Automatisierung, Algorithmen und künstliche Intelligenz erobern die Welt. Nicht im wörtlichen (zum Glück), sondern im übertragenen Sinne. Immer mehr Branchen, darunter auch das Gesundheitswesen, setzen datengetriebene Technologien ein, um Prozesse zu optimieren und Entscheidungen zu untermauern. Das ist grundsätzlich positiv, da es Produktivität und Entscheidungsfindung verbessert. Problematisch wird es jedoch, wenn personenbezogene Daten zur Entwicklung von Algorithmen oder zum Training von KI-Systemen verwendet werden. Dies birgt Risiken für die Privatsphäre. Ein Urteil des Bezirksgerichts Mittel-Niederlande (ECLI:NL:RBMNE:2025:1760) zeigt jedoch, dass dies durchaus möglich ist, beispielsweise wenn die Daten anonymisiert werden.
Der Fall bezüglich der HoNOS+-Daten
Der vorliegende Fall betrifft die niederländische Gesundheitsbehörde (NZa) und die Abteilung für psychische Gesundheit (GGZ). Die NZa entwickelte einen Algorithmus für das neue Leistungsmodell im Gesundheitswesen, für das Leistungserbringer anonyme Fragebögen über ihre Klienten ausfüllen mussten. Das Bezirksgericht Mittel-Niederlande entschied, dass die Datenverarbeitung rechtmäßig war: Die Daten ließen sich nicht auf Einzelpersonen zurückführen und fielen daher nicht unter die Datenschutz-Grundverordnung (DSGVO).
Obwohl das Gericht zu dem Schluss kam, dass die Privatsphäre der Betroffenen nicht unmittelbar verletzt wurde, hielt die öffentliche Besorgnis an. Viele Klienten empfanden die Weitergabe von Informationen über den psychischen Zustand von Personen ohne deren ausdrückliche Einwilligung als Eingriff in ihre Privatsphäre. Dies zeigt, wie wichtig es weiterhin ist, die Betroffenen umfassend darüber zu informieren, welche Daten weitergegeben werden und welche potenziellen Vorteile dies mit sich bringt.
Anonymisierung ist noch keine Garantie
Selbst bei anonymisierten Datensätzen bleibt ein Restrisiko bestehen. In der Praxis besteht immer die Möglichkeit, dass anonymisierte Daten mit anderen Datenquellen verknüpft werden können, wodurch letztendlich Einzelpersonen identifiziert werden können. Im Fall NZa wurde der Tatsache, dass die anonymisierten Daten physisch und organisatorisch von anderen Daten getrennt waren, besondere Bedeutung beigemessen. Dadurch ist es praktisch unmöglich, die Daten auf Einzelpersonen zurückzuverfolgen. Dies erscheint daher als ein sinnvoller Ansatz.
Im Gesundheitswesen kommt ein weiterer Faktor hinzu: die ärztliche Schweigepflicht. Im vorliegenden Fall durften die Behandler ihre Schweigepflicht brechen, da sie rechtlich zur Datenweitergabe verpflichtet waren. Dies ist natürlich nicht immer der Fall. Auch außerhalb des Gesundheitswesens müssen Mitarbeiter und Patienten darauf vertrauen können, dass ihre Daten nicht ohne Notwendigkeit oder ausdrückliche Einwilligung für fortschrittliche Technologien verwendet werden.
Verantwortungsvoller Umgang mit personenbezogenen Daten: Wichtige Hinweise
Die Verwendung anonymisierter personenbezogener Daten für algorithmische Anwendungen erfordert höchste Vorsicht. Prüfen Sie stets, ob die Daten tatsächlich vollständig anonym sind und bleiben. Vermeiden Sie die Verknüpfung von Datensätzen, die eine Rückverfolgbarkeit ermöglichen würde. Seien Sie außerdem transparent hinsichtlich der Zwecke und Methoden der Datenverarbeitung. Gewährleisten Sie zudem strenge Zugriffsbeschränkungen und Sicherheit. Bei Fragen zur rechtmäßigen Verwendung personenbezogener Daten für die Algorithmenentwicklung können Sie sich jederzeit an MKB Juristen wenden.
