Digitale-Versorgung-Gesetz

Widerspruch nicht ganz ausgeschlossen

Mit dem „Digitale-Versorgung-Gesetz“ sollen die Abrechnungsdaten gesetzlich Versicherter künftig der Wissenschaft zufließen. Doch welche Rolle kommt dabei dem einzelnen Patienten zu? Es ertönte wiederholt die Forderung nach einer Widerspruchsmöglichkeit, doch sowohl Befürworter als auch Gegner haben offenbar etwas übersehen.

Ein Mensch im Arztkittel mit Tablet
Daten von gesetzlich Versicherten werden künftig in einem Forschungszentrum gespeichert. (Symbolbild). CC-BY 2.0 NEC Corporation of America

Prof. Dr. Mario Martini ist Inhaber eines Lehrstuhls an der Universität für Verwaltungswissenschaften in Speyer und Mitglied der Datenethikkommission. Matthias Hohmann und Michael Kolain sind als Forschungsreferenten am Deutschen Forschungsinstitut für öffentliche Verwaltung tätig. Sie erklären in ihrem Gastbeitrag, warum gesetzlich Krankenversicherten ein Widerspruchsrecht bleibt, obwohl es den politischen Akteuren im Digitale-Versorgung-Gesetz anders vorschwebte. Die Autoren danken Thomas Kienle und Leonie Born für ihren kritischen Blick auf die Textentwürfe.

Gesundheit ist nicht nur „die erste Pflicht im Leben“ jedes Menschen (Oscar Wilde), sondern auch eine politische Gestaltungsaufgabe. Im Karussell der Ideen für ein besseres Gesundheitssystem ist „Digitalisierung“ ein wichtiger Antrieb. Mit dem klaren Ziel einer modernen, transparenten und effizienteren Gesundheitsversorgung vor Augen, bricht die Politik immer zielstrebiger gen digitale Zukunft auf.

Als wichtige Teiletappe hat der Bundestag am 7. November das umstrittene „Digitale-Versorgung-Gesetz“ (DVG) beschlossen. Es zielt nicht nur darauf ab, das deutsche Gesundheitssystem für datengetriebene Innovationen zu öffnen. Das Gesetz soll auch Gesundheitsdaten für Forschungszwecke besser nutzbar machen (vgl. die Gesetzesbegründung, BT-Drs. 19/13438, S. 2). Als zentralen Baustein etabliert das DVG ein Forschungsdatenzentrum. Bei ihm sollen sämtliche Abrechnungsdaten der gesetzlichen Krankenversicherungen zusammenfließen – ohne die Einwilligung der Versicherten, kraft gesetzlicher Erlaubnis (vgl. § 303b SGB V n.F.). Dass die Mitgliedstaaten auf eine vorherige Zustimmung der Versicherten verzichten dürfen, stellt Art. 9 Abs. 2 lit. j der Datenschutzgrundverordnung (DSGVO) klar.

Der politische Aufschrei, der sich daran anschloss, war kaum zu überhören. Die Kritik entzündet sich insbesondere am Patientendatenschutz: Das DVG räume den gesetzlich Krankenversicherten keine Möglichkeit ein, durch Widerspruch die Weitergabe ihrer Daten an die Forschung zu verhindern. Da das Gesetz eine solche Option nicht verankere, sei jeder Weg versperrt, der Datenverarbeitung zu widersprechen. Das ist jedoch eine juristische Fehldiagnose.

Das Widerspruchsrecht in der DSGVO

Das DVG selbst schweigt zwar zur Frage, ob Betroffene der Weitergabe ihrer Abrechnungsdaten an die Forschung widersprechen können. Seit Geltung der DSGVO bestimmen sich die Betroffenenrechte (einschließlich des Widerspruchsrechts) aber nicht mehr nach nationalen Regelungen (wie dem DVG), sondern vorrangig nach dem übergeordneten EU-Recht.

Die DSGVO als Magna Charta des EU-Datenschutzrechts etabliert in ihrem Art. 21 Abs. 6 DSGVO ausdrücklich ein Widerspruchsrecht für forschungsbezogene Datenverarbeitungen. Auf dieses können sich Betroffene auch berufen, ohne dass der nationale Gesetzgeber es wiederholt oder bestätigt. Im Anwendungsbereich des DVG können betroffene Kassenpatienten daher grundsätzlich der Verarbeitung ihrer Abrechnungsdaten widersprechen.

Schließt das deutsche Recht das Widerspruchsrecht aus?

Die DSGVO gesteht den Mitgliedstaaten durchaus zu, den Schutzradius des Widerspruchsrechts (und der übrigen Betroffenenrechte) zugunsten einer Verarbeitung für Forschungszwecke zu verkürzen (vgl. Art. 89 Abs. 2 DSGVO). Der deutsche Gesetzgeber hat diesen Regelungsspielraum bereits genutzt, um Sonderregelungen zu etablieren.

In § 27 Abs. 2 BDSG hat er die Betroffenenrechte für forschungsbezogene Verarbeitungen ausdrücklich beschränkt: Das Widerspruchsrecht besteht nicht, soweit es „die Verwirklichung der Forschungs-[…]zwecke unmöglich mach[t] oder ernsthaft beinträchtig[t]“ und „die Beschränkung für die Erfüllung der Forschungszwecke notwendig ist.“ Gänzlich ausgeschlossen hat er das Widerspruchsrecht damit aber nicht.

Einen solchen vollständigen Ausschluss des Widerspruchs verfügt das deutsche (Sozial‑)Datenschutzrecht lediglich in § 36 BDSG und § 84 Abs. 6 SGB X – und zwar für den Fall, dass eine Verarbeitung auf zwingenden öffentlichen Interessen oder gesetzlichen Vorgaben beruht. Beide Vorschriften schließen allerdings nur den Widerspruch aus Art. 21 Abs. 1 DSGVO aus – das speziellere forschungsbezogene Widerspruchsrecht des Art. 21 Abs. 6 DSGVO lassen sie hingegen bewusst unberührt. Auf Datenverarbeitungen zu Forschungszwecken sind sie daher von vornherein nicht anwendbar.

Wer darf der Weitergabe an die Forschung widersprechen – und warum?

Auch wenn der Gesetzgeber das Widerspruchsrecht des Art. 21 Abs. 6 DSGVO nicht ausschließt: Es verleiht Betroffenen kein pauschales Veto-Recht, um die Verarbeitung ihrer Daten nach Gutdünken zu verhindern. Sie können nur aus Gründen widersprechen, „die sich aus ihrer besonderen Situation ergeben“. Das schmälert die Reichweite des Widerspruchsrechts erheblich. Denn eine „besondere Situation“ besteht nur bei einer atypischen Konfliktsituation zwischen dem Verarbeitungsinteresse der Forschung und dem Privatheitsinteresse der Versicherten.

Die widersprechende Person muss also individuelle, tatsächliche Umstände geltend machen, die einen besonders schweren Eingriff in ihre Persönlichkeitsrechte nach sich ziehen. Ein bloß allgemeines Interesse daran, seine Abrechnungsdaten nicht der Forschung zur Verfügung stellen zu wollen, genügt gerade nicht – diese Abwägung hat der Gesetzgeber des DVG bereits auf abstrakter Ebene zugunsten der Forschung getroffen (vgl. Art. 9 Abs. 2 lit. j DSGVO; § 303b SGB V n.F.).

Eine atypische Konstellation, die einen Widerspruch ermöglicht, kann etwa bestehen, wenn eine betroffene Person Grund zur Befürchtung hat, dass Informationen über ihren Gesundheitszustand gegen ihren Willen an die Öffentlichkeit gelangen könnten. Persönlichkeiten des öffentlichen Lebens kann beispielsweise die Furcht umtreiben, dass einzelne Mitarbeiter der Datenzentren (trotz Verschwiegenheitspflichten) gezielt nach sensiblen Erkenntnissen über sie Ausschau halten – etwa nach Schwangerschaften oder schweren Krankheiten.

Dass solche Befürchtungen des Datenmissbrauchs nicht realitätsfern sind, zeigt ein aktueller Datenschutz-Skandal bei der Hessischen Polizei: Polizeibeamte hatten das polizeiliche Informationssystem zweckwidrig benutzt, um an persönliche Daten der Schlager-Sängerin Helene Fischer zu gelangen.

Nun sind wohl nur wenige Prominente gesetzlich versichert und dadurch dem Anwendungsbereich des DVG unterworfen. Denkbar sind aber auch Konstellationen, in denen Betroffene Angehörige oder Bekannte haben, die an einem Forschungsinstitut beschäftigt sind: Sie können begründeten Anlass zur Sorge haben, dass sensible Gesundheitsinformationen gegen ihren Willen im Familien- oder Bekanntenkreis ans Licht kommen.

Die Rückausnahme: Aufgaben, die im öffentlichen Interesse liegen

Selbst wenn eine Person besondere Gründe vorbringen kann, die gegen eine Nutzung ihrer Daten für Forschungszwecke sprechen, ist ihr Widerspruch einer weiteren Hürde ausgesetzt: Der Verantwortliche kann dem Betroffenen entgegenhalten, dass die Verarbeitung „erforderlich“ ist, um eine Aufgabe zu erfüllen, die „im öffentlichen Interesse“ liegt (Art. 21 Abs. 6 Hs. 2 DSGVO).

Die Voraussetzungen dieser Rückausnahme muss der Verantwortliche gegenüber der widersprechenden Person im Einzelfall darlegen. So kann etwa die Krankenkasse, soweit einzelne Daten (wie bereits in der Vergangenheit) zur Berechnung des morbiditätsorientierten Risikostrukturausgleichs Verwendung finden, mit Erfolg darauf verweisen, dass die Datenübermittlung unmittelbar dazu beiträgt, das solidarisch finanzierte Krankenversicherungssystems funktionsfähig zu halten.

In anderen Kontexten, etwa bei Forschungsprojekten mit Privatunternehmen, kann es weniger offensichtlich sein, warum es erforderlich sein soll, sensible Daten vulnerabler Gruppen zu nutzen, um eine Aufgabe des öffentlichen Interesses zu erfüllen. Aus der Begründung, mit der ein datenschutzrechtlich Verantwortlicher den Widerspruch zurückweist, muss in jedem Fall nachvollziehbar hervorgehen, warum das Verarbeitungsinteresse der Forschung schwerer wiegt als die individuellen Gründe, die der Versicherte mit seinem Widerspruch vorbringt.

Fazit

Mit ihrem kleinteilig wirkenden Regelungsgeflecht, kraft gesetzlicher Erlaubnis Gesundheitsdaten ohne Einwilligung für Forschungszwecke zu nutzen, und der gleichzeitigen Möglichkeit, individuell Widerspruch einzulegen, trifft die DSGVO eine differenzierte, aber wichtige normative Weichenstellung: Der nationale Gesetzgeber kann zwar Forschungsinteressen gegenüber den Interessen der Betroffenen auf abstrakter Ebene priorisieren – im Gegenzug hat der Betroffene aber ein Recht, Besonderheiten seiner persönlichen Situation mit dem Widerspruch geltend zu machen.

Beim Blick in die Untiefen der DSGVO zeigt sich zugleich: Es verbleibt wohl nur ein kleiner Korridor an Ausnahmefällen, in denen Betroffene besondere individuelle Gründe vorbringen können, denen kein überwiegendes öffentliches Verarbeitungsinteresse der datenbasierten Forschung gegenübersteht. In der politischen Debatte um das DVG sind die rechtlichen Konsequenzen dieser Wechselwirkung zwischen DSGVO und nationalem Recht nicht lege artis in die datenschutzrechtliche Anamnese eingeflossen.

Der deutsche Gesetzgeber hätte das Widerspruchsrecht der gesetzlich Versicherten mit Segen des EU-Rechts einschränken können. Im DVG hat er von diesem Regelungsspielraum – anders als in § 27 Abs. 2 BDSG, § 36 BDSG und § 84 Abs. 6 SGB X – aber keinen Gebrauch gemacht. Damit hat er die Chance verpasst, eine ausdifferenzierte Widerspruchsregelung im Hinblick auf unterschiedliche Datenkategorien und Verarbeitungsinstanzen (Krankenkasse, Spitzenverband Bund der Krankenkassen, Forschungsdatenzentrum, Forschungseinrichtungen) aus der Taufe zu heben.

In der Konsequenz räumt Art. 21 Abs. 6 DSGVO den gesetzlich Versicherten grundsätzlich ein unmittelbar geltendes Recht ein, der Weitergabe ihrer Abrechnungsdaten an die Forschung zu widersprechen. Das DVG birgt dadurch mehr Datenschutz als der Ruf, der ihm vorauseilt, vermuten lässt. Die DSGVO hält mit dem Widerspruchsrecht eine datenschutzrechtliche Arznei für wenige Betroffene bereit – ein Allheilmittel für datenschutzaffine Personen, die ihre Daten aus Überzeugung nicht preisgeben wollen, ist das aber nicht.

8 Ergänzungen
  1. Der Schaden ist bereits die Möglichkeit der Weitergabe ohne explizite Einwilligung. Etwas nachweisen zu müssen ist bei Daten völlig inakzeptabel.

    1. Richtig, und die Wahrscheinlichkeit eines Leaks wird durch die zentrale Aggregation erhöht.

      „Bereitstellung für die Forschung“ ist natürlich ein hervorragend gewählter Frame, was den Anschein erweckt, dass ein Widerspruch gegen das Gemeinwohl gerichtet sei und nicht dem Schutz des Individuums diene.

  2. Man muss erstmal definieren, welche Daten genau weitergegeben werden können. Ferner erschliesst sich mir nicht, wieso ein über Jahrzehnte leistungsfähiges Krankenkassensystem nun auf einmal Daten weitergeben darf, um die Forschung nicht zu beeinträchtigen. Ausserdem: Was nützen personenbezogene Daten der Forschung? Wissenschaft kann zunächst einmal unabhängig forschen. Es hat bis jetzt völlig ausgereicht, rein statistische Werte zu allen möglichen Krankheitsfällen und deren Verlauf in der entsprechenden Literatur anzugeben oder zu beschreiben und daraus für die Medizin und deren angrenzende Wissenschaften Nutzen zu ziehen. Dass das auf einmal nicht mehr reichen soll, wird äußerst vage begründet und steht (s. oben) auf juristisch wie politisch tönernen Füßen. Ein „allgemeines“ oder „öffentliches“ Interesse ist – wieder einmal – der nebulöse Rettungsanker für das Nicht-Definieren-Wollen genauer Richtlinien, die dem ausufernden Datensammelwahn Einhalt gebieten vulgo den dadurch möglichen Einfluß der Forschung (= mittlerweile Wirtschaft??!) hemmen könnten. Der Aspekt, lediglich „Personen öffentlichen Interesses“ könnten notwendigerweise eher Widerspruchsregelungen in Anspruch nehmen als der „Otto Normalbürger“, zeugt allein schon von einem Zweiiklassen-Denken, wie es politisch unappetitlicher nicht sein kann.

  3. Es mag nach Polemik klingen, aber in Zeiten, in denen Gutachten mit „Urheberrecht“ unter Verschluss gehalten werden sollen… bin ich nicht in JEDER logischen Hinsicht Urheber meiner Gesundheitsdaten??? ;)
    (Wobei logisch und juristisch zwei verschiedene Kategorien sind…)

  4. Es wäre zu prüfen, ob eine „besondere Situation“ sich auch allein aus einem Gesundheitszustand ableiten ließe, durch den nach Bekanntwerden der Person Nachteile enstehen können (z.B. Verlust des Arbeitsplatzes, hohe Versicherungsbeiträge, soziale Ausgrenzung).

  5. An Abrechnungsdaten von privat Versicherten besteht etwa kein öffentliches Interesse? Wären nicht gerade Unterschiede zum Nachweis denkbarerer Querfinanzierung im Interesse der Mehrzahl der Versicherten? Wird hier nicht der Gleichheitsgrundsatz missachtet? Werden durch das neue DVG praktisch Anreize geschaffen, im Zweifel zu privaten Versicherern zu wechseln?
    Wird man überhaupt informiert, bevor persönliche Daten an Dritte weiter gegeben werden sollen?

  6. Das ist wieder einmal ein schleichender Verfall des Grundrecht der informationellen Selbstbestimmung. Diese Daten sind jetzt noch für Forschungszwecke erhoben, in ein paar Jahren kommt dann das kommertielle Interesse der Pharma-Firmen und Versicherungen direkt zu Tage. Die Versicherungsbranche freut sich jetzt schon, individuelle Gesundheits-Tarife zu erstellen.

  7. Ist wirklich schussfest definiert, welche Daten singestellt werden?

    Kommt die gesamte Krankenhistorie hinein? Also ein Schelm … aber es bietet sich doch an… Prothesen sind inetwas gleichverteilt… so gleich wie gleich alle Daten einzusammeln?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.