Infobrief des Deutschen Ethikrates Nr. 22 - Januar 2018 - 01/18
Stellungnahme
Big Data und Gesundheit
von Nora Schultz
In seiner am 30. November 2017 veröffentlichten Stellungnahme "Big Data und Gesundheit - Datensouveränität als informationelle Freiheitsgestaltung" legt der Deutsche Ethikrat Empfehlungen vor, die eine den Chancen und Risiken von Big Data angemessene verantwortliche informationelle Freiheitsgestaltung im Umgang mit gesundheitsrelevanten Daten ermöglichen sollen.
Big Data beschreibt als ein Schlüsselbegriff der gegenwärtigen
Debatte über die technologisch induzierte gesellschaftliche
Veränderung einen Umgang mit großen Datenmengen, der darauf zielt,
Muster zu erkennen und daraus neue Einsichten zu gewinnen. Im
Gesundheitsbereich nutzen immer mehr Forscher, Firmen und Ärzte aus
Big Data gewonnene Informationen. Zudem nimmt die individuelle
Erfassung gesundheitsrelevanter Daten zu, zum Beispiel über die Apps
von Mobiltelefonen und am Körper getragene Sensoren. Mit diesen
Entwicklungen hat sich der Deutsche Ethikrat in einem
zweieinhalbjährigen Prozess befasst und sich dabei intensiv mit
Sachverständigen und interessierten Bürgern ausgetauscht.
Die für Big Data charakteristische umfassende Dekontextualisierung und Rekontextualisierung von Daten, die zu unterschiedlichen Zwecken erfasst, analysiert und neu verknüpft werden, führt zu einer Entgrenzung des gesundheitsrelevanten Bereichs. Wenn solche vielfältigen Daten verwertet werden, ermöglicht dies tiefe Einblicke in den aktuellen Gesundheitszustand, die Persönlichkeit sowie den Lebenswandel und erlaubt teilweise sogar Vorhersagen, etwa zur Krankheitsentwicklung.
Die rapide wachsende Datenbasis, die damit verbundene Entwicklung innovativer digitaler Instrumente und die Vernetzung der beteiligten Akteure eröffnen damit einerseits Chancen für deutlich verbesserte Diagnostik, Therapie und Prävention, Effizienz- und Effektivitätssteigerungen sowie die Unterstützung gesundheitsförderlichen Verhaltens. Andererseits bringen schwankende Datenqualität, Intransparenz von Datenflüssen, Kontrollverluste sowie unsichere Koordinations-, Regulierungs- und Qualifikationsanforderungen aber auch Risiken mit sich. Diese reichen von Entsolidarisierung und Verantwortungsdiffusion über Monopolisierung und Verluste informationeller Selbstbestimmung bis hin zu Datenmissbrauch und Manipulationshandlungen.
In seiner Stellungnahme untersucht der Deutsche Ethikrat solche Chancen und Risiken für fünf gesundheitsrelevante Anwendungsbereiche von Big Data und analysiert die relevanten rechtlichen Vorgaben und ethischen Aspekte. Er kommt zu dem Ergebnis, dass den Herausforderungen mit den Handlungsformen und Schutzmechanismen des traditionellen Datenschutzrechts nur unzureichend begegnet werden kann.
Um auch unter Big-Data-Bedingungen den Schutz und die Achtung von Werten wie Freiheit, Privatheit, Souveränität, Wohltätigkeit, Gerechtigkeit, Solidarität und Verantwortung zu gewährleisten, empfiehlt der Deutsche Ethikrat ein an Datensouveränität orientiertes Gestaltungs- und Regulierungskonzept. Die mit dem Begriff der Datensouveränität umschriebene verantwortliche informationelle Freiheitsgestaltung versteht er in Weiterentwicklung der informationellen Selbstbestimmung als interaktive Persönlichkeitsentfaltung unter Wahrung von Privatheit in einer vernetzten Welt.
Ein solches Gestaltungs- und Regulierungsmodell hat stärker als bislang die kontextabhängig wandelbare Sensibilität von Daten zu berücksichtigen. Dabei nimmt der Deutsche Ethikrat den individuellen Datengeber als den entscheidend zu schützenden und zu achtenden Zweck in den Blick. Er sieht eine Vielfalt institutioneller und staatlicher Akteure in der Pflicht, mit einer umfassenden gesamtgesellschaftlichen Anstrengung rechtliche, außerrechtliche und technische Rahmenbedingungen dafür zu schaffen, dass Menschen ihre Datensouveränität wahrnehmen und entfalten können.
Das vorgeschlagene Konzept enthält konkrete Handlungsempfehlungen zu vier Themenbereichen. Diese zielen darauf, erstens die Potenziale von Big Data zu erschließen, zweitens individuelle Freiheit und Privatheit zu wahren, drittens Gerechtigkeit und Solidarität zu sichern und viertens Verantwortung und Vertrauen zu fördern. Die empfohlenen Maßnahmen sollten zeitnah verwirklicht und finanziert werden.
A. Potenziale erschließen
Um die Potenziale von Big Data im Gesundheitsbereich zu realisieren,
ist eine möglichst reibungsfreie Kooperation zwischen zahlreichen
Akteuren aus der klinischen Praxis, medizinbezogenen
Grundlagenforschung, in gesundheitsrelevanten Feldern tätigen
Unternehmen und individuellen Datengebern nötig. Sie sollte nicht nur
auf die prospektive Sammlung und nachhaltige Bereitstellung von
Datensätzen zielen, sondern es auch ermöglichen, bereits vorhandene
Datensätze aus Klinik und Forschung mit jeweils neu gewonnenen Daten
in ethisch verantwortbarer Weise zu verknüpfen.
A1. Infrastrukturelle Grundvoraussetzungen schaffen
Die Nutzung der Chancen von Big Data im Gesundheitsbereich hängt
entscheidend von der Verfügbarkeit einer leistungsfähigen
Infrastruktur zur Erfassung, Speicherung, Analyse und Übertragung
großer Datenmengen ab. Um problematische Abhängigkeiten von
kommerziellen Anbietern infrastruktureller Dienstleistungen, die zudem
häufig nicht den deutschen bzw. europäischen Schutzstandards
unterliegen, zu vermeiden, sollte die öffentliche Hand gewährleisten,
dass eine derartige Infrastruktur - insbesondere für die klinische
Praxis und medizinbezogene Grundlagenforschung - zeitnah und mit
angemessenen Zugangsmöglichkeiten und öffentlicher Kontrolle
geschaffen bzw. weiterentwickelt wird.
A2. Datenaustausch und -integration erleichtern
Ebenso sind der verantwortungsvolle Austausch und die Integration von
gesundheitsrelevanten Daten zwischen vielfältigen institutionellen
Akteuren durch eine Reihe von Maßnahmen und deren ausreichende
öffentliche Finanzierung zu gewährleisten:
A2.1. Standardisierte Verfahren der Interoperabilität von Daten
entwickeln und bereitstellen
Um eine adäquate Zusammenführung von Daten aus unterschiedlichen
Quellen unter Berücksichtigung der Privatheitsansprüche der Datengeber
zu ermöglichen, müssen Daten miteinander vergleichbar sein, das heißt
einheitlich benannt und angemessen annotiert sein. Eine wesentliche
Voraussetzung hierfür ist die Standardisierung von Datenformaten und
die Schaffung von Möglichkeiten zur Qualitätskontrolle einschließlich
einer transparenten Dokumentation der durchlaufenen Schritte.
A2.2. Kooperatives Forschungsdatenmanagement weiterentwickeln
Die bestehenden Initiativen zur Etablierung effizienter
Kommunikations-, Kollaborationsund Koordinationsstrukturen zwischen
beteiligten Einrichtungen sollten gebündelt, intensiviert und auf
Dauer gestellt werden. Dabei ist auch auf geeignete Schnittstellen zur
Telematikinfrastruktur sowie auf eine angemessene Verzahnung mit der
im E-Health-Gesetz vorgesehenen Weiterentwicklung der Vernetzung im
Gesundheitswesen zu achten.
A3. Daten- und Forschungsqualität fördern und schützen
Eine zentrale Zukunftsaufgabe ist es, die Qualität der Daten zu
kontrollieren, um auf diese Weise zu hinreichend verlässlichen
Aussagen zu gelangen. Dafür sind folgende Maßnahmen geboten:
A3.1. Epistemische Standards einhalten, insbesondere die der
evidenzbasierten Medizin
Bei der Weiterentwicklung von Kontrollmechanismen für die Sicherheit
und Wirksamkeit medizinischer Maßnahmen, die bisher nicht auf
Big-Data-Anwendungen zugeschnitten waren, dürfen die etablierten
Maßstäbe der evidenzbasierten Medizin nicht unterschritten werden.
Auch Big-Data-basierte Verfahren müssen sich für medizinische
Verwendungszwecke den etablierten klinischen Prüfungen zur Wirksamkeit
und Sicherheit unterziehen.
A3.2. Einheitliche Daten- und Dokumentationsstandards einführen
Nicht nur im Sinne der Interoperabilität und Kooperation, sondern auch
zur Sicherstellung einer effektiven Qualitätskontrolle ist es
sinnvoll, einheitliche Standards einzuführen. Diese umfassen
beispielsweise Fragen der Formate der Daten selbst, der sie
beschreibenden Metadaten, der Rekonstruktion der Verarbeitungsschritte
und Versionskontrolle sowie die möglichst einheitliche Abbildung von
semantischen Verknüpfungen und Hierarchien von Daten. Zu den die
Datenqualität sichernden Standards zählen namentlich
Dokumentationspflichten, mit deren Hilfe die Herkunft von Daten
nachvollzogen werden kann und ihre weitere Nachverfolgbarkeit
zumindest erleichtert wird.
A3.3. Datengütesiegel etablieren
Um die genannten Qualitätsstandards und die damit verbundenen
Anforderungen transparent zu machen, sollten entsprechende
Konformitätsbescheinigungen ("Gütesiegel") vergeben werden, die die
Herkunft und Qualität der Originaldaten und ihrer
Verarbeitungsschritte nachweisbar darstellen (zum Beispiel durch
Verwendung der Blockchain-Technologie). Weil die Qualitätssicherung
auch im Eigeninteresse der jeweiligen Akteure liegt, ist primär auf
wissenschafts- und wirtschaftsinterne Kontrollmechanismen zu setzen.
Soweit diese sich indes als defizitär erweisen, sind auch
übergreifende rechtliche Vorgaben einzuführen.
A4.1. Sekundärnutzung von Forschungsdaten weiterentwickeln
Wo es nach geltendem Datenschutzrecht zulässig ist, personenbezogene
Daten auf der Grundlage einer sorgfältigen Interessenabwägung auch
ohne Einwilligung zu verarbeiten, wenn dies wissenschaftlichen,
historischen oder statistischen Zwecken dient und für diese
erforderlich ist (§ 27 BDSG n. F.), sollten im Interesse der
Datensouveränität grundsätzlich entsprechende zusätzliche, prozedurale
Schutz- und Gestaltungsmaßnahmen wie das Kaskadenmodell (siehe
Empfehlung B2) zum Einsatz kommen.
A4.2. Rechtliche Möglichkeit für Individuen schaffen, die
umfassende Nutzung ihrer Daten für die medizinische Forschung zu
erlauben ("Datenspende")
Das traditionelle Einwilligungsmodell setzt für die Erhebung
personenbezogener Daten prinzipiell eine enge Zweckbindung voraus.
Gerade weil am Einwilligungsmodell grundsätzlich festzuhalten ist,
sind hier nicht nur prozedurale Erweiterungen, sondern auch
bereichsbezogene Öffnungen sinnvoll. Namentlich sollte es ermöglicht
werden, im Sinne einer umfassenden Zustimmung Datennutzung ohne enge
Zweckbindung zugunsten der klinischen und medizinbezogenen
Grundlagenforschung zu erlauben ("Datenspende"). Voraussetzung ist
eine umfassende Aufklärung über mögliche Konsequenzen, insbesondere
mit Blick auf die Rechte anderer Personen, etwa mitbetroffener
Familienmitglieder. Notwendig ist ferner die wissenschaftlich
begleitete Entwicklung einer entsprechenden Infrastruktur für die
Erfassung, Speicherung, Pflege, Verarbeitung und Weitergabe von
gespendeten Daten.
A5. Digitale Entscheidungshilfesysteme in der klinischen Praxis
fördern
Der wechselseitige Wissenstransfer zwischen Forschung und klinischer
Praxis und die Zulassung digitaler Angebote zur Unterstützung von
Entscheidungen für eine verbesserte Versorgung von Patienten sollten
beschleunigt werden. Zu diesem Zweck ist für dazu legitimierte Akteure
ein - unter Wahrung der Datensouveränität - möglichst umfassender
Zugang zu Forschungs- bzw. Versorgungsdaten und geeigneten
gesundheitsrelevanten Big-Data-Anwendungen notwendig.
A6. Internationale Anschlussfähigkeit fördern
Mit Blick auf den internationalen Austausch von Daten sollten
Standardisierungsbemühungen nicht auf das nationale Territorium
beschränkt bleiben. Vielmehr bedarf es weitreichender Anstrengungen
auf allen Ebenen (der Politik, der Wissenschaft und
Technologieentwicklung) zur Angleichung von Standards.
Um die internationale Wettbewerbsfähigkeit deutscher bzw. europäischer Digitalanwendungen im Gesundheitsbereich einschließlich der damit verbundenen hohen Qualitäts- und Datenschutzstandards zu fördern und um diesbezüglich problematischen Abhängigkeiten entgegenzuwirken, sollten zudem Investitionen im Bereich Medizininformatik deutlich höher ausfallen und schneller umgesetzt werden, als bislang geplant. Sinnvoll erscheint insbesondere eine zielgerichtete Förderung des Datenmanagements in öffentlichen Krankenhäusern.
B. Individuelle Freiheit und Privatheit sichern
Die Bereitschaft, personenbezogene Daten zur Verfügung zu stellen, ist
als Teil der informationellen Freiheitsgestaltung der Datengeber zu
verstehen. Deshalb müssen sie dazu befähigt werden, souverän mit
diesen Daten umzugehen und ihre Privatsphäre zu gestalten. Zudem
müssen die Rahmenbedingungen geschaffen werden, um entsprechend
angemessene Handlungsspielräume zu garantieren.
B1. Datenhoheit bewahren
Die Bestimmungsmacht des Datengebers über die eigenen
personenbezogenen Daten ist angesichts der Zweckoffenheit und
Verknüpfungsmöglichkeiten von Big Data so umfassend wie möglich zu
wahren.
B1.1. Programmatische Schnittstellen für Datengeber öffnen
("Datenagenten")
Insbesondere dort, wo die Datennutzung nicht vorab präzise eingegrenzt
werden kann oder wenn eine Datensammlung und -verarbeitung
kontinuierlich erfolgt, sollten in Ergänzung zu gängigen
Zustimmungsmodellen geeignete Software-Werkzeuge ("Datenagenten") zur
Verfügung gestellt werden, die die eingespeisten Daten fortdauernd
nach den Vorstellungen der Datengeber verwalten und damit größere
Kontrolle, Transparenz und Nachvollziehbarkeit ermöglichen. Es sollte
eine Standardisierung entsprechender programmatischer Schnittstellen
durch Selbstregulation oder gesetzgeberische Maßnahmen erfolgen, die
die Entwicklung solcher Datenagenten erleichtert. Die korrekte
Funktionsweise der Schnittstellen und Datenagenten sollte durch
Auditierungs- bzw. Zertifizierungsmaßnahmen unterstützt werden.
B1.2. Mitbestimmung bei der Datenweitergabe erleichtern
Bei der Weitergabe von Daten sollte grundsätzlich die Reversibilität
der Datenerhebung sichergestellt werden: Jedes System, das
personenbezogene Daten sammelt und als Input akzeptiert, muss - von
wohlbegründeten Ausnahmen abgesehen - in der Lage sein, diese Daten
ganz oder teilweise auch wieder zu löschen. Auch hier sollte daher ein
Modell von Datenagenten, die als Kontrollinstanz in Datenpipelines
integriert werden, zum Einsatz kommen. Durch geeignete
Kommunikationskanäle (etwa eine entsprechende App) sollte der
Datengeber nachträglich um Zustimmung zur Weitergabe ersucht werden
und diese je nach Fall auch relativ einfach einschränken oder
widerrufen können.
B1.3. Rechtsprobleme eines vermeintlichen Eigentums an Daten klären
Datensouveränität ist nicht mit einem "Eigentum" an Daten zu
verwechseln. Soweit der Eigentumsbegriff seine wesentlichen
rechtlichen Elemente impliziert - dauerhaft feste Beziehung und
absolute Ausschlussmacht gegenüber Dritten -, ist er für die Zwecke
der Gewährleistung von Datensouveränität wenig geeignet. Weil
andererseits aber eine gewisse (allerdings flexible) Datenhoheit des
Einzelnen anzuerkennen ist, ist es sinnvoll, sich stattdessen
intensiver auf die rechtlichen Rahmenbedingungen der Nutzung von Daten
zu konzentrieren. Der Deutsche Ethikrat empfiehlt, zu diesem
Themenkomplex eine umfassende, nicht nur mit juristischem
Sachverstand, sondern interdisziplinär besetzte Expertenkommission
einzurichten.
B2. Kaskadisch strukturierte Einwilligungsmodelle etablieren
Grundsätzlich sollte in der klinischen Praxis und medizinbezogenen
Forschung weiterhin ein einwilligungsbasiertes Regelungskonzept
Verwendung finden (Opt-in-Modell). Wann immer möglich, sollten
Kaskadenmodelle der persönlichen Einwilligung eingesetzt werden, die
verschiedene, dynamisierte Möglichkeiten bieten,
Einwilligungsentscheidungen einmalig, regelmäßig oder für jeden
Entscheidungsfall neu zu treffen oder zu delegieren (etwa an
unabhängige Einrichtungen/Treuhänder oder Ähnliches). Unter der
Voraussetzung, dass die in der Stellungnahme entwickelten
Sicherungsund Qualitätsstandards und privatsphärenfreundliche
Grundeinstellungen gewährleistet sind, sollten bereits praxiserprobte,
erfolgreiche Vorbilder, insbesondere aus dem Bereich der Biobanken,
auch auf andere Sektoren übertragen bzw. angepasst werden.
B3. Privatsphärenfreundliche Grundeinstellungen gewährleisten
Weil Datengeber aus Zeitmangel, fehlendem Verständnis, subjektiv
empfundener Alternativlosigkeit oder aus gutem Glauben häufig die
vorgegebenen Einstellungen von Daten sammelnden und Daten
verarbeitenden Anwendungen übernehmen, sollten Grundeinstellungen
technisch entwickelt und weiter rechtlich abgesichert werden, die von
vornherein einen angemessenen Schutz der Privatsphäre bieten (privacy
by design/privacy by default). Dies gilt insbesondere für den bislang
vergleichsweise unregulierten Bereich privater Angebote, zum Beispiel
gesundheitsrelevante Apps für Mobilgeräte und entsprechende
Messgeräte. Über die Vorgaben der Datenschutz-Grundverordnung zu
nutzerfreundlichen Einstellungen hinaus ist durch zusätzliche
Aufklärung darauf hinzuwirken, dass Nutzer die Konsequenzen einer
Änderung der Grundeinstellungen tatsächlich verstehen.
B4. Einsatz von Algorithmen transparent machen und erläutern
Über die rechtlich ohnehin vorgesehenen Auskunftspflichten hinaus
sollten die Zielvorgaben, Funktions- und Wirkweisen der
Datenakkumulation und der verwendeten Algorithmen so erläutert werden,
dass sie auch für Nichtspezialisten nachvollziehbar sind. Insbesondere
sollte dies - unter Berücksichtigung der jeweiligen Erfordernisse des
Schutzes von geistigem Eigentum - die folgenden Aspekte umfassen:
• welche Nutzerdaten als Eingabe in welche Analysen, Vorhersagemodelle und Entscheidungs- oder Auswahlprozesse einfließen bzw. welche Attribute, etwa zur Vermeidung von Diskriminierung, ausdrücklich nicht erhoben und einbezogen werden,
• welche Ableitungen, Schlüsse, Vorhersagen, Selektionen oder Entscheidungen auf der Basis dieser Daten mittels Algorithmen getroffen werden,
• ob und inwiefern Profile des Datengebers erstellt werden und welche erwartete Aussagekraft solche abgeleiteten Größen haben,
• in welcher Form personenbezogene Daten in anonymisierter Form in (statistische) Modelle einfließen und wer über deren Nutzungsrechte verfügt.
B5. Täuschung und Manipulation entgegenwirken
Es ist zu unterscheiden zwischen offenen, transparenten Methoden der
Einflussnahme auf andere Personen einerseits und problematischeren
verdeckten Eingriffen, die sich daher der kognitiven Kontrolle der
Adressaten entziehen, andererseits. Eine manipulative Datengewinnung
und -nutzung, die die Datengeber etwa über Art und Zweck der Erhebung
täuscht und/oder ihre mangelnde Einsichtsfähigkeit ausnutzt, ist
rechtlich wie moralisch unzulässig. Insbesondere in sozialen
Netzwerken, bei Apps und Online-Spielen sollten nicht nur staatliche
Instanzen, sondern auch die Betreiber selbst entsprechenden Tendenzen
strikter entgegenwirken.
B6. Digitale Bildung fördern
Datensouveränität setzt Grundkenntnisse über die Bedeutung und den
Wert von Big Data und die damit verbundenen Risiken voraus. Da bereits
Kinder digitale Anwendungen nutzen und dabei Daten generieren, sollte
eine entsprechende Nutzerkompetenz schon in der Schule vermittelt
werden. Über die rein technischen Aspekte der gängigen
Digitalisierungsstrategien schulischen Unterrichts hinaus sollte dies
als Querschnittsaufgabe für alle Fächer des schulischen Curriculums
ausgestaltet sein, um der gerade bei Kindern und Jugendlichen
virulenten informationellen Selbstgefährdung entgegenzuwirken und
schon früh ein Bewusstsein für die rechtlichen, sozialen und ethischen
Implikationen zu schaffen. Die Vermittlung solcher Nutzerkompetenz
sollte daher zukünftig Teil der Lehreraus- und -fortbildung werden.
Einrichtungen der Erwachsenenbildung sollten zudem kontinuierlich
niedrigschwellige Angebote für alle Altersgruppen vorhalten. Auch
Unternehmen und Institutionen sollten regelmäßig entsprechende interne
Schulungen durchführen.
B7. Diskurs und Teilhabe stärken
Die kontinuierliche öffentliche Debatte über Big Data sollte stärker
gefördert werden. Dafür sollten staatlicherseits verlässliche
Informationen zur Verfügung gestellt und partizipative Verfahren
etabliert werden. Diese sollten eine breite Beteiligung der
Öffentlichkeit und einen Austausch mit der Fachwelt gewährleisten.
C1. Fairen Zugang zu digitalen Angeboten schaffen
Von den Vorteilen der Digitalisierung sind manche Nutzergruppen
regelmäßig ausgeschlossen, etwa aufgrund von Bildungshemmnissen. Um
dem entgegenzuwirken, bedarf es nicht nur spezieller Informations- und
Bildungsangebote, sondern es ist auch Sorge dafür zu tragen, dass
digitale Angebote nicht von vornherein so konzipiert werden - zum
Beispiel durch unverständliche, unnötig komplizierte Handhabung oder
unnötig technische Sprache -, dass sie exklusiv wirken. Software und
Nutzeroberflächen sollten möglichst barrierefrei gestaltet werden.
C2. Diskriminierung und Stigmatisierung aufdecken bzw. verhindern
Es ist sicherzustellen, dass eine über Big Data erweiterte
Entscheidungsbasis für gesundheitsrelevante Allokationsentscheidungen
nicht dazu missbraucht wird, Personen oder Personengruppen zu
diskriminieren oder zu stigmatisieren. Bei der Verwendung von
Erkenntnissen aus Big-Data-Analysen besteht eine Gefahr darin, dass
die zugrunde liegenden Daten, die gewählten Randbedingungen der
Analyse und angewandten Algorithmen zu Ergebnissen führen können, die
eine systematische und nur schwer erkennbare Diskriminierung von
Personen oder Gruppen nach sich ziehen. Deshalb ist nicht nur vorab
auf die Unzulässigkeit entsprechender Selektionskriterien ohne klare
und angemessene Zweckbestimmung hinzuweisen, sondern es sind auch
Verfahren zu entwickeln, mit denen eventuelle Verstöße aufgezeigt und
sanktioniert werden können. Auch wenn hierfür sektor- bzw.
institutioneninterne, subsidiäre Regelwerke durchaus sinnvoll sind,
muss es darüber hinaus aber auch justiziable, sanktionsbewehrte
hoheitliche Sicherungsmechanismen geben.
C3. Widerspruch bei automatisierten Entscheidungen ermöglichen
Bei algorithmenbasierten Entscheidungen bedarf es strukturierter
Widerspruchsmöglichkeiten. Speziell im Bereich privater Versicherungen
muss für abgelehnte Antragsteller der Anspruch auf eine für sie
verständliche, individuelle Begründung der Ablehnung garantiert sowie
ein kostenfreier und niederschwelliger Zugang zu internen und externen
Beschwerde- und Schlichtungsinstanzen sichergestellt werden.
C4. Vulnerable Gruppen und Individuen schützen
Besondere Aufmerksamkeit erfordern Personen und Gruppen, die aufgrund
individueller oder sozialer Umstände (gegebenenfalls vorübergehend)
besonders anfällig dafür sind, dass ihnen mittelbar oder unmittelbar,
strukturell oder intentional die Vorteile einer Digitalisierung des
Gesundheitssektors vorenthalten oder die Nachteile im Übermaß
aufgebürdet werden. Dies gilt in besonderem Maße für Kinder und
Jugendliche sowie für Menschen mit Behinderung und ältere Menschen.
Sie sind nicht nur mit Blick auf den Erwerb der Fähigkeit zur
verantwortungsvollen Inanspruchnahme digitaler Dienste zu
unterstützen, sondern müssen in ihrer spezifischen Vulnerabilität auch
im Prozess der Datensammlung und -verwendung besonders geschützt
werden. Datensouveränität berücksichtigt insoweit auch die keineswegs
fixe, sondern individuell und situationsbedingt variierende
Verantwortungsfähigkeit der Betroffenen.
C4.1. Einwilligungserfordernisse bei Kindern und Jugendlichen
streng beachten
Die Vorgaben der Datenschutz-Grundverordnung zu Einwilligungen von
Minderjährigen in Bezug auf Dienste der Informationsgesellschaft
sollten strikt und zügig umgesetzt werden. Über die von der
DatenschutzGrundverordnung zugelassene Möglichkeit, das Mindestalter
abzusenken, sollte nicht entschieden werden, ohne die Betroffenen
(Kinder und Jugendliche) zu beteiligen.
C4.2. Schutzmechanismen für die Datenerhebung an sonstigen Personen
mit eingeschränkter Einwilligungsfähigkeit entwickeln
Für die Datenerhebung an sonstigen Personen mit eingeschränkter
Einwilligungsfähigkeit sollten besondere Schutzmechanismen entwickelt
werden, ohne damit die Chancen einer Big-Data-basierten Forschung mit
diesen Personen und zu deren Gunsten zu unterbinden. Die beteiligten
Forschungsinstitutionen sollten sicherstellen, dass entsprechend dem
Konzept der Entscheidungsassistenz den betroffenen Menschen selbst,
ihrer Einsichtsfähigkeit gemäß, und ihren Betreuungspersonen
hinreichende Informationen zur Entscheidungsfindung an die Hand
gegeben werden.
C4.3. Einsatz von Chatbots restriktiv regeln
Der Einsatz von Chatbots zur Datenerhebung an Personen mit
eingeschränkter Einsichtsfähigkeit bietet ein besonders hohes
Manipulationspotenzial und sollte daher besonders restriktiv geregelt
werden.
C5. Zuwendungsorientierte Medizin gewährleisten
Die persönliche Zuwendung zum Patienten in der medizinischen Praxis
sollte durch den Einsatz von Big-Data-Anwendungen nicht geschwächt,
sondern gestärkt werden. Zeitliche und finanzielle Kapazitäten, die
etwa durch die Entlastung des versorgenden Personals von Routine-
Tätigkeiten oder die schnellere und präzisere Diagnostik durch
digitale Algorithmen frei werden, sollten in vermehrte persönliche
Zuwendung für Patienten umgesetzt werden.
C6. Wirksame Haftung von Unternehmen, die im Gesundheitsbereich mit
Daten arbeiten, sicherstellen
Angesichts der mit Big Data verbundenen Risiken erscheint es
angemessen, speziell hierauf zugeschnittene Haftungsmodelle zu
entwickeln. Hier ist zunächst genau zu beobachten, ob und inwieweit
die neuen Regelungen des deutschen Datenschutzrechts, die die
Möglichkeiten der europäischen Datenschutz-Grundverordnung (DSGVO)
bislang nicht ausschöpfen, ausreichen. Die DSGVO eröffnet die
Möglichkeit, für einen effektiven Schutz von Personen vor Schädigung
die Gefährdungshaftung einzuführen. Angesichts der Unsicherheiten der
Haftung und der Beweisregelung ist eine derartige, auf die
spezifischen Risiken von Big Data zugeschnittene Gefährdungshaftung zu
erwägen. Diese Haftung sollte unabhängig von der Befugnis der
Verwendung nur dann ausgeschlossen sein, wenn der Schaden unvermeidbar
ist. Eine eventuelle summenmäßige Begrenzung der Haftung sollte so
hoch sein, dass sie auch gegenüber großen Unternehmen spürbare Wirkung
entfaltet.
D.1.1. Bestmögliche Schutzstandards gegen unbefugte Identifizierung
von Individuen aus anonymisierten, pseudonymisierten oder aggregierten
Datensätzen etablieren
Angesichts der unzureichenden Schutzeffekte der traditionellen
Anonymisierung und Pseudonymisierung sollten angemessene ergänzende
Schutzstandards etabliert werden, um die Hürden für eine
Reidentifizierung zu erhöhen:
• Wo Identifikatoren einen relativ unmittelbaren Rückschluss auf die jeweilige Person erlauben (E-Mail, Login, Geräte-ID, CookieID), sind diese durch anonymisierte Schlüssel zu ersetzen, deren Lebensdauer möglichst kurz zu halten ist.
• Wenn immer ein anonymer Nutzer sich unerwartet oder versehentlich direkt oder indirekt identifiziert, hat der Datensammler Sorge zu tragen, dass die Identifizierung durch Datenlöschung rückgängig gemacht wird (versehentliche Preisgabe von Namen, E-Mail, Telefonnummern, Kreditkartennummer, Ausweisnummer usw.).
• Wo immer ein Datensatz durch die Kombination von Attributen und Daten einen Nutzer mit hoher Wahrscheinlichkeit identifizierbar macht, sind auf jenen die gleichen datenschutzrechtlichen Maßnahmen anzuwenden wie bei expliziten Identifikatoren.
• Datensätze, deren Verbindung eine entsprechende Schutznivellierung mit sich bringt, müssen getrennt gehalten werden oder dürfen nur "flüchtig" (das heißt ohne persistent in Datenbanken gespeichert zu werden) für wohldefinierte Zwecke verknüpft werden.
D.1.2. Anonymisierungsdefizite durch kontrollierten Zugang zu Daten
kompensieren
Angesichts des verbleibenden Reidentifizierungsrisikos kommt der
Kontrolle des Datenzugriffs besondere Bedeutung zu. Insbesondere in
der klinischen Praxis und der medizinbezogenen Grundlagenforschung ist
daher der Zugang zu Daten durch Aufbewahrung von gesundheitsrelevanten
Daten in sicheren, technisch getrennten und voneinander unabhängigen
Repositorien und die Etablierung kontrollierter Zugangswege,
einschließlich robuster Verifikations- und Authentifizierungssysteme,
angemessen auf befugte Akteure zu beschränken.
D.1.3. Umsetzung von Schutzvorgaben gewährleisten und nachweisen
Datensouveränität setzt ein Miteinander von technischen und
regulatorischen Standards voraus. In Anknüpfung an existierende
Vorgaben zu privacy by design sollten Datenverarbeiter und Datennutzer
noch stärker darauf achten, dass schon in der Planungs- und
Entwicklungsphase datenschutzbezogene Erwägungen oberste Priorität
besitzen. Es sollte zudem den betroffenen Einrichtungen (in der
Forschung, in der medizinischen Praxis, oder im kommerziellen Bereich)
obliegen, für ihren Verantwortungsbereich die Übereinstimmung mit den
Datensouveränität sichernden Vorgaben nachzuweisen. In Anknüpfung an
die diesbezüglich bestehenden Erfahrungen mit internen
Datenschutzbeauftragten lässt sich deren Aufgaben- und Befugnisprofil
sinnvoll in diese Richtung (corporate data governance)
weiterentwickeln.
D1.4. Informationspflicht bei Pannen und Fehlverhalten etablieren
Es ist darauf zu achten, dass mögliche Pannen oder Fehlverhalten nicht
verborgen bleiben, sondern in ihrer Relevanz für das Gesamtsystem
verstanden und produktiv als Lerneffekt genutzt werden. Deshalb bedarf
es einer entsprechenden Informationspflicht gegenüber den potenziell
geschädigten Nutzern und - sofern diese nicht zu ermitteln sind - der
Öffentlichkeit, sowie einer Meldepflicht gegenüber den
Aufsichtsbehörden/-gremien.
D2.1. Datenschutzbeauftragte stärken
Zur Sicherstellung von Datensouveränität bedarf es einer Vielzahl
interner (privater) und externer (hoheitlicher) Kontrollstellen. Deren
Zuständigkeiten sollten genauer abgegrenzt und gegebenenfalls ihre
Kapazitäten und Kompetenzen erweitert werden. Insbesondere ist es
sinnvoll und geboten, die Tätigkeit der bestehenden
Datenschutzbeauftragten - und zwar sowohl im öffentlichen wie im
privaten Bereich - in Richtung Datensouveränität neu zu justieren und
gegebenenfalls auszuweiten. Sie sollten die Arbeit von lokalen
Kontrollinstanzen, wie etwa Forschungsethikkommissionen, ergänzen und
auf der Grundlage transparenter Entscheidungskriterien in
Konfliktsituationen moderierend und schlichtend wirken. Soweit sich
die existierenden Kontrollstrukturen gegenüber den spezifischen
Problemen von Big Data als unzulänglich erweisen, beispielsweise bei
überregionalen und internationalen Verbundprojekten, ist eine stärkere
Zentralisierung zu erwägen.
D2.2. Datenprüfer etablieren
Gerade mit Blick auf die als gesamtgesellschaftlich bedeutsame
Datenqualität, insbesondere in der medizinbezogenen Forschung und
klinischen Praxis, sollte eine entsprechende Prüfstruktur etabliert
werden. Diese muss nicht notwendig rein hoheitlicher Natur sein,
sondern ließe sich - etwa analog zum Abschlusswesen und zur
Rechnungslegung im Gesellschaftsrecht - auch als private Regulierung
konzipieren.
D2.3. Datentreuhandmodelle einführen
Um Vertrauen zu fördern und Missbrauch zu verhindern, sollten
Datenverwender die technischen und organisatorischen Voraussetzungen
dafür schaffen, dass Datenbestände nicht unmittelbar an sie selbst
übergeben werden müssen, sondern Treuhandmodelle (zum Beispiel
gemeinnützige Stiftungen) zwischengeschaltet werden können. Das kann
nicht nur Machtungleichgewichte verringern, sondern auch
Interessenkollisionen entgegenwirken. Zumindest im Bereich der
medizinbezogenen Forschung und klinischen Praxis sollte politisch
darauf hingewirkt werden, dass solche Modelle insbesondere auch in
Bezug auf Datenverwender im internationalen Kontext (zum Beispiel
Google, Apple, Facebook, Amazon und Microsoft) wirksam werden.
D3. Kodizes für Forschung, Klinik und Wirtschaft erarbeiten
Nach dem Vorbild bereits existierender Selbstverpflichtungen sollte
konsequent weiter darauf hingewirkt werden, in allen
datenschutzsensiblen Bereichen umfassende interne Verhaltensstandards
zu etablieren. Dabei gilt es nicht nur die jeweiligen regulatorischen
Vorgaben aufzunehmen und gegebenenfalls zu intensivieren, sondern auch
- zumindest branchenintern oder mit Blick auf spezifische
Anwendungsfelder - internationale Abstimmungen und Harmonisierungen
anzustreben.
D4. Gütesiegel für Anbieter und Anwendungen unterstützen und
ausbauen
Da eine besondere Berücksichtigung der Datensouveränität auch und
gerade im Interesse der Datenverwender liegt, sollten entsprechende
marktbasierte, teilweise bereits existierende Klassifizierungen
("Gütesiegel") unterstützt und ausgebaut werden. Über Mindeststandards
setzende, zwingende gesetzliche Vorgaben hinausgehende Bemühungen
können auf diese Weise zum profilbildenden Wettbewerbsfaktor
avancieren. Soweit diese selbstregulativen Mechanismen sich als
unzureichend erweisen, sind Koregulierungsmaßnahmen - etwa in Form von
Zertifizierungen - einzubeziehen und die staatlichen
Kontrollstrukturen einschließlich Haftungsregelungen zu verstärken.
D5. Kompetenz im verantwortungsvollen Umgang mit Daten für alle,
die professionell mit Big Data zu tun haben, stärken
In Tätigkeitsfeldern, in denen Big Data rapide zunimmt, muss das
Bewusstsein für die ethischen Herausforderungen und für die neuen
Verantwortlichkeiten, die sich aus der Nutzung gesundheitsrelevanter
Daten ergeben, befördert werden. Für einen solchen Kulturwandel ist
bei allen Beteiligten ein besseres Verständnis von Forschungs- und
Datenethik sowie wissenschaftstheoretische Reflexionskompetenz
erforderlich. Die Förderung solcher Kompetenzen sollte daher
verpflichtendes Element in der Aus-, Fort- und Weiterbildung in allen
relevanten Fächern und Bereichen werden. Um der Komplexität und
Bedeutung des Themas gerecht zu werden, könnten beispielsweise
verstärkt betriebs- und institutionenintern
Data-Science-Fachabteilungen eingerichtet werden.
In einem Sondervotum fordert ein Mitglied des Deutschen Ethikrates den Verzicht auf die Nutzung von Big Data zu Forschungszwecken oder anderen Anwendungen, sofern ein umfassender Datenschutz, die Umsetzung effektiver Anonymisierungs- und Pseudoanonymisierungsstandards und das Recht auf Vergessen nicht gewährleistet werden können.
INFO
Der vollständige Text der Stellungnahme ist unter
http://www.ethikrat.org/dateien/pdf/stellungnahme-big-data-und-gesundheit.pdf
abrufbar.
Weitere Materialien des Deutschen Ethikrates zum Thema Big Data sind
unter
http://www.ethikrat.org/themen/forschung-und-technik/big-data
verfügbar.
*
Quelle:
Infobrief Nr. 22 - Januar 2018 - 01/18, Seite 1 - 6
Informationen und Nachrichten aus dem Deutschen Ethikrat
Herausgeber: Geschäftsstelle des Deutschen Ethikrates
Sitz: Berlin-Brandenburgische Akademie der Wissenschaften
Jägerstr. 22/23, 10117 Berlin
Redaktion: Dr. Joachim Vetter (V.i.S.d.P.)
Telefon: 030/203 70-242, Telefax: 030/203 70-252
E-Mail: kontakt@ethikrat.org
Internet: www.ethikrat.org
veröffentlicht im Schattenblick zum 5. Mai 2018
Zur Tagesausgabe / Zum Seitenanfang