Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz

Lesezeit: 6 Min.
In Pocket  speichern
Drucken Kommentare lesen 204 Beiträge
Bundesgesundheitsminister Jens Spahn auf der DMEA -Messe im April. Bild: Screenshot

Wie man Datenschutzabbau im Gesundheitswesen als Sicherheitsmaßnahme framet

Von
  • Brigitta Engel

Medienwirksam stellt sich der Bundesgesundheitsminister als Hüter des Datenschutzes dar. In Wirklichkeit hat er gerade unbemerkt von der Öffentlichkeit einen bedeutenden Eingriff in die Grundrechte des Bürgers durchs Parlament gebracht.

Das Wichtigste zuerst:

Was bedeutet das Gesetz?

"Aber es geht!", ruft der Bundesgesundheitsminister Mitte April euphorisch in den Saal hinein. Hier auf der DMEA, der größten HealthCareIT-Messe Europas, weiß das Publikum den Wert von sensiblen Gesundheitsdaten zu schätzen (Video ab Min. 17:20).

"Wir sind damit gut durchs Kabinett gekommen!!!", prahlt Spahn, der sein Glück selbst kaum zu fassen scheint. Durchs Kabinett gekommen und mittlerweile sogar durchs Parlament ist der Bundesgesundheitsminister mit einem bedeutenden Eingriff in die Grundrechte der Bürger, nämlich mit der "Beschränkung des Rechts auf informationelle Selbstbestimmung", wie es in der Begründung zum "Implantateregister-Errichtungsgesetz" heißt.

Das Gesetz, das am 26. September vom Parlament beschlossen wurde und medial in Verkennung seiner Tragweite überwiegend als Ausdruck staatlicher Fürsorge gegenüber Implantatträgern vermittelt wurde, sieht vor, ohne Einwilligung des betroffenen Bürgers umfassende Gesundheitsdaten in einem staatlichen Register zu erfassen sowie in vielfältiger Art kontinuierlich weiterzuverarbeiten und weiterzugeben, ohne zu den jeweiligen Nutzungen eine Einwilligung des Bürgers einholen zu müssen.

Auf diese Weise werden Datenschutzrechte ausgehebelt, die sich aus den Grundrechten ableiten und damit zu den Abwehrrechten des Bürgers gegen den Staat gehören.

Die Tragweite des Gesetzes kann man nur dann ermessen, wenn man weiß, dass Gesundheitsdaten nicht nur zu den dem Datenschutz unterliegenden personenbezogenen Daten gehören (auch in pseudonymisierter Form), sondern darüber hinaus aufgrund ihrer existenziellen Bedeutung für den Menschen rechtlich als sog. sensible Daten unter besonderen Schutz stehen. (Art. 9 Abs. 1 DSGVO).

Sie dürfen deshalb grundsätzlich nicht verarbeitet werden. Zwar gibt es rechtlich vorgesehene Ausnahmen (Art. 9 Abs. 2 DSGVO), nach denen eine Verarbeitung unter Beachtung bestimmter Prinzipien zulässig sein kann: eine Einwilligung des Betroffenen oder etwa ein Gesetz, indem ein Allgemeininteresse geltend gemacht werden kann, das den Grundrechtseingriff erforderlich macht. Insbesondere Letzeres muss allerdings gut begründet werden.

Dazu hatte Spahn bereits im April auf der oben genannten Messe der Gesundheitsbranche aus dem Nähkästchen geplaudert:

Das Gesetz hat jetzt 34 Seiten und die Begründung 100, weil Sie gut begründen müssen, wenn Sie im Datenschutz möglicherweise etwas mehr verpflichtend machen und nicht alles von einer Einwilligung abhängig machen, wenn 's um solche Versorgungsdatensammlungen geht. [...] Aber es geht ! - Wir sind damit gut durchs Kabinett gekommen!!!

Jens Spahn

Wie wurde der Grundrechtseingriff begründet?

Tatsächlich beruft sich Spahn auf ein schutzwürdiges Allgemeininteresse (öffentliche Gesundheit, Abwehr von Risiken, Qualitätsverbesserung von Medizinprodukten, Rückrufaktion bei fehlerhaften Implantaten).

Die Verpflichtung zur Registrierung sei deswegen erforderlich, da bereits jetzt jeder 10. Patient die freiwillige Teilnahme am Endoprothesenregister Deutschland "verweigert". Die Teilnehmerquote betroffener Patienten liege "lediglich bei 90 %", was "erhebliche Auswirkungen" auf die Validität der Daten und Belastbarkeit der Auswertungsergebnisse habe. Eine Freiwilligkeit der Teilnahme würde somit "die Zweckerreichung in erheblichem Maße gefährden".

Entwaffnend ehrlich spricht Spahn gegenüber seinem Messe-Publikum im April darüber, wie er die Grenzen des juristisch Machbaren ausgelotet hat, um das Einwilligungserfordernis auszuhebeln:

Wir haben uns intensiv ausgetauscht und gefragt: Wieweit können wir gehen - beim Einwilligungserfordernis oder Nicht-Erfordernis? Aber wenn Sie genau schauen, was wir da geregelt haben, sieht man, dass auch mit heutigem Datenschutzrecht viel geht!

Jens Spahn

Im Unterschied zu den Krebsregistern, bei denen man in den letzten Jahren ebenfalls zur verpflichtenden Teilnahme übergegangen ist, aber meist dem Betroffenen zur Wahrung seines informationellen Selbstbestimmungsrechts immerhin noch das Widerspruchsrecht gelassen hat, hat Spahn dafür gesorgt, dass dieses wichtige Betroffenenrecht ausgeschlossen wird. Damit kommt sein Gesetz praktisch einer Aushebelung des Rechts auf informationelle Selbstbestimmung gleich.

Der Ausschluss sowohl des Widerspruchsrechts (Art. 21 DSGVO) als auch des Rechts auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) erfolgt unter Berufung auf Art. 23 DSGVO, der eine Beschränkung von Betroffenenrechten in einer Reihe von schwerwiegenden Fällen vorsieht, so z.B. als notwendige und verhältnismäßige Maßnahme, die die nationale Sicherheit, die Landesverteidigung, die Verhütung von Straftaten sicherstellt, oder auch als notwendige und verhältnismäßige Maßnahme, die den Schutz "sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses" sicherstellt etwa "im Bereich der öffentlichen Gesundheit".

Bereits 2016 hatte der Rechtswissenschaftler Alexander Roßnagel vorhergesehen, "dass die Mitgliedstaaten von den ihnen durch Art. 23 DSGVO eingeräumten Möglichkeiten der Beschränkung regen Gebrauch machen werden. Dadurch können die […] Betroffenenrechte erheblich relativiert werden." [5] (S. 165)

Worum geht es außerdem?

Mir war von Anfang an sehr wichtig, dass wir möglichst viel auch anonymisiert und pseudonymisiert […] an Daten dort hineinbringen, so verpflichtend wie möglich, mit so wenig Ausweichmöglichkeiten wie möglich - um es mal so zu formulieren.

Jens Spahn

Nicht zuletzt diese Aussage des Bundesgesundheitsministers auf der besagten DMEA-Messe deutet darauf hin, dass es möglicherweise auch um die Deckung des Bedarfs an riesigen Datensätzen geht, der sich vor allem mit Blick auf die in der Regelversorgung des Gesundheitssystems geplanten Big Data-Anwendungen ergibt.

Als sog. "strukturelle Hürden" werden dabei seit Jahren insbesondere die folgenden datenschutzrechtlich verankerten Grundsätze bewertet: das Einwilligungserfordernis sowie die Prinzipien der Datenminimierung und Zweckgebundenheit der Datenverarbeitung.

Spahns Patientendatenregistergesetz hat sämtliche "strukturellen Hürden" erfolgreich aus dem Weg geräumt: Das Einwilligungserfordernis wird unter Berufung auf ein wichtiges Allgemeininteresse beseitigt. Die Gebote der Datenminimierung und Zweckbindung werden v.a. durch die Koppelung einer Vielzahl von z.T. nicht hinreichend konkretisierten Zweckbeschreibungen des Registers umgangen. Und schließlich wird durch den Ausschluss des Widerspruchsrechts der Kontrollverlust des Bürgers hinsichtlich seiner sensibelsten Daten praktisch besiegelt.

Wenn also der Bundesgesundheitsminister auf der DMEA-Messe im April davon schwärmt, dass "auch mit heutigem Datenschutzrecht viel geht", dann bedeutet dies genau das: die Aushöhlung des Datenschutzrechts mit formal legalen Mitteln.

Weshalb hat die Öffentlichkeit diesen Angriff auf ihre Datenschutzrechte nicht bemerkt?

"Der Ökonomie der Aufmerksamkeit zu folgen (Franck 1998), bedeutet für die Regierungskommunikation, das Timing, die Themen und vor allem das Framing der Berichterstattung zu beeinflussen", heißt es in der von der Bertelsmann Stiftung 2008 herausgegebenen Schrift "Kommunikationsreform".

Tatsächlich ist Spahns Erfolg auch das Ergebnis einer herausragenden politischen Kommunikationsstrategie. Allein das Timing war hervorragend: Die Aufmerksamkeit der Öffentlichkeit wird seit Monaten absorbiert durch sehr polarisierende Themen (v.a. Brexit, Trump, Klimabewegung).

Mit unglaublicher Schnelligkeit verfolgt Spahn seine Gesetzesvorhaben. Dadurch wird selbst die kritische Öffentlichkeit förmlich überrannt. Unterstützend wirkt ferner eine geschickte Imagekonstruktion als fleißiger und fürsorglicher Kümmerer. Niemand argwöhnt, dass ausgerechnet dieser sympathische Bundesminister versuchen wird, auf formal legalem Wege dem Datenschutz das Genick zu brechen.

Und schließlich verhindert ein klug gewählter Sicherheits-Frame, der monatelang die ohnehin spärliche Berichterstattung über das Gesetz beherrscht, jede gesellschaftliche Debatte. Dass durch das Gesetz auch bedeutende Datenschutzrechte betroffen sind, erfährt die Bevölkerung ja nicht. Sie muss geradezu davon ausgehen, dass es nur um die Registrierung von Implantatprodukten geht. Der Gesetzesname wird dabei selbst zum politisch strategischen Frame, der, indem er die falsche Tatsache einer bloßen Produktregistrierung vorspiegelt, als Pars-pro-toto-Fehlschluss die Arglosigkeit der Bevölkerung forciert.

Auf diese Weise wurde einer intensiven gesellschaftlichen Diskussion, die angesichts der Tragweite eines solchen Grundrechtseingriffs ganz sicher zu erwarten gewesen war, erfolgreich der Riegel vorgeschoben.

Es ist der 27. September 2019. Spahn hat das Gesetz durchs Parlament gebracht. Jetzt tritt er in einem vom Bundesgesundheitsministerium auch auf YouTube veröffentlichten Erklärvideo vor das Volk. In leicht verständlicher Sprache verkündet er, dass die Regierung den Patienten von nun an "im Alltag begleiten" sowie "unterstützen und helfen" werde und dass das neue Gesetz für den Patienten vor allem "Sicherheit" bedeute, nicht nur im Hinblick auf Implantate:

"Damit gewährleisten wir Datenschutz und Datensicherheit auf höchstem Niveau", versichert der Bundesgesundheitsminister und lächelt.

Abonnieren
Nach oben ↑