Healthtech – Best of 2018

2018 war für viele Unternehmen ein Jahr der Herausforderungen. Das lag weniger an der Angst vor schlechten Geschäftszahlen als am 25. Mai. An besagtem Tag ist die Datenschutz-Grundverordnung („DSGVO“) in Kraft getreten. Bei Nichteinhaltung drohen Bußgelder in empfindlicher Höhe. Auch im Health-Sektor sind die Konsequenzen der DSGVO mannigfaltig und stellen Unternehmen, ob Konzerne oder Healthtech-Startups, vor neue Herausforderungen, denn alle sind auf die Verarbeitung von Gesundheitsdaten (Health Data) angewiesen. Der Interessenkonflikt zwischen datenschutzrechtlichen Regelungen auf der einen und Big Data auf der anderen Seite scheint größer denn je, da die Digitalisierung im Bereich Health Care schon lange Einzug gehalten hat.

Insbesondere im Krankenhaus finden digitale Behandlungsmethoden Anwendung. Bei Klinikärzten stößt dies auf Zustimmung. Nach einer Umfrage des Marburger Bundes sind 80 Prozent der Klinikärzte der Meinung, dass die Digitalisierung die ärztliche Arbeit im Krankenhaus zukünftig weiter verbessert. Eine Digitalisierung kann in unterschiedlichen Bereichen hilfreich sein, da Ergebnisse schneller, effektiver und oft auch präziser sind. Künstliche Intelligenz (KI) wird derzeit insbesondere in der Diagnostik eingesetzt, etwa bei der Auswertung von MRT-Bildern und der Erkennung von Tumoren. Machine learning und deep learning kann zu weiteren, genaueren Ergebnissen führen. Telemedizin findet in vielen Bereichen der Patientenversorgung Anwendung. Schlaganfallpatienten können über Tele-Stroke-Units versorgt werden, ein intelligentes Heimdialysegerät kommuniziert direkt mit der behandelnden Einrichtung oder ein Blutzuckermessgerät sendet sämtliche Erkenntnisse an eine App.

DSGVO: Don’t look back in anger

Die DS-GVO stuft Health Data als besondere Kategorien von Daten ein, deren Verarbeitung grundsätzlich unzulässig ist. Es sei denn, der Betroffene hat seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten, explizit auch der Gesundheitsdaten, erklärt. Für Unternehmen ist hierbei eine Reihe von Anforderungen zu beachten.

Gesundheitsdaten im Jahr 2018 – Age of Consent?

Eine Einwilligung muss – wie bereits nach dem alten Bundesdatenschutzgesetz – freiwillig und informiert erfolgen. Letzteres kann insbesondere Unternehmen, die mit Cloud-Computing arbeiten vor Schwierigkeiten stellen. Denn damit die Einwilligung eines Betroffenen auf einer informierten Grundlage erfolgt und somit wirksam ist, müssen sämtliche Datenflüsse aufgezeigt werden. Bei Cloud-Computing ist dies möglicherweise nur teilweise nachvollziehbar, da die Daten je nach Serverauslastung verschoben werden. In diesem Kontext muss auch noch eine Vereinbarung zur Auftragsverarbeitung abgeschlossen werden. Dies war in Deutschland zwar auch schon in der Zeit prä-DSGVO vorgeschrieben. Allerdings weichen die nunmehr gesetzlichen Anforderungen von den zuvor geltenden Regelungen ab. Das heißt, ein neuer Vertrag muss abgeschlossen werden muss, um Daten rechtmäßig an den Anbieter zu übermitteln.

Back in the USA: Anforderungen an den Datentransfer in Drittländer

Findet eine Übermittlung von Daten in Ländern außerhalb der Europäischen Union statt, müssen grundsätzlich zusätzliche Maßnahmen ergriffen werden, um ein vergleichbar hohes Level an Datensicherheit zu garantieren. Die DSGVO sieht einen vorgegebenen Katalog an Optionen vor. Die wohl beliebtesten sind die Standardvertrags-Klauseln von der Europäischen Kommission, die in der Regel an eine Vereinbarung zur Auftragsvereinbarung angehängt werden können. Da dies dennoch für einige Unternehmen ein aufwendiges Prozedere darstellt, werben Cloudanbieter teilweise damit, dass ihre Server ausschließlich in der Europäischen Union stehen und somit von einem Drittstaatentransfer nicht betroffen sind.

Don’t give up (on) ePA

Eine wesentliche Neuerung, die der Patient buchstäblich am eigenen Leib spüren wird, ist die elektronische Patientenakte (ePA). Just in dem Moment, in dem keiner mehr an sie geglaubt hat, haben sich im Oktober 2018 Krankenkassen und Ärzte mit dem Gesundheitsministerium auf ein gemeinsames Konzept verständigt. Spätestens 2021 soll die ePA allen Patienten zur Verfügung stehen. Die ePA zielt darauf ab, die Ärzte als Leistungserbringer in die Lage zu versetzen, ihre Behandlungen besser auf einander abzustimmen, frühere Behandlungen einzusehen und auf diese Weise dem Patienten eine bessere Behandlung angedeihen zu lassen. Nebenbei soll hiermit eine erhebliche Kostenersparnis einhergehen, da eine Abstimmung der Behandlungen Dopplungen ausschließt und Krankheiten effizienter behandelt werden können. Die ePA wird demnach Gesundheitsdaten des einzelnen Patienten für die jeweiligen behandelnden Ärzte einsehbar machen. Daneben soll die Akte aber auch noch einen eigenen Bereich für Versicherte beinhalten, in welchem Fitnessdaten oder ähnliche Daten hinterlegt werden können. Die Daten über etwaige Krankheiten in Zusammenhang mit Daten über die Fitness, Essgewohnheiten oder sonstiger Lebensgewohnheiten könnten darüber hinaus aber auch die Bildung bestimmter Profile ermöglichen. Aus datenschutzrechtlicher Sicht birgt eine Profilbildung insbesondere dann Probleme, wenn dem Patienten hierdurch negative Auswirkungen entstehen. Beispielsweise wenn bestimmte Behandlungen versagt werden, die ohne dieses Zusatzwissen gewährt werden würde. Daneben stellt sich insgesamt die Frage der IT-Sicherheit, die gerade bei Health Data als besondere Kategorien von Daten angemessen ausgestaltet sein muss – anders im Fall von „Vivy“.

Skandal um Vivy

Einige Krankenkassen wollten nicht länger auf die lang ersehnte ePA warten und launchten eigene Konzepte für ihre Versicherten. Am meisten von sich reden machte dieses Jahr in diesem Zusammenhang „Vivy“. Dabei handelt es sich um eine App, die vom IT-Dienstleister Bitmarck entwickelt wurde. Sie wird von 16 Krankenkassen unterstützt und steht etwa 13 Millionen Versicherten zur Verfügung. Vivy sollte vor allem einen sicheren Austausch von Krankenunterlagen ermöglichen, stand aber letztlich in der medialen Kritik. Der Vorwurf lautete, dass die App Daten an Analysefirmen in den USA versende. Eine Übermittlung personenbezogener Daten in Drittländer muss dem von der Datenverarbeitung Betroffenen jedoch zunächst einmal transparent aufgezeigt werden. Darüber hinaus besteht die Verpflichtung, für ein vergleichbares Sicherheitsniveau der Datenverarbeitung im Drittland zu sorgen. Bei Vivy wurden zwar primär Daten des Endgeräts übermittelt, etwa den Installationszeitpunkt und die Verbindungsdaten. Nichtsdestotrotz warnten IT-Sicherheitsexperten davor, dass auch im Hinblick auf die Gesundheitsdaten nicht eindeutig feststünde, dass diese (Gesundheits-) Daten innerhalb Deutschlands blieben. Zudem weise die App erhebliche Sicherheitslücken auf, sodass sie auch Gegenstand von Hackerangriffen sein könnte. Diese Bedenken wurden von unterschiedlichen Medien aufgegriffen und führten verständlicherweise zu mehr Argwohn und Misstrauen auf Seiten der Patienten.

Im Hinblick auf die neue ePA wird daher abzuwarten sein, ob sich insoweit ebenfalls Bedenken ergeben. Jedenfalls hat die DSGVO auch dazu geführt, dass die bisher gefundenen Lösungen kritisch hinterfragt wurden, insbesondere solche, die IT-Sicherheitsstrukturen betreffen.

Ausblick auf die kommenden Jahre

Sympathy for the D(SGVO)evil?

Die DSGVO mag Unternehmen vor neue Herausforderungen stellen. Sie bietet für Unternehmen im Life Science und Healthcare-Bereich neben den gestiegenen Anforderungen an Compliance aber auch die Chance, mit den Umsetzungsmaßnahmen Vertrauen aufzubauen und so Kunden zu gewinnen. Im Bereich der Verarbeitung von Health Data ist Vertrauen ein elementarer Faktor für ein erfolgreiches Geschäft.

KI – I am the Future

Als Trend hat sich insbesondere KI herausgebildet. KI ermöglicht eine schnellere, präzisere Diagnostik als die bisherigen Vorgehensweisen. Behandlungen können dementsprechend effektiver ausgestaltet werden und sind dadurch insgesamt kostengünstiger. Dabei dürfen ethische Bedenken nicht außer Acht gelassen werden. Die Arbeitsgruppe D21, die sich mit Digitaler Ethik auseinandersetzt und an der auch Microsoft beteiligt ist, hat eigens zu diesem Aspekt einen Denkimpuls veröffentlicht. Die Gruppe kommt zu dem Schluss, dass die Vorteile von KI die Behandlung durch den Arzt nicht ersetzen kann. Dies schließt eine Unterstützung durch KI aber nicht aus. Wie zukunftsträchtig und gleichermaßen gewinnversprechend KI auch im Bereich Healthtech ist, zeigen nicht zuletzt die Investitionssummen. Auf dem Startup-Markt machen regelmäßig Healthtech Startups aufgrund der Höhe der gesammelten Gelder von sich reden: Ayasdi etwa, das ein Programm zum Klinikmanagement auf der Basis von KI und Machine learning entwickelt hat, erhielt 2016 von Investoren 94 Millionen Dollar. Sentient sammelte im gleichen Jahr sogar 144 Millionen Dollar ein, wobei das Startup seine KI nicht nur für den Health-Sektor einsetzt.

(Health) Data’s not dead!

Die Entwicklungen im Healthtech-Bereich überschlagen sich förmlich. Es ist daher damit zu rechnen, dass sich angesichts der technischen Möglichkeiten auch weiterhin rasend schnell neue Produkte und Geschäftsideen entwickelt werden, die die medizinische Versorgung verändern oder vollständig umkrempeln. Aus rechtlicher Sicht wird im Bereich der klinischen Prüfungen immer noch erwartet, dass die Verordnung (EU) Nr. 536/2014 über klinische Prüfungen mit Humanarzneimitteln in Kraft tritt. Dies ist der Fall, sobald die dazugehörige Datenbank einsatzbereit ist. Wann das passiert, ist allerdings noch unklar. Erwartet wird auch die Anpassung der Templates für Studien vom Arbeitskreis Medizinischer Ethik-Kommissionen an die Anforderungen der DSGVO. Im neuen Jahr ist auch mit ersten Stellungnahmen der datenschutzrechtlichen Aufsichtsbehörden zu rechnen, die für die Praxis von Relevanz sind. Dies könnte für weitere Klärung sorgen, etwa betreffend das Verhältnis von besonderen Kategorien personenbezogener Daten zu den allgemeinen Rechtsgrundlagen der Datenverarbeitung in der DSGVO.