Seit Oktober werden die Gesundheitsdaten aller gesetzlich Versicherten in Deutschland zentral gespeichert. Im Mai 2022 wurden dagegen Klagen eingereicht. Kritisiert wird vor allem ein hohes Datenschutzrisiko sowie ein mangelndes Widerrufsrecht für Betroffene. Morgen geht der Fall vor dem Berliner Sozialgericht in die nächste Runde.

Wer hatte bereits zwei Bandscheibenvorfälle, wer nimmt Medikamente gegen Bluthochdruck, wer leidet seit Jahren unter Depressionen? Derartig sensible und schützenswerte Informationen enthalten die Gesundheitsdaten der 73 Millionen gesetzlich Versicherter in Deutschland. Das Missbrauchspotential dieser Daten liegt auf der Hand – ein Gefühl dafür hat vielleicht, wer schon mal versucht hat, eine Berufsunfähigkeitsversicherung abzuschließen. Sollte man so sensible Daten nur pseudonymisiert und an zentraler Stelle speichern?

Morgen verhandelt das Berliner Sozialgericht über diese Frage. Hintergrund ist das Digitale-Versorgung-Gesetz aus dem Jahr 2019. Es schreibt seit vergangenem Oktober das Sammeln sowie die zentrale Speicherung von Gesundheitsdaten in einem Forschungsdatenzentrum vor. Darunter fallen etwa ärztliche Diagnosen, aber auch Daten zu Krankenhausaufenthalten und Medikation. Seit kurzer Zeit werden die Daten bereits für Forschungsprojekte genutzt.

Das Gesetz wurde von Anfang an von Diskussionen begleitet, etwa über unzureichende Datenschutzstandards und das fehlende Widerspruchsrecht für die Betroffenen. Dagegen hatte im vergangenen Mai die Gesellschaft für Freiheitsrechte (GFF) Klagen bei Sozialgerichten in Frankfurt am Main und Berlin eingereicht.

Darum geht es

Die Klagenden monieren ausdrücklich nicht die Forschung mit Gesundheitsdaten per se, sondern die konkrete Umsetzung. Bevor die Daten für Forschende in einem entsprechenden Forschungsdatenzentrum gespeichert werden, liefern die gesetzlichen Kassen diese pseudonymisiert an eine zentrale Stelle beim Spitzenverbund der Krankenkassen. Dieser Zwischenschritt, eine zentrale „Datenhalde“, schaffe ein enormes Sicherheitsrisiko. Zudem schütze die Pseudonymisierung allein nicht vor einer Identifikation anhand des Datensatzes, etwa in Kombination mit anderen Datensätzen. Das hatte ein Gutachten des Kryptografie-Professors Dominique Schröder ergeben. Daneben kritisieren die Klagenden besonders ein mangelndes Widerspruchsrecht für die Betroffenen – also alle gesetzlich Versicherten – sowie unzureichende Datenschutzstandards.

Die Klagen wurden von der Gesellschaft für Freiheitsrechte zusammen mit Constanze Kurz, ehrenamtliche Sprecherin des Chaos Computer Clubs, sowie einem weiteren anonymen Kläger, der an der seltenen Bluter-Krankheit leidet, bereits im vergangenen Mai zusammen mit zwei Eilanträgen eingereicht. Dabei gab es bereits kleine Erfolge. Beide Klagenden bekamen im Eilverfahren mit ihren Unterlassungsklagen gegen die jeweilige Krankenkasse Recht: Diese dürfen die Gesundheitsdaten der beiden nicht in das neue System einspeisen – zumindest, bis das Hauptverfahren entschieden ist.

Auf dem Weg zum Europäischen Gerichtshof

In der ersten Gerichtsverhandlung in der Hauptsache im Oktober vergangenen Jahres machte der Vorsitzende Richter Michael Kanert bereits klar, dass er sich der Materie genau annehmen will. In der Anhörung am Mittwoch wird es auch um die folgenden Fragen gehen: Ist die zentrale Haltung der gesamten Gesundheitsdaten von Millionen mit dem EU-Datenschutzrecht in Einklang? Welche alternativen Mittel gibt es, auch auf dezentral gehaltenen Daten medizinische Forschung zu betreiben, so dass eine zentrale Datenhalde vermieden werden kann? Welche begründeten Argumenten gibt es, den Betroffenen ein Opt-out zu verwehren?

Ziel der Klage ist unter anderem, dass der Fall dem Europäischen Gerichtshof (EuGH) vorgelegt wird. Falls dies gelingt, würde der EuGH prüfen, ob die zentrale Speicherung der Gesundheitsdaten mit europäischem Recht, spezifisch der europäischen Datenschutzverordnung (DSGVO), konform ist. Ob es dazu kommt, wird sich morgen vor dem Berliner Sozialgericht entscheiden.

Transparenzhinweis: Constanze Kurz ist Mitglied der Redaktion von netzpolitik.org.