Spahns Verordnung zur Daten-Transparenz weckt Argwohn: Gelangen Dritte leichter an Gesundheitsdaten?

Das IT-Fachportal „Telepolis“ befürchtet, dass im Zuge des Corona-Krisenmanagements von Bundesgesundheitsminister Jens Spahn der Datenschutz zugunsten der gesetzlich Krankenversicherten auf der Strecke bleiben könnte. Eine jüngst vom Minister erlassene neue Datentransparenzverordnung, die auf der Grundlage des Digitale-Versorgung-Gesetzes erging, soll demnach zu viele Schlupflöcher offen lassen, um Daten ohne Zustimmung der Versicherten an kommerzielle Dritte weiterzugeben – und zu geringe Sanktionen für berechtigte Nutzer vorsehen, die diesen indirekten Zugang einräumen.

Pseudonymisierte Daten mit höherem Risiko der Re-Identifikation

Die neue Verordnung soll das in dem bereits 2003 verabschiedeten Gesetz angesprochene erweiterte Verfahren zur Datennutzung konkretisieren. Nun befürchten Patientenschützer und Verbände, dass die Nutzung von pseudonymisierten Einzeldatensätzen, auf die künftig unter bestimmten Voraussetzungen zugegriffen werden kann, das Re-Identifikationsrisiko erhöht und den Zugang Dritter zu sensiblen Patientendaten zusätzlich ausweitet.

Bis dato darf das Forschungsdatenzentrum des Statistischen Bundesamtes Daten zur Nutzung anfordern und einem geschlossen aufgezählten Kreis an potenziellen Nutzern zugänglich machen. So werden auf der Grundlage des Digitale-Versorgung-Gesetzes von den Krankenkassen gespeicherte Gesundheitsdaten der Versicherten ans Forschungsdatenzentrum weitergegeben, ohne dass die Betroffenen ein Widerspruchsrecht hätten. Das ePA-Datengesetz ermöglicht ihnen zudem, ihre in der elektronischen Patientenakte gespeicherten Gesundheitsdaten ab 2023 ans Forschungsdatenzentrum weiterzugeben.

Grundsätzliches Weitergabeverbot nicht mehr in Verordnung erwähnt

Nutzungsberechtigt sind wissenschaftliche Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung. Dies sind unter anderem bestimmte Bundes- und Landesbehörden, Hochschulen und Universitäten sowie wissenschaftliche Institute oder Spitzenorganisationen der Leistungserbringer auf Bundesebene.

Unter anderem haben Krankenkassen und ihre Spitzenverbände oder maßgebliche Selbsthilfeorganisationen chronisch kranker und behinderter Menschen auf Bundesebene bzw. das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen das Recht, auf Antrag, gegen Entgelt und zweckgebunden das Forschungsdatenzentrum aufzusuchen und dort Einsicht in den Datenbestand zu nehmen.

An Dritte durften die Nutzungsberechtigten Daten nur in Ausnahmefällen und nach Genehmigung eines gesonderten Antrags weitergeben. Dass der Grundsatz, dass Nutzungsberechtigte, wenn ein solcher nicht vorliegt, die ihnen zugänglich gemachten Daten auch nicht an Dritte weitergegeben werden dürfen, in dieser Form nicht mehr in der neuen Verordnung zu finden ist, lasse befürchten, so Telepolis, dass „die sensiblen Gesundheitsdaten von 73 Millionen gesetzlich versicherter Bürger jetzt mittelbar dem Zugriff der gewinnorientierten Gesundheitswirtschaft ausgesetzt“ seien.

Gegenstand der Datensammlung sind Personendaten wie Alter und Geschlecht, Informationen zum Versicherungsverhältnis, zum Leistungsbezug und zum Gesundheitsstatus.

Ausschluss von der Nutzung für maximal zwei Jahre

Neben anonymisierten Daten darf das Forschungsdatenzentrum nun auch regulär statt wie bislang nur in Ausnahmefällen pseudonymisierte Einzeldatensätze weitergeben. Diese sind im Vergleich zu anonymisiertem Daten unter Hinzuziehung von gesondert aufbewahrten Informationen mit geringerem Aufwand re-identifizierbar.

Da Spahn den Umfang der abrufbaren Daten erweitert habe, sei dieses Risiko noch größer geworden. Insbesondere moderne Big-Data-Anwendungssysteme sollen über Eigenschaften verfügen, die selbst auf dem Level der Anonymisierung noch Re-Identifikation ermöglichen könnten.

Pseudonymisierte Einzeldatensätze, so heißt es in der Verordnung, werden nur solchen Nutzungsberechtigten bereitgestellt, die entweder einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen oder vor dem Zugang zu den Daten vom Forschungsdatenzentrum zur Geheimhaltung verpflichtet wurden.

Die Verordnung verpflichtet die nutzungsberechtigten Antragsteller, selbst sicherzustellen, dass „eine Datenverarbeitung durch Dritte für andere Zwecke als die der Beratung ausgeschlossen“ sind. Als Sanktion für den Fall einer unautorisierten Weitergabe von Daten durch Nutzungsberichte an Dritte ist – sofern kein Tatbestand im Sinne des § 203 StGB berührt ist – vorgesehen, dass das Bundesforschungszentrum den entsprechenden Antragsteller für bis zu zwei Jahre von der Nutzung der Datenbestände ausschließt. Die Sanktion ist zu verhängen, sofern eine Information über den Übertretungstatbestand von der zuständigen Datenschutzaufsichtsbehörde erfolgt ist.

Spahn: „Datenschutz auf höchstem Standard“

Minister Spahn hat die von ihm veranlassten Erweiterungen der Datenzugänge verteidigt. Bereits im November 2019 erklärte er mit Blick auf die Novelle zum Digitale-Versorgung-Gesetz, es gehe darum, Gesundheitsforschung zu ermöglichen und für Patienten mit chronischen Krankheiten wie Diabetes neue Erkenntnisse zu gewinnen. Es gehe insbesondere „nicht um Behandlungsdaten, sondern um Abrechnungsdaten“, so Spahn, dazu werde „Datenschutz auf höchstem Standard“ gewährleistet.

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat gegenüber Telepolis auf Nachfrage betont, dass seine Behörde bereits seit Mai 2020 in die Ausgestaltung der Neufassung der Datentransparenzverordnung eingebunden gewesen sei. Die Anregungen und Änderungswünsche seien „im Rahmen der Ressortabstimmung berücksichtigt“ worden.

Bezüglich der Neuerungen und der darob geäußerten Datenschutzbedenken gibt Kelber weitgehend Entwarnung. Die gesetzlichen Regelungen, die eine Nutzung der so genannten Routinedaten der gesetzlichen Versicherten vorsehen, existierten bereits seit 2003. Die neu gefassten Vorschriften erweiterten lediglich die Nutzungsmöglichkeiten und die Aufgaben des Forschungsdatenzentrums, das zuvor als „Datenaufbereitungsstelle“ firmierte.

Datenschutzbeauftragter sieht Schutzinteressen gewahrt

„Wichtig sind flankierende Vorgaben wie technische und organisatorische Maßnahmen, die die Sicherheit der Daten und vor allem das Persönlichkeitsrecht der Betroffenen schützen“, erklärte Kelber. „Hierzu zählen die Zulieferung der Daten über das so genannte Lieferpseudonym, die Verwendung eines anderen Pseudonyms in der Datenbank, die verschlüsselte Speicherung, die abschließende Benennung der Nutzungsberechtigten und der möglichen Zwecke, die sorgfältige Prüfung der Voraussetzungen und die konkrete Festlegung der für den angegebenen Zweck erforderlichen Daten im Zulassungsverfahren.“

Der Datenschutzbeauftragte verweist darauf, dass es Sanktionen für Fehlverhalten und auch Strafvorschriften im SGB V gäbe. Ein Zugang zu den pseudonymisierten Datensätzen sei bisher ausschließlich im Forschungsdatenzentrum möglich, wo auch eine entsprechende Kontrolle ausgeübt werden könne.

„Allerdings ist – dies ergibt sich aus der Gesetzesbegründung – zukünftig auch unter bestimmten technischen Absicherungen ein so genannter Remote-Zugriff möglich“, gibt Kelber zu bedenken. Handlungsbedarf sehe er aktuell diesbezüglich jedoch nicht: „Bei einer Übermittlung an Forscher oder andere Nutzungsberechtigte dürfen nur anonymisierte bzw. aggregierte Daten übermittelt werden.“ Dem betroffenen Bürger stehe zudem „unter bestimmten Voraussetzungen ein Widerspruchsrecht nach der DSGVO zu“.