Kommission beim Thema Datenaustausch auf Überholspur? Viele Mitgliedstaaten hinken hinterher

Gesundheitsdaten grenzüberschreitend teilen, um sie für Forschung und für Reformen im Gesundheitswesen zu nutzen; die Interoperabilität bei elektronischen Patientenakten vorantreiben, so dass Nutzer unterschiedlicher Software-Systeme miteinander kommunizieren können und eine Erleichterung bei der Weiterverwendung von Forschungsdaten: All das sind nur einige von der Europäischen Kommission am Mittwoch vorgestellten ehrgeizigen Vorschläge, um öffentliche Daten in der EU künftig besser zu nutzen. Allerdings sind die Behörden vieler Mitgliedsländer, darunter auch Belgien, noch nicht einmal auf die neue Datenschutz-Grundverordnung vorbereitet, die am 25. Mai in Kraft tritt und auf die sich diese neuen Vorschläge der Kommission stützen.

"Mit dem am Mittwoch vorgestellten Maßnahmenpaket möchte die Kommission den freien Verkehr vor allem nicht personenbezogener Daten im digitalen Binnenmarkt fördern. U.a. Daten des öffentlichen Sektors sollen für die Weiterverwendung – auch für gewerbliche Zwecke – besser verfügbar gemacht werden. So sollen die öffentlichen Stellen für die Weiterverwendung ihrer Daten zum Beispiel nicht mehr als die anfallenden Selbstkosten verlangen dürfen", erklärt der aus Ostbelgien stammende Europaabgeordnete Pascal Arimont (kleines Foto im Text).

Auch die Weiterverwendung offener Forschungsdaten, die aus öffentlich geförderten Arbeiten stammen, solle erleichtert werden. Hierdurch wolle man vor allem die Innovation in Europa fördern, so Arimont. Im Gesundheitsbereich solle wiederum der Zugang der Bürger zu ihren Gesundheitsdaten verbessert und die Vermittlung über die Grenzen hinweg erleichtert werden. "Hier geht es insbesondere um die elektronischen Patientenakten. Allerdings muss ich hinzufügen, dass die konkreten Richtlinien- bzw. Verordnungsvorschläge noch von Parlament und Rat besprochen werden müssen", betont der Europaabgeordnete und CSP (Christlich Soziale Partei/EVP)-Politiker.

Die neuen Vorschläge der Kommission stützen sich auf die Datenschutz-Grundverordnung, die am 25. Mai in Kraft treten wird. Der Haken: Viele EU-Mitgliedsländer sind bislang noch nicht einmal oder nur sehr schlecht auf die neue Datenschutz-Grundverordnung vorbereitet, darunter auch die belgischen Behörden.

So hätten, wie die Zeitung De Tijd den Vorsitzenden des Privacy-Ausschusses Willem Debeuckelaere in ihrer Ausgabe vom Donnerstag zitiert, die meisten Behörden in Belgien zwar schon einen Datenschutz-Beauftragten oder befänden sich damit zumindest in der letzten Vorbereitungsphase, doch habe sie das auch schon viel Geld und Mühe gekostet. Mit anderen Maßnahmen, zum Beispiel der Aufstellung eines Registers, in dem alle personenbezogenen Daten verarbeitet sind, würden die Regierungseinrichtungen jedenfalls nicht rechtzeitig fertig werden. Ferner existierten bislang weder ein belgisches Rahmengesetz für die neuen Regeln, noch ein sektoraler Verhaltenskodex. Sogar die Errichtung einer neuen Kontrollstelle zur Einhaltung der Privatsphäre läßt offenbar auf sich warten.

Der eine plant, der andere führt aber noch nicht aus

Auf der einen Seite verstreichen also Deadlines und das nicht nur in Belgien, denn wie De Tijd schreibt, hinkten andere Mitgliedsländer noch stärker hinterher. Auf der anderen Seite plant die Europäische Kommission schon weiter, in dem sie mehr Daten des öffentlichen Sektors zur Weiterverwendung verfügbar machen will. Ziel ist, maximal von der künstlichen Intelligenz und dem technischen Fortschritt profitieren zu können.

Doch überholt die Kommission mit ihren Vorschlägen derzeit nicht die Wirklichkeit in den Mitgliedsländern, die offensichtlich noch nicht einmal auf das Privacy-Gesetz, das am 25. Mai in Kraft treten soll, gut vorbereitet sind?

"Wie gesagt handelt es sich bei den gestrigen Vorschlägen noch nicht um verabschiedete Gesetze. Allerdings ist es richtig, dass viele Mitgliedstaaten erst sehr spät auf den Zug der Datenschutzgrundverordnung, die ab 25. Mai endlich in vollem Umfang geltend ist, aufgesprungen sind. Dies gibt zu denken, denn die Diskussionen sind bekanntlich in der letzten Legislaturperiode angestoßen und sogar beendet worden. In meinen Augen war und ist es wichtig, diese Verordnung jetzt konsequent umzusetzen, denn in Bezug auf die gewaltigen Veränderungen durch das Internet hinkt die Politik schon lange hinterher", betont Arimont.

Weiter fügt er hinzu: "Das zeigen nicht nur Skandale wie den um Cambridge Analytica, um nur einen zu nennen. Aus falscher Rücksichtnahme vor den nationalen Behörden, langsamer zu arbeiten, darf das kein Argument sein. Wichtig ist aber auch, dass all denen, die die Vorgaben der Datenschutzgrundverordnung anwenden müssen, eine konkrete Hilfeleistung angeboten wird. Es sind vor allem die kleinen Betriebe oder Vereine, denen dabei geholfen werden muss, die Bestimmungen der DGVO im Alltag umsetzen und einhalten zu können. Und hier sind in der Tat die nationalen Datenschutzbehörden gefordert."

Nicht jeder hat digitales Know-how und es fehlt an Gratis-Wlan-Zugängen auf öffentlichen Plätzen

Nun sollen nach den neuen Vorschlägen der Kommission künftig auch Gesundheitsdaten grenzüberschreitend geteilt werden, obwohl viele Mitgliedsländer noch nicht einmal in der Lage sind, richtig zu kontrollieren, ob die Daten nicht missbraucht werden.

"Die Kommission möchte nach eigenen Angaben Empfehlungen darüber abgeben, wie die elektronischen Patientenakten der Bürger EU-weit ausgetauscht werden sollen. Im Europäischen Parlament hat die Debatte hierüber noch nicht begonnen. Wir werden aber sehr genau darauf achten, dass mit diesen Daten dann auch korrekt umgegangen wird. Die Datenschutzgrundverordnung gibt den Bürgern ja einige Handhabe mit mitunter saftigen Strafen. Die Einhaltung der EU-Datenschutzvorschriften und angemessene Sicherheitsvorkehrungen müssen also Teil all dieser Gesetzesvorschläge sein", so Arimont.

Auf unsere Frage, wie es mit den dazugehörigen Ausbildungen und der Infrastruktur aussehe, da wohl nicht jeder Arzt auf dem Land mit den "digitalen Fortschritten" derart vertraut sei, dass er diesen Austausch auch richtig nutzen könne, antwortet Pascal Arimont: "Das ist richtig. Wie in jedem anderen Beruf gibt es auch im Gesundheitsbereich Änderungen, auf die sich der Sektor einstellen muss."

"Der zweite Punkt spricht ein ganz anderes Problem an: Die schlechte Internetverbindung in vielen Gebieten, vor allem den ländlichen. Auch hier macht die EU-Kommission Vorgaben mit zu erreichenden Zielen, und interessante Initiativen wie WiFi4EU wurden gestartet. Es ist wichtig, dass diese Entwicklung von den Mitgliedstaaten aktiv unterstützt wird, denn keine Region wird es sich in Zukunft leisten können, von der digitalen Welt und Wirtschaft abgeschnitten zu sein."

Das Parlament wird die Vorschläge, die die Europäische Kommission am Mittwoch angekündigt hat, nun diskutieren. Die Debatte im Parlament und mit den Mitgliedstaaten steht also noch bevor.

Zum neuen Privacy-Gesetz, das am 25. Mai in vollem Umfang geltend wird

Unternehmen müssen ab dem 25. Mai unter anderen explizit Zustimmung des Nutzers einholen, um dessen personenbezogene Daten verarbeiten zu dürfen. Der Kunde muss seine Daten einsehen, ändern und löschen dürfen. Und falls durch ein Hacking oder ein Leck Daten nach außen sickern, müssen die Unternehmen dies innterhalb von 72 Stunden den entsprechenden Behörden melden. Halten die Unternehmen die neuen Privacy-Regeln nicht ein, riskieren sie Bußgelder von bis zu 20 Millionen Euro. Für multinationale Konzerne können die Strafen bis zu 4 Prozent ihres weltweiten Umsatzes betragen.

Das neue Gesetz ist schon seit zwei Jahren bekannt, doch viele respektieren nicht einmal die alten Privacy-Regeln aus den 90er Jahren. Jetzt haben die Unternehmen jedenfalls nur noch knapp einen Monat Zeit, um die strengeren Privacy-Regeln umzusetzen.