahme der Solidaritätseinstellungen, S 21–23
Jentzsch N (2017) Die persönliche Datenökonomie: Plattformen, Datentresore und persönliche Clouds. Ökonomische Rahmenbedingungen innovativer Lösungen zu Einwilligungen im Datenschutz, S 31–32
Bieresborn D (2017) Sozialdatenschutz nach Inkrafttreten der EU-Datenschutzgrundverordnung – Verarbeiten von Sozialdaten, Reichweite von Einwilligungen, grenzüberschreitende Datenübermittlung und Auftragsverarbeitung. Neue Z Sozialr 24:926–933
Kircher P (2016) Der Schutz personenbezogener Gesundheitsdaten im Gesundheitswesen. Nomos, Baden-Baden
Kingreen T, Kühling J (2015) Gesundheitsdatenschutzrecht. Nomos, Baden-Baden
Frenzel M (2018) Kommentierung des Artikel 5 DSGVO. In: Paal B, Pauly D (Hrsg) Beck’sche Kompakt-Kommentare Datenschutz-Grundverordnung Bundesdatenschutzgesetz. C.H. Beck, München (Art. 5 DSGVO Rn. 32)
Roßnagel A (2019) Kommentierung des Artikel 5 DSGVO. In: Simitis S, Hornung G, Spiecker I (Hrsg) Datenschutzrecht DSGVO mit BDSG Großkommentar. Nomos, Baden-Baden
Schantz P (2019) Kommentierung des Artikel 5 DSGVO. In: Brink S, Wolff A (Hrsg) BeckOK Datenschutzrecht. C.H. Beck, München
Caspar J (2019) Kommentierung des Artikel 89 DSGVO. In: Simitis S, Hornung G, Spiecker I (Hrsg) Datenschutzrecht DSGVO mit BDSG Großkommentar. Nomos, Baden-Baden
Raum B (2018) Kommentierung des Artikel 89 DSGVO. In: Ehmann E, Selmayr M (Hrsg) Datenschutz-Grundverordnung: DS-GVO Kommentar. C.H. Beck, München (Art. 89 DSGVO Rn. 26)
Paal B, Pauly D (2018) Einleitung. In: Paal B, Pauly D (Hrsg) Beck’sche Kompakt-Kommentare Datenschutz-Grundverordnung Bundesdatenschutzgesetz. C.H. Beck, München (Einl. Rn. 10)
Colomer GA (2007) Schlussanträge EuGH Rs. C‑267/06. BeckRS 2007, 70624
Deutscher Bundestag (2019) Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation. Digitale-Versorgung-Gesetz-Entwurf (Digitale-Versorgung-Gesetz – DVG). http://dip21.bundestag.de/dip21/btd/19/148/1914867.pdf. Zugegriffen: 2. Dez. 2019
Reuter M (2019) 7 Gründe, warum Spahns Gesundheitspläne für Patienten gefährlich sind. https://netzpolitik.org/2019/7-gruende-warum-spahns-gesundheitsplaene-fuer-patienten-gefaehrlich-sind/. Zugegriffen: 3. Dez. 2019
Deutscher Bundesrat (2019) Stellungnahme – Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) (Bundesrat Drucksache 360/19)
Simitis S, Hornung G, Spiecker I (2019) Einleitung. In: Simitis S, Hornung G, Spiecker I (Hrsg) Datenschutzrecht DSGVO mit BDSG Großkommentar. Nomos, Baden-Baden
Straker C (2019) Big Data und Arbeit. In: Hoeren T, Sieber U, Holznagel B (Hrsg) Handbuch Multimedia-Recht, Teil 15.6 Big Data und Arbeit Rn. 7
Danksagung
Das Projekt LEG2ES (Digitalisierung für ein Lernendes Gesundheitssystem – Entwicklung eines Mehrebenenmodells von Ethical Governance), innerhalb dessen der vorliegende Beitrag erstellt wurde, wird vom Bundesministerium für Gesundheit gefördert. Informationen zu dem Projekt sind abrufbar unter: https://ceres.uni-koeln.de/forschung/projekte/leg2es/.
Funding
Open Access funding provided by Projekt DEAL.
Author information
Authors and Affiliations
Corresponding author
Ethics declarations
Interessenkonflikt
M. Friele, P. Bröckerhoff, W. Fröhlich, I. Spiecker genannt Döhmann und C. Woopen geben an, dass kein Interessenkonflikt besteht.
Für diesen Beitrag wurden von den Autoren keine Studien an Menschen oder Tieren durchgeführt. Für die aufgeführten Studien gelten die jeweils dort angegebenen ethischen Richtlinien.
Rights and permissions
Open Access. Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Artikel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Weitere Details zur Lizenz entnehmen Sie bitte der Lizenzinformation auf http://creativecommons.org/licenses/by/4.0/deed.de.
About this article
Cite this article
Friele, M., Bröckerhoff, P., Fröhlich, W. et al. Digitale Daten für eine effizientere Prävention: Ethische und rechtliche Überlegungen zu Potenzialen und Risiken. Bundesgesundheitsbl 63, 741–748 (2020). https://doi.org/10.1007/s00103-020-03147-2
Published:
Issue Date:
DOI: https://doi.org/10.1007/s00103-020-03147-2