Bis zum 1. Oktober mussten die Krankenkassen im Rahmen des Datentransparenzverfahrens besonders schützenswerte Gesundheitsdaten von 73 Millionen gesetzlich Versicherten zu Forschungszwecken bereitstellen. Die Abrechnungsdaten der Versicherten sollten zwischen dem ersten August und dem ersten Oktober 2022 an die Sammelstelle des Spitzenverbands Bund der Krankenkassen (GKV-Spitzenverband) übermittelt werden. Inzwischen sind die Datensätze aller Versicherten eingetroffen, wie der GKV-Spitzenverband heise online auf Anfrage mitgeteilt hat.

Bis zum ersten Dezember 2022 sollen die Daten demnach an das am Bundesinstitut für Arzneimittel und Medizinprodukte eingerichtete Forschungsdatenzentrum (FDZ) weitergeleitet werden. Anschließend soll die Datensammlung immer weiter ergänzt und bis zu 30 Jahre lang gespeichert werden. Ein Widerspruchsrecht ist nicht vorgesehen. Die Gesellschaft für Freiheitsrechte (GFF) kritisiert das und will weiter gegen mangelnden Datenschutz und die fehlende Widerspruchsmöglichkeit vorgehen. Sie sieht darin einen Verstoß gegen das Recht auf informationelle Selbstbestimmung und gegen Artikel 21 der DSGVO.

Um die Weitergabe der Daten zunächst in zwei Fällen zu verhindern, hatte die GFF Anfang Mai gemeinsam mit Constanze Kurz vom Chaos Computer Club (CCC) und einer Person – die an dem seltenen Krankheitsbild Hämophilie leidet – zwei Eilverfahren bei den Sozialgerichten in Berlin und Frankfurt eingeleitet und diese für sich entschieden.

Forschungsdaten sinnvoll, Datenschatz nicht ausreichend

Generell hält die GFF die Nutzung von Gesundheitsdaten zu Forschungszwecken für sinnvoll, jedoch würden die "bislang gesetzlich vorgesehenen Schutzstandards" für die Gesundheitsdatenbank nicht ausreichen. Die Daten würden lediglich pseudonymisiert, wobei Angaben wie Name und Geburtstag entfernt werden. Ein Gutachten des Kryptografie-Professors Dominique Schröder hatte jedoch gezeigt, dass trotzdem Rückschlüsse auf einzelne Personen möglich sind. Damit könne ein Missbrauch der Daten nicht ausgeschlossen werden, vor allem da derzeit keine Pflicht für den Einsatz zeitgemäßer Verschlüsselungstechniken bestehe.

Zentrale Datensammlung als Single Point of Failure

Vor allem die zentrale Datensammlung beim GKV-Spitzenverband und in einem Forschungsdatenzentrum sieht Schröder kritisch, sie sei ein möglicher Single Point of Failure und nicht notwendig. Besser sei eine dezentrale Datenspeicherung, die auch dem Stand der Technik entspricht. Auch die Gematik arbeitet derzeit an einem Konzept, bei dem Daten nicht zentral gespeichert werden. Als Methoden für den Umgang mit sensiblen Daten nennt Schröder unter anderem das Konzept "Differential Privacy", das auch von Google und Apple eingesetzt wird. Auch schlägt er den Einsatz moderner kryptografischer Verfahren wie die Verwendung homomorpher Verschlüsselungen oder die der sicheren Mehrparteienberechnung vor.

Mit weiteren Klagen will die GFF ein Widerspruchsrecht erwirken und "dass die Daten der Versicherten bestmöglich geschützt werden, um einen Missbrauch zu verhindern." Dabei sollten hohe Sicherheitsstandards gelten bei der "Zusammenführung der Datensätze vor der Pseudonymisierung, die zentrale Speicherung der pseudonymisierten Datensätze sowie die Verarbeitung der Daten durch die Nutzungsberechtigten hohe IT-Sicherheitsstandards".

Menschen mit seltenen Erkrankungen schlecht geschützt

"Wer an einer seltenen Krankheit leidet, ist in scheinbar anonymisierten Datenbanken besonders leicht identifizierbar. Das ist besonders dann gefährlich, wenn die Krankheit stigmatisierend wirkt oder die Kenntnis davon sogar Erpressungspotenzial hat", sagt Bijan Moini, Jurist und Verfahrenskoordinator von GFF. Niemand wolle Gesundheitsforschung verhindern, "aber das Gesetz sieht weder ausreichende Schutzstandards noch moderne Verschlüsselungsmethoden vor – das ist fahrlässig und gefährlich. Wenn Gesundheitsdaten einmal in falsche Hände geraten, kann das nicht mehr rückgängig gemacht werden".

Das Bundesgesundheitsministerium mochte sich gegenüber heise online zu dem "laufenden Verfahren" nicht äußern. In die Wege geleitete hatte die Datensammlung ohne Widerspruchsmöglichkeit der ehemalige Gesundheitsminister Jens Spahn mit dem 2019 in Kraft getretene Digitale-Versorgung-Gesetz (DVG).

(mack)