Gesellschaft für FreiheitsrechteKlagen gegen zentrale Gesundheitsdatensammlung

Ab Oktober sollen die gesetzlichen Krankenkassen einer zentralen Stelle Gesundheitsdaten aller Versicherten zur Verfügung stellen. An der Sicherheit der Dateninfrastruktur gibt es allerdings erhebliche Zweifel. Deshalb klagt die Gesellschaft für Freiheitsrechte nun gegen das Sammeln der Daten.

73 Millionen Menschen vertrauen ihre Gesundheitsdaten den gesetzlichen Krankenkassen an. Gemeinfrei-ähnlich freigegeben durch unsplash.com rawpixel

Wer zum Arzt oder zur Ärztin geht, hinterlässt dort zwangsläufig sehr persönliche Daten über die eigene Gesundheit. Ob ärztliche Diagnosen, Röntgenbilder oder Vorerkrankungen – Daten können Bände sprechen über die Gesundheit der Patient:innen. Nicht ohne Grund gibt es deshalb die Schweigepflicht für Ärzt:innen. Ab Oktober jedoch sollen Gesundheitsdaten von allen 73 Millionen gesetzlich Versicherten pseudonymisiert gesammelt und der Forschung zur Verfügung gestellt werden. Dagegen hat die Gesellschaft für Freiheitsrechte (GFF) nun Klagen eingereicht.

Das Digitale-Versorgung-Gesetz, das 2019 verabschiedet wurde, sieht ab Oktober dieses Jahres das Sammeln sowie die zentrale Speicherung der Gesundheitsdaten in einem Forschungsdatenzentrum vor. Anschließend sollen etwa Hochschulen oder Institute die Nutzung der Daten für Forschungszwecke beantragen können. Schon vor Inkrafttreten gab es umfassende Kritik an dem Gesetz wegen unzureichender Datenschutzstandards und fehlendem Widerspruchsrecht für die Patient:innen.

Darauf beziehen sich nun zwei Klagen, die von der Gesellschaft für Freiheitsrechte zusammen mit Constanze Kurz, die für netzpolitik.org arbeitet und ehrenamtliche Sprecherin des Chaos Computer Clubs ist, sowie einem weiteren Kläger eingereicht wurden. Dazu gehört auch ein Eilantrag gegen die Umsetzung ab Oktober.

Zentrale Datensammelstelle

Von den Krankenkassen sollen die Daten laut Gesetz pseudonymisiert, also ein „Lieferpseudonym“, über die Telematik-Infrastruktur an eine zentrale Datensammelstelle beim Spitzenverband Bund der Krankenkassen gesendet werden. Diese zentrale Datensammelstelle sehen die Kläger:innen als ein enormes Sicherheitsrisiko, das unnötigerweise eingegangen wird. Von dort werden die Daten gebündelt ohne das Lieferpseudonym, dafür aber mit einer individuellen Arbeitsnummer an das Forschungsdatenzentrum Gesundheit übermittelt, das beim Bundesinstitut für Arzneimittel und Medizinprodukte angelegt ist.

Diese Arbeitsnummer ist wiederum ein Pseudonym, aber eins, von dem man auf das „Lieferpseudonym“ nicht rückschließen können soll. Eine separate Vertrauensstelle erhält die Pseudonyme und Arbeitsnummern. Anschließend bekommt das Forschungsdatenzentrum Einweg-Pseudonyme. Der ganze Prozess soll gewährleisten, dass die Patient:innendaten zusammengeführt werden können, ohne dass ihnen ein Name eines Menschen zugeordnet werden kann. Das Forschungsdatenzentrum speichert die Gesundheitsdaten für bis zu dreißig Jahre und macht sie für Dritte zugänglich. Nach einem entsprechenden Antrag soll das Zentrum die Daten den Dritten zur Verfügung stellen und zudem deren Verwendung kontrollieren.

Den Zwischenschritt, eine zentrale Stelle und damit einen potentiellen Angriffspunkt einzurichten, anstatt den Krankenkassen den direkten Draht zum Forschungsdatenzentrum zu geben, kritisiert die GFF. Aber auch die Tatsache, dass für das Forschungsdatenzentrum im Gesetz keine konkreten technischen Vorgaben bei der IT-Sicherheit gemacht werden, missfällt den Kläger:innen. Sie fordern zudem ein Widerspruchsrecht.

Die GFF und die Kläger:innen sehen in dem Verfahren zahlreiche Risiken, gegen die sie sich mit den Unterlassungsklagen wehren. Laut einem eingeholten Gutachten des Kryptographie-Professors Dominique Schröder reicht die vorgesehene Pseudonymisierung für den Schutz der Patient*innendaten nicht aus. Selbst mit öffentlich zugänglichen Datensätzen könnten die Patient:innen auf einfache Weise re-identifiziert werden. Auch kritisiert der Experte das zentrale Sammeln der Daten beim Spitzenverband Bund der Krankenkassen als „überflüssig und gefährlich“.

Datenschutz kein Selbstzweck

Die GFF teilt mit, sie wolle mit der Klage nicht Gesundheitsforschung verhindern, sondern auf besseren Schutz der Daten drängen und deren schon absehbaren Missbrauch verhindern. „Gesundheitsdaten sind mit einem Wert von durchschnittlich 250 US-Dollar pro Datensatz eine äußerst attraktive Beute für Datendiebe und böswillige Zugriffsberechtigte“, sagt der Jurist und Verfahrenskoordinator bei der GFF, Bijan Moini. Außerdem müsse den Versicherten durch ein Widerspruchsrecht die Möglichkeit eingeräumt werden, selbst über die Verwendung der eigenen Daten zu bestimmen. In seinem momentanen Zustand verstoße das Gesetz daher gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sowie gegen das Grundgesetz und die Europäische Grundrechtecharta.

„Vor allem für besonders schutzbedürftige Menschen wie jene mit einer seltenen oder stigmatisierenden Erkrankung muss ein Widerspruchsrecht bestehen“, schreibt die GFF. Sie müssten im Fall von Datenmissbrauch oder Datenlecks persönliche Nachteile wie etwa Ansehensverlust, Ausgrenzung oder finanzielle Verluste fürchten. Deshalb müsse der Staat Daten so gut wie möglich und mit der besten Technik vor Missbrauch schützen, um das Recht auf informationelle Selbstbestimmung zu gewährleisten.

Aus Sicht der Kläger*innen könne das derzeit nicht garantiert werden. Befürchtungen des Datenmissbrauchs seien auch nicht realitätsfern, wie Datenschutz-Skandale immer wieder zeigten. Oft reichten wenige Merkmale aus, um pseudonymisierte Daten doch wieder einer konkreten Einzelperson zuzuordnen.

Mit ihren Anträgen wollen die Kläger:innen perspektivisch auch eine Klärung der Rechtslage durch den Europäischen Gerichtshof erreichen. Denn wegen der grundsätzlichen rechtlichen Fragen wird eine Vorlage an den EuGH in den Schriftsätzen angeregt.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

2 Ergänzungen

  1. Sollten die Daten nicht, vorurteilsfrei und sachlich, von einer Forschungsgruppe einer Bundesstelle zu Qualitätssicherung bereitgestellt werden? Warum werden die Daten von den Krankenkassen ausgewertet

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.