Wir haben argumentiert, dass Datensouveränität die Befähigung von Akteuren zu informationeller Freiheitsgestaltung durch Kontrolle der Verwendung sie betreffender Daten bezeichnet (Kap. 1). Im Anschluss haben wir den Dynamic Consent als Umsetzungsmechanismus von Datensouveränität vorgeschlagen (Kap. 2). Im Folgenden fokussieren wir vier miteinander in Wechselwirkung stehende Governance-Ebenen (siehe Abb. 3.1), auf denen Datensouveränität im deutschen Gesundheitssystem ermöglicht und gestärkt werden kann: Hard Law (3.1), Soft Law (3.2), Teilhabe (3.3) und IT (3.4).

Abb. 3.1
figure 1

Ansätze und Empfehlungen zur Ermöglichung von Datensouveränität

Full size image

3.1 Hard Law

Datensouveränität ist kein Rechtsbegriff, erfüllt aber auch und gerade in juristischer Perspektive eine wichtige heuristische Funktion, soweit er im positiven Recht bereits niedergelegte Grundentscheidungen aufnimmt und in einer bestimmten Funktionalität neu interpretiert. In diesem Sinne baut eine diesem Leitprinzip verpflichtete, umfassende Governancestrategie auf den gegebenen nationalen wie supranationalen Rechtsvorgaben auf. Darüber hinaus dient dieser hier als Hard Law bezeichnete Rechtsrahmen als kontinuierlicher Orientierungspunkt der weiterreichenden ethischen und auf das Soft Law bezogenen Überlegungen; er verdeutlicht Anschlussmöglichkeiten wie Spannungen und zeigt auf, wo gegebenenfalls eine rechtspolitische Auseinandersetzung geboten ist.

  1. 1.

    Verfassungsrechtliche Vorgaben weiterentwickeln: Das Datenschutzrecht besitzt eine verfassungsrechtliche wie einfachgesetzliche Basis. Es entspricht gerade dem Grundansatz des Bundesverfassungsgerichts zum „informationellen Selbstbestimmungsrecht“, nicht starr an einem einmal in die Welt gesetzten Konzept festzuhalten, sondern dieses so weiterzuentwickeln, dass seine Grundintentionen möglichst optimal verwirklicht werden können. Dem dient die Idee der Datensouveränität als informationelle Freiheitsgestaltung [6]. Ihr geht es gerade darum, unter den Bedingungen moderner Datenverarbeitung und -verwendung die basalen Ziele des Datenschutzrechts, namentlich einen Schutz der Bürger vor Macht- und Wissensasymmetrien und hierdurch bedingten Freiheitseinbußen, besser umzusetzen.

  2. 2.

    Europäische Interpretations- und Entwicklungsspielräume nutzen: Wesentliche Vorgaben zum Datenschutz erfolgen auf EU-Ebene; sie können in einzelnen Bereichen national weiter spezifiziert werden. Die beschriebenen Herausforderungen der Freiheitsverwirklichung durch globale Big-Data-Anwendungen machen gleichzeitig nicht an Staatsgrenzen halt und lassen einen nationalen Alleingang wenig sinnvoll erscheinen. Allerdings sind, erstens, auch die Regelungen der DSGVO interpretations- und entwicklungsoffen. So bieten die gesetzlichen Privilegien verschiedener Verarbeitungskontexte in Art. 5 Abs. 1 lit. b), 89 Abs. 2, Abs. 3 DSGVO – eingedenk der Erwägungsgründe 33 und 43 – Auslegungsansätze für die Praxis eines Dynamic Consent. Entsprechend könnten auch Big-Data-Analysen in diesen Kontexten auf einen Dynamic Consent gestützt und damit in einem Datensouveränität fördernden Rahmen vollzogen werden. Zweitens sind rechtspolitische Impulse natürlich auch auf der Ebene der EU prinzipiell möglich und sollten im Sinne einer stärkeren Output-Orientierung genutzt werden.

  3. 3.

    Gesetzesgrundlage für Treuhandmodelle schaffen: Komplizierter erweist sich die Rechtslage – jedenfalls in Deutschland (exemplarisch für die Schweiz [82]) – hinsichtlich der Umsetzung von Datentreuhandmodellen, sofern diesen die Idee einer Stellvertretung bei datenschutzrechtlichen Erklärungen zugrunde liegt: Das Stellvertretungsrecht setzt eine rechtsgeschäftliche Handlung voraus, die im fremden Namen vorgenommen werden soll. Einwilligungen in Rechtseingriffe wie etwa die datenschutzrechtliche Einwilligung werden dem hergebrachten, primär abwehrrechtlichen Verständnis des Datenschutzrechts entsprechend wegen ihres Rechtfertigungscharakters nicht als Rechtsgeschäft eingeordnet [63]. Die hier angenommene Entwicklungsoffenheit des Datenschutzrechts und seiner verfassungsrechtlichen Grundlagen führt indes dazu, dass flexiblere Mechanismen auch mit Blick auf die datenschutzrechtliche Stellvertretung angängig sind. Insbesondere kommt durch die kooperative und durch längerfristige Interaktionen bestimmte Prägung des Dynamic Consent ein rechtsgeschäftlicher und nicht bloß rechtfertigender Ausdruck zum Tragen. So ist es denkbar, dass – wenn das Datenschutzrecht nicht nur der Eingriffsrechtfertigung in Bezug auf das informationelle Selbstbestimmungsrecht dient, sondern auch als rechtsgeschäftliches Regelungsregime angesehen wird – die datenschutzrechtliche Einwilligung auch im fremden Namen abgegeben werden kann. Die im Dynamic Consent enthaltenen Delegationsmöglichkeiten, für deren Möglichkeit wir bereits argumentiert haben, bilden dabei offensichtliche Überschneidungspunkte mit einer datenschutzrechtlichen Stellvertretung durch Datentreuhänder, welche über eine bloß technische Assistenz hinausgehen und auch Elemente der Stellvertretung, der Fürsorge oder der Verwertung umfassen.

  4. 4.

    Korrelationsmuster als Regelungsgegenstand fokussieren: Eine denkbare Erweiterung des Schutzbereichs könnte zudem in der grundsätzlichen Anerkennung von Korrelationsmustern als datenschutzrechtlich relevante Gegenstände liegen. Spätestens bei einem praktischen Rückbezug von diesen Mustern auf einzelne Fälle, lassen sich nach der Rechtsprechung des EuGH diese Muster als personenbezogen und damit als datenschutzrechtlich relevant verstehen [83]. Aber auch schon davor sind Konstellationen denkbar, in denen diese Muster sich praktisch als „Sammeldaten“ im hergebrachten Sinne darstellen, die auf die Gruppe der Personen „durchschlagen“, von denen die Datenmengen ursprünglich erhoben wurden. Dies ermöglicht praktisch erst die oben präferierte Output-Orientierung datenschutzrechtlicher Mechanismen, da diese andernfalls für wesentliche freiheitsrechtliche Auswirkungen von Big-Data-Anwendungen blind blieben.

  5. 5.

    Beschwerdemechanismen etablieren und ausbauen: Damit das Datensubjekt seine Datensouveränität zeitnah und effektiv umsetzen kann, muss darüber nachgedacht werden, welche Beschwerdemechanismen etabliert und wie sie abgesichert werden sollen. Denkbare Optionen sind etwa: haftungsrechtliche Sanktionsmechanismen, ggf. mit Beweislastumkehr; gestufte und sich verschärfende Rechenschafts- und Auskunftspflichten. Dabei könnte an bestehende Rechenschaftsfristen wie in Art. 12 Abs. 3, 14 Abs. 3 lit. a) DSGVO angeknüpft werden, die eine adäquate Information spätestens innerhalb eines Monats einfordern. Ebenso enthält Art. 82 Abs. 2 DSGVO auf der individuellen Haftungsebene bereits eine Beweislastumkehr.

3.2 Soft Law

Die Diskussion über das Datensouveränitätskonzept erschöpft sich nicht in der Frage nach seiner Hard-Law-Kompatibilität. Soft-Law-Mechanismen, die anders als das Hard Law nicht auf staatliche Sanktionen setzen, können ebenfalls dazu beitragen, die Ziele des Datensouveränitätskonzepts in unterschiedlichen institutionellen Settings umzusetzen. Auszugehen ist dabei von den übergeordneten Zielen der Transparenz, Kontrollierbarkeit und Benutzerfreundlichkeit. In einem kompetitiven Umfeld erweist es sich zumal dann als Wettbewerbsvorteil diesen Vorgaben zu entsprechen, wenn entsprechend informierte Datensubjekte (s. unten sub 3.3) nach ihnen verlangen. Über diese sich ohne (zentrale) Steuerung vollziehenden Prozesse hinausgehend sind bewusste, aber nicht direkt (rechts-)verbindlich wirkende Einwirkungsformen denkbar. Das verweist auf das weite Feld von ko- und selbstregulatorischen sowie Soft-Law-Regelungen. Diese etwas vergröbernde Terminologie wird hier im Sinne einer analytischen Unterscheidung zum Hard Law verwendet – allerdings eingedenk der Tatsache, dass binäre Schemata unterkomplex und gerade die Kooperations- und Überschneidungsformen von besonderem Interesse sind [84].

  1. 6.

    Vielgestaltigkeit des soft law nutzen: Diese Governance-Ebene umfasst frei und ungeplant entwickelnde „spontane Ordnungen“, aber auch fest umrissene und zumindest partieller staatlicher Aufsicht unterliegende Normen. Teilweise steht der informatorische Gehalt im Vordergrund, teilweise wird auf freiwillige Befolgung, teilweise (zusätzlich) auf Sanktionsmaßnahmen gesetzt. Manche Steuerungsmechanismen erzeugen wirtschaftlichen Druck oder nutzen umgekehrt spezifische Incentives. Mit anderen Steuerungsmechanismen wird mehr oder weniger bewusst auf staatliche Steuerungsleistungen Bezug genommen bzw. sie werden durch hoheitliches Recht rezipiert (z. B. durch Verweisungen) und damit in Rechtsverbindlichkeit überführt. Durchgängig vorhandene oder auch nur dominante Ordnungsmuster sind a priori nicht auszumachen; augenfällig sind vor allem die Vielzahl, Vielfalt und Ausdifferenziertheit der Regelsetzung. Das sollte im Sinne eines Varianz als Stärke wahrnehmenden Regelungspluralismus genutzt werden.

  2. 7.

    Zertifizierungsstrukturen der DSGVO einbeziehen: Zertifizierung und Akkreditierung stellen im modernen Verwaltungsrecht durch die Verschränkung staatlicher/hoheitlicher und privater/wirtschaftlicher Handlungsbeiträge adäquate Werkzeuge dar. Bekannt ist das etwa aus den inhaltlich wie strukturell sehr disparaten Bereichen des Wissenschafts- und des Produktsicherheitsrechts. Es hat aber spätestens mit den Art. 42 f. DSGVO auch für den Datenschutz eine erhebliche (gerade auch im internationalen Kontext intensiv diskutierte) Bedeutung erlangt [85]. Im Grundsatz geht es hierbei um eine extern, aber nicht notwendig staatlich/hoheitlich überprüfte und nach außen kenntlich gemachte – etwa durch Datenschutzsiegel und -prüfzeichen – Normbefolgung. Charakteristisch ist die freiwillige Mitwirkung, wobei aber gleichzeitig klar ist, dass eine erfolgte Zertifizierung von Rechts wegen mit deutlichen Vorteilen verbunden wird. Grundlegend in der DSGVO geregelt, wird der Kommission die Möglichkeit eingeräumt, verbindliche Detailvorgaben in „Durchführungsrechtsakte[n] über technische Standards und Mechanismen zur Förderung und Anerkennung von Zertifizierungen“ (Art. 43 Abs. 9 DSGVO) zu regeln. Typisch für eine Koregulierungssituation ist es, dass zur Zertifizierung nicht allein die Aufsichtsbehörden berufen sind. Stattdessen genügt es, wenn diese informiert werden, aber im Übrigen (private) sog. Zertifizierungsstellen tätig werden, die gemäß Art. 43 Abs. 1 DSGVO „über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen“ müssen. Ersichtlich wird damit ein breites Spektrum an möglicher Zertifizierung abgedeckt, wobei sie gleichzeitig einer qualitativen Kontrolle nach Art. 42 Abs. 5 DSGVO unterliegt.

  3. 8.

    Zertifizierungsstrukturen ausbauen: Die von der DSGVO angesprochenen „datenschutzspezifischen Zertifizierungsverfahren“ beziehen sich ausdrücklich darauf „nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird“ (Art. 42 Abs. 1 DSGVO). Deshalb ist es keineswegs ausgeschlossen, das Zertifizierungsmodell nutzbar zu machen, um über die rechtlichen (Mindest-)Maßgaben hinausgehende, namentlich dem Souveränitätsmodell verpflichtete, Verhaltensregeln zu implementieren.

  4. 9.

    Zusätzliche Repräsentationsformen für Datensubjekte erschließen: Treuhandkonzepte können auch dazu verwendet werden, Interessen zu aggregieren, um bestehende Machtgefälle in der Datenwirtschaft zu kompensieren. Es bestehen dabei auch Wechselbeziehungen zu den beschriebenen Zertifizierungsmechanismen [65]. Daneben sind im „Raum des Unverbindlichen“ auch zusätzliche repräsentative Partizipationsformen denkbar, die nicht dazu dienen, die konkrete Datenhandhabung zu steuern, sondern die Betroffenen auf einer abstrakteren Ebene ansprechen und so eine Möglichkeit bieten, Interessen zu artikulieren und damit gleichzeitig den Ideenwettbewerb zu befördern.

3.3 Teilhabe

In Kap. 2 haben wir vorgeschlagen, Datensouveränität durch Dynamic Consent zu implementieren. Neben technischen Erfordernissen erwachsen daraus auch Anforderungen an das Wissen und die Kompetenzen der Subjekte, deren Entscheidungen durch Dynamic Consent artikuliert werden. Der Dynamic Consent als Lösungsstrategie erscheint vor allem deswegen attraktiv, weil er den Individuen fortwährend erlaubt, ihre Präferenzen über geeignete technische Infrastrukturen in die Tat umzusetzen. Für eine solche selbstbestimmte Umsetzung und Gestaltung sind unterschiedliche individuelle wie soziale Formen von Teilhabe nötig. Diese je nach Entscheidungs- und Handlungskontext unterschiedlich durch Hard Law, Soft Law oder reine Empfehlungen umzusetzenden Teilhabe-Formen werden im Folgenden skizziert:

  1. 10.

    Öffentlichen Diskurs zum Umgang mit Datenressourcen führen: Datensouveränität als ein zugeschriebener Status verweist darauf, dass ein ausschließlich individualistischer Ansatz zu kurz greift. Statt lediglich von Bildungsprozessen auf der individuellen Ebene auszugehen, verweist sie darüber hinaus auf die Ebene der Formierung eines gesellschaftlichen Willens um die Aushandlung von Ansprüchen an Daten und deren Verwertung. Wie im Zusammenhang mit der Figur des Dateneigentums angedeutet, sind Spannungen zwischen individuellen Ansprüchen und Ansprüchen der Allgemeinheit denkbar. Auf beiden Ebenen werden berechtigte Interessen artikuliert, denen nicht immer gleichzeitig gefolgt werden kann. Die Klärung der Frage, welche Ansprüche als gerechtfertigt gelten und welche letztlich wie Vorrang zu nehmen haben, bedarf eines gesamtgesellschaftlichen Diskurses und Reflexionsprozesses. In ihm wäre zu klären, ob und wie individuelle Ausschlussrechte und Freiheitsvollzüge zusammengedacht werden können mit der Verwertung gesellschaftlich potentiell nützlicher genomischer Daten, Bewegungsprofile, Social-Media-Daten und anderer Datensorten, deren Analyse die öffentliche Gesundheit langfristig stärken können. Die Befähigung zur verantwortlichen Verwertung von Daten ist nicht nur entlang individualethischer, sondern auch auf gesellschaftlicher Ebene zu denken.

  2. 11.

    Gerechte Verteilung von Nutzen und Risiken aushandeln: Die Einführung und Nutzung von Big Data im Gesundheitsbereich wird sich kaum zurückdrehen lassen. Das wäre auch wenig sinnvoll, denn die Nutzung von Big Data kann zu einer Verbesserung der Gesundheitsversorgung führen. Zugleich darf nicht verkannt werden, dass auch in diesem Bereich in den letzten Jahren der gesellschaftliche Nutzen und die möglichen Risiken ungleichmäßig verteilt waren. Allzu schnell wurden Daten als das neue Gold/Öl des digitalen Zeitalters oder anderweitig zu verwertende Ressource verstanden, ohne dass zugleich eine Idee davon implementiert wurde, wie auch die breite Zivilgesellschaft von den Ergebnissen und Errungenschaften profitieren kann. Es bedarf dringend rigoroser Forschung, die verschiedene Disziplinen und Perspektiven einbezieht, um uns dabei zu helfen, die kurz- und langfristigen Auswirkungen der Nutzung von Big Data in sozialen und wirtschaftlichen Institutionen zu messen und zu verstehen. Nur wenn sichergestellt ist, dass Teilhabe nicht nur die Beteiligung an Diskussionen, sondern auch eine ökonomische Teilhabe beinhaltet, wird sich auf lange Sicht gesellschaftliches Vertrauen in Big-Data-Anwendungen, beteiligte Organisationen und öffentliche Institutionen aufrechterhalten lassen.

  3. 12.

    Digitale Gesundheitskompetenz: Als eine Komponente digitaler Gesundheitskompetenz [86] sind Informationsangebote für Patienten und potentielle Teilnehmerinnen an datenintensiver Forschung und Versorgung essentiell. Dies gilt nicht weniger in Zeiten, in denen sich Patientinnen einerseits im Internet selbst informieren, andererseits mit wenig Hintergrundwissen Online-Angeboten und klinischen Anwendungen mit hohem Komplexitätsgrad gegenübertreten. Bei der gemeinsamen Einordnung von Big-Data-basierten Hypothesen ist der Grundstein durch ein zumindest implizites Verständnis von für Big Data charakteristischen Konzepten und Mechanismen zu legen. Benötigt wird ein Diskussionsrahmen, in dem sowohl Klarheit über grundlegende Begriffe besteht als auch die Ausgestaltung und Priorisierung bestimmter Gesundheitskompetenzen in institutionellen Settings debattiert werden können.

  4. 13.

    Medizinisches Personal in der Aufklärung zu datenintensiven Anwendungen schulen: Auch die Ausbildung des medizinischen Fachpersonals bedarf der intensivierten Berücksichtigung von kommunikativen Herausforderungen, die bei der Vermittlung des Umfangs der Datenverarbeitung, eventuellen Risiken sowie den Ergebnissen datenintensiver Anwendungen auftreten können. Anschließend an die positiv-partizipativen Aspekte von Datensouveränität umfasst dies die Bewusstseinsbildung für Möglichkeiten zur Teilnahme an Forschung, zum Beispiel in Form der oben beschriebenen Datenspende. Diskutiert wird in diesem Zusammenhang die neu zu schaffende Rolle von health information counsellors [87], die Expertise in IT, Statistik, Recht und Kommunikation vereinen und somit als Bindeglied zwischen Patientin und datenintensiver Klinik fungieren könnten. In dieser Rolle würden sie Informationen filtern, für medizinische Laien verständlich und so für Arzt-Patientengespräche anschlussfähig machen, die das Ideal eines shared-decision making [88, 89] verfolgen.

3.4 IT

Datensouveränität erfordert technologische Infrastruktur, um Möglichkeiten zur Kontrolle auch konkret umzusetzen. Das bedeutet im Umkehrschluss nicht, dass jede technische Möglichkeit auch wirklich einen Teil zur Lösung beitragen kann. Ebenso wenig wäre es sinnvoll oder zielführend, im Sinne eines technologischen Solutionismus [90] allein technologische Lösungen zu fokussieren. Vielmehr muss gerade ausgehend von den bisherigen Überlegungen zur Datensouveränität als einem normativen Ankerkonzept geprüft werden, wie ein Dynamic Consent zwischen Datengebern, -nutzern und -verarbeitern technisch so gestaltet werden kann, dass Individuen eine tatsächliche Kontrollmöglichkeit erhalten.

  1. 14.

    Stewardship etablieren: Mit Stewardship rund um Datenbestände ist deren verantwortliche und nachhaltige Verwaltung und Pflege angesprochen. Durch diesen Umgang können die von Individuen anvertrauten Daten für Forschung und Versorgung nutzbar gemacht und gehalten werden. Damit dies gelingt, ist die Erfüllung bestimmter technischer Voraussetzungen erforderlich. So artikulieren beispielsweise die FAIR-Leitprinzipien [49] Gütekriterien für wissenschaftliche Daten mit dem Ziel, sie für Erkenntnis- und Innovationsprozesse zugänglich zu machen: Daten sollten zunächst für interessierte Wissenschaftler auffindbar (findable) sein. Ferner sollten Daten zugänglich (accessible) sein. Dazu bieten sich die Nutzung und Verfügbarmachung von Metadaten und Identifikatoren sowie die Verwendung standardisierter Protokolle in der Datenverarbeitung an. Schließlich sollten Daten interoperabel (interoperable) sein. Damit ist die Beschaffenheit von Systemen gemeint, Information austauschen und nutzen zu können. Sie hat sowohl technische (z. B. die Verfügbarkeit von Schnittstellen), syntaktische (z. B. Format und Struktur der Daten), semantische (z. B. verwendete medizinische Konzepte) und organisationale (die Nutzbarmachung von Informationsaustausch in organisationalen Workflows) Aspekte [91]. Durch informative Beschreibung, transparente Zugangslizenzen und die Übereinstimmung mit sektorspezifischen Formaten und Standards sollen Daten ferner für andere Forschungsaktivitäten wiederverwendbar (reusable) sein.

  2. 15.

    Weitere Gütekriterien von Datenformaten und Datenverarbeitungssystemen definieren: Angesichts sich stetig wandelnder Wissens- und Forschungsprozesse erscheint es unwahrscheinlich, dass sich Anforderungen an Datenformate dauerhaft festschreiben lassen. Neben der Übereinstimmung mit Gütekriterien bedarf es eines kontinuierlichen wissenschaftlichen und gesellschaftlichen Diskurses (siehe Empfehlung 11) über die Bewertung dieser Kriterien und ggf. die Notwendigkeit, sie zu modifizieren, kontextsensitiv zu spezifizieren und um weitere Gütekriterien zu ergänzen.

  3. 16.

    Robuste Architekturen zur Umsetzung von Stewardship fordern und fördern: Angesichts sich immer wieder ereignender Datenlecks und Hackerangriffe, beispielsweise kürzlich im Zusammenhang mit einer umfangreichen Datenbank von psychiatrischen Behandlungen im finnischen Gesundheitssystem [92], ist die Bedeutung robuster Sicherheitsarchitekturen nicht hoch genug einzuschätzen. Verschlüsselungstechnologien und dezentralisierte Speicherung sind dabei nur zwei Beispiele für Optionen, die sich zum Verfolgen dieser Ziele als hilfreich erweisen könnten.

  4. 17.

    Kontrollierbarkeit bereits bei der Konzeptualisierung von datenverarbeitenden Systemen fokussieren: Wenn Autoren bei der Gestaltung datenintensiver Systeme von Ethik [93] oder Privatheit [94] by design oder der Einbettung von Ethik in den Innovationsprozess sprechen, so ist der Gedanke, diese nicht im Nachhinein oder bei der Ausrollung einer Technologie in den Blick zu nehmen, sondern schon bei der Konzeption und Entwicklung als zentralen Gesichtspunkt zu berücksichtigen, sodass sie im Idealfall by default bestimmte Kriterien erfüllen.

  5. 18.

    Überprüfbarkeit von Übereinstimmung mit Gütekriterien ermöglichen: Die Umsetzung von Gütekriterien und Benchmarks für Zielgrößen wie Robustheit und Kontrollierbarkeit sollte für die beteiligten Akteure überprüfbar und nachvollziehbar sein. Durch obligatorische Evaluationen und Audits könnten Qualitätsstandards sowohl eingefordert als auch sichtbar gemacht werden. Erst durch Überprüfbarkeit kann Fehlverhalten problematisiert, Verantwortlichkeit zugeschrieben und die Erarbeitung konstruktiver Lösungen vorangetrieben werden.

  6. 19.

    Systemdesigns zur Ausübung von Dynamic Consent implementieren: Auf der Ebene der Architektur von Datenverarbeitungssystemen setzt Datensouveränität technische Mechanismen zur Umsetzung von Kontrollierbarkeit voraus, die es Nutzerinnen erlauben, Datenströme durch Dynamic Consent (siehe Kap. 2) zu steuern. Gemeint sind damit Systeme, die Daten entsprechend den Erwartungen der Nutzerinnen schützen, den Nutzerinnen erlauben, in verschiedene Arten und Zwecke der Verarbeitung einzuwilligen und den Zugang zu einmal verfügbar gemachten Daten auf Wunsch wieder zu beschränken. Eine Grundvoraussetzung ist dafür zunächst, Gesundheitsdaten in digitaler Form für das jeweilige Individuum zugänglich und handhabbar zu machen. Im Anschluss bedarf es zur Umsetzung des Dynamic Consent benutzerfreundlicher Interfaces zur Kontrollierbarkeit von Zugang, Verarbeitung und Rückholung.

  7. 20.

    Technologische Formen von Treuhänderschaft weiterentwickeln: Technologische Treuhänder bringen die datenbezogenen Präferenzen der Individuen in Verarbeitungsprozesse ein. Zu diesem Zweck sind Architekturen nötig, welche Präferenzen über benutzerfreundliche Schnittstellen erheben und den Erwartungen der Individuen an Zugang und Verarbeitung ihrer Daten genügen. Ob eine technologische Form von Treuhänderschaft gelingt, hängt jedoch auch von weiteren Faktoren ab. Als ein Beispiel sei auf Modelle verwiesen, in denen Blockchain zur Kontrollierbarkeit von Gesundheitsdaten in Forschung [95] und Versorgung vorgeschlagen wird [96–98], zum Beispiel indem Einwilligung in Datenverarbeitung sowie Parameter wie deren Zweckbindung in der Blockchain protokolliert und Zugriffe nur in Übereinstimmung mit diesen Vorgaben ermöglicht werden. Auf den Hype um Blockchain-Technologie ist aber auch der Vorbehalt gefolgt, dass sie ein Buzzword und ihre Implementierungen komplex und ressourcenintensiv sei. Ferner darf die Tatsache, dass in der Blockchain durch kryptographische Methoden die Struktur des Systems selbst für die Integrität von Transaktionen bürgt nicht darüber hinwegtäuschen, dass menschliche Akteure über Gestaltung, Zugang und Einsatz des Systems bestimmen. Das Gelingen technologischer Treuhänderschaft hängt somit neben der Wahl der Technologie selbst nicht zuletzt davon ab, ob und wie Debatten zur Modifikation eines Systems und dessen Einsatz zugelassen und Machtasymmetrien vermieden werden. Sofern sich Anwendungen im Rahmen solcher Prozesse als tragfähig erweisen, stellen sie hilfreiche Instrumente zur Umsetzung von Datensouveränität dar.

  8. 21.

    Datenagenten implementieren: Um Kontrollierbarkeit technisch umsetzbar zu machen, sind Schnittstellen und Software-Agenten in und an datenverarbeitenden Systemen zu implementieren, anhand derer ein Dynamic Consent des Individuums wirksam eingebracht werden kann. Personal Information Management Systems (PIMS) bieten den Nutzern beispielsweise differenzierte Steuerungsmöglichkeiten in Bezug darauf, welche Verarbeiter zu welchen Zwecken Zugang auf ihre Daten erhalten. Solche Ansätze können gewinnbringend mit weiteren Anforderungen an Systemarchitekturen kombiniert werden. So gehört es zum Ansatz des sog. Personal Health Train, dass Daten nicht weitergegeben, sondern Verarbeitungsprozesse vor Ort in sicherer Umgebung durchgeführt werden [99], verbunden mit differenzierten Kontrollmöglichkeiten für die Datensubjekte via Software-Agenten oder „Broker“, mittels derer sie die Freigabe steuern können [100].

  9. 22.

    Anwendungskontexte bei der Beurteilung datenintensiver Systeme kontinuierlich berücksichtigen: Auch wenn ethische und rechtliche Gesichtspunkte im Design-Prozess eines Systems berücksichtigt wurden, ist fortwährende Reflexion in konkreten Anwendungssituationen nötig, um den konkreten Bedeutungsgehalt der in Kap. 1 dargestellten Aspekte von Datensouveränität zu erörtern. So kann beispielsweise Privatheit eng als negativ-protektiver Anspruch [27] oder weiter als die Übereinstimmung von Datenströmen mit kontextuellen Normen und Erwartungen [101] verstanden werden. Im erstgenannten Sinn kann die Beschränkung von Zugang und Verarbeitung by design für bestimmte Anwendungskontexte vollkommen angemessen sein, wohingegen in anderen – wie in der oben angesprochenen Möglichkeit zur Datenspende – gerade mehr gefordert ist, und zwar nicht nur ein Recht allein gelassen zu werden durchzusetzen, sondern darüber hinaus differenziert-kontrollierbar Daten mit anderen zu teilen.

    Die Datenethikkommission der Bundesregierung hat vorgeschlagen, algorithmische Systeme in fünf sogenannte Kritikalitätsstufen zu sortieren, die sich aus dem „Schädigungspotential“ der Systeme ableiten lassen und in einer „Kritikalitätspyramide“ visualisiert sind [102]. Stufe 2–4 sollen dabei bereichsspezifisch reguliert und Stufe 5 verboten werden. Das kürzlich erschienene „Proposal for a Regulation on a European approach for Artificial Intelligence“ [105] der Europäischen Kommission arbeitet mit einem ähnlichen Kritikalitätsmodell. Einem algorithmischen System ein Schädigungspotential zuzuschreiben wirft die Herausforderung auf, dass Funktionsweisen und Effekte eines Systems schwerlich in abstracto fassbar sind. Der Grad an möglichem Schaden oder Nutzen ergibt sich zumeist erst bei der Implementierung des Systems in praktische Vollzüge sowie seiner Konfiguration zur Bearbeitung eines bestimmten Problems [103, 104]. Schaden und Nutzen hängen also nicht alleine am algorithmischen System selbst, sondern zumindest ebenso an dem konkreten Anwendungskontext, der zeitlichen Dauer der Anwendung, den Kontrollmöglichkeiten und den Formen der Zustimmung oder Ablehnung.  Mit Datensouveränität und dem Hinweis auf Output-Orientierung wird genau dies betont.