Spahn öffnet Industrie Hintertür zu Versichertendaten

Jens Spahn. Bild: BMG

TP-Exklusiv. Seit langem fordert die Industrie einen direkten Zugang zu Versichertendaten. Einen indirekten hat sie jetzt bekommen. Der fleißige Herr Spahn: Mit Vollgas gegen den Datenschutz -Teil 7

Es half nichts. Der Deutsche Gewerkschaftsbund hatte verlangt, die Hintertür zu schließen. Jetzt steht sie sperrangelweit auf.

Seit langem fordert die Industrie einen direkten Zugang zu den Versichertendaten von 73 Millionen gesetzlich versicherter Bürger. Ende Dezember 2019 dann hatte die CDU ein Positionspapier vorgelegt, das dieser Forderung Rechnung trug: Die "in Deutschland ansässigen forschenden Unternehmen der Gesundheitswirtschaft" sollen, so forderten die CDU-Politiker, "in den Kreis der Antragsberechtigten" für das mit dem Digitale-Versorgung-Gesetz geschaffene staatliche Forschungsdatenzentrum aufgenommen werden.

Wenn auch diese Forderung sich bisher nicht durchsetzen konnte, so wurde doch mit einer aktuellen Verordnung des Gesundheitsministers jetzt der Weg dahin geebnet.

Das Forschungsdatenzentrum bietet Daten zur Nutzung an - sowohl aus erzwungenen als auch aus freiwilligen Datenweitergaben:
a) Digitale-Versorgung-Gesetz: Ohne Einräumung eines Widerspruchsrechts werden von den Krankenkassen gespeicherte Sozial- d.h. auch Gesundheitsdaten der Versicherten ans Forschungsdatenzentrum weitergegeben.
b) ePA-Datengesetz: Freiwillig sollen die Versicherten ihre in der ePA gespeicherten Gesundheitsdaten ab 2023 ans Forschungsdatenzentrum weitergeben.

Dabei enthielt bereits das im November verabschiedete Digitale-Versorgung-Gesetz ein Schlupfloch, auf das sich CDU/CSU und SPD geeinigt hatten: In Ausnahmefällen durften die Nutzungsberechtigten nach Genehmigung eines gesonderten Antrags die Daten auch an Dritte weitergeben.

Die folgende Liste enthält allein die Nutzungsberechtigten des Forschungsdatenzentrums:

die für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene, der Spitzenverband Bund der Krankenkassen, die Bundes- und Landesverbände der Krankenkassen, die Krankenkassen, die Kassenärztlichen Bundesvereinigungen und Kassenärztlichen Vereinigungen, die Institutionen der Gesundheitsberichterstattung des Bundes und der Länder, die Institutionen der Gesundheitsversorgungsforschung, die Hochschulen sowie außeruniversitäre Forschungseinrichtungen und sonstige Einrichtungen, die Daten zur unabhängigen wissenschaftlichen Forschung benötigen, der Gemeinsame Bundesausschuss, das Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen, das Institut des Bewertungsausschusses, die Beauftragte für Patientenbelange, maßgebliche Selbsthilfeorganisationen chronisch kranker und behinderter Menschen auf Bundesebene, das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen, das Institut für das Entgeldsystem im Krankenhaus, die für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden sowie übrige oberste Bundesbehörden, die Bundesärztekammer, die Bundeszahnärztekammer, die Bundespsychotherapeutenkammer sowie die Bundesapothekenkammer und schließlich die Deutsche Krankenhausgesellschaft.

Grundsätzlich galt bisher aber: "Die Nutzungsberechtigten dürfen die […] zugänglich gemachten Daten nicht an Dritte weitergeben." Dieser Satz ist in Spahns neuer Daten-Verordnung nicht mehr auffindbar.

Aber nicht nur das. Der Gesundheitsminister hat sich darüber hinaus über die Forderung des Deutschen Gewerkschaftsbundes hinweggesetzt, den Kreis dieser "Dritten" auf "öffentliche, den Sozialversicherungsträgern angehörende oder nicht gewinnorientierte Institutionen zu begrenzen".

Im Klartext: Damit sind die sensiblen Gesundheitsdaten von 73 Millionen gesetzlich versicherter Bürger jetzt mittelbar dem Zugriff der gewinnorientierten Gesundheitswirtschaft ausgesetzt.

Hinzu kommt, dass Spahn, wie Telepolis am Dienstag berichtete (Spahn erhöht Datenschutz-Risiko, durch zwei andere Regelungen derselben Verordnung das Risiko der Bürger, identifiziert zu werden, stark erhöht hatte:

1. Neben anonymisierten Daten bietet das Forschungsdatenzentrum jetzt nämlich regulär (d.h. nicht mehr nur als Ausnahme) auch pseudonymisierte Einzeldatensätze zur Datennutzung an.

2. Zusätzlich hat Spahn allen Warnungen zum Trotz auch noch den Datenumfang derart erweitert, dass ein Re-Identifikationsrisiko auch in der Verordnung selbst nicht in Abrede gestellt wird.

Genaueres dazu: Schon wieder: Spahn erhöht Datenschutz-Risiko.

Die Begriffe Pseudonymisierung und Anonymisierung bezeichnen unterschiedliche Datenschutzniveaus.
'Pseudonym' bedeutet, dass die Person unter Hinzuziehung von gesondert aufbewahrten Informationen wieder identifiziert werden kann. Pseudonymisierte Daten gehören deshalb zu den personenbezogenen Daten, deren Verarbeitung in den Anwendungsbereich der Datenschutzgrundverordnung fällt. 'Anonym' bedeutet dagegen, die betroffene Person kann nicht oder nur mit sehr hohem Aufwand wieder identifiziert werden. Bei modernen Big-Data-Anwendungen ist allerdings selbst bei Anonymisierung der Daten der Schutz vor einer Re-Identifikation kaum noch gegeben.

Wer nun angesichts der Weitergabe seiner sensiblen Gesundheitsdaten erhöhte Sicherheits- bzw. Schutzvorkehrungen gegen den Missbrauch seiner Daten erwartet, der wird bei Durchsicht der Verordnung seinen Augen nicht trauen:

Die nutzungsberechtigten Antragsteller sollen selbst "sicherstellen", dass "eine Datenverarbeitung durch Dritte für andere Zwecke als die der Beratung ausgeschlossen ist". Offenbar ist hier lediglich eine Selbstverpflichtung des Antragstellers vorgesehen. Das staatliche Forschungsdatenzentrum prüft laut Verordnungstext im Genehmigungsverfahren lediglich, ob eine Verpflichtungserklärung des Antragstellers vorliegt.

Das bedeutet ein immenses Risiko für die Persönlichkeitsrechte von 73 Millionen gesetzlich versicherter Bürger. Und als wäre das alles nicht schon genug, wird das Risiko zusätzlich noch durch die folgende, offensichtlich ernst gemeinte Sanktionsandrohung in die Höhe getrieben:

Datennutzungsberechtigte, welche die Daten entgegen der Genehmigung des Forschungsdatenzentrums zu anderen Zwecken missbrauchen, erhalten das Recht, spätestens nach zwei Jahren wieder Zugang zu den sensiblen Patientendaten zu erhalten.

Die Entwicklung ist beunruhigend. Erst letzte Woche hatte Telepolis aufgedeckt, wie die große Koalition kürzlich mit einem undurchsichtigen Änderungsantrag zum epA-Datengesetz den Datenschutz der gesetzlich versicherten Bürger aushebelte (ePA - Datengesetz: Sie haben den Affen übersehen). Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte sich gegenüber Telepolis besorgt gezeigt und vor der Gefahr des "gläsernen Versicherten" gewarnt (Oberster Datenschützer und 73 Mio Bürger ausgetrickst).

Diese Gefahr des "gläsernen Versicherten" dürfte mit Spahns aktueller Verordnung extrem groß geworden sein. Ob dabei eine solche auch noch gegen den Willen des gesetzlich versicherten Bürgers erzwungene risikoreiche Datenverarbeitung überhaupt datenschutzkonform ist, ist zweifelhaft.

Erstaunlicherweise hat der Bundsdatenschutzbeauftragte Ulrich Kelber die Bevölkerung zu dem neuerlichen Fall von Datenschutzabbau noch nicht aufgeklärt. Telepolis hat Ulrich Kelber deswegen erneut um Aufklärung gebeten.

In Fortsetzung dieses Artikels ist mit den Antworten von Ulrich Kelber am 13.08. ein neuer Artikel online gegangen: Kontroverse: Patientendaten in Gefahr?

Die seit 2016 eigenständige oberste Behörde für den Datenschutz und die Informationsfreiheit ist zuständig für die Überwachung der Einhaltung datenschutzrechtlicher Bestimmungen auch bei öffentlichen Stellen (z.B. gesetzlichen Krankenkassen). Dabei ist der Bundesdatenschutzbeauftragte u.a. befugt, aufsichtsrechtliche Maßnahmen zu ergeifen. Zu seinen Aufgaben gehört auch die Aufklärung der Bürger über Risiken, Gesetze und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten.

(Brigitta Engel und Florian Rötzer)