5.1 Die Gefahr von Datenpannen
Nachdem im vergangenen Abschnitt verschiedene technische, organisatorische und datenimmanente Herausforderungen von SeConts benannt wurden, sollen im Folgenden mögliche Risiken analysiert werden, welche SeConts für die beteiligten Stakeholder, insbesondere die Patienten, mit sich bringen kann. Die Durchführung von SeConts ist in verschiedenen Dimensionen auf einer breiten Skala vorstellbar: (1) punktuell mit (spezifischer) informierter Einwilligung, d. h. im Rahmen einzelner Studien, welche Patienten um die Einwilligung zur Datennutzung bitten; (2) semi-systematisch mit breiter Einwilligung, d. h. Patienten willigen in zukünftige SeConts ein, die zum Zeitpunkt der Einwilligung noch nicht feststeht; (3) systematisch ohne Einwilligung, d. h. Daten werden standardmäßig und ohne vorige Einwilligung der Forschungsnutzung (SeConts) zugeführt, so lange Patienten nicht widersprechen (Opt-Out). Zusätzlich sind weitere Einwilligungsmodelle denkbar. Während unser Text sich auf Nutzenpotenziale, Herausforderungen und Risiken für verschiedene Stakeholder bezieht, die grundsätzlich für alle Dimensionen der möglichen Durchführung von SeConts relevant sind, geht es nicht um die verschiedenen denkbaren Einwilligungsmodelle, sodass wir auch keine ethische Bewertung derselben durchführen.
Bei SeConts handelt es sich um einen Vorgang, bei dem besonders sensible Daten betroffen sind. Zwar sind personenbezogene Daten stets als schützenswert einzustufen. Nicht umsonst betont das Bundesverfassungsgericht, dass im Kontext der elektronischen Datenverarbeitung kein Datum belanglos ist (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 u.a./83, BVerGE 65, 1). Jedoch zeichnen sich klinische Daten durch ein besonders hohes Maß an Sensibilität aus (Rumbold und Pierscionek
2018), handelt es sich doch um Informationen über Patienten, welche besonders persönlicher Natur sind und potenziell Rückschlüsse auf viele Bereiche des Lebens (z. B. Lebensstil, Sexualverhalten, erwarteter zukünftiger Gesundheitsstatus etc.) des Einzelnen zulassen. Nicht zuletzt zählen Informationen dieser Art zu den „besonderen Kategorien von personenbezogenen Daten“ gemäß Art. 9 Abs. 1 DSGVO und werden zusätzlich von der ärztlichen Schweigepflicht geschützt.
Speicherung, Transfer und Verarbeitung von Daten birgt stets die Gefahr von Datenpannen. Mit dem Begriff der Datenpanne sind hier alle Arten von Ereignissen gemeint, bei denen die Vertraulichkeit und der geplante Schutz der Daten verletzt werden, sei es durch technisches Versagen, menschliche Unachtsamkeit oder durch vorsätzliche unethische oder kriminelle Handlungen. Das Spektrum möglicher Folgen derartiger Datenpannen mit klinischen Daten, z. B. nach einem Datendiebstahl, ist weit und könnte von Belästigung durch personalisierte Werbung bis hin zu Identitätsdiebstahl, Diskriminierung, Stigmatisierung oder Erpressung reichen (Benitez und Malin
2010; Kaplan
2016; Parker und Aggleton
2003; Laurie et al.
2014; Weichert
2018; Bundesamt für Gesundheit
2017).
Auch wenn uns im deutschsprachigen Raum keine systematischen Untersuchungen zu Datenpannen in Form konkreter Datendiebstähle in Krankenhäusern bekannt sind
11, so zeigen Untersuchungen z. B. aus den USA, dass dort bereits Daten aus elektronischen Patientenakten entwendet wurden. Liu und Kollegen geben an, dass zwischen 2010 und 2013 in amerikanischen Krankenhäusern insgesamt 949 unbefugte Zugriffe auf Informationen aus insgesamt fast 30 Mio. Patientenakten dokumentiert wurden. 552 der Datenpannen wurden explizit als Diebstahl klassifiziert (Liu et al.
2015). Eine Studie von Floyd et al. zeigt anhand von belegten Datenpannen (inklusive Datendiebstählen) in US-Krankenhäusern zwischen 2012 und 2015, dass die Mehrheit der betreffenden Daten aus Namen, Geburtsdatum, Sozialversicherungsnummer und ähnlichem besteht. Es wurden jedoch auch Daten wie Diagnosen und Behandlungsinformationen entwendet (Floyd et al.
2016). Die jeweilige Art des Missbrauchs der betroffenen Daten in Folge eines Datendiebstahls ist schwer zu erforschen. Eine genaue Nachverfolgung der missbräuchlichen Verwendungen und damit verbundener Folgen für die Betroffenen ist grundsätzlich schwierig. Mit Blick auf die Existenz zahlreicher (illegaler) Portale im sogenannten Darkweb, auf denen mit persönlichen Daten gehandelt wird, liegt die Vermutung nahe, dass auch gestohlene klinische Daten dort angeboten werden (Floyd et al.
2016).
5.2 Risiken für Patienten
Im Folgenden widmen wir uns zunächst den möglichen
Risiken, die in erster Linie die
Patienten selbst betreffen aber potenziell auch Auswirkungen für andere Stakeholder haben (zum Thema „Risiken“, siehe auch den Beitrag von Anja Köngeter in diesem Band). Hierbei legen wir den Schwerpunkt auf diejenigen Risiken, die direkt oder indirekt mit der Sicherheit der Daten in Verbindung stehen, zeigen aber auch Risiken auf, die im Rahmen von SeConts sogar ohne Datenpannen entstehen können. Dabei ist zu bedenken, dass es, wie es auf dem Gebiet der Beschäftigung mit neuartigen Entwicklungen oft vorkommt, keine einschlägigen empirisch gesicherten Kenntnisse gibt. Für eine bessere Einschätzung möglicher Risiken in Bezug auf den Missbrauch gestohlener Daten ist eine Verbesserung der Forschungslage erforderlich. Eine Pflicht für öffentliche Einrichtungen wie Krankenhäuser, Datenschutzpannen zu melden (vgl. Art. 33 DSGVO) stellt hierfür eine geeignete Grundlage dar. Die wissenschaftliche Aufbereitung derartiger Informationen ist im deutschen Kontext derzeit noch äußerst begrenzt. Die Wahrscheinlichkeit einer Datenpanne oder gar eines Datendiebstahls im Kontext von SeConts ist zudem äußerst schwierig abzuschätzen, da empirische Daten aktuell wenn, dann lediglich für die Krankenversorgung, nicht aber für SeConts vorliegen (siehe Abschn.
5.1). Gleiches gilt in verstärktem Maße für mögliche Arten des Missbrauchs, welche aus einer Datenpanne folgen können. Aus diesem Grund untersuchen wir mögliche Risiken aus Sicht eines „Negativszenarios“, dessen Eintrittswahrscheinlichkeit im Moment nur schwer einzuschätzen ist. Voraussetzung dafür, dass Daten missbraucht werden und dem Einzelnen schaden können, ist die Möglichkeit, Personen mit den, in den Daten enthaltenen, persönlichen Informationen zu verknüpfen (Re-Identifikation). Zwar ist es in der biomedizinischen Forschung üblich, mit pseudonymisierten (d. h. de-identifizierten) Daten zu arbeiten,
12 doch macht dies eine Re-Identifikation nicht unmöglich (zur datenschutzrechlichen Relevanz pseudonymisierter Daten, vgl. den Beitrag von Markus Spitz in diesem Band). Möglichkeit und Aufwand einer solchen Re-Identifikation schwankt je nach Inhalt, Struktur sowie dem jeweiligem Verwendungskontext des Datensatzes (Jungkunz et al.
2021). Doch drohen mögliche Risiken für Patienten im Zuge von Datenpannen nicht allein im konkreten Fall einer Datenpanne mit gezieltem Datenmissbrauch, welcher faktisch spürbare negative Auswirkungen auf die betroffenen Personen hat. Bereits die Kenntnis einer Datenpanne kann für die einzelne betroffene Person aufgrund der Ungewissheit über das Schicksal ihrer persönlichen Daten und darüber, ob diese irgendwo und irgendwann gegen sie verwendet werden, potenziell erheblich belastend sein (de Bruin
2010; Laurie et al.
2014).
Ausgehend von den genannten möglichen Risiken (Identitätsdiebstahl, Diskriminierung, Stigmatisierung oder Erpressung), welche für Patienten von einer möglichen Datenpanne ausgehen, lassen sich im Rahmen eines „Negativszenarios“ weitere mögliche unerwünschte Folgen vorstellen. Im Falle einer systematischen Durchführung von SeConts ohne Einwilligung (siehe Abschn.
5.1) könnte z. B. die Gefahr bestehen, dass Patienten, die sich Gedanken über mögliche Datenschutzrisiken machen, Vertrauen in das Gesundheitssystem verlieren (Platt und Kardia
2015), was ein Risiko darstellt, welches nicht allein auf Patienten beschränkt ist. Der Vertrauensverlust in das Gesundheitssystem könnte sich in einem Vertrauensverlust gegenüber dem Arzt niederschlagen und somit das Arzt-Patienten-Verhältnis negativ beeinflussen (Kelley et al.
2015). Ein Vertrauensverlust könnte auf der Sorge vor Einbußen der Vertraulichkeit der Daten beruhen (zum Thema Angst um die Vertraulichkeit, vgl. (King et al.
2012)). Studien zeigen, dass Patienten aufgrund mangelnden Vertrauens in die Sicherheit bei der Speicherung und Weitergabe ihrer Behandlungsdaten Informationen vorenthalten haben (Agaku et al.
2014; Campos-Castillo und Anthony
2015). Eine systematische Durchführung von SeConts ohne Einwilligung könnte diesen Effekt verstärken, so dass Patienten aus Angst um die Vertraulichkeit ihrer Daten im schlimmsten Fall behandlungsrelevante Informationen für sich behalten könnten (Kaplan
2016). Auch ist denkbar, dass Patienten aus Angst um die Vertraulichkeit ihrer Daten notwendige Arztbesuche nicht wahrnehmen.
Doch auch eine Durchführung von SeConts mit vorheriger Einwilligung könnte bei Patienten die Sorge um die Sicherheit der Daten und somit Belastungen für Patienten mit sich bringen, so wie es in jeder anderen Form der Datenverarbeitung der Fall sein kann. Im Falle von SeConts ist es zudem möglich, dass die Einwilligung des Patienten die Befürchtungen um die Sicherheit der Daten nicht adäquat abbildet, wenn eben jene Einwilligung durch soziale Erwünschtheit oder auch falsche Hoffnungen in Bezug auf den eigenen Nutzen von SeConts motiviert ist (Aitken et al.
2016) und deshalb eigene Befürchtungen hinten angestellt werden (vgl. hierzu die Debatte zum Begriff „therapeutic misconception“).
So ist es vorstellbar, dass Patienten hoffen, durch ihre Einwilligung in SeConts das Wohlwollen ihres Arztes und somit einen Vorteil für ihre Behandlung zu erlangen. Ebenso ist es möglich, dass Patienten sich von SeConts (bzw. deren Ergebnissen) einen persönlichen Vorteil erhoffen (Richter et al.
2018), der sie motiviert, der Nutzung zuzustimmen und dabei andere (entgegenstehende) persönliche Interessen und Werte nachzuordnen. SeConts ist dem Verständnis im vorliegenden Artikel zufolge nicht darauf ausgelegt, dem Patienten, der seine Daten bereitstellt, selbst zu nutzen. Es ist zwar nicht gänzlich auszuschließen, dass SeConts einen individuellen Nutzen für einzelne Patienten mit sich bringt, jedoch ist dies aufgrund der notwendigen Zeit, welche selbst die Umsetzung oder Implementierung von Kenntnissen aus
Aktivitäten zur Kontrolle und Erforschung der Versorgung (oder bestimmter Versorgungssituationen) benötigt (von der Translation von Forschungskenntnisse in die Behandlung ganz zu schweigen), sehr unwahrscheinlich. So könnte SeConts bei (jungen) Patienten mit chronischen Erkrankungen mittelfristig eine Verbesserung der Behandlung hervorbringen, von denen sie auch selbst in Zukunft profitieren könnten. Aus unserer jetzigen Perspektive gehen wir jedoch davon aus, dass bei SeConts in aller Regel kein individueller Eigennutzen erwartet werden kann.
Es ist theoretisch möglich, dass Patienten durch die Rückmeldung sogenannter Zufalls- oder Zusatzbefunde von SeConts profitieren. Hierbei muss aber unterstrichen werden, dass es zu möglichen Zufallsbefunden bei SeConts, nach unserem Kenntnisstand, keine Erfahrungen und Berichte gibt. Es herrscht in der Bioethik eine lebhafte Diskussion um Zufallsbefunde aus der Forschung, d. h. aus der Analyse von Forschungsdaten, insbesondere bei Bildgebung (Erdmann
2015) und Genomik (Gitter
2019). Selbst bei genomischer Forschung ist jedoch unklar, ob Zufallsbefunde in relevanter Häufigkeit auftreten (Schuol et al.
2015). Im Gegensatz zum reinen Forschungskontext, in welchem Daten zu Forschungszwecken analysiert werden und nicht schon von einem (behandelnden) Arzt in Augenschein genommen wurden, stammen klinische Daten per Definition bereits aus klinischen Diagnosen und Therapien, für die sie erhoben wurden. Sie wurden also bereits von einem Behandler oder Diagnostiker zum Zwecke der Behandlung untersucht. Ein Zufallsbefund im Rahmen von SeConts durch Forscher ist aus unserer Sicht daher relativ unwahrscheinlich, so dass, zusammen mit dem völligen Mangel an Erfahrung, zum jetzigen Zeitpunkt wenig dafür spricht, in möglichen Zufallsbefunden einen ernstzunehmenden Grund für potenziellen persönlichen Nutzen für den Patienten zu sehen.
Etwaige Hoffnungen von Patienten, sie würden von der Zustimmung zu SeConts selbst profitieren, sind in der Regel unbegründet. Der Gefahr der falschen Hoffnungen auf einen persönlichen Nutzen ist also entgegenzuwirken, z. B. durch eine ausführliche Aufklärung von Patienten über Zweck, Möglichkeiten und Konsequenzen von SeConts.
5.3 Risiken für weitere Stakeholder
Neben den Risiken, die mehr oder weniger ausschließlich die Patienten betreffen, kann SeConts auch Risiken und Herausforderungen für Patienten und weitere Stakeholder mit sich bringen. Zwei derartige mögliche Risiken sollen im Folgenden angeführt werden: erstens die mögliche Belastung durch erhöhten Dokumentationsaufwand für Ärzte und Pflegepersonal und zweitens der Vergleich (von Qualität und Wirtschaftlichkeit) medizinischer Maßnahmen zwischen verschiedenen Behandlern oder Kliniken.
Werden Daten aus der Versorgung standardmäßig und systematisch der Forschung zugeführt, so verändert dies mit hoher Wahrscheinlichkeit die Dokumentationsroutinen der Versorgung selbst. Daten müssen in einer Form dokumentiert werden, welche eine spätere sekundäre Verarbeitung im Rahmen von SeConts ermöglicht. Ebenso könnte es zu der Entwicklung kommen, dass, vor dem Hintergrund der späteren Forschungsnutzung, eine größere Menge an Daten erhoben wird, als dies für die reine Versorgung notwendig wäre. Eine derartige Erhöhung der dokumentierten Datenmenge kann sowohl für das Personal selbst eine Belastung darstellen, als auch negative Auswirkungen auf die Patientenversorgung mit sich bringen. Zum einen träfe ein derartiger Mehraufwand bei der Datenerhebung auf ohnehin bereits knappe zeitliche Ressourcen des klinischen Personals, was für das Personal selbst eine physische und psychische Belastung wäre. Zudem würde das für die Dokumentation aufgewendete Mehr an Zeit an anderer Stelle in der Versorgung fehlen und somit negative Folgen für Patienten mit sich bringen. Gegen die Entwicklung in Richtung dieses negativen Szenarios spricht die Möglichkeit eines anderen, positiveren Szenarios. So kann eine standardisierte Dokumentation mit standardisierten digitalen Formularen – z. B. durch die Nutzung von festen Textbausteinen, welche für die Erstellung von Arztbriefen ausgewählt werden können – auch eine Zeitersparnis mit sich bringen. Voraussetzung hierfür ist jedoch die Implementierung eines ausgereiften, komplexen und möglichst bundesweit kompatiblen digitalen klinischen Informationssystems (KIS) mitsamt der entsprechenden IT-Infrastruktur und gut geschultem Personal.
Das zweite zu schildernde konkrete Risiko von SeConts besteht in der Möglichkeit eines Vergleichs von Qualität und anderen Parametern (z. B. Kosten) medizinischer Maßnahmen einzelner Ärzte, Abteilungen oder ganzer Kliniken. Zwar ist der Vergleich von Qualität etc. eine durchaus wichtige Maßnahme zur Qualitätskontrolle und -verbesserung sowie der Patientensicherheit. Jedoch erzeugen mögliche Vergleiche zwischen Behandlern oder zwischen Kliniken mitunter auch Ängste, (ungerechtfertigt) in ein schlechtes Licht gerückt zu werden (z. B. bei Kollegen; Vorgesetzten; den Forschern, die die Daten analysieren). Eine derartige Befürchtung kann sich z. B. für ein onkologisches Spitzenzentrum ergeben, an das sich überproportional viele Patienten mit negativen Prognosen wenden, wenn dieser spezielle Umstand in einem Vergleich der Leistungen, z. B. der Outcomes, mit anderen onkologischen Kliniken nicht angemessen berücksichtigt wird.
Auch ist zu befürchten, dass sich ein Vergleich von Stationen oder Kliniken nicht nur auf die Qualität der Versorgung, sondern auch und primär auf Wirtschaftlichkeit (Profitabilität und Kosten) fokussieren und in dieser Sphäre einen Konkurrenzdruck um die „günstigste oder profitabelste Behandlung“ weiter befeuern könnte. In einem Gesundheitssystem, welches ohnehin bereits unter hohem Kosten- und Ökonomisierungsdruck leidet (Strech et al.
2008; Fernau et al.
2017; Krause et al.
2013), könnte dies einen weiteren Faktor zur Zuspitzung der Lage darstellen und durchaus negative Auswirkungen auf die Versorgungssituation selbst haben. Allerdings ist auch zu bemerken, dass ein Blick auf die Kosten von Behandlung im Rahmen eines eingepflegten Wirtschaftlichkeitsgebots stets erforderlich ist und z. B. ganz besonders an den Stellen ethisch geboten ist, an denen die Gefahr einer Überversorgung aufgrund finanzieller Interessen der Kliniken droht. Vergleiche zwischen Ärzten oder Abteilungen/Kliniken im Rahmen von SeConts haben also auch das Potenzial, zur Aufdeckung derartiger problematischer Missstände beizutragen, etwa im Falle eines Übermaßes an Operationen mit fragwürdiger Wirksamkeit aber finanziellen Vorteilen für die jeweilige Klinik (Quintel et al.
2016).