Das Positionspapier ist eine Zusammenarbeit der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (gmds), Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“.
WOZU DIESES POSITIONSPAPIER?
Das Thema medizinische Forschung wird in der EU-DSGVO nur am Rande behandelt. Somit wird die gesetzliche Ausgestaltung dieses Themas weitesgehend den nationalen Gesetzgebern überlassen. Wie es auf Seiten der GDD heißt: „Damit der medizinische Forschungsstandort Deutschland nicht den Anschluss an die internationale medizinische Forschung verliert, benötigt Deutschland klare Regeln bzgl. des Umgangs mit Daten der besonderen Kategorien zu Forschungszwecken. Insbesondere werden gesetzliche Erlaubnistatbestände bzgl. des Umgangs mit Biomaterial benötigt, aber auch Regelungen für einrichtungsübergreifende Forschung und Qualitätssicherung mit den Daten der Patientenversorgung.“
WICHTIGSTE INHALTE
Der Arbeitskreis stellt vor allem die Wichtigkeit nationaler Regelungen, die seiner Meinung nach dringend erforderlich sind heraus. So sollte hier ein besonderes Augenmerk auf die Beibehaltung des Datenschutzbeauftragten, die minimalistische Beschränkung von Rechten Betroffener, die Geheimhaltungspflicht für Auftragsdatenverarbeiter, Datenweitergabe im Rahmen von Patientenversorgung als auch die Datenverarbeitung im Rahmen medizinischer Forschung geworfen werden. Aber das Positionspapier sieht auch Handlungsbedarf bei bestehenden gesetzlichen Regelungen, die im Rahmen der EU-DSGVO überarbeitet oder gänzlich gestrichen werden sollten.
Beispielhaft wird hier auch der Ort der Auftragsverarbeitung angeführt. So gilt aktuell für Bayern und Berlin noch, dass die Verarbeitung von Patientendaten nur in einem Krankenhaus stattfinden darf. Die GDD fordert: „Hier sollte man diesen Anforderungen (im Sinne gestiegener Anforderungen an der EDVVerfügbarkeit bei der Patientenversorgung) folgen und im Sinne einer verbesserten Rechenzentrumssicherheit den externen Rechenzentrumsbetrieb legalisieren. Damit müssen die Betreiber und dessen Mitarbeiter als Gehilfe des Arztes im Sinne § 203 StGB betrachtet und die Auftragsverarbeitung in diesem Sinne legalisiert und vertraglich vereinbart werden.“
GEWÜNSCHTE LÖSUNG
Die GDD wünscht sich, dass „der Bundesgesetzgeber in Einvernehmen mit den Landesgesetzgebern eine Rahmengesetzgebung bzgl. des Gesundheitsdatenschutzes erlässt, an welcher sich die jeweiligen Landesgesetzgeber orientieren“, da wegen der im Grundgesetz existierenden Gesetzgebungskompetenz im Bereich des Gesundheitswesens eine länderspezifische Gesetzgebung ja nicht zu umgehen ist. Auch kann den Leistungserbringern in Deutschland nicht zugemutet werden, die Gesetzgebung in diversen europäischen Ländern stets zu verfolgen:
„Hier wäre die Schaffung einer zentralen Informationsstelle wünschenswert, ähnlich wie sie das DIMDI in Bezug auf Medizinprodukte darstellt.“