Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Recht auf Datenübertragbarkeit

Zusammenfassung

Die europäische Datenschutz-Grundverordnung (DS-GVO) gewährt Betroffenen ein Recht auf Datenübertragbarkeit. Damit diese es ausüben können, müssen verschiedene (Tatbestands-) Voraussetzungen erfüllt sein: Zunächst müssen die personenbezogenen Daten dem Verantwortlichen von der betroffenen Person zur Verarbeitung bereitgestellt worden sein. Weiterhin muss die Verarbeitung auf einer datenschutzrechtlichen Einwilligung oder aufgrund eines Vertrages zwischen Betroffenen und Verantwortlichen erfolgen. Sind diese Tatbestandsvoraussetzungen erfüllt, so kann der Betroffene vom Verantwortlichen sowohl den Erhalt als auch die Übermittlung seiner Daten an einen Dritten verlangen.
Der europäische Gesetzgeber formulierte in der DS-GVO einige Anforderungen bzgl. der Durchführung der Datenübertragbarkeit: Die Herausgabe oder Übermittlung der Daten muss in einem "strukturierten, gängigen und maschinenlesbaren Format" erfolgen, welches zudem noch interoperabel sein soll.
Die Übermittlung der Daten des Betroffenen von einem Verantwortlichen zu einem anderen muss ohne Behinderung erfolgen, außer diese ist technisch impliziert. Eine Übertragung beinhaltet dabei keine Löschung der Daten beim übermittelnden Verantwortlichen. Vielmehr ist davon auszugehen, dass immer eine Kopie der Daten übermittelt wird, eine Übermittlung also immer eine Kopie der Daten erzeugt. Im medizinischen Kontext ist weiterhin davon auszugehen, dass häufig sowohl die bei der Patientenversorgung anfallenden Daten als auch die im Rahmen der Sekundärnutzung verarbeiteten Daten dem Recht auf Datenübertragbarkeit unterliegen.
Das Format soll darauf ausgelegt sein, Daten von genau einer Person zu beinhalten. Da die DS-GVO verbietet, dass die Daten Dritter von der Geltendmachung des Rechts auf Datenübertragbarkeit berührt werden, ist der beste Schutz, wenn das Datenformat immer nur die Übertragung der Daten von genau einem Betroffenen erlaubt. Als strukturiertes Austauschformat mit direktem Patientenbezug erfüllt HL7 CDA diese Voraussetzung und bietet sich daher zur Nutzung an.
Neben dem Datentransfer hat der Betroffene auch das Recht, die Daten selbst in einem strukturierten, gängigen und maschinenlesbaren Format vom Verantwortlichen zu erhalten. Idealerweise erfolgt auch zur Erfüllung dieser Anforderung eine Umsetzung mit HL7/CDA mit entsprechenden Stylesheets, welche die Darstellung definieren. Um kurzfristig den Anforderungen genügen zu können, ist ggfs. die Nutzung eines weniger interoperablen, aber dennoch gängigen und maschinenlesbaren Formates erforderlich. Hierzu bietet sich als Zwischenlösung die Nutzung von HL7 CDA Level 2A an, bei welchem Abschnitte des CDA-Dokumentes wie beispielsweise Diagnose oder Therapie durch Codes strukturiert dargestellt werden. Dabei muss beachtet werden, dass die CDA-Dokumente immer mit einem Stylesheet übergeben werden, welches eine geeignete Darstellung ermöglicht. Zur Darstellung dieses Datenformats dienen dann Internetbrowser, die in allen gängigen Betriebssystemen enthalten sind. Somit werden die Daten dem Betroffenen in einem dem Gesetz genügenden maschinenlesbaren, gängigen und strukturierten Format zur Verfügung gestellt.
Die Erarbeitung eines entsprechenden Formats, welches die Interoperabilität in einem vom Gesetz gewünschten Umfang gestattet, kann allein durch die Verantwortlichen nicht gewährleistet werden. Hier ist eine Initiative aus mehreren Gruppierungen erforderlich, der zumindest Verantwortliche und Hersteller von IT-Lösungen angehören. Des weiteren ist eine finanzielle staatliche Unterstützung erforderlich, da eine alleinige Finanzierung durch die Leistungserbringer als Verantwortliche faktisch nicht möglich ist.

Copyright

Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/legalcode.

Download der Ausarbeitung:

(Stand: 04. Dezember 2016)