Oberster Datenschützer und 73 Mio. Bürger ausgetrickst

TP-Exklusiv. "Datenrasterung". "Gläserner Versicherter". Jetzt äußert sich der Bundesdatenschutzbeauftragte zu dem ungeheuerlichen Vorgang

Es ist schlimmer, als bisher angenommen. Und es zeigt, welche Manöver die Bundesregierung unternommen hat, um Datenschutzrechte von 73 Millionen gesetzlich Versicherter auszuhebeln, ohne dass die betroffenen Bürger selbst davon erfahren. Aber das ist, wie sich jetzt herausstellt, noch nicht alles.

Am Montag hatte Telepolis aufgedeckt, dass CDU/CSU und SPD mit Hilfe eines von der Öffentlichkeit unbemerkten Änderungsantrags zum EPA-Gesetz (Elektronische Patientenakte) das erst im November im Digitale-Versorgung-Gesetz (DVG) (Wie man Datenschutz als Versorgungsinnovation framet) festgeschriebene Einwilligungserfordernis zur individualisierten Datenauswertung durch die Krankenkassen still und leise wieder beseitigt haben (zur genauen Einordnung des aktuellen Vorgangs: EPA-Datengesetz - Sie haben den Affen übersehen).

Hintergrund ist die von Gesundheitsminister Spahn aus wirtschaftlichen Gründen vorangetriebene neue Rolle der Krankenkassen in der medizinischen Versorgung, die es ihnen erlaubt, durch Kooperation mit Unternehmen und Erwerb von Anteilen an Investmentfonds sog. digitale Versorgungsinnovationen zu fördern. Dazu erhielten die Kassen im DVG u.a. die Befugnis, die bei ihnen gespeicherten personenbezogenen Daten der Versicherten für ein individualisiertes "Angebot" auszuwerten, allerdings nur sofern der Versicherte ausdrücklich einer solchen Datenauswertung zustimmt.

Mit dem am 03. Juli beschlossenen EPA-Datengesetz ist die kurz gewährte Freiwilligkeit auch schon wieder Geschichte.

Das ist keine Kleinigkeit. Es geht hier um nichts weniger als um das Recht auf informationelle Selbstbestimmung. Gegenüber Telepolis äußert sich der Bundesdatenschutzbeauftragte besorgt:

Aus datenschutzrechtlicher Sicht sehe ich den Wegfall des Einwilligungserfordernisses kritisch. Bereits die pseudonymisierte Auswertung der Versichertendaten, die zumindest teilweise einer besonderen Kategorie i. S. des Artikel 9 Abs. 1 DSGVO - den Gesundheitsdaten - zuzuordnen sind, stellt einen empfindlichen Eingriff in das Recht auf informationelle Selbstbestimmung der Versicherten dar. Es besteht die Gefahr, dass eine derartige 'Datenrasterung' einen weiteren Baustein zur zukünftigen Komplettierung des 'gläsernen Versicherten' liefert. Dies liegt nicht im Interesse der Versicherten.

Ulrich Kelber, BfDI

Dass das alles überhaupt still und lautlos unter den Augen des Bundesdatenschutzbeauftragten geschehen konnte, liegt daran, dass die Bundesregierung mit diesem inhaltlich überraschenden Änderungsantrag nicht nur die Öffentlichkeit umgangen hat, sondern - wie sich jetzt herausstellt - auch den erwartbaren Widerspruch des Bundesdatenschutzbeauftragten.

Man glaubt es kaum: Aber der Wortlaut des Änderungsantrags, den die Bundesregierung der obersten Bundesbehörde für Datenschutz in Form einer sog. Formulierungshilfe zur Stellungnahme vorgelegt hatte, stimmte nicht überein mit dem Wortlaut des im Gesundheitsausschuss tatsächlich zur Abstimmung vorgelegten Änderungsantrags [folgende Hervorhebung von uns]:

In der Formulierungshilfe war die Änderung, dass für die Verarbeitung personenbezogener Daten keine Einwilligung benötigt wird, nicht enthalten, diese muss im Ausschuss selbst vorgenommen worden sein. Der Text der Formulierungshilfe lautete: 'Die Teilnahme an Angeboten nach Absatz 2 und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden.' Aus diesem Grund hat der BfDI zu dem Punkt keine Stellungnahme abgegeben.

Ulrich Kelber, BfDI

Das stimmt. Im Unterschied zur Gesundheitsausschuss-Fassung enthielt die Kelber vorgelegte Fassung noch ein Einwilligungserfordernis für die Auswertung personenbezogener Daten - aber: nur noch für die freiwillige Teilnahme an den bereits auf der Grundlage der Datenauswertung erstellten individuellen Angeboten zu Versorgungsinnovationen, nicht mehr aber als Voraussetzung für die Erstellung der entsprechenden individuellen Angebote selbst. (Dementsprechend fehlte auch der in der bisher geltenden Fassung ausdrücklich enthaltene Hinweis auf die Datenauswertung in §68b Abs. 1 SGB V.)

Hier zum Vergleich die bisher geltende Fassung (Hervorhebung von uns):

"Die Krankenkassen dürfen die Auswertung von Daten eines Versicherten nach Absatz 1 und die Unterbreitung von Informationen und Angeboten nach Absatz 2 jedoch nur vornehmen, wenn die oder der Versicherte zuvor schriftlich oder elektronisch eingewilligt hat, dass ihre oder seine personenbezogenen Daten zur Erstellung von individuell geeigneten Informationen oder Angeboten zu individuell geeigneten Versorgungsinnovationen verarbeitet werden [...]."

Das dem Bundesdatenschutzbeauftragten präsentierte "Einwilligungserfordernis" ist unserer Auffassung nach eben nicht gleichbedeutend gewesen mit dem ursprünglichen Einwilligungserfordernis.1 Es bezieht sich in dem verwendeten Kontext lediglich auf die Datenauswertung zu einer ohnehin freiwilligen Teilnahme an sog. individuellen Versorgungsmaßnahmen.

Aber auch das ist noch nicht alles. Eine weitere TP-Recherche hat nun Folgendes zutage gefördert:

Die Streichung des Einwilligungserfordernisses geht zurück auf eine bereits im letzten Jahr an die Bundesregierung gerichtete und nun anlässlich des EPA-Gesetzes erneut erhobene Forderung seitens der Krankenkassen. Mehr noch: Die Ulrich Kelber von der Bundesregierung vorgelegte Fassung entspricht 1:1 dem Änderungsvorschlag der Kassen, nur die Datenauswertung für die ohnehin freiwillige Teilnahme an individuellen Versorgungsmaßnahmen soll zustimmungspflichtig sein. Die Datennutzung zur vorbereitenden Erstellung dieser individuellen Angebote aber soll auch gegen den Willen des Versicherten möglich sein.

Hier ein Beleg aus der Stellungnahme des GKV-Spitzenverbandes vom 11.10.2019 zum DVG-Entwurf:

"Die Auswertung der Daten nach §68b Abs. 1 SGB V ist nur mit vorheriger Einwilligung zulässig. Das dürfte an Praktikabilitätsgrenzen stoßen […].
Änderungsvorschlag: 'Die Teilnahme an Angeboten nach dieser Vorschrift und die für die Teilnahme erforderliche Verarbeitung der personenbezogenen Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden."

Oder hier unter der Rubrik "ergänzender Änderungsbedarf" aus der Stellungnahme des AOK Bundesverbandes vom 20.02.2020 zum Referentenentwurf des EPA-Gesetzes:

"Es besteht Regelungsbedarf hinsichtlich der Streichung des vorgezogenen Einwilligungserfordernisses bei der Datenauswertung zur Förderung von Versorgungsinnovationen. […] Änderungsvorschlag: "Die Teilnahme an Angeboten nach dieser Vorschrift und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen."

Und hier ein letzter Beleg aus der Stellungnahme des GKV-Spitzenverbandes vom 19.05. 2020 zum Kabinettsentwurf des EPA-Gesetzes, in der als "Anlass" für den "ergänzenden Änderungsbedarf" nun sogar die Corona-Krise genannt wird:

"Im Rahmen der aktuellen Corona-Krise wird deutlich, dass die Krankenkassen Versicherte mit konkreten Gesundheitsrisiken nicht zeitnah und hinreichend beraten und gezielt geeignete Gesundheitsleistungen anbieten können. […] Es besteht Regelungsbedarf hinsichtlich der Streichung des vorgezogenen Einwilligungserfordernisses bei der Datenauswertung zur Förderung von Versorgungsinnovationen. […] Änderungsvorschlag: "'Die Teilnahme an Angeboten nach dieser Vorschrift und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen.'"

Ob man die dem Bundesdatenschutzbeauftragten vorgelegte Fassung nun deuten mag, wie es seine Behörde tat oder wie wir es tun - das Ergebnis bleibt das gleiche: Die oberste Behörde für Datenschutz wurde geschickt schachmatt gesetzt, um eine alte Forderung der Krankenkassen unauffällig durch einen undurchsichtigen Änderungsantrag durchzusetzen.

Und schließlich gehört zum Gesamtbild auch das: Offenbar wurde die Datenschutzbehörde unter immensen Zeitdruck gesetzt: Für Durchsicht und Stellungnahme zu 53 Seiten mit Änderungsanträgen blieb der Behörde laut Kelber abzüglich eines Feiertages nur ein Arbeitstag, um Spahns Fristsetzung einzuhalten.

Aber das letzte Wort ist noch nicht gesprochen. Der Bundesdatenschutzbeauftragte kann unter bestimmten Bedingungen aufsichtsrechtliche Maßnahmen ergreifen:

Sofern meine Prüfung zu dem Ergebnis kommt, dass ein in Kraft befindliches Gesetz gegen Europarecht - namentlich die DSGVO - verstößt, kann ich die darauf basierende Datenverarbeitung mit entsprechenden Anordnungen unterbinden oder Veränderungen der Datenverarbeitung anweisen. Diese aufsichtsrechtlichen Maßnahmen wären selbstverständlich gerichtlich überprüfbar. Die Frage der Europarechtskonformität könnte wiederum von den deutschen Gerichten auch dem EuGH zur Vorabentscheidung vorgelegt werden.

Ulrich Kelber, BfDI

Wir haben den Bundesdatenschutzbeauftragten auch gefragt, welche rechtlichen Möglichkeiten die betroffenen Bürger selbst haben, sich gegen eine datenschutzrechtlich fragwürdige Nutzung ihrer Sozialdaten zu wehren:

1) "Die betroffenen Bürgerinnen und Bürger können sich an die für ihre gesetzliche Krankenversicherung zuständige Datenschutzaufsichtsbehörde wenden und um Prüfung der Rechtmäßigkeit des Vorgehens bitten."

2) Die betroffenen Bürger können auch den Klageweg bestreiten:

a) Sie können gegen die auf dem Gesetz basierenden Maßnahmen klagen, wenn sie der Auffassung sind, "dass das Gesetz gegen das Grundrecht auf informationelle Selbstbestimmung verstößt". Sollten die Gerichte anderer Meinung sein, können die Bürger Verfassungsbeschwerde einlegen.

b) Sollte das Gesetz "zwar nicht gegen das deutsche Grundgesetz, wohl aber gegen europäisches (Datenschutz-)Recht" verstoßen, also gegen die DSGVO, "besteht ein Anwendungsvorrang des europäischen Rechts und das deutsche Gesetz dürfte nicht angewendet werden. Ein Betroffener könnte eine Klage - im vorliegenden Fall vor dem Sozialgericht - darauf stützen, dass das Gesetz gegen die DSGVO verstößt."

Um die Öffentlichkeit aufzuklären, kündigt Kelber in jedem Fall schon mal eine Information seiner Behörde an, "wie wir mit allen relevanten Aspekten des PDSG [Patientendatenschutzgesetz, Anmerkung von uns] umgehen werden".

Die Bundesregierung muss sich jetzt zu diesem ungeheuerlichen Vorgang äußern. Denn dass ein solcher Umgang mit Grundrechten der Bürger zur "neuen Normalität" wird - daran kann niemandem gelegen sein.

Um Missverständnissen vorzubeugen: Das Gesetz heißt "Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur". Obwohl es die datenschutzrechtlichen Regelungen zur elektronischen Patientenakte enthält, wurde durch einen Änderungsantrag von CDU/CSU und SPD zu diesem Gesetz auch eine bereits mit dem Digitale-Versorgung-Gesetz beschlossene Regelung zu Lasten des Datenschutzes geändert. Wir verweisen zur Einordnung auf unseren vorangegangenen Artikel. Wir kürzen das Gesetz "EPA-Datengesetz" oder "EPA-Gesetz" ab. Die von der Bundesregierung angebotene Abkürzung: "Patientendaten-Schutz-Gesetz" enthält bereits eine Bewertung, die wir nicht kritiklos weiter verbreiten. (s. ebenso "Das Gute-KiTA-Gesetz" oder das "Starke-Familien-Gesetz".)

TP-Serie zum Datenschutzabbau im Gesundheitswesen:

Teil 1 Implantateregister-Errichtungsgesetz
Teil 2 Digitale-Versorgung-Gesetz
Teil 3 Terminservice- und Versorgungsgesetz
Teil 4 Pandemiegesetz
Teil 5: EPA-Datengesetz

(Brigitta Engel und Florian Rötzer)