Digitale-Versorgung-GesetzWiderspruch nicht ganz ausgeschlossen

Mit dem „Digitale-Versorgung-Gesetz“ sollen die Abrechnungsdaten gesetzlich Versicherter künftig der Wissenschaft zufließen. Doch welche Rolle kommt dabei dem einzelnen Patienten zu? Es ertönte wiederholt die Forderung nach einer Widerspruchsmöglichkeit, doch sowohl Befürworter als auch Gegner haben offenbar etwas übersehen.

Ein Mensch im Arztkittel mit Tablet
Daten von gesetzlich Versicherten werden künftig in einem Forschungszentrum gespeichert. (Symbolbild). CC-BY 2.0 NEC Corporation of America

Prof. Dr. Mario Martini ist Inhaber eines Lehrstuhls an der Universität für Verwaltungswissenschaften in Speyer und Mitglied der Datenethikkommission. Matthias Hohmann und Michael Kolain sind als Forschungsreferenten am Deutschen Forschungsinstitut für öffentliche Verwaltung tätig. Sie erklären in ihrem Gastbeitrag, warum gesetzlich Krankenversicherten ein Widerspruchsrecht bleibt, obwohl es den politischen Akteuren im Digitale-Versorgung-Gesetz anders vorschwebte. Die Autoren danken Thomas Kienle und Leonie Born für ihren kritischen Blick auf die Textentwürfe.

Gesundheit ist nicht nur „die erste Pflicht im Leben“ jedes Menschen (Oscar Wilde), sondern auch eine politische Gestaltungsaufgabe. Im Karussell der Ideen für ein besseres Gesundheitssystem ist „Digitalisierung“ ein wichtiger Antrieb. Mit dem klaren Ziel einer modernen, transparenten und effizienteren Gesundheitsversorgung vor Augen, bricht die Politik immer zielstrebiger gen digitale Zukunft auf.

Als wichtige Teiletappe hat der Bundestag am 7. November das umstrittene „Digitale-Versorgung-Gesetz“ (DVG) beschlossen. Es zielt nicht nur darauf ab, das deutsche Gesundheitssystem für datengetriebene Innovationen zu öffnen. Das Gesetz soll auch Gesundheitsdaten für Forschungszwecke besser nutzbar machen (vgl. die Gesetzesbegründung, BT-Drs. 19/13438, S. 2). Als zentralen Baustein etabliert das DVG ein Forschungsdatenzentrum. Bei ihm sollen sämtliche Abrechnungsdaten der gesetzlichen Krankenversicherungen zusammenfließen – ohne die Einwilligung der Versicherten, kraft gesetzlicher Erlaubnis (vgl. § 303b SGB V n.F.). Dass die Mitgliedstaaten auf eine vorherige Zustimmung der Versicherten verzichten dürfen, stellt Art. 9 Abs. 2 lit. j der Datenschutzgrundverordnung (DSGVO) klar.

Der politische Aufschrei, der sich daran anschloss, war kaum zu überhören. Die Kritik entzündet sich insbesondere am Patientendatenschutz: Das DVG räume den gesetzlich Krankenversicherten keine Möglichkeit ein, durch Widerspruch die Weitergabe ihrer Daten an die Forschung zu verhindern. Da das Gesetz eine solche Option nicht verankere, sei jeder Weg versperrt, der Datenverarbeitung zu widersprechen. Das ist jedoch eine juristische Fehldiagnose.

Das Widerspruchsrecht in der DSGVO

Das DVG selbst schweigt zwar zur Frage, ob Betroffene der Weitergabe ihrer Abrechnungsdaten an die Forschung widersprechen können. Seit Geltung der DSGVO bestimmen sich die Betroffenenrechte (einschließlich des Widerspruchsrechts) aber nicht mehr nach nationalen Regelungen (wie dem DVG), sondern vorrangig nach dem übergeordneten EU-Recht.

Die DSGVO als Magna Charta des EU-Datenschutzrechts etabliert in ihrem Art. 21 Abs. 6 DSGVO ausdrücklich ein Widerspruchsrecht für forschungsbezogene Datenverarbeitungen. Auf dieses können sich Betroffene auch berufen, ohne dass der nationale Gesetzgeber es wiederholt oder bestätigt. Im Anwendungsbereich des DVG können betroffene Kassenpatienten daher grundsätzlich der Verarbeitung ihrer Abrechnungsdaten widersprechen.

Schließt das deutsche Recht das Widerspruchsrecht aus?

Die DSGVO gesteht den Mitgliedstaaten durchaus zu, den Schutzradius des Widerspruchsrechts (und der übrigen Betroffenenrechte) zugunsten einer Verarbeitung für Forschungszwecke zu verkürzen (vgl. Art. 89 Abs. 2 DSGVO). Der deutsche Gesetzgeber hat diesen Regelungsspielraum bereits genutzt, um Sonderregelungen zu etablieren.

In § 27 Abs. 2 BDSG hat er die Betroffenenrechte für forschungsbezogene Verarbeitungen ausdrücklich beschränkt: Das Widerspruchsrecht besteht nicht, soweit es „die Verwirklichung der Forschungs-[…]zwecke unmöglich mach[t] oder ernsthaft beinträchtig[t]“ und „die Beschränkung für die Erfüllung der Forschungszwecke notwendig ist.“ Gänzlich ausgeschlossen hat er das Widerspruchsrecht damit aber nicht.

Einen solchen vollständigen Ausschluss des Widerspruchs verfügt das deutsche (Sozial‑)Datenschutzrecht lediglich in § 36 BDSG und § 84 Abs. 6 SGB X – und zwar für den Fall, dass eine Verarbeitung auf zwingenden öffentlichen Interessen oder gesetzlichen Vorgaben beruht. Beide Vorschriften schließen allerdings nur den Widerspruch aus Art. 21 Abs. 1 DSGVO aus – das speziellere forschungsbezogene Widerspruchsrecht des Art. 21 Abs. 6 DSGVO lassen sie hingegen bewusst unberührt. Auf Datenverarbeitungen zu Forschungszwecken sind sie daher von vornherein nicht anwendbar.

Wer darf der Weitergabe an die Forschung widersprechen – und warum?

Auch wenn der Gesetzgeber das Widerspruchsrecht des Art. 21 Abs. 6 DSGVO nicht ausschließt: Es verleiht Betroffenen kein pauschales Veto-Recht, um die Verarbeitung ihrer Daten nach Gutdünken zu verhindern. Sie können nur aus Gründen widersprechen, „die sich aus ihrer besonderen Situation ergeben“. Das schmälert die Reichweite des Widerspruchsrechts erheblich. Denn eine „besondere Situation“ besteht nur bei einer atypischen Konfliktsituation zwischen dem Verarbeitungsinteresse der Forschung und dem Privatheitsinteresse der Versicherten.

Die widersprechende Person muss also individuelle, tatsächliche Umstände geltend machen, die einen besonders schweren Eingriff in ihre Persönlichkeitsrechte nach sich ziehen. Ein bloß allgemeines Interesse daran, seine Abrechnungsdaten nicht der Forschung zur Verfügung stellen zu wollen, genügt gerade nicht – diese Abwägung hat der Gesetzgeber des DVG bereits auf abstrakter Ebene zugunsten der Forschung getroffen (vgl. Art. 9 Abs. 2 lit. j DSGVO; § 303b SGB V n.F.).

Eine atypische Konstellation, die einen Widerspruch ermöglicht, kann etwa bestehen, wenn eine betroffene Person Grund zur Befürchtung hat, dass Informationen über ihren Gesundheitszustand gegen ihren Willen an die Öffentlichkeit gelangen könnten. Persönlichkeiten des öffentlichen Lebens kann beispielsweise die Furcht umtreiben, dass einzelne Mitarbeiter der Datenzentren (trotz Verschwiegenheitspflichten) gezielt nach sensiblen Erkenntnissen über sie Ausschau halten – etwa nach Schwangerschaften oder schweren Krankheiten.

Dass solche Befürchtungen des Datenmissbrauchs nicht realitätsfern sind, zeigt ein aktueller Datenschutz-Skandal bei der Hessischen Polizei: Polizeibeamte hatten das polizeiliche Informationssystem zweckwidrig benutzt, um an persönliche Daten der Schlager-Sängerin Helene Fischer zu gelangen.

Nun sind wohl nur wenige Prominente gesetzlich versichert und dadurch dem Anwendungsbereich des DVG unterworfen. Denkbar sind aber auch Konstellationen, in denen Betroffene Angehörige oder Bekannte haben, die an einem Forschungsinstitut beschäftigt sind: Sie können begründeten Anlass zur Sorge haben, dass sensible Gesundheitsinformationen gegen ihren Willen im Familien- oder Bekanntenkreis ans Licht kommen.

Die Rückausnahme: Aufgaben, die im öffentlichen Interesse liegen

Selbst wenn eine Person besondere Gründe vorbringen kann, die gegen eine Nutzung ihrer Daten für Forschungszwecke sprechen, ist ihr Widerspruch einer weiteren Hürde ausgesetzt: Der Verantwortliche kann dem Betroffenen entgegenhalten, dass die Verarbeitung „erforderlich“ ist, um eine Aufgabe zu erfüllen, die „im öffentlichen Interesse“ liegt (Art. 21 Abs. 6 Hs. 2 DSGVO).

Die Voraussetzungen dieser Rückausnahme muss der Verantwortliche gegenüber der widersprechenden Person im Einzelfall darlegen. So kann etwa die Krankenkasse, soweit einzelne Daten (wie bereits in der Vergangenheit) zur Berechnung des morbiditätsorientierten Risikostrukturausgleichs Verwendung finden, mit Erfolg darauf verweisen, dass die Datenübermittlung unmittelbar dazu beiträgt, das solidarisch finanzierte Krankenversicherungssystems funktionsfähig zu halten.

In anderen Kontexten, etwa bei Forschungsprojekten mit Privatunternehmen, kann es weniger offensichtlich sein, warum es erforderlich sein soll, sensible Daten vulnerabler Gruppen zu nutzen, um eine Aufgabe des öffentlichen Interesses zu erfüllen. Aus der Begründung, mit der ein datenschutzrechtlich Verantwortlicher den Widerspruch zurückweist, muss in jedem Fall nachvollziehbar hervorgehen, warum das Verarbeitungsinteresse der Forschung schwerer wiegt als die individuellen Gründe, die der Versicherte mit seinem Widerspruch vorbringt.

Fazit

Mit ihrem kleinteilig wirkenden Regelungsgeflecht, kraft gesetzlicher Erlaubnis Gesundheitsdaten ohne Einwilligung für Forschungszwecke zu nutzen, und der gleichzeitigen Möglichkeit, individuell Widerspruch einzulegen, trifft die DSGVO eine differenzierte, aber wichtige normative Weichenstellung: Der nationale Gesetzgeber kann zwar Forschungsinteressen gegenüber den Interessen der Betroffenen auf abstrakter Ebene priorisieren – im Gegenzug hat der Betroffene aber ein Recht, Besonderheiten seiner persönlichen Situation mit dem Widerspruch geltend zu machen.

Beim Blick in die Untiefen der DSGVO zeigt sich zugleich: Es verbleibt wohl nur ein kleiner Korridor an Ausnahmefällen, in denen Betroffene besondere individuelle Gründe vorbringen können, denen kein überwiegendes öffentliches Verarbeitungsinteresse der datenbasierten Forschung gegenübersteht. In der politischen Debatte um das DVG sind die rechtlichen Konsequenzen dieser Wechselwirkung zwischen DSGVO und nationalem Recht nicht lege artis in die datenschutzrechtliche Anamnese eingeflossen.

Der deutsche Gesetzgeber hätte das Widerspruchsrecht der gesetzlich Versicherten mit Segen des EU-Rechts einschränken können. Im DVG hat er von diesem Regelungsspielraum – anders als in § 27 Abs. 2 BDSG, § 36 BDSG und § 84 Abs. 6 SGB X – aber keinen Gebrauch gemacht. Damit hat er die Chance verpasst, eine ausdifferenzierte Widerspruchsregelung im Hinblick auf unterschiedliche Datenkategorien und Verarbeitungsinstanzen (Krankenkasse, Spitzenverband Bund der Krankenkassen, Forschungsdatenzentrum, Forschungseinrichtungen) aus der Taufe zu heben.

In der Konsequenz räumt Art. 21 Abs. 6 DSGVO den gesetzlich Versicherten grundsätzlich ein unmittelbar geltendes Recht ein, der Weitergabe ihrer Abrechnungsdaten an die Forschung zu widersprechen. Das DVG birgt dadurch mehr Datenschutz als der Ruf, der ihm vorauseilt, vermuten lässt. Die DSGVO hält mit dem Widerspruchsrecht eine datenschutzrechtliche Arznei für wenige Betroffene bereit – ein Allheilmittel für datenschutzaffine Personen, die ihre Daten aus Überzeugung nicht preisgeben wollen, ist das aber nicht.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

13 Ergänzungen

  1. Der Schaden ist bereits die Möglichkeit der Weitergabe ohne explizite Einwilligung. Etwas nachweisen zu müssen ist bei Daten völlig inakzeptabel.

    1. Richtig, und die Wahrscheinlichkeit eines Leaks wird durch die zentrale Aggregation erhöht.

      „Bereitstellung für die Forschung“ ist natürlich ein hervorragend gewählter Frame, was den Anschein erweckt, dass ein Widerspruch gegen das Gemeinwohl gerichtet sei und nicht dem Schutz des Individuums diene.

  2. Man muss erstmal definieren, welche Daten genau weitergegeben werden können. Ferner erschliesst sich mir nicht, wieso ein über Jahrzehnte leistungsfähiges Krankenkassensystem nun auf einmal Daten weitergeben darf, um die Forschung nicht zu beeinträchtigen. Ausserdem: Was nützen personenbezogene Daten der Forschung? Wissenschaft kann zunächst einmal unabhängig forschen. Es hat bis jetzt völlig ausgereicht, rein statistische Werte zu allen möglichen Krankheitsfällen und deren Verlauf in der entsprechenden Literatur anzugeben oder zu beschreiben und daraus für die Medizin und deren angrenzende Wissenschaften Nutzen zu ziehen. Dass das auf einmal nicht mehr reichen soll, wird äußerst vage begründet und steht (s. oben) auf juristisch wie politisch tönernen Füßen. Ein „allgemeines“ oder „öffentliches“ Interesse ist – wieder einmal – der nebulöse Rettungsanker für das Nicht-Definieren-Wollen genauer Richtlinien, die dem ausufernden Datensammelwahn Einhalt gebieten vulgo den dadurch möglichen Einfluß der Forschung (= mittlerweile Wirtschaft??!) hemmen könnten. Der Aspekt, lediglich „Personen öffentlichen Interesses“ könnten notwendigerweise eher Widerspruchsregelungen in Anspruch nehmen als der „Otto Normalbürger“, zeugt allein schon von einem Zweiiklassen-Denken, wie es politisch unappetitlicher nicht sein kann.

  3. Es mag nach Polemik klingen, aber in Zeiten, in denen Gutachten mit „Urheberrecht“ unter Verschluss gehalten werden sollen… bin ich nicht in JEDER logischen Hinsicht Urheber meiner Gesundheitsdaten??? ;)
    (Wobei logisch und juristisch zwei verschiedene Kategorien sind…)

  4. Es wäre zu prüfen, ob eine „besondere Situation“ sich auch allein aus einem Gesundheitszustand ableiten ließe, durch den nach Bekanntwerden der Person Nachteile enstehen können (z.B. Verlust des Arbeitsplatzes, hohe Versicherungsbeiträge, soziale Ausgrenzung).

  5. An Abrechnungsdaten von privat Versicherten besteht etwa kein öffentliches Interesse? Wären nicht gerade Unterschiede zum Nachweis denkbarerer Querfinanzierung im Interesse der Mehrzahl der Versicherten? Wird hier nicht der Gleichheitsgrundsatz missachtet? Werden durch das neue DVG praktisch Anreize geschaffen, im Zweifel zu privaten Versicherern zu wechseln?
    Wird man überhaupt informiert, bevor persönliche Daten an Dritte weiter gegeben werden sollen?

  6. Das ist wieder einmal ein schleichender Verfall des Grundrecht der informationellen Selbstbestimmung. Diese Daten sind jetzt noch für Forschungszwecke erhoben, in ein paar Jahren kommt dann das kommertielle Interesse der Pharma-Firmen und Versicherungen direkt zu Tage. Die Versicherungsbranche freut sich jetzt schon, individuelle Gesundheits-Tarife zu erstellen.

  7. Ist wirklich schussfest definiert, welche Daten singestellt werden?

    Kommt die gesamte Krankenhistorie hinein? Also ein Schelm … aber es bietet sich doch an… Prothesen sind inetwas gleichverteilt… so gleich wie gleich alle Daten einzusammeln?

  8. Komisch. Ich meine mich erinnern zu können, in diesem Zusammenhang (DVG) mal was von „Pseudonymisierung“ der betreffenden Daten gehört zu haben (jaja, ich weiß, das ist kein wirklicher Schutz).

    -Was sind solche Datensätz eigentlich wert (von/bis; in Euro und Cent). Denn die „forschenden Pharmaunternehmen“ werden die doch wohl nicht für umme bekommen. -Oder doch? Dann müsste man – Stichwort Strukturelle Korruption – mal schauen, wer der politischen/exekutiven/ministeriellen Akteure wann und wo welchen Beraterposten nach seinem „Wechsel in die Privatwirtschaft“ bekommt…

    Die im Artikel beschriebene und auch in anderen gesellschaftlichen Bereichen (nicht nur Datenschutz also) Quasi-Beweislastumkehr, das Abwälzen staatlicher Verantwortung auf die Allgemeinheit, die Monetarisierung von Allen und Allem, der Biografien, der Körper, der Körperteile ist natürlich der Kapitalverwertungslogik immanent (das Detail, dass Privatversicherte außen vor bleiben beim Datenraub spricht Bände). Es ist aber schon einigermaßen gruselig, welche Ausmaße das inzwischen annimmt und wie der Staat seine Schutzfunktion vernachlässigt und aufgibt, ins Gegenteil verkehrt und statt dessen wie ein Zuhälter der Konzerne auftritt – so auch hier.

    1. Ich vermute, das kommt darauf an, was für Daten letztlich enthalten sein werden, sowie auf den Zeitpunkt.

      Ich finde z.B. allerlei Zufallszahlen zum Wert von Facebookdaten für einen Benutzer (inetwas zeitlich absteigend 147$ … 17$). Bin selbst aber nicht im Geschäft.

      Wird die gesamte Krankenhistorie Teil der Datensammlung? Wieviel Kontext ist dabei? Wieviel bringen die prothesenbezogenen Daten für sich?

      1. Wertiger als die reinen Prothesendaten dürften die Facebookdaten sein, wo vorhanden. Denn womit kann man kontinuierlich „Gewinn“ holen … mit nicht funktionierenden Prothesen?

        Wer weiß… das Register hat zwar einen offiziellen Zweck, aber den Leuten on Top (sorry für die fake-SPD-Formulierung) ist leider wohl sehr viel zuzutrauen.

        Ansonsten schaden die Daten natürlich, sofern es entsprechende Entitäten auf Schaden anlegen (muss es ein Scharfschütze sein, tut es ein starker Magnet, oder reicht ein Elvis Song… oder die Materialien werden reglementiert, damit im Durchschnitt mehr Prothesenträger an irgendetwas Blödem sterben, solches ist ja auch gerade in Mode…).

  9. Kleiner Korrekturvorschlag: § 84 Abs. 5 SGB X müsste gemeint sein, nicht § 84 Abs. 6 SGB X. Im Übrigen gut nachvollziehbare Argumentation und sinnvoller Beitrag zur Aufklärung und Versachlichung der Diskussion.

  10. Auch 2020: Telematik-Infrastruktur nicht mit dem Grundgesetz vereinbar

    Die zentrale Speicherung der Gesundheits- und Sozialdaten von 70 Millionen gesetzlich Krankenversicherten ohne deren Einwilligung und ohne Widerspruchsmöglichkeit verstösst nicht nur gegen das im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, sondern auch gegen die DSGVO und gegen die ärztliche Schweigepflicht nach Paragraph 203 StGB. Deshalb verweigern viele Ärztinnen und Ärzte den Zwangsanschluss an die Telematik-Infrastruktur und nehmen Honorarkürzungen und ggf. weitere Sanktionen in Kauf. Wer etwas tun möchte, unterzeichne und teile die Online-Petition 98780 des Bundestages. Bei mehr als 50.000 Unterschriften MUSS sich der Petitionsausschuss mit dem Anliegen befassen. 40.000 Unterschriften auf Papier liegen bereits vor.

    https://epetitionen.bundestag.de/petitionen/_2019/_09/_02/Petition_98780.html

    Text der Petition:
    Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden dürfen, die ihre Daten nicht in elektronischen Patientenakten (ePA) auf zentralen Servern außerhalb der Praxen speichern lassen wollen. Die Telematik-Infrastruktur (TI) für Ärzte und Psychotherapeuten sowie die Nutzung der ePA für Ärzte und Patienten müssen freiwillig sein. Strafen gegen Ärzte und Psychotherapeuten, die sich nicht an die TI anschließen lassen, dürfen nicht verschärft, sondern müssen abgeschafft werden.

     

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.