6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/20

1.

Die Kommission hat am 2. Juli 2008 einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (nachstehend „Vorschlag“ genannt) verabschiedet (1). Dieser Vorschlag wurde dem Europäischen Datenschutzbeauftragten (EDSB) von der Kommission zwecks Konsultation gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 übermittelt.

2.

Mit dem Vorschlag soll ein klarer und transparenter Gemeinschaftsrahmen für die grenzüberschreitende Gesundheitsversorgung innerhalb der EU für all die Fälle geschaffen werden, in denen die Behandlung, die ein Patient benötigt, in einem anderen als seinem Heimatmitgliedstaat zur Verfügung steht. Dieser Rahmen gliedert sich in drei Hauptbereiche:

3.

Dieser Rahmen dient zwei Zielen: zum einen soll er für ausreichende Klarheit über den Anspruch auf Kostenerstattung für die in einem anderen Mitgliedstaat erbrachten Gesundheitsleistungen sorgen und zum anderen soll er gewährleisten, dass die erforderlichen Voraussetzungen für eine hochwertige, sichere und effiziente Gesundheitsversorgung bei grenzüberschreitenden Leistungen gegeben sind.

4.

Die Umsetzung eines Systems der grenzüberschreitenden Gesundheitsversorgung erfordert den Austausch relevanter personenbezogener Daten über die Gesundheit der Patienten (nachstehend „Gesundheitsdaten“ genannt) zwischen den befugten Einrichtungen und Fachkräften des Gesundheitswesens der verschiedenen Mitgliedstaaten. Diese Daten gelten als sensibel und fallen unter die strengeren Datenschutzvorschriften nach Artikel 8 der Richtlinie 95/46/EG betreffend besondere Kategorien personenbezogener Daten.

5.

Der EDSB begrüßt, dass er im Einklang mit Artikel 28 der Verordnung (EG) Nr. 45/2001 zu dieser Frage konsultiert wird und dass im Einleitungsteil des Vorschlags auf diese Konsultation hingewiesen wird.

6.

Zum ersten Mal erfolgt eine förmliche Konsultation des EDSB zu einem Richtlinienvorschlag im Bereich des Gesundheitswesens. Daher sind einige der in dieser Stellungnahme enthaltenen Bemerkungen von größerer Tragweite und betreffen allgemeine Fragen des Schutzes personenbezogener Daten im Gesundheitswesen, die auch für andere einschlägige (verbindliche und unverbindliche) Rechtsakte gelten können.

7.

Der EDSB möchte zunächst seine Unterstützung für die Initiativen zur Verbesserung der Bedingungen für die grenzüberschreitende Gesundheitsversorgung zum Ausdruck bringen. Tatsächlich sollte dieser Vorschlag im Kontext des Gesamtprogramms der Gemeinschaft zur Verbesserung der Gesundheit der Bürger in der Informationsgesellschaft betrachtet werden. Weitere Initiativen in diesem Zusammenhang sind die von der Kommission geplante Richtlinie und die Mitteilung zur Spende und Transplantation menschlicher Organe (2), die Empfehlung zur Interoperabilität elektronischer Patientendateien (3) sowie die geplante Mitteilung zur Telemedizin (4). Der EDSB ist jedoch besorgt darüber, dass alle diese verwandten Initiativen im Bereich des Schutzes der Privatsphäre und der Datensicherheit nicht eng miteinander verbunden und/oder verknüpft sind, was die Annahme eines einheitlichen Datenschutzkonzepts für das Gesundheitswesen besonders in Bezug auf die Nutzung neuer Informations- und Kommunikationstechnologien erschwert. So wird zum Beispiel in Erwägungsgrund 10 des Richtlinienvorschlags die Telemedizin ausdrücklich genannt, aber nicht auf den Datenschutzaspekt der entsprechenden Kommissionsmitteilung verwiesen. Außerdem wird, obwohl elektronische Patientendateien ein möglicher Weg für die grenzüberschreitende Übermittlung von Gesundheitsdaten sind, keine Verbindung zu den in der einschlägigen Empfehlung der Kommission behandelten Fragen des Datenschutzes hergestellt (5). Dadurch entsteht der Eindruck, dass eine Gesamtperspektive für den Datenschutz im Gesundheitswesen noch immer nicht klar definiert ist und in einigen Fällen völlig fehlt.

8.

Dies wird auch in dem neuen Vorschlag deutlich, für den der EDSB mit Bedauern feststellt, dass Datenschutzaspekte nicht konkret angesprochen werden. Natürlich lassen sich Verweise auf den Datenschutz finden, aber diese sind hauptsächlich allgemeiner Natur und bringen die speziellen Bedürfnisse und Anforderungen hinsichtlich des Schutzes der Privatsphäre bei der grenzüberschreitenden Gesundheitsversorgung nicht angemessen zum Ausdruck.

9.

Der EDSB möchte betonen, dass ein einheitlicher und solider Ansatz für den Datenschutz in allen vorgeschlagenen Rechtsakten im Bereich des Gesundheitswesens nicht nur das Grundrecht der Bürger auf den Schutz ihrer Daten gewährleisten, sondern auch zur weiteren Entwicklung der grenzüberschreitenden Gesundheitsversorgung in der EU beitragen wird.

10.

Das markanteste Ziel der Europäischen Gemeinschaft war die Schaffung eines Binnenmarkts, d.h. eines Gebiets ohne Binnengrenzen, in dem der freie Verkehr von Waren, Dienstleistungen und Kapital sowie die Freizügigkeit von Personen gewährleistet sind. Dass es für die Bürger leichter wurde, in andere Mitgliedstaaten zu reisen und dort zu leben, hat natürlich Fragen bezüglich der Gesundheitsversorgung aufgeworfen. Aus diesem Grund hatte sich der Gerichtshof bereits in den 1990er Jahren im Rahmen des Binnenmarkts mit Fragen der möglichen Erstattung von in einem anderen Mitgliedstaat entstandenen medizinischen Ausgaben zu befassen. Er hat anerkannt, dass die freie Dienstleistungserbringung nach Artikel 49 EG-Vertrag die Freiheit für Personen einschließt, sich zwecks medizinischer Behandlung in einen anderen Mitgliedstaaten zu begeben (6). Infolgedessen konnten Patienten, die grenzüberschreitende Gesundheitsleistungen in Anspruch nehmen wollten, nicht länger anders behandelt werden als Staatsangehörige ihres Heimatlandes, die im Inland die gleiche medizinische Behandlung erhielten.

11.

Diese Urteile des Gerichtshofs stehen im Mittelpunkt des vorliegenden Vorschlags. Da die Rechtsprechung des Gerichtshofs auf einzelnen Rechtssachen beruht, soll mit diesem Vorschlag für mehr Klarheit gesorgt werden, um eine umfassendere und wirksamere Anwendung der Freiheit, Gesundheitsleistungen in Anspruch zu nehmen und zu erbringen, zu gewährleisten. Wie bereits erwähnt, ist dieser Vorschlag jedoch auch Teil eines ehrgeizigeren Programms mit dem Ziel, die Gesundheit der Bürger in der Informationsgesellschaft zu verbessern, wo die EU ein großes Potenzial für den Ausbau der grenzüberschreitenden Gesundheitsversorgung durch die Nutzung der Informationstechnologie sieht.

12.

Aus nahe liegenden Gründen ist die Festlegung von Regeln für die grenzüberschreitende Gesundheitsversorgung eine heikle Angelegenheit. Sie berührt einen sensiblen Bereich, in dem die Mitgliedstaaten unterschiedliche nationale Systeme errichtet haben, beispielsweise in Bezug auf die Versicherung und die Kostenerstattung oder den Aufbau der Infrastruktur im Gesundheitswesen, einschließlich der diesbezüglichen Informationsnetze und -anwendungen. Wenngleich sich der Gemeinschaftsgesetzgeber in dem vorliegenden Vorschlag nur auf die grenzüberschreitende Gesundheitsversorgung konzentriert, werden die Vorschriften zumindest Einfluss darauf haben, wie die nationalen Gesundheitssysteme organisiert werden.

13.

Eine Verbesserung der Bedingungen für die grenzüberschreitende Gesundheitsversorgung wird den Bürgern zugute kommen. Gleichzeitig birgt sie aber auch einige Risiken für die Bürger. Es müssen viele praktische Probleme gelöst werden, die charakteristisch für die grenzüberschreitende Zusammenarbeit zwischen Menschen aus verschiedenen Ländern mit unterschiedlichen Sprachen sind. Da eine gute Gesundheit für jeden Bürger von größter Bedeutung ist, sollte jede Gefahr einer Fehlkommunikation und daraus folgender Ungenauigkeit ausgeschlossen werden. Es versteht sich von selbst, dass der Ausbau der grenzüberschreitenden Gesundheitsversorgung, verbunden mit der Nutzung informationstechnologischer Entwicklungen, große Auswirkungen auf den Schutz personenbezogener Daten hat. Ein effizienterer und daher zunehmender Austausch von Gesundheitsdaten, die immer größere Entfernung zwischen den betroffenen Personen und Instanzen und die unterschiedlichen einzelstaatlichen Gesetze zur Umsetzung der Datenschutzvorschriften werfen Fragen der Daten- und Rechtssicherheit auf.

14.

Es ist hervorzuheben, dass Gesundheitsdaten als eine besondere Datenkategorie gelten, die eines höheren Schutzes bedarf. Der Europäische Gerichtshof für Menschenrechte hat vor kurzem im Zusammenhang mit Artikel 8 der Europäischen Menschenrechtskonvention erklärt, dass der Schutz personenbezogener Daten, insbesondere medizinischer Daten, von grundlegender Bedeutung für die Ausübung des durch Artikel 8 der Konvention garantierten Rechts auf Achtung des Privat- und Familienlebens ist (7). Bevor die in der Richtlinie 95/46/EG festgelegten strengeren Vorschriften für die Verarbeitung von Gesundheitsdaten erläutert werden, seien noch einige Worte zu dem Begriff „Gesundheitsdaten“ gesagt.

15.

Die Richtlinie 95/46/EG enthält keine ausdrückliche Definition des Begriffs „Gesundheitsdaten“. Gemeinhin gilt eine weite Auslegung, wonach Gesundheitsdaten oft als persönliche Daten definiert werden, die eine eindeutige und enge Verbindung zu der Beschreibung des Gesundheitszustands einer Person haben (8). Dabei umfassen Gesundheitsdaten in der Regel medizinische Daten (z. B. ärztliche Überweisungen und Verschreibungen, medizinische Untersuchungsberichte, Labortests, Röntgenbilder usw.) wie auch gesundheitsbezogene Verwaltungs- und Finanzdaten (z. B. Dokumente über Krankenhauseinweisungen, Sozialversicherungsnummer, medizinische Termine, Rechnungen für erbrachte Gesundheitsleistungen usw.). Es sei angemerkt, dass für gesundheitsbezogene Daten mitunter auch die Begriffe „medizinische Daten“ (9) und „Daten über die Gesundheitsversorgung“ (10) verwendet werden. In dieser Stellungnahme wird der Begriff „Gesundheitsdaten“ verwendet.

16.

Die Norm ISO 27799 enthält eine nützliche Definition des Begriffs „Gesundheitsdaten“: sämtliche Informationen, die sich auf die physische und psychische Gesundheit einer Person oder auf die Erbringung einer Gesundheitsleistung für die Person beziehen; hierzu zählen: a) Informationen über die Registrierung der Person im Hinblick auf die Bereitstellung von Gesundheitsleistungen; b) Informationen über Zahlungen für Gesundheitsleistungen oder die diesbezügliche Anspruchsberechtigung der Person; c) eine Zahl, ein Symbol oder ein Detail, die/das einer Person zuerkannt wird und allein der Identifizierung dieser Person für Gesundheitszwecke dient; d) sämtliche Informationen über die Person, die bei der Erbringung von Gesundheitsleistungen an sie gesammelt werden; e) Informationen, die bei der Prüfung oder Untersuchung von Körperteilen oder körpereigenem Material gewonnen werden; und f) Benennung einer Person (Gesundheitsfachkraft) als Erbringer der Gesundheitsleistung für die Person.

17.

Der EDSB befürwortet nachdrücklich die Annahme einer speziellen Definition des Begriffs „Gesundheitsdaten“ im Rahmen des vorliegenden Vorschlags, die in Zukunft auch in anderen einschlägigen EG-Rechtstexten verwendet werden könnte (siehe Abschnitt III).

18.

In Artikel 8 der Richtlinie 95/46/EG sind die Regeln für die Verarbeitung besonderer Datenkategorien festgelegt. Diese sind strenger als die Regeln für die Verarbeitung anderer Daten, die in Artikel 7 der Richtlinie 95/46/EG festgelegt sind. Das zeigt sich bereits in Artikel 8 Absatz 1, in dem es ausdrücklich heißt, dass die Mitgliedstaaten die Verarbeitung u. a. von Daten über die Gesundheit untersagen. Die folgenden Absätze des Artikels enthalten verschiedene Ausnahmen von diesem Verbot, die jedoch enger gefasst sind als die in Artikel 7 angegebenen Gründe für die Verarbeitung normaler Daten. So gilt dieses Verbot beispielsweise nicht, wenn die betroffene Person ausdrücklich in die Verarbeitung der Daten eingewilligt hat (Artikel 8 Absatz 2 Buchstabe a), während Artikel 7 Buchstabe a der Richtlinie 95/46/EG eine Einwilligung ohne jeden Zweifel vorsieht. Außerdem kann das Recht eines Mitgliedstaats vorschreiben, dass in bestimmten Fällen das Verbot selbst mit Zustimmung der betroffenen Person nicht aufgehoben werden kann. Artikel 8 Absatz 3 ist ausschließlich der Verarbeitung von gesundheitsbezogenen Daten gewidmet. Nach diesem Absatz gilt das Verbot aus Absatz nicht, wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.

19.

In Artikel 8 der Richtlinie 95/46/EG wird großer Nachdruck darauf gelegt, dass die Mitgliedstaaten für geeignete oder angemessene Garantien sorgen sollten. So gestattet beispielsweise Artikel 8 Absatz 4 den Mitgliedstaaten, aus Gründen eines wichtigen öffentlichen Interesses weitere Ausnahmen vom Verbot der Verarbeitung sensibler Daten — vorbehaltlich angemessener Garantien — vorzusehen. Damit wird allgemein die Verantwortung der Mitgliedstaaten hervorgehoben, besondere Sorgfalt auf die Verarbeitung sensibler Daten, wie z. B. gesundheitsbezogener Daten, zu verwenden.

20.

Mitgliedstaaten sollten sich der eben genannten Verantwortung besonders bewusst sein, wenn Fragen des grenzüberschreitenden Austauschs von Gesundheitsdaten zu behandeln sind. Wie bereits dargelegt, erhöht sich beim grenzüberschreitenden Austausch von Gesundheitsdaten die Gefahr einer fehlerhaften oder unrechtmäßigen Verarbeitung der Daten. Das kann offensichtlich erhebliche negative Folgen für die betroffene Person haben. Sowohl der Versicherungsmitgliedstaat (in dem der Patient versichert ist) als auch der Behandlungsmitgliedstaat (in dem die grenzüberschreitende Gesundheitsleistung tatsächlich erbracht wird) sind an diesem Prozess beteiligt und teilen sich daher die Verantwortung.

21.

In diesem Zusammenhang ist die Sicherheit der Gesundheitsdaten ein wichtiges Thema. In dem oben genannten aktuellen Fall hat der Europäische Gerichtshof für Menschenrechte der Vertraulichkeit von Gesundheitsdaten besonderes Gewicht beigemessen, indem er erklärte, dass die Achtung der Vertraulichkeit ein zentraler Grundsatz der Rechtsordnungen aller Vertragsparteien der Konvention sei. Es sei äußerst wichtig, nicht nur die Privatsphäre eines Patienten zu achten, sondern auch sein Vertrauen in den medizinischen Berufsstand und in die Gesundheitsdienste im Allgemeinen zu bewahren (11).

22.

Die Datenschutzvorschriften nach der Richtlinie 95/46/EG erfordern ferner, dass der Versicherungsmitgliedstaat dem Patienten angemessene, richtige und aktuelle Informationen bezüglich der Übermittlung seiner personenbezogenen Daten an einen anderen Mitgliedstaat erteilt und gleichzeitig die sichere Übermittlung der Daten an diesen Mitgliedstaat gewährleistet. Der Behandlungsmitgliedstaat sollte auch den sicheren Empfang dieser Daten gewährleisten und für ein angemessenes Schutzniveau gemäß seinem nationalen Datenschutzrecht sorgen, wenn die Daten tatsächlich verarbeitet werden.

23.

Der EDSB spricht sich dafür aus, dass die geteilten Zuständigkeiten der Mitgliedstaaten in dem Vorschlag präzisiert werden, wobei auch die elektronische Datenübermittlung, besonders im Rahmen neuer IKT-Anwendungen, zu berücksichtigen ist; diese wird nachstehend behandelt.

24.

Die Verbesserung des grenzüberschreitenden Austauschs von Gesundheitsdaten erfolgt hauptsächlich durch den Einsatz von Informationstechnologie. Wenngleich der Datenaustausch in einem System der grenzüberschreitenden Gesundheitsversorgung noch auf Papier erfolgen kann (z. B. wenn der Patient in einen anderen Mitgliedstaat reist und alle seine relevanten Gesundheitsdaten wie Laboruntersuchungen, ärztliche Überweisungen usw. mit sich führt), wird doch eindeutig angestrebt, stattdessen elektronische Mittel zu verwenden. Die elektronische Übermittlung von Gesundheitsdaten wird durch in den Mitgliedstaaten bestehende (oder zu schaffende) Informationssysteme des Gesundheitswesens (in Krankenhäusern, Kliniken usw.) sowie durch den Einsatz neuer Technologien wie elektronische Patientendatenanwendungen (die möglicherweise über das Internet betrieben werden) und andere Instrumente wie Gesundheitskarten für Patienten und Ärzte unterstützt. In Abhängigkeit von den Gesundheitssystemen der Mitgliedstaaten können natürlich auch Mischformen des papiergestützten und elektronischen Austauschs genutzt werden.

25.

Gesundheitstelematische und telemedizinische Anwendungen, die in den Geltungsbereich der vorgeschlagenen Richtlinie fallen, werden ausschließlich vom Austausch elektronischer Gesundheitsdaten (z. B. Vitalzeichen, Bildmaterial usw.) abhängen und in der Regel mit anderen bestehenden elektronischen Gesundheitsinformationssystemen im Behandlungs- und Versicherungsmitgliedstaat verknüpft sein. Hierzu zählen sowohl Systeme auf der Basis der Arzt-Patient-Beziehung (z. B. Fernüberwachung und -diagnose) als auch Systeme zwischen Ärzten (z. B. Telekonsultation zwischen Gesundheitsfachkräften zwecks Fachberatung in speziellen medizinischen Fällen). Auch andere, spezifischere Gesundheitsanwendungen zur Unterstützung der allgemeinen grenzüberschreitenden Gesundheitsversorgung können allein auf dem elektronischen Datenaustausch beruhen, z. B. elektronische Verschreibungen (eRezept) oder elektronische ärztliche Überweisungen (eÜberweisung), die in einigen Mitgliedstaaten bereits auf nationaler Ebene angewandt werden (12).

26.

Unter Berücksichtigung der oben genannten Erwägungen sowie der Vielfalt der Gesundheitssysteme der Mitgliedstaaten und der zunehmenden Entwicklung von Gesundheitstelematikanwendungen ergeben sich hauptsächlich folgende zwei Problembereiche im Hinblick auf den Schutz personenbezogener Daten bei der grenzüberschreitenden Gesundheitsversorgung: a) das unterschiedliche Sicherheitsniveau, das von den Mitgliedstaaten für den Schutz personenbezogener Daten angewandt werden kann (in Bezug auf technische und organisatorische Maßnahmen) und b) die Integration des Schutzes der Privatsphäre in Gesundheitstelematikanwendungen, insbesondere in Neuentwicklungen. Außerdem erfordern möglicherweise andere Aspekte wie die Weiterverwendung von Gesundheitsdaten, speziell im Bereich der Erstellung von Statistiken, ebenfalls besondere Aufmerksamkeit. Diese Fragen werden in diesem Abschnitt nachstehend weiter analysiert.

27.

Obwohl die Richtlinien 95/46/EG und 2002/58/EG in Europa einheitlich angewandt werden, können sich die Auslegung und die Umsetzung bestimmter Elemente von einem Land zum anderen unterscheiden, insbesondere in Bereichen, in denen die rechtlichen Bestimmungen allgemeiner Art sind und im Ermessen der Mitgliedstaaten liegen. In diesem Sinne muss vor allem die Sicherheit der Verarbeitung betrachtet werden, d.h. die (technischen und organisatorischen) Maßnahmen, die von den Mitgliedstaaten ergriffen werden, um die Sicherheit der Gesundheitsdaten zu garantieren.

28.

Wenngleich der strenge Schutz der Gesundheitsdaten in die Verantwortung aller Mitgliedstaaten fällt, gibt es derzeit keine allgemein anerkannte Definition für ein „angemessenes“ Sicherheitsniveau für die Gesundheitsversorgung in der EU, die auf die grenzüberschreitende Gesundheitsversorgung angewandt werden könnte. So kann beispielsweise ein Krankenhaus in einem Mitgliedstaat aufgrund einzelstaatlicher Datenschutzvorschriften verpflichtet sein, spezielle Sicherheitsmaßnahmen zu treffen (wie die Festlegung einer Sicherheitsstrategie, von Verhaltenskodizes, besonderen Vorschriften für die Ausgliederung und die Inanspruchnahme externer Auftragnehmer, Prüfungsbestimmungen usw.), während dies in anderen Mitgliedstaaten vielleicht nicht der Fall ist. Diese Uneinheitlichkeit kann sich auf den grenzüberschreitenden Datenaustausch auswirken, vor allem wenn dieser elektronisch erfolgt, da nicht garantiert werden kann, dass die Sicherung der Daten (aus technischer und organisatorischer Sicht) in den verschiedenen Mitgliedstaaten auf dem gleichen Niveau erfolgt.

29.

Daher besteht auf diesem Gebiet Bedarf an einer weiteren Harmonisierung im Hinblick auf die Festlegung von gemeinsamen Sicherheitsanforderungen für das Gesundheitswesen, die von den Gesundheitsdienstleistern der Mitgliedstaaten allgemein angenommen werden sollten. Dieses Erfordernis steht in vollem Einklang mit der in dem Vorschlag dargelegten allgemeinen Notwendigkeit, gemeinsame Grundsätze für die Gesundheitssysteme der EU festzulegen.

30.

Diese sollten allgemein gehalten werden, ohne den Mitgliedstaaten spezielle technische Lösungen vorzugeben; jedoch sollten sie eine Grundlage für gegenseitige Anerkennung und Akzeptanz schaffen, z. B. im Hinblick auf die Festlegung der Sicherheitsstrategie, die Identifizierung und Authentifizierung von Patienten und Gesundheitsfachkräften usw.. Die bestehenden europäischen und internationalen Normen für die Gesundheitsversorgung und die Sicherheit (z. B. ISO und CEN) sowie allgemein anerkannte und rechtlich fundierte technische Konzepte (z. B. elektronische Unterschriften (13) könnten als Fahrplan für einen solchen Versuch dienen.

31.

Der EDSB unterstützt die Idee einer Harmonisierung der Sicherheit im Gesundheitswesen auf EU-Ebene und ist der Ansicht, dass die Kommission bereits im Rahmen dieses Vorschlags einschlägige Initiativen einleiten sollte (siehe Abschnitt III).

32.

Der Schutz der Privatsphäre und die Sicherheit sollten Teil der Gestaltung und Umsetzung eines jeden Gesundheitssystems und insbesondere von Gesundheitstelematikanwendungen entsprechend diesem Vorschlag sein („eingebauter Datenschutz“ — „privacy by design“). Diese unstrittige Forderung wurde bereits in anderen einschlägigen Strategiepapieren — sowohl allgemeiner Art (14) als auch speziell das Gesundheitswesen betreffend (15) — unterstützt.

33.

Im Rahmen der im Vorschlag erörterten Interoperabilität elektronischer Gesundheitsdienste sollte noch einmal der Begriff „eingebauter Datenschutz“ als Grundlage für alle geplanten Entwicklungen hervorgehoben werden. Dieser Begriff gilt für verschiedene Ebenen, nämlich für die organisatorische, die semantische und die technische Ebene.

34.

Nach Ansicht des EDSB könnte der Bereich der elektronischen Verschreibungen als Ausgangspunkt für die Integration von Datenschutz- und Sicherheitsanforderungen in der Anlaufphase der Entwicklung dienen (siehe Abschnitt III).

35.

Ein weiterer Aspekt, der im Rahmen des grenzüberschreitenden Austauschs von Gesundheitsdaten betrachtet werden könnte, ist die Weiterverwendung von Gesundheitsdaten, insbesondere ihre Verwendung für statistische Zwecke, wie in dem vorliegenden Vorschlag bereits dargelegt wird.

36.

Wie bereits unter Nummer 18 erwähnt, ist in Artikel 8 Absatz 4 der Richtlinie 95/46/EG die Möglichkeit der Weiterverwendung von Gesundheitsdaten vorgesehen. Diese Weiterverarbeitung sollte jedoch nur aus Gründen eines „wichtigen öffentlichen Interesses“ erfolgen und es müssen „angemessene Garantien“ im Wege einer nationalen Rechtsvorschrift oder einer Entscheidung der Kontrollstelle gegeben werden (16). Wie auch in der Stellungnahme des EDSB zu dem Vorschlag für eine Verordnung zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (17) ausgeführt wird, ergibt sich bei der Verarbeitung statistischer Daten ein zusätzliches Risiko aus der unterschiedlichen Bedeutung, die die Begriffe „Vertraulichkeit“ und „Datenschutz“ bei der Anwendung der Rechtsvorschriften zum Datenschutz einerseits und der Rechtsvorschriften für die Statistik andererseits haben können.

37.

Der EDSB möchte die oben genannten Elemente im Zusammenhang mit diesem Vorschlag unterstreichen. Es sollte eine ausdrücklichere Bezugnahme auf die Datenschutzerfordernisse bei der Weiterverwendung von Gesundheitsdaten erfolgen (siehe Abschnitt III).

38.

In verschiedenen Teilen des Vorschlags finden sich Verweise auf den Datenschutz und den Schutz der Privatsphäre:

39.

Der EDSB begrüßt, dass der Datenschutz bei der Ausarbeitung des Vorschlags berücksichtigt wurde und dass versucht wurde, den allgemeinen Bedarf an Schutz der Privatsphäre im Rahmen der grenzüberschreitenden Gesundheitsversorgung aufzuzeigen. Die in dem Vorschlag enthaltenen Bestimmungen zum Datenschutz sind jedoch entweder zu allgemein oder verweisen eher selektiv und vereinzelt auf die Zuständigkeiten der Mitgliedstaaten:

Wie bereits in der Einleitung dieser Stellungnahme erwähnt, fehlt es außerdem an einer Verknüpfung mit Aspekten des Schutzes der Privatsphäre und/oder an einem Verweis auf derartige Aspekte, die in anderen (verbindlichen oder unverbindlichen) EG-Rechtsakten im Bereich des Gesundheitswesens behandelt werden, insbesondere in Bezug auf die Nutzung neuer IKT-Anwendungen (wie Telemedizin oder elektronische Patientenakten).

40.

Wenngleich der Schutz der Privatsphäre generell als ein Erfordernis der grenzüberschreitenden Gesundheitsversorgung genannt wird, fehlt somit nach wie vor ein Gesamtüberblick sowohl über die Verpflichtungen der Mitgliedstaaten als auch über die Besonderheiten aufgrund des grenzüberschreitenden Charakters der Bereitstellung von Gesundheitsleistungen (im Gegensatz zu der einzelstaatlichen Bereitstellung von Gesundheitsleistungen). Insbesondere

41.

Darüber hinaus gibt Artikel 18, in dem die Datensammlung für Statistik und Überwachung behandelt wird, Anlass zu einigen spezifischen Bedenken. Absatz 1 bezieht sich auf „statistische und andere, ergänzende Daten“; er verweist ferner im Plural auf „Überwachungszwecke“ und enthält eine Aufstellung der Bereiche, für die diese Überwachungszwecke gelten, namentlich die grenzüberschreitende Gesundheitsversorgung, Behandlungen, Dienstleister und Patienten, Kosten und Ergebnisse. In diesem bereits relativ unklaren Kontext erfolgt ein allgemeiner Verweis auf das Datenschutzrecht, es werden aber keine besonderen Anforderungen an die Weiterverwendung von Gesundheitsdaten gemäß Artikel 8 Absatz 4 der Richtlinie 95/46/EG genannt. Außerdem enthält Absatz 2 die unbedingte Verpflichtung, mindestens einmal pro Jahr diese große Datenmenge an die Kommission zu übermitteln. Da kein ausdrücklicher Verweis auf eine Bewertung der Notwendigkeit dieser Übermittlung erfolgt, hat anscheinend der Gemeinschaftsgesetzgeber selbst bereits die Notwendigkeit dieser Übermittlung an die Kommission festgelegt.

42.

Damit die oben genannten Aspekte angemessen behandelt werden können, gibt der EDSB eine Reihe von Empfehlungen in Form der nachstehenden fünf grundlegenden Schritte.

43.

In Artikel 4 werden die in dem Vorschlag verwendeten Grundbegriffe definiert. Der EDSB empfiehlt nachdrücklich, eine Definition der Gesundheitsdaten in diesen Artikel aufzunehmen. Dabei sollte eine weite Auslegung der Gesundheitsdaten angewandt werden, wie sie in Abschnitt II dieser Stellungnahme (Nummern 14 und 15) beschrieben ist.

44.

Ferner empfiehlt der EDSB nachdrücklich, in den Vorschlag einen speziellen Artikel zum Datenschutz aufzunehmen, in dem die allgemeine Dimension des Schutzes der Privatsphäre klar und verständlich dargelegt werden könnte. Dieser Artikel sollte a) die Zuständigkeiten des Versicherungs- und des Behandlungsmitgliedstaats, darunter die Notwendigkeit der Sicherheit der Verarbeitung, beschreiben und b) die wichtigsten Bereiche für die weitere Entwicklung bestimmen, d.h. Sicherheitsharmonisierung und Integration des Schutzes der Privatsphäre in die Gesundheitstelematik. Für diese Bereiche können (in dem vorgeschlagenen Artikel) spezielle Bestimmungen vorgesehen werden, wie sie nachstehend in den Schritten 3 und 4 dargelegt sind.

45.

Der EDSB empfiehlt, dass die Kommission im Anschluss an die in Schritt 2 genannte Änderung einen Mechanismus für die Festlegung eines allgemein annehmbaren Sicherheitsniveaus für Gesundheitsdaten auf nationaler Ebene annimmt und dabei den in diesem Bereich bestehenden technischen Normen Rechnung trägt. Dies sollte in dem Vorschlag zum Ausdruck kommen. Zur Umsetzung könnte das Ausschussverfahren genutzt werden, das in Artikel 19 bereits festgelegt ist und das auch für andere Teile des Vorschlags gilt. Ferner könnten für die Ausarbeitung einschlägiger Leitlinien weitere Instrumente unter Einbindung aller betroffenen Interessenträger wie der Datenschutzgruppe „Artikel 29“ und des EDSB genutzt werden.

46.

In Artikel 14 (Anerkennung von in einem anderen Mitgliedstaat ausgestellten Verschreibungen) ist vorgesehen, ein Verschreibungsmuster der Gemeinschaft auszuarbeiten und die Interoperabilität elektronischer Verschreibungen zu unterstützen. Diese Maßnahme ist nach dem Ausschussverfahren gemäß Artikel 19 Absatz 2 des Vorschlags anzunehmen.

47.

Der EDSB empfiehlt, Datenschutz und Sicherheit in dem vorgeschlagenen Muster für elektronische Verschreibungen zu berücksichtigen, und zwar bereits bei der grundlegenden semantischen Festlegung dieses Musters. Dies sollte in Artikel 14 Absatz 2 Buchstabe a ausdrücklich erwähnt werden. Auch hier ist die Einbeziehung aller einschlägigen Interessenträger von größter Wichtigkeit. In diesem Zusammenhang möchte der EDSB über weitere diesbezügliche Maßnahmen, die im Rahmen des vorgeschlagenen Ausschussverfahrens eingeleitet werden, informiert und an ihnen beteiligt werden.

48.

Um Missverständnissen vorzubeugen, rät der EDSB, den Begriff „andere, ergänzende Daten“ in Artikel 18 Absatz 1 zu präzisieren. Außerdem sollte der Artikel dahin gehend geändert werden, dass ausdrücklicher auf die Anforderungen für die Weiterverwendung von Gesundheitsdaten nach Artikel 8 Absatz 4 der Richtlinie 95/46/EG verwiesen wird. Darüber hinaus sollte die in Absatz 2 enthaltene Pflicht zur Übermittlung aller Daten an die Kommission unbedingt hinsichtlich der Notwendigkeit dieser Übermittlung für rechtmäßige Zwecke, die im Voraus hinreichend zu präzisieren sind, beurteilt werden.

49.

Der EDSB möchte seine Unterstützung für die Initiativen zur Verbesserung der Bedingungen für die grenzüberschreitende Gesundheitsversorgung zum Ausdruck bringen. Er äußert jedoch Bedenken darüber, dass die Initiativen der Kommission im Bereich des Gesundheitswesens im Hinblick auf IKT-Nutzung, Schutz der Privatsphäre und Sicherheit nicht immer gut koordiniert sind und dadurch die Annahme eines universellen Datenschutzkonzepts für das Gesundheitswesen behindern.

50.

Der EDSB begrüßt, dass in dem vorliegenden Vorschlag auf den Schutz der Privatsphäre verwiesen wird. Wie in Abschnitt III dieser Stellungnahme erläutert, sind jedoch einige Änderungen erforderlich, um klare Anforderungen sowohl an die Behandlungs- als auch an die Versicherungsmitgliedstaaten zu stellen und den Datenschutzaspekt der grenzüberschreitenden Gesundheitsversorgung ordnungsgemäß zu behandeln: