Wenn es bei der Digitalisierung hakt, zeigen die Finger schnell auf den Datenschutz als vermeintliche Bremse. Damit muss Schluss sein, kommentiert der Bundesdatenschutzbeauftragte Ulrich Kelber – damit der Blick auf die echten Hindernisse frei wird.
Prof. Dipl.-Inf. Ulrich Kelber ist seit 2019 der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Von 2000-2018 war er Mitglied des Deutschen Bundestags und von 2013-2018 parlamentarischer Staatssekretär bei Bundesminister der Justiz und für Verbraucherschutz. Er ist Mitglied im Executive Commitee der Weltvereinigung der Datenschutzbehörden und Vorsitzender der International Working Group on Data Protection in Technology.
Deutschland braucht einen Digitalisierungsschub. Egal, ob in der Verwaltung, im Gesundheitswesen, bei der Mobilität oder im Bildungsbereich. Doch wenn es bei Projekten wie eID, digitaler Gesundheitsdokumentation, Registermodernisierung oder Bildungsplattformen nicht läuft, ist der vermeintlich Schuldige schnell gefunden: der Datenschutz.
Unkonkrete und nie belegte Schuldzuweisungen an den Datenschutz haben sich in Talkshows, in Reden auf Konferenzen, Gastbeiträgen in Medien und einigen Leitartikeln durchgesetzt. Das ist einfach nur traurig und führt in eine Sackgasse des Denkens. Und das, obwohl es doch eigentlich darum geht, die erschreckenden Mängel in der Digitalisierung in Deutschland abzustellen. Dafür müssen sich alle Beteiligten auch bei widerstreitenden wirtschaftlichen Interessen zusammentun.
Eine behauptete überzogene Regulierung in Deutschland und eine angebliche besonders strenge deutsche Auslegung der europaweit geltenden Datenschutzgrundverordnung existieren nachweisbar nicht. Im Gegenteil, meist sind die Erzählungen vom hinderlichen Datenschutz leicht faktisch widerlegbar. Doch das hält die Akteure nicht davon ab, sie regelmäßig zu wiederholen.
Ein besonders absurdes Beispiel ist der Gesundheitssektor, wo sich die Extreme schmerzhaft zeigen: Die unzureichende Digitalisierung und föderale Unterschiede in der Gesetzgebung führen dazu, dass hilfreiche Daten bis heute nicht erhoben oder zu wenig genutzt werden. Das schadet insbesondere den Patientinnen und Patienten. Denn so können nicht alle Möglichkeiten der Forschung genutzt werden, es lagen nicht genügend Erkenntnisse etwa über den Verlauf der Corona-Pandemie vor, Doppeluntersuchungen werden notwendig oder es kommt zu Fehlmedikationen.
Werden IT-Sicherheit und Datenschutz im Gesundheitssektor nicht ausreichend berücksichtigt, können die besonders sensiblen Gesundheitsdaten andererseits leicht in falsche Hände geraten. Die teils sehr unangenehmen Konsequenzen für die Betroffenen von Hacks oder Leaks finden in der öffentlichen Diskussion viel zu wenig Beachtung.
Ethikrat, gematik, Krankenkassen und Verbände: das gleiche Muster
Ich unterstütze die eindringliche Forderung des Deutschen Ethikrats, dass die Digitalisierung des Gesundheitssektors endlich vorankommen muss, um den Patientinnen und Patienten bestmögliche Hilfe zu geben. Aber statt die zwanzig Jahre Verzögerung bei Projekten, inkompatible Datenformate, unzureichende Meldewege, mangelnde Softwarequalität und die gegenseitige Blockade der Interessensgruppen anzuprangern, arbeitet sich der Ethikrat einseitig am Datenschutz ab und lässt dabei oft genug grundlegende Faktenkenntnis vermissen.
Besonders unerträglich war das Verhalten des stellvertretenden Vorsitzenden des Ethikrates, Nieda-Rümelin, in den Hochzeiten der Corona-Pandemie. Da zog er von Talkshow zu Talkshow und behauptete, die Datenschützer seien schuld an zehntausenden Toten und hunderttausenden vernichteten Existenzen, weil sie eine „zahnlose Corona-Warn-App“ erzwungen hätten. Man müsse sich stattdessen an den Apps in Südkorea, Japan und Taiwan orientieren.
Doch obwohl die drei genannten Staaten gar keine besseren Gesamt-Infektionszahlen als Deutschland hatten und haben, wiederholte Nieda-Rümelin seine Behauptung bis zuletzt; selbst nachdem er mehrfach über die grundlegenden Fakten informierte wurde: Südkorea verwendet seine App nicht zur Kontaktverfolgung, Japan nutzt exakt die gleiche Technologie wie Deutschland und Taiwan hat gar keine App in diesem Bereich.
Ein Beispiel für faule Ausreden bei verschleppter Digitalisierung liefert leider die gematik. Das Unternehmen ist sozusagen das IT-Haus des Bundes für den Gesundheitssektor. Und sie schiebt immer noch – auch wenn sie sich in zunehmend besseren Strukturen um ihre Aufgaben kümmert – gerne den Anforderungen von IT-Sicherheit und Datenschutz die Schuld für zum Teil seit Jahren verzögerte Projekte zu.
Zuletzt behauptete der Bereichsleiter eHealth & gematik des Bundesgesundheitsministeriums im Januar in einem Interview, man brauche eine bessere Abwägung zwischen IT-Sicherheits- und Datenschutzanforderungen auf der einen Seite und gut nutzbarer Digitalisierung auf der anderen Seite. Worauf er anspielte: Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) und meine Behörde, der BfDI, hatten den gematik-Vorschlag für eine von mehreren Einreichungsformen von eRezepten abgelehnt.
Was er nicht erwähnte: Der abgelehnte Entwurf hätte es mit minimalem Aufwand ermöglicht, in mehr als 18.000 Einrichtungen unrechtmäßig in die Rezeptdaten aller(!) Krankenversicherten Einblick nehmen und damit Rückschlüsse auf Krankheiten aller Art ziehen zu können. Übrigens: BSI und BfDI haben natürlich nicht einfach „Nein“ gesagt, sondern aufgezeigt, wie man die scheunentorgroße Sicherheitslücke in einer Form schließt, die exakt die gleiche Bedienung bei voller Sicherheit ermöglicht. Auf die krude Idee, Nutzungskomfort gegen Sicherheit und Grundrechtsschutz auszuspielen, statt beides zu bieten, muss man erst einmal kommen.
Ein weiterer Fall sind die Krankenkassen und einige Verbände, die ihre eigenen Interessen auch dadurch verfolgen, dass sie gegen IT-Sicherheit und Datenschutz schießen, sehr wohl zum Nachteil der Versicherten und bis hin zur Gefährdung von Patientenwohl. Die Krankenkassen statten ihre Versicherten zum Beispiel nicht mit einer PIN für deren elektronische Gesundheitskarte aus. Mit eGK und PIN könnten diese sich aber sicher unter anderem bei der elektronischen Patientenakte anmelden oder eRezepte in der Apotheke einlösen.
Stattdessen fordern die Krankenkassen immer wieder die Zulassung weniger sicherer Technologien zur Authentifizierung, zuletzt warb die Techniker Krankenkasse sogar bei Nutzer:innen ihrer App, die sich für die sichere Authentifizierung mit eGK entschieden hatten, dafür, doch auf die weniger sichere, von BSI und BfDI nur noch übergangsweise geduldete Variante ohne eGK umzusteigen. Man stelle sich vor, die Banken würden es ihren Kunden besonders schwierig machen, Bankkarten mit PIN zu nutzen und wieder zur Unterschrift auf dem Scheck zurückkehren wollen.
Besonders ärgerlich sind auch die Versuche, eigene Interessen an ganz anderer Stelle durch Kritik an IT-Sicherheit und Datenschutz durchzusetzen. Ein besonders schlimmes Beispiel war der Generalsekretär der Deutschen Gesellschaft für Orthopädie und Unfallchirurgie (DGOU), der behauptete, man dürfe die Gesundheitsdaten eines bewusstlosen Patienten im Rettungswagen nicht an das angefahrene Krankenhaus vorab übermitteln, weil ja die Einwilligung des Patienten fehle. Der Datenschutz in diesem Bereich müsse heruntergesetzt werden, forderte er. Man kann nur hoffen, dass kein Notarzt diesen gefährlichen Quatsch gelesen hat.
Auf genau der gleichen Grundlage, auf der man lebensrettende medizinische Maßnahmen wie beispielsweise Luftröhrenschnitte an einem bewusstlosen Patienten im Rettungswagen vornehmen darf, kann man natürlich auch die Daten an das behandelnde Krankenhaus geben. Alles das weiß der Verband, der auf der anderen Seite aber tatsächlich ein verbandsinternes Datenschutzproblem hat: Er wünscht sich die verpflichtende Einspeisung aller solcher Daten in bestimmten medizinischen Fällen in sein auf privatrechtlicher Basis betriebenes Register. Das geht aber nur mit einer gesetzlichen Grundlage, wie sie es zum Beispiel beim Implantateregister gibt.
Bündnis für schnellere Digitalisierung
Ähnliche Beispiele wie aus dem Gesundheitssektor findet man auch in anderen Bereichen. Die einen beschweren sich über die Anforderungen von IT-Sicherheit und Datenschutz, um über eigene Versäumnisse, Minderleistungen und Unkenntnisse hinwegzutäuschen. Die anderen nutzen die völlig berechtigte Debatte über die schwache Digitalisierung in Deutschland, um gegen IT-Sicherheits- und Datenschutzregelungen zu schießen, die angeblich wichtige Geschäftsmodelle verhindern. Dabei sind es in Wirklichkeit Geschäftsmodelle , die die Bürgerinnen und Bürger benachteiligen, wie etwa das massenhafte Sammeln von Verhaltensdaten der Kunden.
Was wir brauchen, ist ein Bündnis für schnelle Digitalisierung, das Lösungen voranbringt, denen die Bürgerinnen und Bürger vertrauen können. Dafür sind Sicherheit und Schutz der Daten unabdingbare Voraussetzungen. Ein Bündnis, dass sich gegen das Lamentieren in den Talkshows stellt. Und damit Handelnde darin bestärkt, legale und mögliche Datenverarbeitungen auch durchzuführen. Ein Bündnis, bei dem alle Seiten anerkennen, dass die verschiedenen Grundrechte nicht gegeneinanderstehen. Ein Bündnis, das versteht, dass gute Lösungen möglich sind, wenn die Beteiligten von Anfang an miteinander sprechen und zusammenarbeiten.
Wenn also alle wichtigen Akteure endlich aufhören würden, sich am gefährlichen Narrativ des bösen Datenschutzes abzuarbeiten, würde der Blick frei auf die echten Hindernisse der Digitalisierung.
Man hätte ein starkes Bündnis, das sich für ebenso starke Lösungen bei grundlegenden Projekten einsetzen könnte, wie etwa der eID, den digitalen Gesundheitsdokumentationen, der Modernisierung staatlicher Register, funktionierenden Bildungsplattformen und der Nutzung wichtiger Daten für das Gemeinwohl.
Dazu müssen selbstverständlich auch die Datenschutzaufsichtsbehörden einen Beitrag leisten: Mit engagierter Beratung und modernisierten eigenen Strukturen, um noch schneller abgestimmte Antworten der deutschen und europäischen Aufsichtsbehörden zu wichtigen rechtlichen und technischen Fragestellungen geben zu können, wie beispielsweise mit unserer Petersberger Erklärung vom November 2022 zur Nutzung von Gesundheitsdaten zu Forschungszwecken.
Wir Datenschutzbehörden wollen zeigen, dass für uns alle Grundrechte gleichrangig sind und wir nicht nur die informationelle Selbstbestimmung im Blick haben, denn das setzen wir täglich in der Praxis um.
Wir Datenschutzaufsichtsbehörden halten dafür unser uneingeschränktes Dialogangebot an alle Beteiligten aufrecht. Deshalb freue ich mich sehr, dass mein immer wieder erneuertes Angebot für einen persönlichen Austausch zu diesen Fragen vom Ethikrat nun endlich angenommen wurde. Packen wir es an!
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires