Das dänische Datatilsynet ist zu einem europäischen Vorreiter in der Durchsetzung von Gesundheitsdaten geworden. Im Jahr 2024 gab die Behörde 31 Entscheidungen zur DSGVO bekannt — davon betrafen 14 (45 %) direkt Gesundheitssysteme. Für ein Land mit 5,9 Millionen Einwohnern spiegelt diese Durchsetzungsdichte Dänemarks fortschrittliche digitale Gesundheitsinfrastruktur und hohe technische Compliance-Erwartungen wider.
Dänemarks Gesundheitsdateninfrastruktur
Dänemark betreibt eines der umfassendsten nationalen Gesundheitssysteme der Welt. Jeder dänische Bürger hat eine CPR-Nummer, die mit elektronischen Gesundheitsakten, dem nationalen Rezeptregister, dem nationalen Patientenregister (das alle Krankenhauskontakte seit 1977 verfolgt) und Biobankproben am Statens Serum Institut verknüpft ist.
Diese integrierte Infrastruktur macht dänische Gesundheitsdaten zu den wertvollsten für die Forschung — und zu den sensibelsten für den Datenschutz. Der Fokus des Datatilsynet auf die Durchsetzung im Gesundheitswesen spiegelt diese Spannung wider.
CPR-Nummer: Die technische Herausforderung
Die CPR-Nummer (Det Centrale Personregister-nummer) ist eine 10-stellige Zivilregistrierungsnummer im Format DDMMYY-XXXX. Die letzte Ziffer ist eine Prüfziffer, die mit Hilfe der Modulus-11-Arithmetik validiert wird.
Die CPR-Nummer ist die Grundlage aller dänischen öffentlichen Verwaltungen: Gesundheit, Besteuerung, soziale Leistungen, Wahlen, Bankwesen. Jedes Gesundheitsdokument enthält sie.
Das Datatilsynet verlangt eine dokumentierte Validierung der Anonymisierung für die sekundäre Nutzung von Gesundheitsdaten. Das technische Problem: 67 % der generischen NLP-Tools implementieren keine Modulus-11-Validierung der CPR-Nummer. Ohne Prüfziffervalidierung:
Falsche Positive: Datumsgleiche Zeichenfolgen, Rechnungsnummern und Referenzcodes werden als CPR-Nummern gekennzeichnet, was eine kostspielige manuelle Überprüfung erfordert.
Falsche Negative: Transponierte CPR-Nummern, die die Prüfziffervalidierung nicht bestehen, werden übersehen — wodurch echte Patientenidentifikatoren in Daten verbleiben, die sauber erscheinen.
Anforderungen an die sekundäre Nutzung von Gesundheitsdaten
Die Daten des dänischen Gesundheitsregisters unterstützen erstklassige medizinische Forschung. Die Richtlinien des Datatilsynet zur sekundären Nutzung von 2024 legen spezifische technische Anforderungen fest:
Dokumentierte Anonymisierungsverfahren: Organisationen müssen schriftliche technische Dokumentationen führen, die genau beschreiben, wie die Entpersonalisierung durchgeführt wird — nicht nur das Ergebnis, sondern die spezifischen Prozesse, Werkzeuge und Validierungsschritte.
Validierung der Vollständigkeit: Die Dokumentation muss Nachweise enthalten, dass die Anonymisierung verifiziert wurde. Dazu gehören Testergebnisse, die die Erkennungsabdeckung für CPR-Nummern und andere dänische Gesundheitsidentifikatoren nachweisen.
Prinzip der minimal notwendigen Daten: Forschungsdatensätze, die mehr persönliche Daten enthalten, als die Forschungsfrage erfordert, verletzen die Verhältnismäßigkeit der DSGVO, selbst wenn sie pseudonymisiert sind. Organisationen müssen nachweisen, dass der Datenumfang dem dokumentierten Forschungszweck entspricht.
DPIA für KI-Systeme: Jedes KI-System, das dänische Gesundheitsdaten verarbeitet, benötigt eine abgeschlossene DPIA unter Verwendung des Modellrahmens des Datatilsynet.
Kopenhagener Gesundheitstechnologie: Spezifische Compliance-Anforderungen
Der Gesundheitssektor in Kopenhagen (Leo Pharma, Bavarian Nordic und zahlreiche digitale Gesundheits-Startups) sieht sich in drei Bereichen einer Durchsetzungsprüfung gegenüber:
Klinische KI-Tools: KI-Diagnosetools müssen die Einhaltung von Artikel 22 der DSGVO und dokumentierte Anonymisierung für Trainingsdatensätze nachweisen. Das Datatilsynet stellte 2024 fest, dass mehrere Unternehmen Trainingsdatensätze mit identifizierbaren Patienten-CPR-Nummern ohne angemessene rechtliche Grundlage verwendeten.
Grenzüberschreitende Übertragungen: Mehrere dänische Health-Tech-Unternehmen haben US-Cloud-Anbieter für das Training von KI-Modellen beauftragt. Das Datatilsynet verlangt Transfer Impact Assessments und stellte fest, dass SCCs allein für Gesundheitsdaten ohne ergänzende technische Maßnahmen (Verschlüsselung mit europäischer Schlüsselverwaltung) unzureichend sind.
Anforderungen an Prüfprotokolle: Für die Verarbeitung von Gesundheitsdaten müssen Zugriffsprotokolle die Rekonstruktion ermöglichen, welche Patientenakten von wem und zu welchem dokumentierten Zweck aufgerufen wurden — aufbewahrt für mindestens 5 Jahre.
56 % der dänischen Datenschutzverletzungen im Jahr 2024 betrafen unzureichende Entpersonalisierung. Organisationen, die CPR-validierte Erkennung mit dänischer Sprachunterstützung verwenden, beseitigen den häufigsten technischen Fehler in der Durchsetzung der DSGVO im dänischen Gesundheitswesen.
Quellen: