AG-eCard EHDS

Aus Freiheit statt Angst!
Zur Navigation springen Zur Suche springen

EU Commission's draft regulation "on the European Health Data Space", COM(2022) 197 final, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52022PC0197


EHDS - EU Commission's Health Data Enabling Act

The draft regulation proposes making the health data of all EU citizens available and monetising it. Patients could only avoid this by no longer going to the doctor. The draft regulation continues and intensifies projects already under way in Germany and France, that have been harshly criticised by data privacy groups:

In an expert opinion for the above-mentioned lawsuit, cryptography professor Dominique Schröder demonstated that just a few data such as place of residence, age and diagnosis are sufficient to identify persons concerned ("data subjects"), even if the data have been anonymised: https://freiheitsrechte.org/uploads/documents/Freiheit-im-digitalen-Zeitalter/Gesundheitsdaten/2022-04-25-Gutachten_Schroeder-Gesundheitsdaten-Gesellschaft_fuer_Freiheitsrechte.pdf

Objectives of the draft regulation

The EU draft regulation pursues different objectives varying in legitimacy which should be better separated from each other:

  1. Europe-wide standardisation of health data and electronic health record systems.
  2. cross-border health data exchange, data portability between member states, e.g. for cross-border commuters, as well as access for online pharmacies like DocMorris to all prescriptions issued by doctors in the EU,
  3. obligation for doctors, hospitals and other health professionals ("data holders") to store all of their treatment data in online accessible standardised patient health records,
  4. creation of an infrastructure for the commercial "secondary use" of health data. To this end, member states will be required to set up "health data access bodies" that maintain registers of all available health data. The access bodies are authorized to request these health data from the data holders, to store them and make them available to data users. Access to health data can take place at doctors' offices, but also at insurance companies or data processing centres. Access authorization would be granted to any person or entity that can make a relatively complicated, sufficiently justified request. The "data holders" (doctors, insurance companies, etc.) would receive fees for the use of "their" data.
  5. The proposal claims to give the individual more control over their own data, but actually deprives them of the right to decide on its use. The data subjects will not participate in the profits from the exploitation of their health data. They are not informed about who receives their data and have no right to object.

Essentials from the draft regulation

The large number of authorisations for the EU Commission to adopt "delegated acts" is remarkable. There are at least ten of these in the draft regulation. They allow, for example, the introduction of further obligations for "data holders" (doctors, hospitals, health insurers) and further powers for "health data access bodies" to collect and distribute health data. Citizens' and institutions' rights and obligations in the draft regulation may later be changed single-handedly by the Commission by means of such delegated acts. The authorisations are so broad that the Commission could use them to redefine the content of the regulation.

According to Art. 3 "natural persons" shall have the right to access their personal health data "immediately, free of charge and in an easily readable, consolidated and accessible form" and to receive them in a standardised electronic exchange format. The change compared to the current, corresponding provision under Article 15 (3) of the General Data Protection Regulation is the "right" to immediate, i.e. online access. Member States must therefore set up electronic health data access services, and proxy services through which patients and their representatives can get the intended immediate access.

According to Art. 4, all doctors in the EU must have access to all health data of the individuals they are treating, regardless of in which EU member state they are stored. There are no provisions for patients to prevent, for example, an orthopaedist from accessing the psychotherapist's records of his patients. Rather, patients would only be able to block the entirety of their health data for certain individual practitioners. In emergencies, however, the "blocked" practitioners are still allowed to access the data.

Art. 7 stipulates that all patients must receive electronic health records (EHR) and that all treatment data must be stored in them. The current legal situation in Germany is that the persons concerned ("data subjects") must agree to this (opt-in). In contrast the coalition agreement of the current German government specifies the creation of electronic health records for all residents unless they object (opt-out). The draft regulation on the European Health Data Space creates an EHR obligation for all.

The resulting data collections, as well as all existing health data pools at health insurance companies, private insurers or other "data holders", are to be made available for "secondary use". Art. 33 contains a catalogue of data to be released for secondary use, including Electronic Health Records and "health-related administrative data, including claims and reimbursement data". The latter means that even German patients with private health insurance will no longer be spared. The insurance companies will have to hand over their billing data too.

Art. 34 lists the purposes for which electronic health data can be processed for secondary use. These include "public health surveillance" and "scientific research related to health or care sectors", "development and innovation activities for products and services contributing to public health or social security", and "training, testing and evaluating of algorithms, including in medical devices, AI systems and digital health applications ensuring (...) high levels of quality and safety of health care, of medicinal products or of medical devices". So there are hardly any limits to the imagination. According to Art. 45, "any natural or legal person" may submit a data access application.

According to Art. 42, the "data holders" (doctors, hospitals, insurance companies, etc.) as well as the health data access bodies receive fees for the secondary use of "their" data. The commercialisation of health data is intended. A participation of the patients concerned ("data subjects") in the proceeds from this data marketing is not intended.

According to Art. 44, access is provided to no more data than "relevant for the purpose of processing indicated in the data access application by the data user". When the purpose is e.g. training of AI applications, or establishing new prevention programmes, millions of people may be affected by such a transfer of their data. In principle, the data shall be released "in an anonymised format" (Art. 44(2)). However, Art. 44 (3) literally states: "Where the purpose of the data user’s processing cannot be achieved with anonymised data, taking into account the information provided by the data user, the health data access bodies shall provide access to electronic health data in pseudonymised format." The regulation provides no definitions as to what constitutes an "anonymised format" or a "pseudonymised format".


Opinion

The obligation to make patient data available for online access and to store them in electronic health records is to be rejected, because that would jeopardize highly sensitive data. There are already weekly media reports about theft or unintentional publication of large amounts of health data from hospitals or private insurance companies. Any mass accumulation of health data poses a high risk, as their net worth will attract all kinds of criminal activities. In addition the draft regulation does not state that health data access bodies or data holders must store their data within the EU. Outsourcing data processing to US cloud providers is therefore conceivable.

As a matter of principle, information from the doctor-patient relationship should not be disclosed to third persons or entities without the consent of the data subjects in each individual case. Disclosure to statutory or private health insurance companies for billing purposes should be as restrictive as possible; it must not become a gateway for data trafficking in electronic health records. This is indispensable to protect the relationship of trust between doctor and patient as well as the patient's constitutionally guaranteed fundamental right to privacy. It is not justifiable that data held by lawyers are protected considerably better than those held by doctors.

The provisions on technical data security for the primary and secondary use of data are inadequate. Provisions for compensation in the case of disclosure of health data are completely missing. With such far-reaching rights of use, liability regardless of fault must be mandatory, so that those affected by a breach of confidentiality of their data would receive full compensation. This could be implemented through a compensation fund of the kind that already exists for travels or bank deposits. All data users would have to pay into this fund.

According to Article 168 (7) of the "Treaty on the Functioning of the European Union" (TFEU), "the management of health services and medical care" is the sole responsibility of the member states. The provisions on primary and secondary data use in the draft EU Regulation on the European Health Data Space interfere significantly with the management of healthcare. This is the responsibility of the member states, not the EU institutions. Solely the Europe-wide standardisation of health data and their cross-border exchange can be the subject of an EU regulation. With the provisions on primary and secondary data use, the EU Commission is exceeding its competence. We demand the removal of the relevant parts from the draft regulation.

The draft regulation aims to make health data available for commercial use. Thereby the EU enters into competition with China, which is world leader in distributing mass health data of its citizens since 2017 (https://amj.amegroups.com/article/view/3667). The EU can only lose such a competition due to the different political frameworks; but in doing so it can set in motion a downward spiral when countries try to undercut each other on privacy protection for their citizens' health data. Instead, the EU should reflect on its strengths and use guaranteed fundamental rights and reliable, high data protection standards as an advantage in international competition.

German Translation

Stellungnahme zum Verordnungsentwurf der EU-Kommission "über den europäischen Raum für Gesundheitsdaten", COM(2022) 197 final, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52022PC0197

Das Gesundheitsdaten-Ermächtigungsgesetz der EU-Kommission

Der Verordnungsentwurf sieht vor, die Gesundheitsdaten aller Bürger der EU verfügbar zu machen und zu monetarisieren. Entziehen könnten sich Patientinnen und Patienten dem nur, indem sie nicht mehr zum Arzt gehen. Der Verordnungsentwurf führt Projekte weiter, die in Deutschland und Frankreich bereits begonnen haben, und dort von Datenschützern scharf kritisiert werden:

In einem Gutachten für diesen Prozess hat der Kryptografie-Professor Dominique Schröder aufgezeigt, dass bereits wenige Daten wie Wohnort, Alter und Diagnose ausreichen, um die betroffenen Personen identifizieren zu können, selbst wenn die Daten anonymisiert wurden: https://freiheitsrechte.org/uploads/documents/Freiheit-im-digitalen-Zeitalter/Gesundheitsdaten/2022-04-25-Gutachten_Schroeder-Gesundheitsdaten-Gesellschaft_fuer_Freiheitsrechte.pdf

Ziele des Verordnungsentwurfs

Der EU-Verordnungsentwurf verfolgt unterschiedliche Ziele, die ganz unterschiedlich legitim sind, und besser voneinander getrennt werden sollten: 1. Europaweite Normierung von Gesundheitsdaten und Vereinheitlichung von Systemen für elektronische Patientenakten 2. Grenzüberschreitender Austausch von Gesundheitsdaten, Datenübertragbarkeit von einem Mitgliedsstaat in den anderen, z.B. bei Grenzgängern, sowie Zugriff auf alle Verschreibungen aller Ärzte in der EU für Online-Apotheken wie DocMorris, 3. Pflicht für Ärzte, Krankenhäuser und andere Gesundheitsberufe ("Dateninhaber"), alle Daten über ihre Behandlungen in online abrufbaren, vereinheitlichten Patientenakten zu speichern, 4. Schaffung einer Infrastruktur für die kommerzielle "Sekundärnutzung" von Gesundheitsdaten. Dafür werden die Mitgliedsstaaten verpflichtet, Zugangsstellen einzurichten, die Verzeichnisse aller bei ihnen vefügbaren Gesundheitsdaten führen. Die Zugangsstellen können diese Gesundheitsdaten von den Dateninhabern anfordern, speichern und Datennutzern zur Verfügung stellen. Der Zugriff auf die Gesundheitsdaten kann bei Ärzten, aber auch bei Versicherungen oder Rechenzentren erfolgen. Zugriffsberechtigt soll jede Person oder Firma sein, die einen relativ komplizierten, ausreichend begründeten Antrag stellen kann. Die "Dateninhaber" (Ärzte, Versicherungen usw.) sollen für die Nutzung "ihrer" Daten Gebühren bekommen. 5. Der Entwurf gibt vor, dem Einzelnen mehr Kontrolle über die eigenen Daten zu geben, entzieht ihm aber tatsächlich das Recht, über deren Verwendung zu entscheiden. Am Gewinn aus der Nutzung ihrer Gesundheitsdaten werden die Betroffenen nicht beteiligt. Sie werden nicht darüber informiert, wer ihre Daten erhält und haben kein Widerspruchsrecht.

Wesentliches aus dem Verordnungsentwurf

Bemerkenswert ist eine Vielzahl von Ermächtigungen für die EU-Kommission, "delegierte Rechtsakte" zu erlassen. Es gibt im Verordnungsentwurf mindestens zehn davon. Damit können zum Beispiel weitere Pflichten für "Dateninhaber" (Ärzte, Krankenhäuser, Krankenkassen) und weitere Befugnisse für "Zugangsstellen" eingeführt werden, die die dortigen Gesundheitsdaten abholen und verteilen sollen. Auflistungen von Rechten und Pflichten von Bürgern und Einrichtungen, die im Verordnungsentwurf stehen, soll die Kommission mit solchen delegierten Rechtsakten später alleine ändern können. Die Ermächtigungen sind so weit gefasst, dass die Kommission damit den Text der Verordnung weitgehend neu definieren könnte.

Nach Art. 3 soll es ein "Recht natürlicher Personen" geben, "sofort, kostenlos und in einem leicht lesbaren gängigen und zugänglichen Format" auf die eigenen Gesundheitsdaten zuzugreifen und diese in einem standardisierten elektronischen Austauschformat zu erhalten. Die Veränderung gegenüber der bestehenden, entsprechenden Regelung aus der DSGVO (Art. 15 (3)) besteht im "Recht" auf sofortigen, d.h. Online-Zugriff. Die Mitgliedsstaaten müssen folglich Zugangsdienste für elektronische Gesundheitsdaten, und Proxy-Dienste einrichten, über die Patienten und ihre Vertreter diesen sofortigen Zugriff bekommen.

Nach Art. 4 müssen alle Ärzte der EU den Zugriff auf sämtliche Gesundheitsdaten der Personen bekommen, die sie behandeln, egal in welchen Mitgliedsstaat der EU diese gespeichert sind. Eine Möglichkeit der Patienten, den Zugriff z.B. eines Orthopäden auf die Aufzeichnungen der Psychotherapeutin zu verhindern, ist nicht vorgesehen. Vielmehr soll lediglich die Möglichkeit bestehen, ihre sämtlichen Gesundheitsdaten für bestimmte einzelne Behandler komplett zu sperren. In Notfällen dürfen diese aber trotzdem zugreifen.

Art. 7 sieht vor, dass alle Patienten elektronische Patientenakten (EPA) erhalten müssen und ihre Behandlungsdaten darin gespeichert werden müssen. Die derzeitige Rechtslage in Deutschland ist, dass die Betroffenen dem zustimmen müssen (opt-in). Der Koalitionsvertrag der Ampel sieht stattdessen die grundsätzliche Anlage von Patienakten für alle Einwohner mit der Möglichkeit zum Widerspruch vor (opt-out). Der Verordnungsentwurf zum Europäischen Gesundheitsdatenraum schafft hingegen eine EPA-Pflicht für alle.

Die derart etablierten Datensammlungen, auch alle bereits existierenden Gesundheitsdaten-Sammlungen bei Krankenkassen, Privatversicherungen oder sonstigen "Dateninhabern", sollen zur "Sekundärnutzung" freigegeben werden. Art. 33 enthält eine Aufzählung, welche Daten zur Sekundärnutzung freigegeben sind, dazu gehören elektronische Patientenakten und "gesundheitsbezogene Verwaltungsdaten, einschließlich Daten zu Forderungen und Erstattungen". Das bedeutet: Auch die deutschen Privatpatienten werden nicht mehr verschont. Die Versicherungen müssen auch ihre Abrechnungsdaten herausgeben.

Art. 34 listet auf, zu welchen Zwecken elektronische Gesundheitsdaten zur Sekundärnutzung verarbeitet werden dürfen. Dazu gehören "Überwachung der öffentlichen Gesundheit" und "Wissenschaftliche Forschung im Bereich des Gesundheits- und Pflegesektors", "Entwicklungs- und Innovationstätigkeiten für Produkte und Dienste, die zur öffentlichen Gesundheit oder sozialen Sicherheit beitragen", sowie "Training, Erprobung und Bewertung von Algorithmen auch in Medizinprodukten, KI-Systemen und digitalen Gesundheitsanwendungen, die (...) hohe Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung, Arzneimittel und Medizinprodukte gewährleisten". Der Fantasie sind also kaum Grenzen gesetzt. Einen Antrag auf Datenzugang kann nach Art. 45 "jede natürliche oder juristische Person" stellen.

Laut Art. 42 erhalten die "Dateninhaber" (Ärzte, Krankenhäuser, Versicherungen usw.) und auch die Zugangsstellen Gebühren für die Sekundärnutzung "ihrer" Daten. Eine Vermarktung der Gesundheitsdaten ist gewollt. Eine Beteiligung der betroffenen Patienten am Erlös aus dieser Vermarktung ist nicht gewollt.

Nach Art. 44 werden diejenigen Daten zugänglich gemacht, "die für den Zweck der Verarbeitung relevant sind, den der Datennutzer im Datenzugangsantrag angegeben hat". Wenn der Zweck z.B. Training von KI-Anwendungen ist, oder neue Präventionsprogramme, dann können Millionen Menschen von so einer Weitergabe ihrer Daten betroffen sein. Grundsätzlich sollen die Daten "in einem anonymisierten Format" herausgegeben werden (Art. 44 Abs. 2). Art. 44 Abs. 3 besagt jedoch wörtlich: "Kann der Zweck der Verarbeitung durch den Datennutzer unter Berücksichtigung der vom Datennutzer angegebenen Informationen nicht mit anonymisierten Daten erreicht werden, gewähren die Zugangsstellen für Gesundheitsdaten den Zugang zu elektronischen Gesundheitsdaten in einem pseudonymisierten Format." Definitionen, was ein "anonymisiertes Format" oder ein "pseudonymisiertes Format" sind, fehlen.


Stellungnahme

Die Pflicht, Patientendaten zum Online-Zugriff bereitzuhalten und diese in elektronischen Patientenakten zu speichern, ist abzulehnen, denn hierdurch würden hochsensible Daten massiv gefährdet. Schon jetzt gehen wöchentlich Meldungen durch die Medien, wonach große Menge von Gesundheitsdaten aus Krankenhäusern oder Privatversicherungen gestohlen oder versehentlich veröffentlicht wurden. Jede Massensammlung von Gesundheitsdaten stellt ein hohes Risiko dar, weil ihr Netto-Wert alle Arten von kriminellen Aktivitäten anzieht. Zudem enthält der Verordnungsentwurf keine Aussagen darüber, dass die Zugangsstellen oder die Dateninhaber ihre Daten innerhalb der EU speichern müssen. Es ist daher denkbar, dass sie ihre Datenverarbeitung an US-Cloud-Anbieter auslagern.

Grundsätzlich sollten Informationen aus dem Arzt-Patienten-Verhältnis nicht an dritte Personen oder Stellen weitergegeben werden, ohne Zustimmung der Betroffenen in jedem Einzelfall. Die Weitergabe zu Abrechnungszwecken an Krankenkassen und Versicherungen sollte so restriktiv wie möglich gestaltet werden, sie darf nicht zum Einfallstor für den Datenhandel mit Patientenakten werden. Das ist erforderlich, um das Vertrauensverhältnis zwischen Arzt und Patient und die grundrechtlich garantierte Privatsphäre der Betroffenen zu schützen. Es ist nicht zu rechtfertigen, dass Daten bei Rechtsanwälten erheblich besser geschützt sind, als solche bei Ärzten.

Die Vorschriften zur technischen Datensicherheit bei der Primären und Sekundären Datennutzung sind unzureichend. Vorschriften zur Entschädigung im Fall der Preisgabe von Gesundheitsdaten fehlen völlig. Bei derart weitreichenden Nutzungsrechten wäre eine verschuldensunabhängige Haftung zwingend, so dass die Betroffenen bei jeder Verletzung der Vertraulichkeit ihrer Daten eine volle Entschädigung erhalten. Umsetzen ließe sich dies durch einen Entschädigungsfonds, wie es ihn schon für Pauschalreisen oder Bank-Guthaben gibt. In diesen müssten alle Datennutzer einzahlen.

Laut Art. 168 Abs. 7 des "Vertrags über die Arbeitsweise der Europäischen Union" (AEUV) liegt "die Verwaltung des Gesundheitswesens und der medizinischen Versorgung" im alleinigen Zuständigkeitsbereich der Mitgliedsstaaten. Die Vorschriften zur Primären und Sekundären Datennutzung im Entwurf der EU-Verordnung zum Europäischen Gesundheitsdatenraum greifen erheblich in die Verwaltung des Gesundheitswesens ein. Diese ist Aufgabe der Mitgliedsstaaten, nicht der EU-Organe. Einzig die europaweite Normierung von Gesundheitsdaten und ihr grenzüberschreitender Austausch könnten durch eine EU-Verordnung geregelt werden. Mit den Vorschriften zur Primären und Sekundären Datennutzung überschreitet die EU-Kommission ihren Kompetenzbereich. Wir fordern alle Beteiligten auf, die betreffenden Teile aus dem Verordnungsentwurf zu entfernen.

Der Verordnungentwurf zielt auch darauf ab, Gesundheitsdaten wirtschaftlich nutzbar zu machen. Damit tritt die EU in Wettstreit mit Ländern wie China, das bei der Veröffentlichung von Gesundheits-Massendaten seiner Bürger seit 2017 weltweit führend ist ( https://amj.amegroups.com/article/view/3667 ). Einen solchen Konkurrenzkampf kann die EU aufgrund der unterschiedlichen politischen Rahmenbedingungen nur verlieren, dabei aber eine Abwärtsspirale in Gang setzen, wenn Länder versuchen, sich beim Datenschutz für ihre Bürger gegenseitig zu unterbieten. Stattdessen sollte sich die EU auf ihre Stärken besinnen und garantierte Grundrechte und verlässliche, hohe Datenschutzstandards im internationalen Wettbewerb als Vorteil nutzen.