Nach den ersten beiden Blogposts zum doppelten demografischen Druck auf die Pflege sowie zur Technikakzeptanz bei Pflegekräften, möchte ich die blogtechnische Aufarbeitung meiner Rechercheergebnisse aus unserem kürzlich abgeschlossenen BMBF-Projekt SEVIP&V (Sektorübergreifende Vernetzung in Pflege und Vorsorge) mit einem übersichtsweisen Blick auf die rechtlichen Rahmenbedingungen des praktischen Einsatzes von AAL- und Telepflege-Systemen beschließen.
Der Einsatz von assistiven Systemen – ganz unabhängig davon, ob dieser nun in professionellen (Pflegeassistenzsysteme) oder aber in informellen (klassisches AAL) Pflegesettings geschieht – ist mit enormen Herausforderungen für Datenschutz und Datensicherheit verbunden, da die Systeme nicht selten in die privatesten Kernbereiche von Menschen (einschließlich des Körperinneren) eindringen und deren unbedachte Nutzung mit schwer einzugrenzenden Folgen verbunden sein kann [vgl. Rost 2011, S. 5]. Vor diesem Hintergrund soll in diesem Blogpost auf die wesentlichen rechtlichen Aspekte eingegangen und (kurz) aufgezeigt werden, welche grundlegenden Anforderungen sich daraus für entsprechende assistive Systeme ergeben.
Für die rechtliche Situation von zentraler Bedeutung ist zunächst das sogenannte Grundrecht auf informationelle Selbstbestimmung, das sich aus Art. 2 Abs. 1 (freie Entfaltung der Persönlichkeit) in Verbindung mit Art. 1 Abs. 1 (Schutz der Menschenwürde) des Grundgesetzes (GG) herleitet und welches rechtsgeschichtlich auf das Volkszählungsurteil aus dem Jahr 1983 zurückzuführen ist. Durch dieses Grundrecht wird jedem Menschen zugestanden, darüber zu entscheiden, wann, gegenüber wem und in welchem Umfang persönliche Lebensverhältnisse offenbart werden.
Die Wahrnehmung dieses Rechts setzt voraus, dass die betroffene Person die Folgen des Umgangs mit persönlichen Daten korrekt einschätzen und insofern eine informierte Entscheidung treffen kann [vgl. ULD 2010, S. 36]. Bei der Einführung assistiver Systeme im Pflegebereich stellt diese Vorgabe bereits die erste nur schwer zu überwindende Hürde dar, da häufig unklar ist und bleibt, inwiefern ältere Menschen in hinreichendem Maße verstehen (bzw. Pflegekräfte oder Angehörige hinreichend verständlich erläutern können), welche Daten technische Systeme aufnehmen, wie mit diesen Daten verfahren wird und welche Konsequenzen insofern mit der Nutzung solcher Systeme durch sie selbst, durch ihre Familienmitglieder oder auch durch Pflegekräfte verbunden sein können.
Neben dem Grundrecht auf informationelle Selbstbestimmung sind weitere Rechte durch den Einsatz assistiver Systeme in der Pflege berührt, die in diesem Post jedoch nur übersichtshalber aufgelistet werden sollen. Ausführliche Darstellungen der hier aufgeführten Rechtsgrundlagen finden sich in [Schubert et al. 2014] und [ULD 2010].
Grundgesetz (GG)
- Art. 2 Abs. 2 Satz 1 GG: Schutz des Lebens und der körperlichen Unversehrtheit
- Art. 5 GG: Informationsfreiheit (u.a. Anspruch auf den Zugang zu eigenen Daten)
- Art. 6 GG: Schutz von Ehe und Familie (insbesondere in informellen Pflegesettings)
- Art. 13 GG: Unverletzlichkeit der Wohnung (insbesondere in informellen Pflegesettings)
Strafgesetzbuch (StGB)
- § 203 StGB: Schutz des Patientengeheimnisses bzw. Wahrung der ärztlichen Schweigepflicht
Bundesdatenschutzgesetz (BDSG)
- § 3 BDSG: Prinzip der Datensparsamkeit und -vermeidung
- § 4 BDSG: Einwilligung von Betroffenen zur Datenerhebung
- § 6a BDSG: Verbot der Automatisierung von Einzelentscheidungen
auf Basis von Datenerhebungen ohne die Beteiligung von Menschen - § 9 BDSG: Absicherung von Daten durch Verschlüsselung etc. pp.
- § 11 BDSG: Verantwortung des Auftraggebers bei Drittaufträgen
- § 13 (1) BDSG: Darstellung der Erforderlichkeit von Datenerhebungen
- § 28 (1) BDSG: Zulässigkeit von Datenerhebungen für Geschäftszwecke
- § 28 (7) BDSG: Zulässigkeit der Verarbeitung von medizinischen Daten
- § 35 BDSG: Korrektur falscher Daten / Löschung nicht benötigter Daten
Obwohl der Datenschutz in der Fachliteratur breit untersucht und kommentiert wurde, zeigt sich doch bei der näheren Analyse der Datenschutzziele für assistive Systeme in der Pflege, dass insbesondere im Hinblick auf den Umgang mit Gesundheitsdaten durch AAL-Anwendungen große Unsicherheiten bestehen und sowohl Herstellern wie auch Datenschützern häufig unklar ist, wie gesetzliche Vorgaben rechtssicher umgesetzt werden können. Sicher ist, dass die meisten durch assistive Systeme erhobenen Daten als personenbezogene Daten, die Rückschlüsse auf die persönliche Gesundheit zulassen, einem besonderen Schutzstatus unterliegen. Eine im Rahmen der ersten SEVIP&V-Projektphase durchgeführte Sichtung des geltenden Rechts sowie aktueller Empfehlungen ergab, dass sich neun projektrelevante Schutzziele identifizieren lassen.
Datensparsamkeit und -vermeidung: Das Prinzip der Datensparsamkeit und -vermeidung (in einigen Publikationen auch als Prinzip der Erforderlichkeit bezeichnet) besagt, dass nur solche Daten erfasst und verarbeitet werden sollen, die für die korrekte Bearbeitung zu lösender Aufgaben unabdingbar notwendig sind. Damit soll insbesondere das „wilde“ Erheben und Speichern von Daten für spätere Sekundäraufgaben (zum Beispiel für die Anlage von Persönlichkeitsprofilen) unterbunden werden. Die meisten derzeit auf dem Heimanwendermarkt für AAL erhältlichen Systeme berücksichtigen dieses Prinzip einer Analyse des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zufolge so gut wie überhaupt nicht [vgl. ULD 2010, S. 60-61]. Die meisten auf dem Markt für assistive Systeme für die professionelle Pflege erhältlichen Anwendungen und Systeme halten das Prinzip der Datensparsamkeit und -vermeidung dagegen bereits weitestgehend ein.
Verfügbarkeit: Die Verfügbarkeit ist als die Möglichkeit des gesicherten Zugriffs auf Informationen oder auf Verfahren innerhalb einer festgelegten Zeitspanne definiert und kann umgangssprachlich auch als Ausfallsicherheit umschrieben werden. Hier ist insbesondere sicherzustellen, dass alle Daten oder Funktionen zu dem Zeitpunkt ordnungsgemäß zur Verfügung stehen, zu dem sie benötigt werden [vgl. ULD 2010, S. 111]. Dies kann beispielsweise durch die Implementierung geeigneter Reparaturstrategien sowie durch den Einbau von Redundanzen (etwa durch die Bereithaltung zusätzlicher technischer Ressourcen als Reserven oder durch eine Mehrfach-Datenhaltung) geschehen [vgl. Rost 2011, S. 3]. Dabei gilt, dass der Grad der durch die Systeme zu gewährleistenden Verfügbarkeit mit deren Bedeutung ansteigen muss, d.h. für eine Funktion zur Erinnerung an die Einnahme von Medikamenten wäre ein deutlich höherer Verfügbarkeitsgrad anzustreben, als für eine der sozialen Vernetzung oder der Unterhaltung dienende Funktion.
Integrität: Mit der Integrität wird die Eigenschaft eines technischen Systems bezeichnet, ausschließlich bestimmungsgemäße Funktionen – diese aber zuverlässig – ausführen zu können [vgl. ULD 2010, S. 113]. Was zunächst theoretisch klingt, bedeutet für die Praxis vor allem, dass die Nutzer assistiver Systeme sich auf die Funktionalität des Systems verlassen können müssen. Da diese wiederum vor allem in der Erhebung, Speicherung und Auswertung von Daten besteht, ist bei der Konzipierung von Pflegeassistenzsystemen durch geeignete Maßnahmen (z.B. durch Hashwert-Vergleiche) abzusichern, dass personenbezogene Daten im Verlauf der Verarbeitung unverfälscht und vollständig bleiben [vgl. Rost 2011, S. 3].
Vertraulichkeit: Die von einem Pflegeassistenzsystem erfassten und gespeicherten Gesundheitsdaten dürfen ausschließlich denjenigen Personen zugänglich gemacht werden, die auch für einen Zugriff autorisiert sind. Nicht zugriffsberechtigten Dritten muss der Zugang zu sensiblen Daten durch hierfür geeignete technische Maßnahmen (beispielsweise Verschlüsselung oder Zugriffskontrollen) verwehrt werden. Auf der Ebene der grundsätzlich zugriffsberechtigten Nutzer ist durch eine Zugriffsverwaltung mit Rollenbezug (mit Unterscheidung z.B. in Pflegekräfte, Wundmanager, Angehörige, Hausärzte etc. pp.) dafür Sorge zu tragen, dass keinem Nutzer Informationen zugänglich gemacht werden, zu deren Einsicht und Weiterverarbeitung dieser nicht berechtigt ist [vgl. Rost 2011, S. 3]. Die Definition von entsprechenden Rollen und Zugriffsregeln ist besonders für solche Systeme wichtig, die in der Praxis von Mitarbeiterinnen und Mitarbeitern verschiedener Organisationen genutzt werden, da in diesen Fällen Rollendefinitionen nicht nur für die Einzelnutzer, sondern auch für Organisationen zu erarbeiten sind, die sich auf alle dieser Organisation zugeordneten Mitarbeiterinnen und Mitarbeiter vererben.
Transparenz: Das Schutzziel der Transparenz ist für assistive Systeme im Pflegebereich besonders schwer zu erfüllen. Es schließt ein, dass für die Betroffenen nicht nur klar sein muss, welche Daten von ihnen erhoben werden, sondern auch wie (z.B. Position und Funktionsweise von Sensoren oder Kameras) sie erhoben werden, was damit geschieht, wer Zugriff erhält, wem sie formal gehören und wann und unter welchen Vorbedingungen sie durch wen wieder gelöscht werden. Das ULD fasst diese Anforderungen in der Aussage zusammen, dass „Transparenz für den gesamten Lebenszyklus der Daten von ihrer Entstehung bis zu ihrer Löschung erforderlich“ ist [ULD 2010, S. 115]. Darüber hinaus muss den Betroffenen stets klar sein, welche Funktionen des Systems sie durch welche Handlungen auslösen können und mit welchen Folgen (und ggf. auch mit welchen Kosten) dies für sie verbunden ist. Diese Herstellung von (objektiv betrachtet ja nahezu maximaler) Transparenz ist wiederum Grundvoraussetzung für die wirksame schriftliche Zustimmung von Betroffenen vor der Erhebung von Daten nach § 4a BDSG, ohne die kein assistives System in der Pflegepraxis eingesetzt werden darf [vgl. BMBF 2013c, S. 4].
In der Realität kommt es bei der Umsetzung dieser Vorgaben im Pflegebereich zu schwer zu lösenden Zielkonflikten – teils hochkomplexe Systeme sollen in der Einwilligung fast maximal transparent dargestellt werden, gleichzeitig soll die Einwilligung aber leicht zu lesen und auch für technikferne Seniorinnen und Senioren sowie Angehörige und Pflegekräfte gut verständlich sein. Auf das grundsätzliche Problem der oft unklaren Einwilligungsfähigkeit von Seniorinnen und Senioren in die Konsequenzen der Nutzung technischer Systeme wurde ja bereits weiter oben eingegangen. Im Rahmen der zweiten Phase von SEVIP&V soll daher auch nach ganz neuen Wegen gesucht werden, das Einverständnis von Betroffenen wirksam und rechtssicher einzuholen – dazu dann vielleicht mehr in einem zukünftigen Blogpost.
Intervenierbarkeit: Das Schutzziel der Intervenierbarkeit gibt vor, dass allen Personen, von denen automatisiert Daten erhoben werden, die Möglichkeit zugestanden werden muss, in den Prozess der Datenerhebung einzugreifen oder diesen sogar zeitweilig (beispielsweise durch ein Abschalten von beobachtenden Sensoren oder Kameras) zu unterbrechen. Betroffene, die dies nicht mehr können oder es sich nicht zutrauen, müssen die Möglichkeit haben, ihr Recht zur Intervention auf Wunsch an Dritte zu delegieren [vgl. ULD 2010, S. 118].
Zweckbindung: Durch die Zweckbindung, die sich aus § 4 und § 28 BDSG ergibt, wird sichergestellt, dass Daten ausschließlich zu einem vorab klar definierten Zweck (z.B. Vitaldaten für die Vitalwertanalyse im Rahmen einer Pflegedokumentation) erhoben werden – und später dann auch nicht mehr für andere Zwecke (z.B. für Risikoanalysen eines Versicherers) verwendet werden dürfen. Dieser Zweck muss insbesondere auch für diejenigen Personen, von denen Daten erhoben werden, klar erkennbar sein – beispielsweise durch eine verständliche Erläuterung in der ohnehin einzuholenden Einwilligung [vgl Schubert et al 2014, S. 4]. Da die Zweckbindung neben erkennbar fragwürdigen Zwecken (etwa der Verarbeitung von Daten durch Werbetreibende oder der Anlage komplexer Personenprofile ohne Wissen der Betroffenen) auch die Nutzung von Daten für die empirische Sozialforschung oder zur Verbesserung der technischen Funktionsfähigkeit von Assistenzsystemen ausschließt, ist im Rahmen von Forschungsprojekten unbedingt darauf zu achten, dass die projektspezifischen Forschungs- und Entwicklungsziele als Sekundärzwecke der Datenerhebung zu definieren sind und Eingang in die Einwilligungserklärungen zu finden haben, um Rechtssicherheit für alle Projektbeteiligten zu schaffen.
Remonstrationspflicht: Die Remonstrationspflicht gilt für alle professionellen Pflegekräfte, die im Rahmen der Ausübung ihrer Tätigkeit eine mögliche Verschlechterung des Gesundheitszustands eines Patienten bzw. eine neu auftretende Gefährdung (wie etwa ein sich herausbildendes Druckgeschwür) wahrnehmen. Pflegekräfte sind in solchen Fällen dazu verpflichtet, den behandelnden Arzt auf ihre Beobachtungen hinzuweisen, wodurch ihnen eine deutlich über die Pflege und deren Dokumentation hinausgehende Verantwortung zukommt. Nicht erforderlich – und in fast allen Fällen auch nicht zu empfehlen, da beim Auftreten eines Verdachts eben noch keine gesicherte Diagnose vorliegen kann – ist es dagegen, auch den Patienten über solche Vermutungen zu informieren. Die Dokumentation von Verdachtsmomenten erfolgt daher in der Regel „stillschweigend“ [vgl. Reinboth 2012b, S. 42]. Assistive Systeme für die Pflege müssen Pflegekräften entsprechende Funktionen bieten, um solche “stillen” Hinweise absetzen zu können, was insbesondere für die Entwickler der nächsten Generation sprachgestützter Assistenzsysteme gewisse Herausforderungen mit sich bringen wird.
Neben dem (juristischen) Datenschutz ist natürlich auch dessen Umsetzung durch (technische) Datensicherheit zu berücksichtigen. Ein während des gemeinsamen Projekts TECLA WZW der Martin Luther-Universität Halle-Wittenberg, der Kunsthochschule Burg Giebichenstein sowie der Hochschule Harz durchgeführter Versuch konnte im Jahr 2012 exemplarisch an marktverfügbaren Waagen mit Bluetooth-Anschluss für den Einsatz im AAL-Bereich belegen, dass gängige Geräte vor unautorisierten Zugriffen nicht sicher sind, sofern externe Angreifer bereit und in der Lage sind, aufwändige Verfahren (wie etwa die Dekodierung von WPA2-Sicherheitsschlüsseln) einzusetzen [vgl. Landenberger et al. 2013 S. 12].
Auf die technischen und konzeptionellen Lösungsansätze zur rechtlichen Absicherung zukünftiger Assistenzsysteme für den Pflegebereich, die wir derzeit verfolgen, kann ich an dieser Stelle leider nicht im Detail berichten – sollte dem SEVIP&V-Projekt aber eine zweite Förderphase vergönnt sein, wird sich das in den nächsten Monaten sicherlich (hoffentlich) ändern. Wer bis dahin die weitere Entwicklung mitverfolgen will, sei auf unser Projektblog verwiesen, in dem regelmäßig Updates gepostet werden.
Verwendete Quellen
[BMBF 2013c] Bundesministerium für Bildung und Forschung (BMBF) (2013c): Von der Begleitforschung zur integrierten Forschung. Erkenntnisse aus dem Förderschwerpunkt “Altersgerechte Assistenzsysteme für ein gesundes und unabhängiges Leben”. Berlin.
[Landenberger et al. 2013] Landenberger, Margarete; Fischer-Hirchert, Ulrich H.P.; Hübner, Gundula; Mau, Wilfried; Meinel, Frithjof (2013): Technikgestützte Pflege-Assistenzsysteme und rehabilitativ-soziale Integration unter dem starken demografischen Wandel in Sachsen-Anhalt. Martin-Luther-Universität Halle-Wittenberg.
[Reinboth 2012b] Reinboth, Christian (2012b): Grundlagen der Wunddokumentation. Wundeigenschaften, Wundfotografie und wesentliche Krankheitsbilder. München: GRIN-Verlag für wissenschaftliche Texte.
[Rost 2011] Rost, Martin (2011): Datenschutz bei Ambient Assisted Living (AAL) durch Anwendung der Neuen Schutzziele. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Kiel.
[Schubert et al. 2014] Schubert, Johannes; Mautsch, Erik; Stantchev, Vladimir; Tamm, Gerrit (2014): Datenschutzrechtliche Rahmenbedingungen für die Datenerhebung durch AAL-Infrastruktur bei der Pflege. In: (elektronischer) Tagungsband des 7. Deutschen AAL-Kongresses.
[ULD 2010] Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) (2010): Juristische Fragen im Bereich Altersgerechter Assistenzsysteme. Vorstudie im Auftrag von VDI/VDE-IT im Rahmen des Förderschwerpunktes “Altengerechte Assistenzsysteme für ein gesundes und unabhängiges Leben”. Kiel.
Zitationscode für ResearchBlogging
Schubert, Johannes, Mautsch, Erik, Stantchev, Vladimir, & Tamm, Gerrit (2014). Datenschutzrechtliche Rahmenbedingungen für die Datenerhebung durch AAL-Infrastruktur bei der Pflege Tagungsband des 7. Deutschen AAL-Kongresses
Kommentare (1)