Grundrechte-Report 2023Zentralisierte Gesundheitsdaten

Im Rahmen der seit Jahrzehnten andauernden Digitalisierung der Gesellschaft werden stetig neue Sachbereiche daraufhin abgeklopft, wie die vorliegenden Daten nutz- und gewinnbringend ausgewertet werden können. Die Gesundheitsdaten der deutschen Bevölkerung sind da keine Ausnahme.

Ein Arzt mit VR-Brille
Die Digitalisierung des Gesundheitswesens verheißt viel – zulasten der Grundrechte. – Alle Rechte vorbehalten IMAGO / ingimage

Unter der Ägide des damaligen Gesundheitsministers Jens Spahn beschloss der Deutsche Bundestag im Dezember 2019 das sogenannte Digitale-Versorgung-Gesetz (DVG). Auf dessen Grundlage wurden die Gesundheitsdaten aller 73 Millionen gesetzlich Versicherten im sogenannten Datentransparenzverfahren (DTV) seit Oktober 2022 zusammengeführt und zentral gespeichert. Begründet wurde das Vorhaben damit, dass dadurch neue Möglichkeiten für die medizinische Forschung, die Versorgungsforschung, die Gesundheitsberichterstattung und die Steuerung des Gesundheitswesens entstehen sollen.

Auch wenn dies berechtigte Anliegen sind, dürfen die Grundrechte der Betroffenen bei der Umsetzung nicht auf der Strecke bleiben: Bei der Verarbeitung hochsensibler Gesundheitsdaten von Millionen Versicherten braucht es angemessene Schutzstandards und Widerspruchsrechte, beides fehlt im DVG.

Zentrale Speicherung birgt unnötige Risiken

Die Datentransparenzverordnung vom 26. Juni 2020 sieht vor, dass spätestens am 1. Oktober 2022 alle Versichertendaten von den gesetzlichen Krankenkassen zur Datensammelstelle, dem Spitzenverband Bund der Krankenkassen (BdK), fließen sollten. Zu jeder Person werden u. a. folgende Gesundheitsdaten als zusammenhängender Datensatz verarbeitet: Diagnosen, Behandlungen, Operationen, Arzneimittel, Zuzahlungen, Krankengeld-Informationen und viele andere Kosten- und Leistungsdaten sowie Geburtsjahr, Geschlecht und Postleitzahl.

Für die beschriebenen Zwecke, insbesondere die medizinische Forschung, würde es genügen, wenn die Daten dezentral gespeichert und nur projektbezogen temporär zusammengeführt würden. Stattdessen werden die Gesundheitsdaten aller Versicherten nun zusätzlich zur Speicherung bei den Krankenversicherungen in einer zentralen Datenbank vollständig, gemeinsam und bis zu 30 Jahre lang vorgehalten.

Eine solche zusätzliche zentrale Speicherung erhöht die Risiken eines Datenmissbrauchs oder eines unbefugten Datenzugriffs. Ein erfolgreicher Angriff oder eine Fehlbenutzung betreffen in einem zentralen System zudem potenziell schnell alle Daten und können verheerende Folgen haben für die Versicherten (Identifikation, Stigmatisierung und Arbeitsplatzverlust nach Veröffentlichung, Verletzung der Selbstbestimmung) und auch für den Betreiber (Haftungsansprüche). Zudem bedeutet eine unnötige Datenzentralisierung immer eine unverhältnismäßige staatliche Machtkonzentration, denn liegen die Daten einmal vor, können sie schnell auch für andere Zwecke verwendet werden, etwa für individualisierte Versicherungstarife oder gar zur Strafverfolgung.

Aus dem im Grundgesetz verankerten Recht auf informationelle Selbstbestimmung und aus dem Grundrecht auf Datenschutz in Artikel 8 der EU-Grundrechtecharta ergibt sich die staatliche Schutzpflicht, Menschen bei der Verarbeitung sensibler Daten adäquat vor negativen Folgen zu schützen. Auch die EU-Datenschutz-Grundverordnung (DSGVO) sieht einen hohen Schutzbedarf bei Gesundheitsdaten vor. Für die IT-Sicherheit gilt die Faustregel, dass sich erfolgreiche Sicherheit dadurch auszeichnet, dass der Aufwand eines Einbruchs größer ist als der vermutete Wert. Die umfangreiche Speicherung und das dauerhafte Vorhalten der Gesundheitsdaten einer ganzen Bevölkerung würde es nach dieser Faustregel nicht geben. Sie stellt ein lohnendes Angriffsziel dar und erhöht die dafür nötigen Sicherheitsvorkehrungen daher immens.

Fragwürdige Pseudonymisierung

Eine der wesentlichen Schutzvorkehrungen des Verfahrens ist die Pseudonymisierung der Datensätze. Konkrete Namen werden im Zusammenführungsprozess durch dauerhafte Pseudonyme ersetzt. Das Robert Koch-Institut tritt dabei als Vertrauensstelle auf und verwaltet die vom BdK genutzten Lieferpseudonyme, Arbeitsnummern und dauerhaften Pseudonyme. Nach der Pseudonymisierung fließen die Daten dann vom BdK zum Forschungsdatenzentrum (FDZ), das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt ist, wo die eigentliche zweckmäßige Datenverarbeitung vorgenommen werden kann.

Die Pseudonymisierung – Namensverschleierung – soll verhindern, dass konkrete Personen aus den Datensätzen re-identifiziert werden können. Sehr detaillierte Datensätze sind jedoch schwer sinnvoll durch Namensersetzung zu maskieren, weil Menschen im Detail doch sehr individuelle Biographien haben. Zudem sind gerade die zusammenhängenden individuellen Krankengeschichten und Sachhergänge für die medizinische Forschung relevant – dies gilt umso mehr bei seltenen Diagnosen und Krankheiten. Dabei genügen dann die Postleitzahl und das Krankenbild für eine Identifikation der Person. Inwiefern auswertbare Gesundheitsdaten überhaupt sinnvoll pseudonymisierbar sind, ist somit hochgradig fragwürdig.

Unklare Zweckbestimmung und keine Widerspruchsmöglichkeit

Aus Datenschutzsicht steht vor allen Datenverarbeitungsverfahren die Zweckfrage, also die Frage danach, welches Problem das Verfahren lösen soll. Datenschutzrechtlich muss der Zweck konkret, festgelegt und eindeutig sein. Je nach Zweck ergeben sich daraus die nötigen Verfahren, Risikoabwägungen und Schutzvorkehrungen.

Im vorliegenden Fall wird als Zweck die Verbesserung der medizinischen Forschung, der Versorgungsforschung, der Gesundheitsberichterstattung und der Steuerung des Gesundheitswesens angesehen. Dieses Zweckbündel wirkt weder festgelegt noch eindeutig und erschwert dadurch die Risikoabschätzung. Hier muss dringend nachgeschärft werden, um Beliebigkeit zu verhindern. Auch andere grundsätzliche Datenschutzfragen sind noch offen. Die Umsetzung von Auskunfts- und Korrekturrechten sind im aktuellen Modell technisch schwer bis gar nicht umsetzbar und ein Widerspruchsrecht ist explizit ausgeschlossen.

Das Digitale-Versorgung-Gesetz vor Gericht

Im Mai 2022 klagten die Informatikerin und Sprecherin des Chaos Computer Clubs, Constanze Kurz, und eine weitere Person mit Unterstützung der Gesellschaft für Freiheitsrechte (GFF) vor den Sozialgerichten Berlin und Frankfurt am Main gegen die zentrale Speicherung ihrer Gesundheitsdaten. Constanze Kurz befürchtet, dass die bestehenden konzeptionellen Sicherheitsmängel früher oder später zu einem gefährlichen Datenabgriff führen könnten. Der zweite Kläger hat eine seltene Krankheit und Sorge, trotz Pseudonymisierung seiner Daten leicht re-identifiziert zu werden. Im Oktober 2022 fand der erste Verhandlungstag in Berlin mit einer Anhörung von diversen Sachverständigen statt.

Im Kern sehen die zwei klagenden Personen also schwere und unnötige grundrechtliche Risiken beim aktuellen Datentransparenzverfahren, etwa die IT-Sicherheitsrisiken durch Zentralisierung, die unzureichende Pseudonymisierung, die unklare Zweckbestimmung und die fehlende Widerspruchsmöglichkeit.

Die beabsichtigten Ziele des Datentransparenzverfahrens – die Forschung mit Gesundheitsdaten – können auf verschiedenen technischen Wegen verfolgt werden. Die Informatik bietet dafür viele Gestaltungswerkzeuge, um Daten sicher und sinnvoll dezentral auszuwerten. In der aktuellen Ausgestaltung des DTV werden jedoch konkret Grundrechte missachtet für einen theoretischen zukünftigen Nutzen. Aber das müsste nicht so sein; die Auswertung könnte durchaus mit einer anderen Datenarchitektur und besseren Schutzmechanismen technisch grundrechtskompatibel ausgestaltet werden.

Abschließend bleibt die grundsätzliche Frage, ob das Datentransparenzverfahren angesichts seiner immensen Risiken für Grundrechtsverletzungen tatsächlich einen Beitrag zur besseren Gesundheitsversorgung leisten kann. Denn wenn die proklamiert missliche Gesundheitsdatenlage gar kein zentrales Nadelöhr der Gesundheitsversorgung wäre, so wäre das aktuelle Datentransparenzverfahren nicht nur aus Datenschutzsicht unverhältnismäßig, sondern auch ein weiterer Beleg dafür, wie sich politische Akteur*innen durch moderne Informationstechnik ablenken lassen von sozialpolitischen Problemen.

Cover: Grundrechte-Report 2023Rainer Rehak ist wissenschaftlicher Mitarbeiter am Weizenbaum-Institut für die vernetzte Gesellschaft (WZB) und Ko-Vorsitz des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF ). Der Beitrag erschien im Grundrechte-Report 2023. Der „alternative Verfassungsschutzbericht“ wird am 23. Mai im Haus der Demokratie und Menschenrechte in Berlin sowie im Livestream vorgestellt. Veröffentlichung mit freundlicher Genehmigung des Fischer Verlages. Alle Rechte vorbehalten.

Grundrechte-Report 2023. Herausgegeben von: Benjamin Derin, Rolf Gössner, Wiebke Judith, Sarah Lincoln, Rebecca Militz, Max Putzer, Britta Rabe, Rainer Rehak, Lea Welsch, Rosemarie Will ISBN: 978-3-596-70882-6. 224 Seiten. E-Book und Taschenbuch. S. Fischer Verlag.

10 Ergänzungen

  1. Vielen Dank für den aufschlussreichen Gastbeitrag.

    Ich finde es höchst bedauerlich und wenig zeitgemäß, dass gerade ein Grundrechtsreport nicht auch als PDF zum freien Download bereitgestellt wird.

    http://www.grundrechte-report.de/2023/inhalt/

    FISCHER Taschenbuch, S. Fischer Verlag, Frankfurt/M., Juni 2023, ISBN 978-3-596-70882-6, 224 Seiten, 14.00 Euro.

    1. Konsequent ist es schon: „welche Grundrechte?“

      Das ist ja die Richtung, ohne viel Gedöns.

      1. Der Fairness halber müsste die Frage lauten „Wofür und wie weit?“, denn die zu großem Prozentsatz aus Juristen bestehenden Abteilungen kennen die Grundrechte sicherlich recht gut, tut man doch Tag ein Tag aus nichts anderes, als solche zu umgehen!

        1. > die zu großem Prozentsatz aus Juristen bestehenden Abteilungen kennen die Grundrechte sicherlich recht gut, tut man doch Tag ein Tag aus nichts anderes, als solche zu umgehen!

          Darüber muss nachgedacht werden!

          Warum ist es reizvoll, die Grundrechte der anderen zu umgehen?
          Wie steht es um die Grundrechte jener, die täglich daran feilen Grundrechte der anderen zu umgehen?
          Es ist ja nicht so, dass niemand dies bemerkt hätte. Aber was folgt daraus?

          1. Naja, ich denke mal…
            1. Umgehen ist vielleicht eine zugespitzte Formulierung für Kollisionsvermeidung üben, z.B. i.A. Vorgesetzter/innen.
            2. Mit gegebenen Weisungsstrukturen, quasi unter Maulkorb und der Gefahr des Verlusts durchaus attraktiver Rentenbezüge (u.ä.) ausgesetzt, macht man eben seine Arbeit.

            Während die Leute on Top wohl Vorhaben umsetzen wollen bzw. sollen, sind die Ebenen darunter wohl mit Durchführen beschäftigt. Prinzipiell feindlich ist aber die systematische Aushöhlung der Grundrechte, eher als das Nichtkollidieren mit Grundrechten. Letzteres ist naturgemäß Handwerk bzw. notwendige Bedingung, aber nicht mal das ist allgemein gegeben, wenn man auf die Handlungsebene guckt: Hausdurchsuchungen, Datendurchwinken, anlasslose Massenüberwachung.

    2. > 224 Seiten, 14.00 Euro.

      Ich bin 24 Jahre alt, und denke, dass der Grundrechte-Report mich auch noch mit 80 Jahren interessieren wird. Bei gleichbleibenden jährlichen Kosten müsste ich dafür (80-24)*14€=784€ aufbringen. Dieses Jahr muss ich darauf verzichten, weil mir Bohnen, Wasser und Strom nichts übrig lassen.

  2. In der Beschriebenen Form würde ich als Bürger dieses „INtransparenzverfahren“ (weil nur Pseudonym und ohne meine Einwilligung) auch komplett Ablehnen wollen. Nur erweckt der Beitrag den Eindruck das jetzt schon alles zu spät ist, denn oben lese ich:

    [Zitat]
    Auf dessen Grundlage wurden die Gesundheitsdaten aller 73 Millionen gesetzlich Versicherten im sogenannten Datentransparenzverfahren (DTV) seit Oktober 2022 zusammengeführt und zentral gespeichert. [Ende]

    das genau diese Massenspeicherung an einem Ort bereits Geschichte ist, die Daten dort also bereits auf Halde liegen. Oder ist das immer noch nicht abgeschlossen?

    Was kann man als Bürger nun tun? Petition, Verfassungsbeschwerde, Auf die Straße gehen (ohne Festkleben)?

    Und abgesehen davon bleibt die Frage offen wie denn Durchgängige Historien (unter nur einem Pseudonym) sichergestellt werden können wenn Bürger den Wohnort und/oder die Versicherung wechseln oder z.B. zu einer Privaten gehen. Waren letztere nicht noch davon ausgeschlossen?

    Wenn der Nutzen in einer durchgehenden Krankengeschichte JEDES Einzelnen Bürgers für die Gesundheitsforschung bestehen soll dann MUSS dies Sichergestellt sein oder man kann es gleich sein lassen. Was sowieso die Bessere Option gewesen wäre. Es wurde m.W. auch schon diskutiert das Forschende die Kassen z.b. nach Daten zu Krankheit X fragen – und nur diese Anonym/Pseudonym erhielten. Ist das zu viel Migrationsaufwand bei der Zusammenführung? Gut! So soll es sein!

    Für mich bleibt als Fazit nur:

    Schröder hat mit Hartz IV das Sozialsystem kaputt gemacht, Spahn hat das gleiche nun mit den Gesundheitsdaten angeschoben. Offenkundlich entlarvt das auch die Politik (einer SPD, einer CDU, und die anderen.. naja) als Systemisches Versagen.
    „Zauberlehrlinge“ bei der Arbeit. :-/ Und ein Beschluss der durch die Kalte Küche kam. Und wer fragt schon die Küche ob sie gefeudelt werden will? (Küche=Bürger!)

  3. Da inzwischen keiner mehr widerspricht, wenn gesagt wird: Daten sind das neue Gold.
    Müssten nicht die Krankenkassenbeiträge sinken, wenn wir die Gesundheitsdaten u.a. der Pharmaforschung zur Verfügung stellen? Stattdessen müssen die gesetzl. Versicherten mit immer höheren Beiträgen rechnen, weil die Datensammlung (Telematik genannt) sehr viel Geld verschlungen hat und weiterhin verschlingt. Es werden Geräte gebaut und ausgetauscht, die wegen des Ablaufs der Zertifikate angeblich nicht weiter benutzt werden können. Alles zu Lasten der gesetzl. Versicherten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.