Digitale Lösungen im Gesundheitswesen? „Geht nicht, Datenschutz!“ war noch vor ein paar Jahren das Todschlagargument. Mittlerweile ist klar: Das eine geht nicht ohne das andere. Wobei Datenschutz keinesfalls zum Bremsklotz für Technologie oder Digitalisierung werden muss, wie unser Chief Legal Officer Dr. Silke Scholz erklärt. Let’s talk Tech auf einer ganz anderen Ebene.
Silke, du bist Leiterin unserer Rechtsabteilung und sitzt jetzt hier mit mir für das Format Let’s talk Tech. Vielleicht sollten wir den Leserinnen und Lesern erst einmal erklären, wie beides zusammen passt?
Als ich vor mittlerweile vier Jahren bei m.Doc angefangen habe, war Datenschutz immer das Todschlagargument. Ein Patientenportal, eine digitale Lösung im Krankenhaus sei nicht möglich, sei nicht mal denkbar, das gebe der Datenschutz nicht her. Ich bin leidenschaftliche Datenschützerin und habe von Anfang an gesagt: Das ist nur ein Pseudoargument. Datenschutz muss kein Hindernis sein, sondern kann im Gegenteil zu einer wichtigen Stütze werden – beispielsweise wenn Daten eines Patienten, die in einem Krankenhaus erhoben wurden, später in einer anderen Einrichtung (z.B. der anschließenden Reha) ebenfalls genutzt werden können. Die Herausforderung ist lediglich, es technisch so zu gestalten, dass die Patientinnen und Patienten es wissen, zustimmen und nachverfolgen können. Datenschutz und Technik sind im Gesundheitswesen also quasi die zwei Seiten einer Medaille. Digitale Lösungen ohne durchdachten Datenschutz sind nicht möglich. Gleichzeitig verbessert die uns heute zur Verfügung stehende Technik den Datenschutz ungemein.
Warum ist der Schutz von Gesundheitsdaten in Deutschland aus deiner Sicht dennoch ein so schwieriges Thema?
Ich denke, weil wir den Schutz unserer Gesundheitsdaten hierzulande, aber auch in anderen europäischen Ländern, sehr ernst nehmen. Und das finde ich persönlich sehr gut. Während wir uns im Privaten daran gewöhnt haben, dass jeder zum Beispiel unsere E-Mail-Adresse kennt, sind die Menschen bei ihren Gesundheitsdaten sensibler – vielleicht auch deshalb, weil sie es nicht gewohnt sind, im Gesundheitswesen auf digitale Lösungen zu treffen. Papier war und ist hier überwiegend noch das Mittel der Wahl. Es dauert also, bis ein gewisses Vertrauen aufgebaut wurde. Die Patientinnen und Patienten müssen erst einmal selbst erleben, dass sie im Nachgang eines Krankenhausaufenthaltes, für den sie ein Patientenportal nutzen, nicht irgendwelche obskuren E-Mails erhalten, ihre Daten also nicht anderweitig genutzt oder gar weiterverkauft werden.
Hat die Corona-Pandemie einige dieser Hürden bereits abgebaut, denn digitale Lösungen – sei es die Videosprechstunde oder auch das digitale Impfzertifikat – wurden in kurzer Zeit sehr selbstverständlich genutzt?
Davon bin ich überzeugt. Wenn man der Pandemie etwas Positives abgewinnen kann, dann dass sie digitale Lösungen in noch mehr Bereichen unseres Alltags zur Selbstverständlichkeit hat werden lassen. Mehr noch: Im Gesundheitswesen hat sie den Mehrwert von Technologie eindrucksvoll unterstrichen. Und auch in den Kliniken und Einrichtungen hat ein Umdenken stattgefunden. Bestes Beispiel ist hier sicherlich die Cloud, die in vielen Kliniken mittlerweile ganz selbstverständlich zum Einsatz kommt. Vor ein paar Jahren wäre es noch undenkbar gewesen, Daten außerhalb des Klinikgeländes zu wissen.
Wenn wir auf die technische Ebene zurückgehen, an welcher Stelle im Prozess – sagen wir bei der Entwicklung eines neuen Moduls auf unserer Plattform – wirst du als Datenschützerin eingebunden?
Ganz am Anfang. Sobald irgendjemand im Unternehmen eine Idee hat – sagen wir, für ein neues Modul, das die sichere digitale Unterschrift ermöglicht – geht diese über meinen Tisch. Glücklicherweise bin ich ja nicht nur Datenschützerin, sondern auch noch Juristin, sodass auch die Verträge mit externen Anbietern – für das sichere Zertifikat essenziell – bei mir landen. Außerdem wissen die Kolleginnen und Kollegen im Produktmanagement mittlerweile, dass sie mich erst fragen müssen, wenn sie etwas Neues planen, vor allem, wenn es um personenbezogene Daten geht.
Wir arbeiten ja aktuell an der nächsten Plattformgeneration, der Generation 7. Hast du ein Beispiel, welche Rolle du und damit der Datenschutz da spielen – immerhin wird für die nächste Generation ein Großteil des Codes erneuert?
Am Onboarding der Patientinnen und Patienten lässt sich meine Rolle und damit die des Datenschutzes gut erklären. Die zentrale Frage lautet nämlich: Welche personenbezogenen Daten brauchen wir wirklich? Vorname, Nachname, E-Mail waren noch relativ klar. Die nächste Frage war dann schon schwieriger zu beantworten, nämlich ob auch das Geburtstdatum zwingend benötigt wird. Als Datenschützerin sage ich erst einmal nein – ein wenig ketzerisch, zugegeben. Es geht mir in dem Moment darum, ob gute Argumente kommen, die eine Datenverarbeitung rechtfertigen. Und natürlich braucht das Onboarding das Geburtsdatum, da sonst Patientinnen und Patienten mit häufig vorkommnden Namen – meiner gehört hier übrigens auch dazu – nicht eindeutig identifiziert werden können. Damit wird auch sichergestellt, dass sie nur ihre eigenen Daten sehen können. Nächste Frage: Brauche ich das Geschlecht? Deutsche Vornamen sind für uns in der Regel eindeutig. Ein italienischer Vorname wie Nicola, Simone oder Andrea macht die Zuordnung schon wieder schwierig. Und so hangeln wir uns Schritt für Schritt durch – für ein Höchstmaß an Datenschutz und noch lange, bevor unsere Entwickler auch nur eine Zeile Code schreiben. Steht der Code dann und befinden wir uns in der Testphase, werde ich wieder gefragt. Ziel ist es, mit möglichst wenig personenbezogenen Daten zu arbeiten, und dafür ist es essentiell, sich in einem frühen Stadium zu fragen, was brauche ich und was brauche ich nicht. Das nennt sich auch Privacy by Design.
Datenschutz und Coding haben mit Blick auf die Logik offensichtlich viele Gemeinsamkeiten…
Ganz genau, beide Felder bewegen sich in Wenn-Dann-Welten. Juristerei und Datenschutz können durchaus sehr logisch sein (lacht).
Wie steht es um die Datensicherheit der Lösungen, etwa wenn eine Patientin oder ein Patient das Smartphone verliert?
Und wieder: Privacy by Design. Wir laden doch keine Daten auf irgendwelche Endgeräte. Dort werdenlediglich Informationen angezeigt. Hier sieht man übrigens den großen Vorteil digitaler Lösungen, denn wenn jemand mit seiner Aktentasche voller Arztbriefe in eine Klinik kommt und die gestohlen wird, sind die Daten nicht nur in falschen Händen, sondern erst einmal auch weg. War nur das Smartphone in der Aktentasche, haben die Diebe keinen Zugriff auf die Daten, die Patientinnen und Patienten können sie aus der Cloud jedoch wieder abrufen.
Das ist der aktuelle Status Quo. Sollte die Reise langfristig jedoch nicht dahin gehen, dass wir personenbezogene Daten – anonymisiert versteht sich – nutzen, um die Versorgungsqulität zu verbessern?
Das ist definitiv das langfristige Ziel, da die Versorgungsqualität davon profitieren würde. Wenn du als Patient für eine Hüft-OP in einer Klinik bist, ist es nicht unwahrscheinlich, dass auch die zweite Hüfte in absehbarer Zeit operiert werden muss. Aus den Erkenntnissen der ersten OP und, anonymisert, vieler weiterer Hüfteingriffe lässt sich der zweite Eingriff vielleicht schon optimieren, sodass du als Patient direkt profitierst.
Da sind wir aber noch nicht, oder?
Technisch wäre es kein Problem. Aber nein, noch sind wir da nicht. Die Richtung stimmt aber schon einmal, wenn ich mir die wachsende Bedeutung der PROMs, der Patient Reported Outcome Measures, anschaue. Im Prinzip sind das Qualitätsfragebögen, die Patientinnen und Patienten nach einer Behandlung digital über das Patientenportal ausfüllen, damit freiwilig ein Feedback geben, mit dem die jeweilige Klinik dann arbeiten und optimieren kann. Ich denke, das wird sich auch positiv auf das Vertrauen in digitale Lösungen auswirken.