Wer hatte bereits zwei Bandscheibenvorfälle, wer nimmt Medikamente gegen Bluthochdruck, wer leidet seit Jahren unter Depressionen? Derartig sensible und schützenswerte Informationen enthalten die Gesundheitsdaten der 73 Millionen gesetzlich Versicherter in Deutschland. Das Missbrauchspotential dieser Daten liegt auf der Hand – ein Gefühl dafür hat vielleicht, wer schon mal versucht hat, eine Berufsunfähigkeitsversicherung abzuschließen. Sollte man so sensible Daten nur pseudonymisiert und an zentraler Stelle speichern?
Morgen verhandelt das Berliner Sozialgericht über diese Frage. Hintergrund ist das Digitale-Versorgung-Gesetz aus dem Jahr 2019. Es schreibt seit vergangenem Oktober das Sammeln sowie die zentrale Speicherung von Gesundheitsdaten in einem Forschungsdatenzentrum vor. Darunter fallen etwa ärztliche Diagnosen, aber auch Daten zu Krankenhausaufenthalten und Medikation. Seit kurzer Zeit werden die Daten bereits für Forschungsprojekte genutzt.
Das Gesetz wurde von Anfang an von Diskussionen begleitet, etwa über unzureichende Datenschutzstandards und das fehlende Widerspruchsrecht für die Betroffenen. Dagegen hatte im vergangenen Mai die Gesellschaft für Freiheitsrechte (GFF) Klagen bei Sozialgerichten in Frankfurt am Main und Berlin eingereicht.
Darum geht es
Die Klagenden monieren ausdrücklich nicht die Forschung mit Gesundheitsdaten per se, sondern die konkrete Umsetzung. Bevor die Daten für Forschende in einem entsprechenden Forschungsdatenzentrum gespeichert werden, liefern die gesetzlichen Kassen diese pseudonymisiert an eine zentrale Stelle beim Spitzenverbund der Krankenkassen. Dieser Zwischenschritt, eine zentrale „Datenhalde“, schaffe ein enormes Sicherheitsrisiko. Zudem schütze die Pseudonymisierung allein nicht vor einer Identifikation anhand des Datensatzes, etwa in Kombination mit anderen Datensätzen. Das hatte ein Gutachten des Kryptografie-Professors Dominique Schröder ergeben. Daneben kritisieren die Klagenden besonders ein mangelndes Widerspruchsrecht für die Betroffenen – also alle gesetzlich Versicherten – sowie unzureichende Datenschutzstandards.
Die Klagen wurden von der Gesellschaft für Freiheitsrechte zusammen mit Constanze Kurz, ehrenamtliche Sprecherin des Chaos Computer Clubs, sowie einem weiteren anonymen Kläger, der an der seltenen Bluter-Krankheit leidet, bereits im vergangenen Mai zusammen mit zwei Eilanträgen eingereicht. Dabei gab es bereits kleine Erfolge. Beide Klagenden bekamen im Eilverfahren mit ihren Unterlassungsklagen gegen die jeweilige Krankenkasse Recht: Diese dürfen die Gesundheitsdaten der beiden nicht in das neue System einspeisen – zumindest, bis das Hauptverfahren entschieden ist.
Auf dem Weg zum Europäischen Gerichtshof
In der ersten Gerichtsverhandlung in der Hauptsache im Oktober vergangenen Jahres machte der Vorsitzende Richter Michael Kanert bereits klar, dass er sich der Materie genau annehmen will. In der Anhörung am Mittwoch wird es auch um die folgenden Fragen gehen: Ist die zentrale Haltung der gesamten Gesundheitsdaten von Millionen mit dem EU-Datenschutzrecht in Einklang? Welche alternativen Mittel gibt es, auch auf dezentral gehaltenen Daten medizinische Forschung zu betreiben, so dass eine zentrale Datenhalde vermieden werden kann? Welche begründeten Argumenten gibt es, den Betroffenen ein Opt-out zu verwehren?
Ziel der Klage ist unter anderem, dass der Fall dem Europäischen Gerichtshof (EuGH) vorgelegt wird. Falls dies gelingt, würde der EuGH prüfen, ob die zentrale Speicherung der Gesundheitsdaten mit europäischem Recht, spezifisch der europäischen Datenschutzverordnung (DSGVO), konform ist. Ob es dazu kommt, wird sich morgen vor dem Berliner Sozialgericht entscheiden.
Transparenzhinweis: Constanze Kurz ist Mitglied der Redaktion von netzpolitik.org.
Die Daten sind wichtig und es ist wichtig das diese Daten mit der Forschung geteilt werden. Es ist genauso wichtig, wenn sis den Datensätzen gewisse Schlussfolgerungen getroffen werden können, betroffene Personen zu kontaktieren.
Es ist auch deshalb wichtig, weil Ärzte mit dieser Änderung automatisch dazu verpflichtet werden etwas genauer hinzusehen und gewissenhafter zu arbeiten.
Das alles ist wichtig. Und muss geteilt werden.
Die große Frage ist bloß:
1. Wie kann man verhindern, das all diese Daten missbraucht werden?
2. Schon jetzt gibt es privat-wirtschaftliche GesundheitsApps zb den Terminservice „Docotlib“ Einfach, Intuitiv, Sicher! Da werden teilweise jetzt schon sehr sensible Daten gespeichert. Die Politik und die sinnlose Diskussionen zwischen allen Offiziellen Akteuren führt dazu, das aktuell alle privat-wirtschaftlichen Unternehmen GesundheitsApps auf den Markt bringen, die tausend Mal besser ankommen als die Apps von den Krankenkassen (!)
Niemand weiß, wo die Daten landen und mit wen diese Daten geteilt werden. Die Wahrscheinlichkeit das Doctolib mit der Zeit weiterverkauft wird, steigt! Stell dir vor, die Deutsche Telekom kauft den Laden auf. Die ist ja sowieso mit einer der ersten Ansprechpartner wenn es um
solche Dinge geht! Telekom, die gleichzeitig Privatwirtschaftlich agiert
Das sind halt die großen Fragen.
Welches Sicherheitssystem nutzt man, um einerseits all diese Daten zu sammeln und andererseits Missbrauch verhindern.
Meiner Ansicht kannst du das nur erreichen wenn eine unabhängige Instanz permanent kontrolliert, wenn man weiß wer alles wann auf die Daten zugreift, wer mit wen zusammenarbeitet usw usw usw.
Auf jeden Fall braucht es eine unabhängige Kontrollinstanz.
Ja nee.. wie wichtig das ist, ist Aufgabe der WISSENSCHAFT herauszufinden.
DAFÜR brauchen wir sinnvolle Paradigmen. Die Politik liefert in letzter Zeit, diesbezüglich konsistent: Müll.
Die Kritik an privatwirtschaftlichen Apps teile ich.
Die anfänglichen Punkte kann ich aber nicht nachvollziehen, ich glaube, da liegt ein Missverständnis vor.
Dass der Forschung grundsätzlich Daten zur Verfügung stehen sollten, wird von den Klägern nicht bestritten. Es geht meines Erachtens aber um allgemeine Forschung, nicht personenspezifische. Entsprechend ist der Rückschluss und die -meldung an konkrete Personen weder vorgesehen noch notwendig. Und eine gewissenhaftere Arbeit der Ärzte wird sich damit ebenfalls nicht erreichen lassen, weil die Forschung nicht kontrolliert, ob die ihren Job richtig gemacht haben.
Genau dieser Punkt könnte sich aber in Zukunft grundlegend ändern. Wenn erstmal nachvollziehbar ist, das Patient oder Patientin wegen diesen und jenen Beschwerden zum Arzt ging und daraus keine, nach allen Regeln der Medizin, Verhalten ablesen lässt, wird das in Zukunft sehr wohl ein Relevanz haben. Vor allem weil es eine hohe Dunkelziffer gibt, die dann nicht mehr im Dunklen schwimmt.
„„Docotlib“ Einfach, Intuitiv, Sicher!“
PRUUUSST!
https://www.borncity.com/blog/2021/06/23/datengrab-doctolib-reicht-deine-daten-an-facebook-und-outbrain-weiter/
Nix ist sicher.
Nix.
Außer das wir alle irgendwann sterben.
Solange die Infrastruktur (Netzwerk, aber hauptsächlich Betriebssysteme und Programme – habe auch hier mehrmals darauf hingewiesen) nicht sicher sind, gilt für mich: Ich will das nicht.