Im Rahmen der seit Jahrzehnten andauernden Digitalisierung der Gesellschaft werden stetig neue Sachbereiche daraufhin abgeklopft, wie die vorliegenden Daten nutz- und gewinnbringend ausgewertet werden können. Die Gesundheitsdaten der deutschen Bevölkerung sind da keine Ausnahme.
Unter der Ägide des damaligen Gesundheitsministers Jens Spahn beschloss der Deutsche Bundestag im Dezember 2019 das sogenannte Digitale-Versorgung-Gesetz (DVG). Auf dessen Grundlage wurden die Gesundheitsdaten aller 73 Millionen gesetzlich Versicherten im sogenannten Datentransparenzverfahren (DTV) seit Oktober 2022 zusammengeführt und zentral gespeichert. Begründet wurde das Vorhaben damit, dass dadurch neue Möglichkeiten für die medizinische Forschung, die Versorgungsforschung, die Gesundheitsberichterstattung und die Steuerung des Gesundheitswesens entstehen sollen.
Auch wenn dies berechtigte Anliegen sind, dürfen die Grundrechte der Betroffenen bei der Umsetzung nicht auf der Strecke bleiben: Bei der Verarbeitung hochsensibler Gesundheitsdaten von Millionen Versicherten braucht es angemessene Schutzstandards und Widerspruchsrechte, beides fehlt im DVG.
Zentrale Speicherung birgt unnötige Risiken
Die Datentransparenzverordnung vom 26. Juni 2020 sieht vor, dass spätestens am 1. Oktober 2022 alle Versichertendaten von den gesetzlichen Krankenkassen zur Datensammelstelle, dem Spitzenverband Bund der Krankenkassen (BdK), fließen sollten. Zu jeder Person werden u. a. folgende Gesundheitsdaten als zusammenhängender Datensatz verarbeitet: Diagnosen, Behandlungen, Operationen, Arzneimittel, Zuzahlungen, Krankengeld-Informationen und viele andere Kosten- und Leistungsdaten sowie Geburtsjahr, Geschlecht und Postleitzahl.
Für die beschriebenen Zwecke, insbesondere die medizinische Forschung, würde es genügen, wenn die Daten dezentral gespeichert und nur projektbezogen temporär zusammengeführt würden. Stattdessen werden die Gesundheitsdaten aller Versicherten nun zusätzlich zur Speicherung bei den Krankenversicherungen in einer zentralen Datenbank vollständig, gemeinsam und bis zu 30 Jahre lang vorgehalten.
Eine solche zusätzliche zentrale Speicherung erhöht die Risiken eines Datenmissbrauchs oder eines unbefugten Datenzugriffs. Ein erfolgreicher Angriff oder eine Fehlbenutzung betreffen in einem zentralen System zudem potenziell schnell alle Daten und können verheerende Folgen haben für die Versicherten (Identifikation, Stigmatisierung und Arbeitsplatzverlust nach Veröffentlichung, Verletzung der Selbstbestimmung) und auch für den Betreiber (Haftungsansprüche). Zudem bedeutet eine unnötige Datenzentralisierung immer eine unverhältnismäßige staatliche Machtkonzentration, denn liegen die Daten einmal vor, können sie schnell auch für andere Zwecke verwendet werden, etwa für individualisierte Versicherungstarife oder gar zur Strafverfolgung.
Aus dem im Grundgesetz verankerten Recht auf informationelle Selbstbestimmung und aus dem Grundrecht auf Datenschutz in Artikel 8 der EU-Grundrechtecharta ergibt sich die staatliche Schutzpflicht, Menschen bei der Verarbeitung sensibler Daten adäquat vor negativen Folgen zu schützen. Auch die EU-Datenschutz-Grundverordnung (DSGVO) sieht einen hohen Schutzbedarf bei Gesundheitsdaten vor. Für die IT-Sicherheit gilt die Faustregel, dass sich erfolgreiche Sicherheit dadurch auszeichnet, dass der Aufwand eines Einbruchs größer ist als der vermutete Wert. Die umfangreiche Speicherung und das dauerhafte Vorhalten der Gesundheitsdaten einer ganzen Bevölkerung würde es nach dieser Faustregel nicht geben. Sie stellt ein lohnendes Angriffsziel dar und erhöht die dafür nötigen Sicherheitsvorkehrungen daher immens.
Fragwürdige Pseudonymisierung
Eine der wesentlichen Schutzvorkehrungen des Verfahrens ist die Pseudonymisierung der Datensätze. Konkrete Namen werden im Zusammenführungsprozess durch dauerhafte Pseudonyme ersetzt. Das Robert Koch-Institut tritt dabei als Vertrauensstelle auf und verwaltet die vom BdK genutzten Lieferpseudonyme, Arbeitsnummern und dauerhaften Pseudonyme. Nach der Pseudonymisierung fließen die Daten dann vom BdK zum Forschungsdatenzentrum (FDZ), das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt ist, wo die eigentliche zweckmäßige Datenverarbeitung vorgenommen werden kann.
Die Pseudonymisierung – Namensverschleierung – soll verhindern, dass konkrete Personen aus den Datensätzen re-identifiziert werden können. Sehr detaillierte Datensätze sind jedoch schwer sinnvoll durch Namensersetzung zu maskieren, weil Menschen im Detail doch sehr individuelle Biographien haben. Zudem sind gerade die zusammenhängenden individuellen Krankengeschichten und Sachhergänge für die medizinische Forschung relevant – dies gilt umso mehr bei seltenen Diagnosen und Krankheiten. Dabei genügen dann die Postleitzahl und das Krankenbild für eine Identifikation der Person. Inwiefern auswertbare Gesundheitsdaten überhaupt sinnvoll pseudonymisierbar sind, ist somit hochgradig fragwürdig.
Unklare Zweckbestimmung und keine Widerspruchsmöglichkeit
Aus Datenschutzsicht steht vor allen Datenverarbeitungsverfahren die Zweckfrage, also die Frage danach, welches Problem das Verfahren lösen soll. Datenschutzrechtlich muss der Zweck konkret, festgelegt und eindeutig sein. Je nach Zweck ergeben sich daraus die nötigen Verfahren, Risikoabwägungen und Schutzvorkehrungen.
Im vorliegenden Fall wird als Zweck die Verbesserung der medizinischen Forschung, der Versorgungsforschung, der Gesundheitsberichterstattung und der Steuerung des Gesundheitswesens angesehen. Dieses Zweckbündel wirkt weder festgelegt noch eindeutig und erschwert dadurch die Risikoabschätzung. Hier muss dringend nachgeschärft werden, um Beliebigkeit zu verhindern. Auch andere grundsätzliche Datenschutzfragen sind noch offen. Die Umsetzung von Auskunfts- und Korrekturrechten sind im aktuellen Modell technisch schwer bis gar nicht umsetzbar und ein Widerspruchsrecht ist explizit ausgeschlossen.
Das Digitale-Versorgung-Gesetz vor Gericht
Im Mai 2022 klagten die Informatikerin und Sprecherin des Chaos Computer Clubs, Constanze Kurz, und eine weitere Person mit Unterstützung der Gesellschaft für Freiheitsrechte (GFF) vor den Sozialgerichten Berlin und Frankfurt am Main gegen die zentrale Speicherung ihrer Gesundheitsdaten. Constanze Kurz befürchtet, dass die bestehenden konzeptionellen Sicherheitsmängel früher oder später zu einem gefährlichen Datenabgriff führen könnten. Der zweite Kläger hat eine seltene Krankheit und Sorge, trotz Pseudonymisierung seiner Daten leicht re-identifiziert zu werden. Im Oktober 2022 fand der erste Verhandlungstag in Berlin mit einer Anhörung von diversen Sachverständigen statt.
Im Kern sehen die zwei klagenden Personen also schwere und unnötige grundrechtliche Risiken beim aktuellen Datentransparenzverfahren, etwa die IT-Sicherheitsrisiken durch Zentralisierung, die unzureichende Pseudonymisierung, die unklare Zweckbestimmung und die fehlende Widerspruchsmöglichkeit.
Die beabsichtigten Ziele des Datentransparenzverfahrens – die Forschung mit Gesundheitsdaten – können auf verschiedenen technischen Wegen verfolgt werden. Die Informatik bietet dafür viele Gestaltungswerkzeuge, um Daten sicher und sinnvoll dezentral auszuwerten. In der aktuellen Ausgestaltung des DTV werden jedoch konkret Grundrechte missachtet für einen theoretischen zukünftigen Nutzen. Aber das müsste nicht so sein; die Auswertung könnte durchaus mit einer anderen Datenarchitektur und besseren Schutzmechanismen technisch grundrechtskompatibel ausgestaltet werden.
Abschließend bleibt die grundsätzliche Frage, ob das Datentransparenzverfahren angesichts seiner immensen Risiken für Grundrechtsverletzungen tatsächlich einen Beitrag zur besseren Gesundheitsversorgung leisten kann. Denn wenn die proklamiert missliche Gesundheitsdatenlage gar kein zentrales Nadelöhr der Gesundheitsversorgung wäre, so wäre das aktuelle Datentransparenzverfahren nicht nur aus Datenschutzsicht unverhältnismäßig, sondern auch ein weiterer Beleg dafür, wie sich politische Akteur*innen durch moderne Informationstechnik ablenken lassen von sozialpolitischen Problemen.
Rainer Rehak ist wissenschaftlicher Mitarbeiter am Weizenbaum-Institut für die vernetzte Gesellschaft (WZB) und Ko-Vorsitz des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF ). Der Beitrag erschien im Grundrechte-Report 2023. Der „alternative Verfassungsschutzbericht“ wird am 23. Mai im Haus der Demokratie und Menschenrechte in Berlin sowie im Livestream vorgestellt. Veröffentlichung mit freundlicher Genehmigung des Fischer Verlages. Alle Rechte vorbehalten.
Grundrechte-Report 2023. Herausgegeben von: Benjamin Derin, Rolf Gössner, Wiebke Judith, Sarah Lincoln, Rebecca Militz, Max Putzer, Britta Rabe, Rainer Rehak, Lea Welsch, Rosemarie Will ISBN: 978-3-596-70882-6. 224 Seiten. E-Book und Taschenbuch. S. Fischer Verlag.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires