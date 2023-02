Heute stand der zweite Verhandlungstag im Fall um die Zentralspeicherung aller Gesundheitsdaten der gesetzlich Krankenversicherten im Sozialgericht Berlin an. Nach knapp fünf Stunden Sitzung das Ergebnis: Das Verfahren ruht bis auf Weiteres. Somit werden die in der Klage aufgeworfenen grundsätzlichen Datenschutzfragen zunächst auch nicht dem Europäischen Gerichtshof vorgelegt.

Klägerin ist Constanze Kurz, ehrenamtliche Sprecherin des Chaos Computer Clubs, zusammen mit der Gesellschaft für Freiheitsrechte (GFF), die sich gegen die zentrale Speicherung der sensiblen Daten ohne eine Opt-out-Möglichkeit wenden. Matthias Bäcker vertrat Kurz und die GFF auch heute in der Verhandlung. Beigeladen waren zudem Vertreter:innen des Spitzenverbandes der Gesetzlich Krankenversicherten (GKV), des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BDfI), des Robert-Koch-Instituts (RKI) sowie des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM). Für letzteres war Steffen Heß anwesend, dessen Stellungnahme zum geplanten Forschungsdatenzentrum ausschlaggebend für die heutige Entscheidung war, das Verfahren ruhen zu lassen.

Ergebnis: Zunächst kein Ergebnis

Schwerpunkt der heutigen Anhörung sollte eigentlich die Klärung rechtlicher Fragen sein, allerdings war die Tatsachenbeurteilung in Bezug auf IT-Sicherheitsrisiken, die Art der Datenverarbeitung und deren Implikationen nach Ansicht des Vorsitzenden Richters Michael Kanert noch nicht finalisiert. Fokus war daher vor allem die Diskussion um die IT-Sicherheit beim zukünftigen Forschungsdatenzentrum, in dem die Gesundheitsdaten von Millionen liegen. Zudem stellte sich heraus, dass eine Mehrheit der Beigeladenen die jüngsten Schriftsätze, die essenziell für eine Diskussion aller Beteiligten gewesen wären, nicht erhalten hatten.

Dass der Fall nun zunächst ruht, ergibt sich vor allem aus den aktuellen Informationen zum Forschungsdatenzentrum. Heß, Leiter des Zentrums, stellte schon zu Beginn der Sitzung klar, dass sich das Zentrum auch Monate nach dem letzten Verhandlungstag im Oktober noch im Aufbau befinde. Die Konzeption laufe, allerdings sei das Sicherheitskonzept noch nicht final. Die Mehrheit der Millionen Gesundheitsdaten sei allerdings übermittelt: Alle Daten aus dem Jahr 2019 seien bereits in der neuen Datenbank, jene aus 2021 stünden zur Übermittlung bereit, was auch die Vertreter:innen des GKV-Spitzenverbandes bestätigen. Momentan würden die Daten aus 2019 geprüft.

Das große Problem, das den Fall zum Stillstand brachte: Das IT-Sicherheitskonzept gibt es noch nicht in endgültiger Fassung, weswegen viele konkrete Fragen zu IT-Sicherheit und Datenschutz unbeantwortet blieben. Ohne dieses Konzept gebe es keine gute Grundlage zur Tatsachenbeurteilung, erklärte der Richter. Alle Streitparteien stimmten dem zu.

Grund für das langsame Voranschreiten und das deutliche Zurückfallen hinter den Zeitplan im Forschungsdatenzentrum sei unter anderem, dass das Ministerium nicht mit allen beauftragten Dienstleistern glücklich gewesen war, erklärte Heß in der Verhandlung. Deshalb steckten sie nun mitten im Prozess eines Dienstleisterwechsels. Ein fertiges Konzept werde es im ersten Halbjahr des Jahres 2023 nicht mehr geben, so Heß. Auch eine Fertigstellung in der zweiten Hälfte des Jahres sei nicht garantiert.

Die zentralen Streitpunkte

In der Verhandlung traten erneut essenzielle Uneinigkeiten zwischen den Streitparteien zutage. Vor allem die Debatte um zentrale versus dezentrale Speicherung der Gesundheitsdaten nahm viel Raum in der Diskussion ein. Grundsätzlich sprachen sich die Klagenden für Dezentralität aus, da es so zu keiner Verdopplung der Daten und damit weiteren Angriffsflächen käme. Die Daten könnten zum Beispiel dezentral bei den Krankenkassen bleiben und von dort projektspezifisch an Forschende weitergegeben werden.

Dem entgegen stand die Auffassung der Beklagten und des Vertreters der GKV, dass Dezentralität zu einem höheren Risiko durch Cyberangriffe führe. Für Richter Kanert erschloss sich aus der Debatte das Hauptproblem im Prozess: Man müsse konkret klären, ob es eine gleichwirksame Alternative zum aktuellen zentralen Ansatz gäbe. Genau dafür müssen alle Tatsachen offengelegt werden – wie das Sicherheitskonzept des Forschungszentrums –, um eine umfassende Prüfung zu ermöglichen.

„Rechtsstaat ist anstrengend, das Leben besteht eben aus Details“, fasste Richter Kanert zusammen. Jetzt gründlich zu arbeiten und auf Details zu dringen, könne den Beteiligten nicht erspart werden.

Zuweilen ging es im Gerichtssaal hitzig zu, vor allem zwischen Richter Kanert und dem Anwalt hinter Heß, Cornelius Böllhoff. Letzterer erklärte, der Fall sei aus seiner Sicht bereits entscheidungsreif, die Tatsachenbeurteilung doch eigentlich beendet. Dem widersprach der Richter deutlich. Auch der Twitter-Account der GFF wurde von Böllhoff angegriffen: Man hätte dort den Umgang mit den Gesundheitsdaten der Patient:innen als „fahrlässig“ beschrieben.

Wie geht es nun weiter? Nach Auffassung Bäckers, Vertreter der Klagenden, stehen zwei Grundfragen aus. Zum einen sei die Architektur des diskutierten Gesetzes und dessen Einklang mit der EU-Datenschutzgrundverordnung strittig. Zum anderen sei die konkrete Ausgestaltung des Sicherheitskonzeptes des Datenforschungszentrums noch unklar. Das Verfahren ruht nun, die Beteiligten der Klage können den Fall allerdings jederzeit wieder aufnehmen. Vor allem liegt es jetzt am BfArM, das Forschungsdatenzentrum und dessen Sicherheitskonzept auszuarbeiten, damit Behauptungen zum Datenschutz und zur IT-Sicherheit zu Tatsachen werden können.

Transparenzhinweis: Constanze Kurz ist Mitglied der Redaktion von netzpolitik.org.