Montag, 26. Juli 2010

3: Vorträge, Vorlesungen, Aufsätze

Datenschutz von Daten aus Ambient Assisted Living (AAL) Umgebungen

Thilo Weichert
TMF-Workshop, Berlin 26.07.2010
Datenschutz bei der AAL-Versorgung

AAL zielt auf unterschiedliche Hilfsbedarfe, aus denen sich jeweils unterschiedliche Datenverarbeitungsprozesse mit unterschiedlichen Beteiligten ergeben: Es geht um technische und eventuell personale Hilfe im Alter, im Fall von Demenz, geistiger Behinderung, bei sonstigen Handicaps oder bei sonstiger Pflegebedürftigkeit, z.B. wegen Krankheit oder im Rahmen einer Rehabilitation. Grundsätzlich können AAL-Hilfsangebote völlig ohne medizinischen oder sozialen Anlass im Alltag von Menschen in Anspruch genommen werden. Die Dienstleistungen können zur Unterstützung bei täglichen Verrichtungen oder als Lifestyle-Angebot zur Erhöhung der Lebensqualität genutzt werden. Sie dienen der Kommunikation vorrangig aus der Wohnung zur Verbesserung der Informationslage für Betroffene sowie professionelle oder Laien-Helfer. Derzeit im Vordergrund steht die Notfallhilfe, entweder durch Mobilisierung von Personen oder durch informationelle Auslösung von Prozessen.

Gemäß von innen nach außen sich öffnenden Sphären kann der AAL-Datenfluss folgende Bereiche erfassen: Im Zentrum steht die Datenerhebung in der Wohnung oder am Körper. Über diese Datenverarbeitung soll zunächst und vorrangig der Betroffene selbst Verfügungsmacht und -befugnis haben. Eine aggregierte Information kann auch an Freunde, Eltern, Kinder, sonstige Familienangehörige oder Nachbarn gegeben werden, denen aber in keinem Fall eine Interventionspflicht auferlegt, sondern allenfalls eine solche Möglichkeit gegeben werden soll. Eine entsprechende Pflicht kann gegenüber externen Dienstleistern begründet werden; zu unterscheiden ist dabei zwischen medizinischen und nichtmedizinische Angeboten. Darüber qualitativ hinausgehend und invasiver sind die akute Notfallbearbeitung und zeitlich umfangreichere Hilfen. Dabei können medizinische und Pflege-Einrichtungen einbezogen sein, evtl. aber auch Krankenkassen oder sonstige professionelle medizinische Helfer. In einer äußeren Schale können Daten aus AAL zu weiteren, sehr unterschiedlichen Bedarfsträgern gelangen: von der Forschung über Versicherungen bis zu IT-Anbietern.

Gemäß den dargestellten möglichen Datenflüssen gibt es eine Vielzahl von unterschiedlichen datenschutzrelevanten Rollen. Im Zentrum steht wieder der Betroffene, der zugleich Klient, Kunde, Nutzer, Patient und Proband ist bzw. sein kann. Datenschutzrechtliche Verantwortung kommt weiteren juristischen und natürlichen Personen zu, über deren Verarbeitung in jedem Fall - mindestens ein Jahr lang - aufzubewahrende Logdaten erfasst werden müssen. Diese Datenverarbeiter werden i.d.R. tätig durch Mitarbeitende; deren Aktivitäten sind sowohl im Verhältnis zum Arbeitgeber wie zu den Betroffenen relevant.

Es geht beim AAL nicht allein um den Persönlichkeitsschutz i.S.d. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Vielmehr können auch andere Grundrechte einen direkten Bezug zur AAL-Datenverarbeitung haben: Art. 2 Abs. 2 S. 1 GG schützt das Leben und die körperliche Unversehrtheit. Diesem Schutz dient u.a. AAL; beim Einsatz von Körpersensoren geht i.d.R. zunächst ein einwilligungsbedürftiger Eingriff in dieses Grundrecht voraus. Der Gleichheitsgrundsatz verbietet Diskriminierung generell, Art. 3 Abs. 3 S. 2 GG insbesondere die Benachteiligung wegen einer Behinderung. Art. 5 GG gewährt Informations- und Meinungsfreiheit; ein Aspekt ist insofern der Anspruch auf Informationszugang zu Daten aus der eigenen Umwelt. Da bei AAL oft nicht nur eine Person, sondern auch ein Ehepartner oder eine ganze Familie mit erfasst werden, wird durch AAL der Schutz von Ehe und Familie nach Art. 6 GG tangiert. In jedem Fall betroffen ist das Telekommunikationsgeheimnis nach Art. 10 GG, zumeist auch die Unverletzlichkeit der Wohnung nach Art. 13 GG, wenn die Daten hieraus erhoben werden. Schließlich schützt die Berufsfreiheit des Art. 12 GG die Vertraulichkeit in besonderen beruflichen Beziehungen, insbesondere das Sozial- und das Patientengeheimnis.

Neben der digitalen Dimension der genannten spezifischen Grundrechte steht das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung im Vordergrund. Erfasst werden bei AAL zumeist Daten aus der engeren Privatsphäre, was bis zum grundsätzlich unantastbaren Kernbereich persönlicher Lebensgestaltung gehen kann. Konkretisierungen des Rechts auf informationelle Selbstbestimmung sind das Verbot des Erstellens von Persönlichkeitsprofilen, das Verbot der Vorratsdatenverarbeitung oder einer Rundumüberwachung. Mit der Entscheidung zur Onlinedurchsuchung 2008 hat das Bundesverfassungsgericht analog zum räumlichen Schutz der Wohnung und dem sozialen Schutz der Familie eine digitale persönliche Privatsphäre der eigengenutzten IT-Systeme definiert und mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme einem starken Schutz unterworfen. Dieser verfassungsrechtliche Grundrechtsschutz gilt analog spätestens seit dem Inkrafttreten der Europäischen Grundrechtecharta im Dezember 2009 EU-weit; dort ist das Grundrecht auf Datenschutz in Art. 8 normiert. 

Neben dem Medizinrecht mit der ärztlichen Berufsordnung und der ärztlichen Schweigepflicht nach § 203 StGB gilt unabhängig hiervon das Datenschutzrecht. Dieses hat europäische Grundlagen, v.a. in der Europäischen Datenschutzrichtlinie und in der ePrivacy-Directive für den Bereich der Telekommunikation. Ihre nationale Entsprechung finden diese EU-Normen in Bezug auf AAL in den für die Privatwirtschaft geltenden Regelungen des Bundesdatenschutzgesetzes (BDSG) sowie bei Einbindung von öffentlichen Netzen, im Telekommunikations- und Telemediengesetz (TKG, TMG). Daneben können bereichsspezifische Regelungen, z.B. der Sozialgesetzbücher anwendbar sein. Die gesetzlichen Verarbeitungsgrundlagen des AAL finden sich vorrangig im 4. Abschnitt des BDSG (§§ 27 ff.); Grundlage ist im Hinblick auf AAL i.d.R. die Abwicklung eines Vertrages. § 4a BDSG regelt die Einwilligung in die Verarbeitung. § 3 Abs. 9 BDSG unterwirft Gesundheitsdaten einem besonderen Regime mit der Folge, dass Einwilligungen sich hierauf explizit beziehen müssen, oder die Verarbeitung nach § 28 Abs. 6 bis 9 BDSG einem der folgenden Zwecken dienen muss: Schutz lebenswichtiger Interessen, Gesundheitsvorsorge, medizinische Diagnostik, Gesundheitsversorgung, Behandlung und Verwaltung von Gesundheitsdaten. Eine wichtige Aufgabe wird es sein festzulegen, welche AAL-Daten zu den nach § 3 Abs. 9 BDSG besonders geschützten Gesundheitsdaten gehören. Sind AAL-Anwendungen auf das automatisierte Auslösen von Prozessen ausgerichtet, so ist § 6a BDSG anwendbar, wonach automatisierte Entscheidungen - unter Nennung bestimmter Ausnahmen - grundsätzlich verboten sind.

Generell gilt im Datenschutzrecht der Zweckbindungsgrundsatz. Danach dürfen Daten grundsätzlich nur für den Zweck genutzt werden, für den sie erhoben wurden. Hierfür muss der Zweck präzise definiert werden; Formulierungen wie "um Ihnen das bestmögliche Hilfeangebot machen zu können" genügen nicht. Die Datenverarbeitung muss zudem materiell rechtmäßig sein und sich am Grundsatz der Erforderlichkeit und der Datensparsamkeit ausrichten. Transparenz und die Betroffenenrechte sowie die Datensicherheit müssen gewahrt werden. Schließlich muss die personenbezogene Datenverarbeitung kontrolliert werden können.

Vorrangige Legitimation von AAL-Datenverarbeitung ist heute die Einwilligung, die weitgehend dem medizinrechtlichen "informed consent" entspricht. Diese ist nur wirksam, wenn sie freiwillig, d.h. frei von inneren und äußeren Zwängen, erteilt wird. Dies steht in Frage, wenn unangemessene Vorteile bei der Teilnahme am AAL versprochen werden oder eine medizinische Grundversorgung im Fall der Einwilligungsverweigerung vorenthalten wird. Das Koppelungsverbot schließt das Verbinden der Einwilligung mit anderen nicht direkt im Zusammenhang stehenden Vertragsabschlüssen u.Ä. grundsätzlich aus. Zur Freiwilligkeit gehört auch die Widerruflichkeit der Einwilligung. Eine Einwilligung muss bestimmt und informiert sein. Der Betroffene muss hinreichende Kenntnis über die verarbeiteten Daten, über die verarbeitenden Stellen sowie über den Zweck des AAL haben. Der Betroffene muss soweit wie möglich die Datenverarbeitung selbst steuern können, ohne hierbei bevormundet oder gar entmündigt zu werden. Dies kann durch abgestufte, evtl. technisch abgebildete Einwilligungen umgesetzt werden. In der Regel wird zunächst eine Generaleinwilligung in das Verfahren einzuholen sein, wobei dann aber Einzel-Opt-Out-Möglichkeiten eingeräumt werden müssen. Solche Opt-Outs dürfen, abgesehen vom technikbedingten Nichterbringen der AAL-Dienstleistungen, keine sonstigen unangemessenen Nachteile zur Folge haben.

Umgesetzt werden müssen weiterhin sämtliche Betroffenenrechte; diese sind nach § 6 BDSG grundsätzlich unabdingbar. Im Vordergrund stehen die Transparenzrechte aus § 34 BDSG auf Auskunft und § 33 BDSG auf Benachrichtigung. Im Fall von Datenlecks und der unzulässigen Kenntnisnahme von Medizindaten durch Dritte muss gemäß § 42a BDSG eine Benachrichtigung, die sog. Breach Notification erfolgen. Da eine automatisierte Erfassung erfolgt, spielt der Berichtigungsanspruch wohl eine geringere Rolle; relevant sind aber die Rechte auf Widerspruch, Löschung oder Sperrung nach § 35 BDSG. Ergänzend zu den § 823 ff. BGB besteht ein Schadenersatzanspruch nach § 7 BDSG. Zur Durchsetzung der Betroffenenrechte kann die Datenschutzbehörde nach § 38 BDSG angerufen werden; aber auch die Ärztekammer oder der ordentliche Rechtsweg können in Anspruch genommen werden. Die Betroffenenrechte können je nach Konstellation durch den gesetzlichen, den gewillkürten Vertreter oder einen Betreuer wahrgenommen werden. Denkbar sind auch Treuhändermodelle, bei denen z.B. ein Arzt für den Betroffenen aktiv wird.

Eine der zentralen Aufgaben vor Etablierung eines AAL-Systems ist eine eindeutige Klärung der datenschutzrechtlichen Verantwortung. Diese kann und darf nach § 3 Abs. 7 BDSG nicht auf den Betroffenen abgewälzt werden. Verantwortlich ist die Stelle, die die tatsächliche Verfügungsmacht über die Daten hat oder an einen Dienstleister, den Auftragsdatenverarbeiter für Hilfstätigkeiten, delegiert hat. Diese Verantwortlichkeiten müssen den Betroffenen mitgeteilt werden, damit diese dort ihre Rechte geltend machen können.

Auf die berufliche Schweigepflicht, das Patientengeheimnis, die medizinischen Dokumentationspflichten und das Fernbehandlungsverbot nach der Berufsmusterordnung der Ärzte ist Herr Dierks schon ausführlich eingegangen.

Neben dem auch schon behandelten Medizinprodukterecht bestehen nach dem Datenschutzrecht gemäß § 9 BDSG sowie einem Anhang umfangreiche Pflichten zum Ergreifen technisch-organisatorischer Sicherungsmaßnahmen, etwa zur Verhinderung des unberechtigten Zugangs, Zugriffs oder der Datenweitergabe. Nach modernem Datenschutzverständnis werden diese Maßnahmen nach Schutzzielen aufgeteilt. Es gibt folgende Ziele: Die "Verfügbarkeit" wird durch redundante Speicherung erreicht, die "Integrität" z.B. durch Hashwert-Vergleiche. Verschlüsselung, Abschottungen und ein differenziertes Rollenkonzept dienen der "Vertraulichkeit". "Transparenz" hat u.a. die Revisionsfähigkeit zum Ziel und bedient sich der Dokumentation, der Protokollierung, aber auch der Auskunft und der Unterrichtung. Mit Rollen- und Strukturkonzepten kann die "Nichtverkettbarkeit" der Daten angestrebt werden. "Intervenierbarkeit" bedeutet Stärkung der technischen Betroffenenmacht, z.B. durch Einrichtung eines Single-Point-of-Contact, durch Etablierung eines Interventionsmanagements, das Angebot von Wahloptionen oder durch ein Treuhänderverfahren.

Nach Martin Rost können zur Umsetzung der Schutzziele bei AAL folgende Fragen gestellt werden: Verfügbarkeit / Vertraulichkeit / Integrität: Wem gehören die Daten sowie die technische Infrastruktur? Wer bekommt in welcher Form wie lange auf welche Systeme, Applikationen, Daten Zugriff? Wie lange werden welche Daten (roh, aggregiert, anonymisiert?) wo zu welchem Zweck (Generierung von Referenzwerten für eine „normale Lebensführung“) wie lange unter welchen Bedingungen gespeichert? Wie wird die Qualität der Daten gesichert? Transparenz: Mit welchen Instrumenten können Betreiber und Betroffene die laufenden Daten, Komponenten, Systeme überprüfen? Intervenierbarkeit: Mit welchen Instrumenten können Betroffene und Betreiber in die laufenden Systeme eingreifen, Trigger konfigurieren, Daten korrigieren, löschen, Prozesse bzw. Systeme stoppen? Verkettbarkeit: Mit welchen Prozessen lässt sich seitens der Betreiber, der Betroffenen und der Aufsichtsinstanzen prüfen, dass die AAL-Verarbeitung jeweils zweckkonform stattfindet? Wie lässt sich phasenweise Unbeobachtbarkeit durch den Betroffenen herstellen (Sexualität)? Interaktion mit unbeteiligten Dritten (diese haben i.d.R. keine Möglichkeit zur Einwilligung) Gestaltung des gesundheitlichen Graubereichs des gesellschaftlich akzeptierten Drogenkonsums (ungesundes Essen, Bewegungsarmut, riskante Freizeitgestaltung)? Abfluss von Daten an Versicherung, Forschungsinstitute, Sicherheitsbehörden?

Schon im Jahr 2003 hatte die Gemeinsame Forschungskommission der EU-Kommission im Hinblick auf AAL gefordert, dass die Betroffenen hierbei nicht bevormundet und entmündigt werden dürfen, dass die Prinzipien der Datenvermeidung und Datensparsamkeit umgesetzt werden müssen und dem datenschutzfreundliche Grundeinstellungen (Privacy by Design) dienen. Die Betroffenen müssten bei der Wahrnehmung ihrer Datenschutzrechte unterstützt werden; analoge Hilfsangebote müssten verfügbar sein. Es ist also offensichtlich politischer wie datenschutzrechtlicher Wille, die Beherrschbarkeit für die Betroffenen über ihre Daten zu sichern.

Da es insofern oft an der technischen und rechtlichen Kompetenz der Betroffenen mangelt, kommt perspektivisch der unabhängigen und qualifizierten datenschutzrechtlichen Zertifizierung eine wichtige Rolle zu. Diese ist zwar in § 9a BDSG rechtlich vorgesehen. Praktisch umgesetzt wurde Derartiges aber bisher nur in Schleswig-Holstein durch das Datenschutzaudit und das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD). Das ULD bietet auch eine Konformitätsprüfung nach europäischem Datenschutzrecht an unter dem Namen "European Privacy Seal" (EuroPriSe).

Datenschutz ist eine Erfolgsbedingung für AAL angesichts der hochsensiblen Datenverarbeitung. Nur eine frühzeitige Integration des Datenschutzes gewährleistet eine größtmögliche Akzeptanz bei den Beteiligten. Dies gilt v.a. angesichts der noch teilweise stark anzutreffenden technikkritischen Einstellungen vieler Anwendenden, insbesondere in der Ärzteschaft, aber auch im Hinblick auf die noch fehlende Medienkompetenz bei vielen Betroffenen. Diese müssen mit ihren Wünschen und Sorgen ernst genommen werden. Die bei vielen Hilfedienstleistern verbreitete Gutmenschmentalität schafft allein kein Vertrauen bei komplexen Systemen, wie sie bei AAL regelmäßig bestehen. Schließlich: Eine zentrale Akzeptanzbedingung ist die Abwehr von ökonomischen Zweitverwertungsinteressen bei einflussreichen Spielern auf dem Markt - beginnend bei den Kassen bis hin zu IT-Anbietern wie Google oder Microsoft sowie zu Wohnheimen, Medizinanbietern und Pharmakonzernen.

Zusammenfassend kann festgestellt werden: AAL ist in der Lage, die Informationsbasis für medizinische oder sonstige Hilfen zu erhöhen, die Selbständigkeit der Hilfsbedürftigen zu wahren, die Kommunikation mit ihnen zu verbessern, technisch zu unterstützen und kostengünstig schnelle Hilfe zu erleichtern. Um diese Effekte zu erreichen, ist Datenschutz bei AAL wichtig. Dem förderlich sind Standardisierungen, z.B. in Form von Schutzprofilen, sowie die Zertifizierung von Produkten und Dienstleistungen. AAL sollte modular, vorsichtig sensibel und sukzessiv eingeführt werden, unter Einbindung sämtlicher Interessengruppen: Betroffene, Hilfeleister, IT-Industrie, Kostenträger und Datenschützer.

Dr. Thilo Weichert ist Landesbeauftragter für Datenschutz Schleswig-Holstein und damit Leiter des Unabhängigen Landeszentrums für Datenschutz, Kiel