Verhandlung zur Speicherung von Gesundheitsdaten„Rechtsstaat ist anstrengend“

Heute verhandelte das Sozialgericht Berlin über die Klage um die zentrale Speicherung von Gesundheitsdaten aller gesetzlich Versicherten. Das Ergebnis: Das Verfahren ruht bis auf Weiteres, da das Forschungsdatenzentrum noch kein IT-Sicherheitskonzept vorweisen kann.

Wie sich eine Künstliche Intelligenz den Menschen als Datenobjekt vorstellt (Diffusion Bee)

Heute stand der zweite Verhandlungstag im Fall um die Zentralspeicherung aller Gesundheitsdaten der gesetzlich Krankenversicherten im Sozialgericht Berlin an. Nach knapp fünf Stunden Sitzung das Ergebnis: Das Verfahren ruht bis auf Weiteres. Somit werden die in der Klage aufgeworfenen grundsätzlichen Datenschutzfragen zunächst auch nicht dem Europäischen Gerichtshof vorgelegt.

Klägerin ist Constanze Kurz, ehrenamtliche Sprecherin des Chaos Computer Clubs, zusammen mit der Gesellschaft für Freiheitsrechte (GFF), die sich gegen die zentrale Speicherung der sensiblen Daten ohne eine Opt-out-Möglichkeit wenden. Matthias Bäcker vertrat Kurz und die GFF auch heute in der Verhandlung. Beigeladen waren zudem Vertreter:innen des Spitzenverbandes der Gesetzlich Krankenversicherten (GKV), des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BDfI), des Robert-Koch-Instituts (RKI) sowie des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM). Für letzteres war Steffen Heß anwesend, dessen Stellungnahme zum geplanten Forschungsdatenzentrum ausschlaggebend für die heutige Entscheidung war, das Verfahren ruhen zu lassen.

Ergebnis: Zunächst kein Ergebnis

Schwerpunkt der heutigen Anhörung sollte eigentlich die Klärung rechtlicher Fragen sein, allerdings war die Tatsachenbeurteilung in Bezug auf IT-Sicherheitsrisiken, die Art der Datenverarbeitung und deren Implikationen nach Ansicht des Vorsitzenden Richters Michael Kanert noch nicht finalisiert. Fokus war daher vor allem die Diskussion um die IT-Sicherheit beim zukünftigen Forschungsdatenzentrum, in dem die Gesundheitsdaten von Millionen liegen. Zudem stellte sich heraus, dass eine Mehrheit der Beigeladenen die jüngsten Schriftsätze, die essenziell für eine Diskussion aller Beteiligten gewesen wären, nicht erhalten hatten.

Dass der Fall nun zunächst ruht, ergibt sich vor allem aus den aktuellen Informationen zum Forschungsdatenzentrum. Heß, Leiter des Zentrums, stellte schon zu Beginn der Sitzung klar, dass sich das Zentrum auch Monate nach dem letzten Verhandlungstag im Oktober noch im Aufbau befinde. Die Konzeption laufe, allerdings sei das Sicherheitskonzept noch nicht final. Die Mehrheit der Millionen Gesundheitsdaten sei allerdings übermittelt: Alle Daten aus dem Jahr 2019 seien bereits in der neuen Datenbank, jene aus 2021 stünden zur Übermittlung bereit, was auch die Vertreter:innen des GKV-Spitzenverbandes bestätigen. Momentan würden die Daten aus 2019 geprüft.

Das große Problem, das den Fall zum Stillstand brachte: Das IT-Sicherheitskonzept gibt es noch nicht in endgültiger Fassung, weswegen viele konkrete Fragen zu IT-Sicherheit und Datenschutz unbeantwortet blieben. Ohne dieses Konzept gebe es keine gute Grundlage zur Tatsachenbeurteilung, erklärte der Richter. Alle Streitparteien stimmten dem zu.

Grund für das langsame Voranschreiten und das deutliche Zurückfallen hinter den Zeitplan im Forschungsdatenzentrum sei unter anderem, dass das Ministerium nicht mit allen beauftragten Dienstleistern glücklich gewesen war, erklärte Heß in der Verhandlung. Deshalb steckten sie nun mitten im Prozess eines Dienstleisterwechsels. Ein fertiges Konzept werde es im ersten Halbjahr des Jahres 2023 nicht mehr geben, so Heß. Auch eine Fertigstellung in der zweiten Hälfte des Jahres sei nicht garantiert.

Die zentralen Streitpunkte

In der Verhandlung traten erneut essenzielle Uneinigkeiten zwischen den Streitparteien zutage. Vor allem die Debatte um zentrale versus dezentrale Speicherung der Gesundheitsdaten nahm viel Raum in der Diskussion ein. Grundsätzlich sprachen sich die Klagenden für Dezentralität aus, da es so zu keiner Verdopplung der Daten und damit weiteren Angriffsflächen käme. Die Daten könnten zum Beispiel dezentral bei den Krankenkassen bleiben und von dort projektspezifisch an Forschende weitergegeben werden.

Dem entgegen stand die Auffassung der Beklagten und des Vertreters der GKV, dass Dezentralität zu einem höheren Risiko durch Cyberangriffe führe. Für Richter Kanert erschloss sich aus der Debatte das Hauptproblem im Prozess: Man müsse konkret klären, ob es eine gleichwirksame Alternative zum aktuellen zentralen Ansatz gäbe. Genau dafür müssen alle Tatsachen offengelegt werden – wie das Sicherheitskonzept des Forschungszentrums –, um eine umfassende Prüfung zu ermöglichen.

„Rechtsstaat ist anstrengend, das Leben besteht eben aus Details“, fasste Richter Kanert zusammen. Jetzt gründlich zu arbeiten und auf Details zu dringen, könne den Beteiligten nicht erspart werden.

Zuweilen ging es im Gerichtssaal hitzig zu, vor allem zwischen Richter Kanert und dem Anwalt hinter Heß, Cornelius Böllhoff. Letzterer erklärte, der Fall sei aus seiner Sicht bereits entscheidungsreif, die Tatsachenbeurteilung doch eigentlich beendet. Dem widersprach der Richter deutlich. Auch der Twitter-Account der GFF wurde von Böllhoff angegriffen: Man hätte dort den Umgang mit den Gesundheitsdaten der Patient:innen als „fahrlässig“ beschrieben.

Wie geht es nun weiter? Nach Auffassung Bäckers, Vertreter der Klagenden, stehen zwei Grundfragen aus. Zum einen sei die Architektur des diskutierten Gesetzes und dessen Einklang mit der EU-Datenschutzgrundverordnung strittig. Zum anderen sei die konkrete Ausgestaltung des Sicherheitskonzeptes des Datenforschungszentrums noch unklar. Das Verfahren ruht nun, die Beteiligten der Klage können den Fall allerdings jederzeit wieder aufnehmen. Vor allem liegt es jetzt am BfArM, das Forschungsdatenzentrum und dessen Sicherheitskonzept auszuarbeiten, damit Behauptungen zum Datenschutz und zur IT-Sicherheit zu Tatsachen werden können.

Transparenzhinweis: Constanze Kurz ist Mitglied der Redaktion von netzpolitik.org.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Vollständig anonymisiert = Ja, gerne! Zum Wohle der Allgemeinheit. Alles Andere = VOLLKOMMEN INAKZEPTABEL!

  2. Jeder sollte selbst entscheiden dürfen ob er seine Daten pseudonymisiert ohne Rückverfolgbarkeit oder eben einer eindeutig identifizierbaren ID weitergibt, oder eben auch gar keine Weiterleitung. Aber meiner persönlichen Auffassung ist DAS, egal um welche Konstellation es geht, gar nicht das Problem, sondern bach wie vor welches Konzept am besten dazu dient 100%ig auszuschließen das ihr Missbrauch betrieben wird oder gar falsche Schlüsse aus den Erkenntnissen. Gerade Menschen, die sich dafür entscheiden sollten dies nicht bereuen! Das ist eine Frage, die wir uns generell in der Digitalisierung stellen müssen

  3. Mein Rechtsverständnis mag da etwas schmalbandig sein. Aber eine Datenbank zu betreiben, aktuell bereits hoch sensible Daten mindestens zu speichern – und das ohne ein finales IT-Sicherheitskonzept ??? Wie können die dann eigentlich ihren Approval to operate bekommen haben, wenn nicht klar ist, welche Vorgaben zum Herstellen des Schutzniveaus in welcher Form umgesetzt sein müssen??? Das wäre selbst für eine vorläufige Freigabe zu dünn – diese Praxis müsste man per einstweiliger Verfügung komplett den Riegel vorschieben.

  4. Verstehe ich das richtig, dass man mit dem Forschungsdatenzentrum – auf ein Alltagsbeispiel übertragen – einen neuen Juwelierladen eröffnet hat und jetzt schon mal Gold und Edelsteine dort lagert, während parallel vermutlich bis zum nächsten Jahr erst die Tresore und bruchsicheren Fenster eingebaut werden?

    1. Sie könnten noch ergänzen, dass die Edelsteine der Bevölkerung gehören und sich jeder mit „berechtigtem Interesse“ daran laben darf. Ein Opt-out für Edelstein-Besitzer ist nicht vorgesehen *Zwinkersmilie*

  5. Habe ich den Artikel richtig verstanden- es gibt noch kein funktionierendes IT Sicherheitskonzept, aber die Daten von 2019 sind schon vorhanden? Wie geht das denn?

  6. Ich entnehme dem Text jetzt folgendes:
    Ein Sicherheitskonzept gibt es nicht – aber die Daten sind schon mal eingepflegt.

    Warum hat niemand die (vorübergehende) Abschaltung beantragt?
    Irgendwie fehlt mir ein Stück.

    1. Die im Beamtendeutsch „Beladung“ genannte Datenspeicherung ist teilweise schon passiert (für das Jahr 2019 vollständig), das stimmt. Das angesprochene Konzept betrifft aber die Zugriffe auf die Daten.

  7. Seltsame Einstellung zum Datenschutz: Das Sicherheitskonzept ist nicht final und dennoch werden Daten bereits gespeichert. Die Entscheidung hätte lauren müssen, alle gespeicherten Daten zu löschen und bis zum Vorliegen des finalen Sicherheitskonzeptes und dessen rechtliche Prüfung durch die Gerichte keinerlei Daten zu speichern.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.