Von der ePA zum EHDS7 Thesen zur aktuellen digitalen Gesundheitspolitik

Die Digitalisierung setzt zur Aufholjagd an, jetzt aber wirklich. Und die Gesundheitsdigitalisierung rast vorneweg. Patient*innenorientiert soll sie sein, so das Versprechen. Und sicher. Aber weder das eine noch das andere stimmt, wie Bianca Kastl und Daniel Leisegang in ihrem Vortrag auf dem 37C3 zeigen.

Der Schreibtisch einer Ärztin von oben. Darauf liegt ein Tablet, das ein sitzendes Skelett zeigt. Neben dem Tablett liegt ein Bolzenschneider.
Bundesgesundheitsminister Karl Lauterbach will den Datenschatz aufknacken. – Alle Rechte vorbehalten IMAGO / Zoonar, Midjourney („a glass skeleton“), Bearbeitung: netzpolitik.org

Bundesgesundheitsminister Karl Lauterbach (SPD) und die EU-Kommission haben eines gemeinsam: Beide wollen in Windeseile die Digitalisierung des Gesundheitssektors voranbringen. Die elektronische Patientenakte soll im Januar 2025 für alle Bundesbürger:innen kommen. Im gleichen Jahr ist der Start des Europäischen Gesundheitsdatenraums geplant.

Beide Projekte zielen darauf ab, die Gesundheitsdaten von Millionen Menschen zu digitalisieren und sie Behandelnden, der Forschung und der Wirtschaft bereitzustellen. Aus Gesundheitsdaten lassen sich überaus sensible Informationen zu jeder einzelnen versicherten Person ableiten. Deshalb gelten sie auch als besonders schützenswert.

Entlang von sieben Thesen möchten wir einige technische und gesellschaftspolitische Untiefen der geplanten Gesundheitsdigitalisierung in der Bundesrepublik und der EU erkunden. Die sieben Thesen lassen sich drei Bereichen zuordnen: Wirtschaft, Technik und Grundrechte.

Aus unserer Sicht steht bei der derzeitigen Digitalisierung des Gesundheitswesens – auch wenn nicht zuletzt Lauterbach dies unentwegt behauptet – nicht der Mensch im Fokus. Stattdessen soll vor allem der Gesundheitsstandort Deutschland und der europäische Binnenmarkt profitieren.

Daher wollen wir am Ende des Vortrags den Weg hin zu einer alternativen Digitalisierung des Gesundheitssektors aufzeigen.

These 1: Die Gesundheitsdigitalisierung ist weit mehr als nur Gesundheitsdigitalisierung

Die Digitalisierung hängt hierzulande im europäischen Vergleich seit Jahren gewaltig zurück. Warum ändert sich das ausgerechnet im Gesundheitssektor nun so rasant?

Das hat vor allem zwei Gründe: Zum einen hat die Corona-Pandemie schonungslos die Probleme des Gesundheitssystems offengelegt. Zum anderen steckt der amtierende Bundesgesundheitsminister große Hoffnungen in die Digitalisierung dieses Sektors und die sogenannte künstliche Intelligenz.

Der ökonomische Nutzen der Gesundheitsdigitalisierung

Zwei wichtige Gesetze für die Digitalisierung des Gesundheitswesens hat der Deutsche Bundestag am 14. Dezember dieses Jahres verabschiedet: das Digital-Gesetz und das Gesundheitsdatennutzungsgesetz.

Die Gesetze sehen vor, Gesundheitsdaten umfassend zu digitalisieren und zu nutzen. Das Digital-Gesetz nimmt vor allem die digitale Gesundheitsversorgung in den Blick (Primärversorgung). Zentrale Vorhaben sind hier die Elektronische Patientenakte (ePA) und das E-Rezept. Das Gesundheitsdatennutzungsgesetz regelt vor allem, wie Gesundheitsdaten für die Forschung erschlossen und bereitgestellt werden (Sekundärnutzung).

In der Plenardebatte betonte Lauterbach den ökonomischen Nutzen der Digitalisierung:

„BioNTech hat die Forschung zu Krebs in einem wichtigen Bereich nach England verlegt, weil man dort bessere Daten hat. Wir werden durch diese Gesetze in Zukunft Daten haben, die besser sind als die in England.“

Gesundheitsdaten sollen „in einem geschützten digitalen Raum“ pseudonymisiert zusammengeführt werden:

„Dazu zählen Krebsregisterdaten, Genomdaten, Daten aus der elektronischen Patientenakte und Studiendaten. Wir wollen sie verfügbar machen für Datenanalysen oder das Training von Anwendungen, die auf künstlicher Intelligenz basieren. Damit heben wir einen Datenschatz, den es bisher nirgendwo sonst gibt – das ist ein echter Gamechanger für die Forschung. Daran sind selbst amerikanische Spitzeninstitutionen wie Harvard und MIT interessiert.“

EU: Grenzüberschreitender Datenmarkt

Auf europäischer Ebene findet derzeit eine ähnliche Entwicklung statt. Das EU-Parlament einigte sich am 13. Dezember auf die Grundzüge des Europäischen Gesundheitsdatenraums (EHDS). Die entsprechende Verordnung sieht vor, dass ab dem Jahr 2025 die Gesundheitsdaten aller rund 450 Millionen EU-Bürger:innen im EHDS gespeichert werden.

Der Datenraum soll den grenzüberschreitenden Austausch in zweierlei Hinsicht erleichtern: zum einen bei der Primärnutzung durch bessere Interoperabilität der Gesundheitsdaten; zum anderen bei der Sekundärnutzung durch die Schaffung eines Teilbereichs des Single Digital Markets. Davon sollen Forschende und die Politik profitieren, um etwa während einer Pandemie bessere Entscheidungen treffen zu können.

Diese Pläne haben Bürgerrechtler:innen und Datenschützer:innen in den vergangenen Monaten massiv kritisiert. Sie bemängeln unter anderem die Möglichkeit der kommerziellen Auswertung der Daten, die eingeschränkten Widerspruchsmöglichkeiten und den niedrigen Datenschutz.

Was das Ganze zusätzlich brisant macht: Der EHDS ist der erste sektorenspezifische Datenraum innerhalb der EU. Er wird voraussichtlich als Blaupause für weitere Datenräume in der EU dienen.

These 2: Schöne neue Monopole

Dank der Gesundheitsdigitalisierung wittern Tech-Konzerne bereits ebenso ein großes Geschäft wie zahlreiche Start-ups. Deren Interessen stehen jedoch tendenziell im Widerspruch zu den Bedürfnissen und Rechten der Patient:innen.

Die gesundheitsökonomischen Versprechen sind gewaltig – und oftmals vom KI-Hype getrieben. Gesundheitsminister Lauterbach begrüßt den Einsatz von KI in der Gesundheitsversorgung ausdrücklich: Bei den generativen Sprachmodellen sehe man „ganz klar Anzeichen von richtiger Intelligenz“, so Lauterbach. Gerade sie könne man dafür nutzen, um Daten aus natürlicher Sprache zu extrahieren und zu strukturieren.

Google: „Selbstbewusst themenfremd“

Google arbeitet bereits seit längerem an Sprachmodellen, die gezielt medizinische Fragen beantworten können. Das aktuelle Modell hört auf den Namen Med PaLM 2 und wird seit April dieses Jahres im klinischen Alltag getestet. Es kann unter anderem relativ einfache medizinische Fragen wie etwa „Was sind die ersten Warnzeichen einer Lungenentzündung?“ beantworten.

Ärzt:innen stellten allerdings fest, „dass Med-PaLM 2 in seinen Antworten mehr ungenaue oder irrelevante Inhalte enthielt als andere Chatbots“. Das deute darauf hin, dass das Programm ähnlich wie andere Chatbots dazu neige, „selbstbewusst themenfremde oder falsche Aussagen zu machen“.

Hinzu kommt, dass die Chatbots generell über kein kontextbasiertes Urteilsvermögen verfügen und weder Emotionen noch Empathie „empfinden“. Dessen ungeachtet vertrauen Expert:innen medizinischen Sprachmodellen meist übermäßig, was in Fachkreisen Automation Bias genannt wird.

Microsoft: KI hört mit

Microsoft bietet ähnliche Werkzeuge an. So soll die „All-in-One-Analyselösung“ Fabric dabei helfen, Daten aus elektronischen Patientenakten zu extrahieren. Fabric übernimmt damit auf dem Papier eben jene Funktion, die Karl Lauterbach sich wünscht: Es filtert und entwirrt mittels KI unstrukturierte Daten.

Auch für das Behandlungszimmer hat Microsoft etwas in petto. Im April 2021 kaufte der Konzern für rund 19,7 Milliarden US-Dollar das Unternehmen Nuance Communications. Es war die zweitgrößte Übernahme in der Firmengeschichte. Nuance hat sich in den vergangenen Jahrzehnten vor allem mit der Dragon Spracherkennungssoftware einen Namen gemacht.

Der DAX Copilot von Nuance ermöglicht es, „automatisch, sicher und in Sekundenschnelle Entwürfe von klinischen Zusammenfassungen aus dem Untersuchungszimmer […] zu erstellen, die sofort […] in die elektronische Patientenakte eingegeben werden können“. Es nutzt dazu laut Microsoft „eine Kombination aus bestehender KI und dem neuesten Modell von OpenAI, GPT-4“ – online und in der Cloud. Was kann da schon schiefgehen.

Vor allem Behandelnde sollen davon profitieren: Microsoft verspricht, bei ihnen das Gefühl von Burnout und Müdigkeit um 70 Prozent zu senken.

Epic Failures

Tatsächlich aber erhöhen die Systeme derzeit den Stress bei Behandelnden deutlich, wie das Beispiel Epic zeigt. Das US-Unternehmen vertreibt weltweit Krankenhaussoftware. Sein Jahresumsatz liegt bei 3,8 Milliarden US-Dollar.

Bundesgesundheitsminister Lauterbach ist offensichtlich angetan von Epics Produktpalette. Hierzulande gebe es „keine wirklich gut funktionierenden Krankenhausinformationssysteme“, so der Minister. Tatsächlich gibt es seit Jahren massive Kritik an den hiesigen Krankenhausinformationssystemen (KIS), unter anderem wegen zu hoher Kosten.

Allerdings hat Epic in den vergangenen Jahren europaweit für Chaos gesorgt. Etwa im Jahr 2014 in Großbritannien, wo Patientinnen und Patienten, Angestellte und das Management „schnell und in katastrophaler Weise das Vertrauen in das System verloren“. Nachdem Epics System in Dänemark eingeführt worden war „äußerten 62 Prozent der Ärztinnen und Ärzte, dass sie mit dem System unzufrieden sind“.

Und als man das System in Norwegen implementierte, erwog kurz darauf ein Viertel der Ärzt:innen im bedeutendsten Krankenhaus der zentralnorwegischen Region zu kündigen. 40 Prozent litten aufgrund des neuen IT-Systems unter stressbedingten Gesundheitsproblemen.

Etwa ein Jahr nach der Einführung hielten mehr als 90 Prozent der Ärzt:innen in den betroffenen Krankenhäusern das Epic-System für „eine Bedrohung der Patientengesundheit“. In mehreren Krankenhäusern kam es zu Demonstrationen.

Ein Datenraum voller Ungereimtheiten

These 3: Brute-Force-Forschung schafft neue Sicherheitsrisiken

Dass die Digitalisierung des Gesundheitssystems weiterhin höchste Erwartungen weckt, verdankt sich auch dem „Digital Savior“-Phänomen. Damit ist gemeint, dass Politiker:innen und Unternehmen digitale Lösungen präsentieren – verknüpft mit der Forderung, dann das dazugehörige Problem zu suchen.

Das Vorgehen der „digitalen Retter“ ist methodisch überaus fragwürdig. Denn zum einen befördert es die Entwicklung hin zu einer explorativen Forschung: Die Datenberge werden so lange von KI-Systemen durchforstet, bis am Ende eine Forschungsfrage hinausfällt. Das kommt einem Brute-Force-Angriff auf unsere Gesundheitsdaten gleich und hat mit gezielter Wissenschaft entlang ausgewählter Forschungsfragen nur noch wenig gemein.

Zum anderen träumen vor allem Unternehmen davon, von jeder einzelnen Person eine digitale Kopie zu erstellen, einen sogenannten digitalen Zwilling, den sie dann gefahrlos erforschen können. Geht etwas schief, spielt man einfach das Daten-Backup ein und beginnt die Testbehandlung von vorne.

Allerdings beruht dieser Forschungsansatz auf der Fehlannahme, dass den Forschenden mit dem digitalen Zwilling sämtliche aktuelle Daten einer Person vorliegen. Tatsächlich erzeugen Patientinnen wesentlich mehr Daten in ihrem alltäglichen Umfeld, auf die das Forschungsdatenzentrum jedoch keinen Zugriff hat.

Damit erhalten die Forschenden nur einen Teil des Gesamtbildes. Die aus der Ferne am Datenzwilling durchgeführten Untersuchungen könnten so zu medizinischen Fehlschlüssen führen, die für Patient:innen aus Fleisch und Blut potenziell fatale Folgen hätten.

ePA ja, aber nicht patientenzentriert

Die Datenberge sind darüber hinaus ein gewaltiges Sicherheitsproblem. Denn erbeutete Gesundheitsdatensätze sind längst mehr wert als etwa Kreditkartendaten – weil sie so viel über uns preisgeben.

Karl Lauterbach versichert derweil, dass sein Ministerium „eine sehr sichere Infrastruktur [anstrebt] mit den Möglichkeiten einer Verschlüsselung, die super sicher ist“. Da dabei jedoch zunehmend KI-Systeme zum Einsatz kämen, sei „nicht jede Form der Ende-zu-Ende-Verschlüsselung“ möglich, wie der Minister im gleichen Atemzug einräumt.

Solche Einschränkungen bei den Sicherheitskonzepten müssen hellhörig machen – zumal keine patientenzentrierte elektronische Patientenakte geplant ist, bei der die Daten auf den Endgeräten der Versicherten liegen. Stattdessen plant das Gesundheitsministerium gemeinsam mit der Gematik ein umfangreiches Rechtemanagement aller Gesundheitsdaten, die zentral auf den Servern der Krankenkassen gespeichert sind.

Sämtliche Gesundheitsdaten sollen zwar verschlüsselt auf den Servern liegen. Allerdings verfügen nicht die Versicherten über den Master Key für diese Daten, sondern die Krankenkassen. Ihnen wäre es daher technisch möglich, alle Daten einzusehen, was ein technischer Betreiberausschluss verhindern soll. Das heißt, die Kassen gehören nicht zu den Zugriffsberechtigten für die ePA und werden deshalb ausgesperrt.

Die Indizes, die dabei helfen, Daten einer bestimmten Person zuordnen zu können, sollen in Teilen aus der Krankenversichertennummer (KVNR) bestehen, also der Zahlenfolge, mit der wir uns gegenüber den Krankenkassen identifizieren. Die KVNR wird – auf Basis der Rentenversicherungsnummer (RVNR) – durch eine vom Gesetzgeber vorgesehene Vertrauensstelle individuell und einmalig vergeben und ist ein Leben lang gültig. Das ist eine Personenkennziffer für den Gesundheitsbereich, vergleichbar mit der geplanten Steuer-ID, an der es verfassungsrechtliche Kritik gibt. Die Datenschutzkonferenz hatte sich Ende November unter anderem für bereichsspezifische Kennzeichen ausgesprochen.

Zentralisierung der Daten, Individualisierung der Risiken

Der Zentralisierung der Daten steht eine extreme Individualisierung des Risikos entgegen. Denn wie sicher oder unsicher dieses System ist, kann man derzeit nicht sicher sagen. Eine Technikfolgenabschätzung ist bislang ebenso wenig erfolgt wie eine Wirkungsanalyse.

Damit senken wir fahrlässigerweise unser Verständnis davon, was als gesellschaftlich akzeptables Risiko gilt. Eine dramatische Fehlentwicklung – zumal niemand das Risiko tragen will, wenn es zu Leaks, Hacks oder wissenschaftlichen Fehlschlüssen kommt. In solchen Fällen hat dann zunächst vor allem jede:r Versicherte den Schaden.

Was Lauterbachs Pläne für Ärzt:innen und Versicherte bedeuten

These 4: Diagnose wird zu einem digitalen Experimentierfeld

Dass wir der medizinischen Auswertung der Datenberge – bestenfalls durch KI – nur wenig Vertrauen schenken sollten, zeigen anschaulich drei Beispiele aus der Praxis.

Krankenkassen, die medizinische Empfehlungen abgeben

Das Gesundheitsdatennutzungsgesetz sieht vor, dass die Krankenkassen künftig die ihnen vorliegenden Abrechnungsdaten auswerten, eigenständig Risikoeinschätzungen vornehmen und die Versicherten individuell beraten dürfen. Eine explizite Zustimmung der Versicherten vorab ist nicht erforderlich.

Die Abrechnungsdaten sind bei weitem nicht so detailliert wie die Patient:innendaten, die Behandelnde anfertigen, zu denen unter anderem Untersuchungsergebnisse und ausführliche Diagnosen gehören. Entsprechend schwammig sind die Auswertungen, auf deren Grundlage Krankenkassen künftig den Versicherten medizinische Empfehlungen unterbreiten sollen.

Gleichzeitig droht damit die Gefahr, dass die Kassen mit Hilfe dieser Auswertungen eine Risikoselektion vornehmen. Der Bundesdatenschutzbeauftragte befürchtet, dass der „gläserne Versicherte“ damit Realität wird. Und der Verbraucherschutz Bundesverband warnt davor, dass „Kassen versucht sein [könnten], Versicherten mit ungünstigem Deckungsbeitrag einen Wechsel zu einer anderen Krankenkasse nahezulegen“.

Nicht zuletzt stellt sich die Frage, welche Wirkungen die Empfehlungen der Krankenkassen auf die Versicherten haben: Führt der telefonische Hinweis der Kassen dazu, dass diese sich beim Fitnessstudio anmelden, sich einer kardiologische Untersuchung unterziehen oder fortan mehr auf ihre Essensgewohnheiten achtgeben? Oder ist nicht vielmehr zu befürchten, dass derlei Hinweise eher in den Wind geschlagen werden, solange sie nicht von der Ärztin des Vertrauens sowie auf Grundlage einer medizinischen Untersuchung erfolgen? Die Bundespsychotherapeutenkammer fordert daher, auf „eine Einmischung der Krankenkassen in die Behandlung“ sollte „grundsätzlich verzichtet werden“.

Korrelationen im Außenbereich

Kommt bei der Auswertung von Gesundheitsdaten obendrein KI zum Einsatz, wird es noch dramatischer, wie etwa der Einsatz mobiler Röntgengeräte auf dem afrikanischen Kontinent zeigt. Die Geräte sollen dabei helfen, Tuberkulose zu diagnostizieren – und ziehen wegen einer Eigenheit der mobilen Apparate ihre ganz eigenen, falschen Schlussfolgerungen.

Die optischen Aufnahmen der mobilen Röntgengeräte weisen andere Bildränder auf als stationäre Geräte. Diese sind für die medizinische Diagnose eigentlich irrelevant. Da aber Tuberkulose in afrikanischen Ländern relativ gesehen häufiger auftritt und mit mobilen Geräten diagnostiziert wird als etwa in Europa, erkannte die Analysesoftware einen korrelierenden Zusammenhang zwischen den Rändern einer Aufnahme und einer Tuberkulose-Diagnose. Diese Korrelation hatte unmittelbar nichts mit den Befunden oder Symptomen zu tun, die einer medizinischen Diagnose vorausgehen sollten. Stattdessen beruhte sie auf Eigenschaften der Bilddaten, die sich je nach Gerätetyp unterscheiden.

Antrainierte Shortcuts

Ähnliche sogenannte Shortcuts (zu Deutsch: Abkürzungen) in der Analyse nahm eine KI-Software, die in einem Krankenhaus eingesetzt wurde, um auf Röntgenaufnahmen des Brustkorbs Covid-19-Erkrankungen zu erkennen.

Eine im Mai 2021 veröffentlichte Studie kam zu dem Schluss, dass die Ergebnisse nur auf den ersten Blick korrekt erschienen. Tatsächlich beruhte die KI-Analyse nämlich nicht auf der medizinischen Pathologie, sondern auf anderen verzerrenden Faktoren, „was zu einer alarmierenden Situation führt, in der die Systeme zwar genau zu sein scheinen, bei Tests in neuen Krankenhäusern aber versagen“.

Der Grund sind offenbar Trainingsdaten, „aus einer ausschließlich Covid-19-negativen Quelle und einer Covid-19-positiven Quelle, so dass alle systematischen Unterschiede zwischen den Quellen perfekt mit dem Covid-19-Status korrelieren“. Auch hier beruhte die KI-Diagnose also auf medizinisch irrelevanten Eigenschaften, nämlich jener der beiden unterschiedlichen Trainingsdatengruppen.

These 5: „I know what you recovered from last summer“

Weil sich aus Gesundheitsdaten überaus sensible Informationen zu jeder einzelnen versicherten Person ableiten lassen, sollten sie besonders geschützt werden. Das sieht Artikel 9 der Datenschutz-Grundverordnung (DSGVO) vor.

Um die Krankengeschichte von Patient:innen zu schützen, sollen Gesundheitsdaten daher pseudonymisiert werden. Ihnen wird also, kurz gesagt, statt eines Namens eine Kennziffer zugeordnet. Eine Pseudonymisierung – und eine Verschlüsselung – der Daten ist nach Art. 32 DSGVO erforderlich, wenn besondere Datenkategorien verarbeitet werden oder die Daten einem erhöhten Risiko ausgesetzt sind.

Vertraulich und vage

Auch das Gesundheitsdatennutzungsgesetz sieht vor, Daten zu pseudonymisieren. Eine Anonymisierung der Forschungsdaten soll nur dann erfolgen, „soweit und sobald dies nach dem angestrebten Forschungszweck möglich ist“.

Allerdings ist die Anwendung der Pseudonymisierung in Artikel 4 (Absatz 2 und 8) nur überaus schwammig definiert. Entsprechende Verfahren müssen zudem nur „im Benehmen“ – statt im Einvernehmen – mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesdatenschutzbeauftragten (BfdI) abgestimmt werden.

Auch bei der Verschlüsselung liegt noch Etliches im Argen. Die AG Kritis kritisierte Mitte Dezember, dass die geplante Systemarchitektur bisher noch unter Verschluss ist. Das Konzept des „confidential computing“, auf das sich Bundesgesundheitsminister Karl Lauterbach immer wieder bezieht, sei „vage, nicht definiert und kein Ersatz für hochwertige, patientenindividuelle Verschlüsselung“.

Gemeinsam mit dem Bundesdatenschutzbeauftragten, dem Chaos Computer Club und vielen anderen hatte die AG Kritis die Bundesregierung in einem offenen Brief aufgefordert, „zeitgemäße Sicherheitsparadigmen […] anzuwenden, die ein mögliches Schadensausmaß bestmöglich minimieren.“ Diese seien der Garant dafür, dass die Versicherten der Gesundheitsdigitalisierung vertrauen können.

Deren Risiko erhöht sich obendrein in zeitlicher Hinsicht. Denn die Forschungsdaten sollen allesamt 100 Jahre gespeichert werden. Die hinterlegten Informationen und die damit mit der Speicherung einhergehenden Risiken werden also über Generationen hinweg vererbt. Wie aber können wir die Sicherheit und Vertraulichkeit der Daten in 10, 20 oder gar 100 Jahren gewährleisten? Auch diese Frage ist ungeklärt.

Warten auf die EU-Kommission

Wie die Daten im Europäischen Gesundheitsdatenraum anonymisiert oder pseudonymisiert werden sollen, ist derzeit noch offen. Auch der ursprüngliche Entwurf der Kommission ließ diese Frage unbeantwortet, was unter anderem die Datenschutzkonferenz kritisierte.

Die Ende November verabschiedete Position des EU-Parlaments sieht vor, dass die Kommission „die Verfahren und Anforderungen für ein einheitliches Verfahren zur Anonymisierung und Pseudonymisierung elektronischer Gesundheitsdaten festlegt und technische Hilfsmittel bereitstellt“ (Artikel 44).

Pseudonymisierung vs. Anonymisierung

Doch auch eine Pseudonymisierung bietet keinen wirksamen Schutz. Der Informatiker Rainer Rehak weist darauf hin, dass pseudonymisierte Daten mit vergleichsweise geringem Aufwand wieder einer einzelnen Person zugeordnet werden können. Dafür reichen schon wenige Datenpunkte aus, etwa das Alter, die Postleitzahl oder der Geburtstag eines Kindes.

Und auch der Kryptograf Dominique Schröder kommt in seinem „Sachverständigengutachten zum Schutz medizinischer Daten“ vom April 2022 zu dem Schluss, „dass sehr wenige Datenpunkte zur Re-Identifikation ausreichen […] und es insbesondere im Bereich der Medizin an Erfahrung mangelt, welche Daten zur Re-Identifikation benutzt werden können“.

Synthetische Daten als Königsweg?

Als datenschutzfreundliche Alternative zur Pseudonymisierung sind häufig synthetische Daten im Gespräch. Sie werden künstlich so geschaffen, dass sie den Originaldatensatz repräsentieren. So sollen die statistischen Eigenschaften und Verteilungen weitgehend erhalten bleiben, die Privatsphäre Einzelner aber besser geschützt werden, weil ein direkter Personenbezug nicht mehr hergestellt werden kann.

Laut einer 2020 veröffentlichten Studie bieten synthetische Daten jedoch keinen besseren Schutz als herkömmliche Anonymisierungstechniken. Vielmehr fiele der Gewinn an Privatsphäre und an Nutzen höchst unterschiedlich aus, weil sich nicht vorhersagen ließe, „welche Signale in einem synthetischen Datensatz erhalten bleiben und welche Informationen verloren gehen“.

Gleiches gelte laut Studie für den Ansatz der „Differential Privacy“. Hier werden keine Daten synthetisch ergänzt, sondern die Originaldaten in Datenbanken werden so verrauscht, dass nicht festgestellt werden kann, ob die Daten einer bestimmten Person in der Datenbank enthalten sind.

Zentralisierte Gesundheitsdaten

These 6: Opt-out ist keine Option

Von der Einwilligung zu Cookie-Bannern bis zur Entscheidungslösung der Organspende: In den meisten Fällen gilt hierzulande das Prinzip der informierten Einwilligung, auch Opt-in genannt. Die aktuellen Pläne zur Gesundheitsdigitalisierung sehen sowohl auf nationaler als auch auf EU-Ebene einen Paradigmenwechsel vor – hin zum Opt-out.

Das Digital-Gesetz und das Gesundheitsdatennutzungsgesetz sehen jeweils nur Opt-out-Widersprüche vor. Mit Blick auf die elektronische Patientenakte bedeutet dies, dass jeder in Deutschland gemeldete Mensch bis Anfang 2025 automatisch eine ePA erhalten soll. Möchten Versicherte diese nicht haben, müssen sie aktiv widersprechen.

Wie der Widerspruch gegen die ePA erfolgen soll, etwa bei der eigenen Krankenkasse oder einer Behörde, ist derzeit noch offen. Auch an der Frage, gegen welche Punkte Versicherte im einzelnen widersprechen können, wird derzeit noch gefeilt.

Das Gesundheitsministerium hat die Gematik damit beauftragt, die Opt-Out-Regelung für die ePA zu erarbeiten. Die halbstaatliche GmbH prüft derzeit vier unterschiedliche Arten des Widerspruchs: erstens gegen die Bereitstellung der elektronischen Patientenakte, zweitens gegen den Zugriff auf diese (lesen), drittens die Befüllung der ePA (schreiben) und viertens die pseudonymisierte Datenweitergabe zu Forschungszwecken.

EU: Zaghafter Widerspruch vielleicht möglich

Der Kommissionsentwurf für die EHDS-Verordnung sah keinerlei Widerspruchsrecht für die Betroffenen vor. Mit anderen Worten: Jede:r EU-Bürger:in sollte eine elektronische Patientenakte bekommen, ohne sich dagegen wehren zu können.

Erst vor wenigen Tagen hat das EU-Parlament eine – wenn auch nur zaghafte – Korrektur vorgenommen. Die Abgeordneten verlangen, dass die einzelnen Mitgliedstaaten jeweils festlegen können, ob Versicherte der Weitergabe und Nutzung ihrer Gesundheitsdaten an den EHDS widersprechen können.

Ob diese Position bis zum Ende des Trilogs Bestand hat, bleibt abzuwarten. Und offen ist dann weiterhin, welche Mitgliedsstaaten die Regelung im Sinne der Versicherten umsetzen.

Opt-out zu Lasten der Versicherten

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert den Paradigmenwechsel hin zum Opt-out-Verfahren. Der Zweck der „wissenschaftlichen Forschung“ reiche nicht dafür aus, um das Recht auf informationelle Selbstbestimmung derart massiv einzuschränken.

Dass dieses Grundrecht, das vor wenigen Tagen seinen 40. Geburtstag beging, mehr als nur eine Worthülse ist, zeigt sich geradezu exemplarisch an der ePA. Indem hier eine aktive Freigabe unterbunden wird, befördert dies die passive Verwaltung der Gesundheitsdaten der Versicherten. Damit wird auch ihre Gesundheit selbst verwaltet. Das aber widerspricht einem Verständnis von Gesundheit, um die sich die Einzelnen eigenständig und eigenverantwortlich kümmern und deren Kriterien sie für sich selbst definieren.

Gleichzeitig vergrößert die Opt-out-Regelung die ohnehin schon bestehende Machtasymmetrie zugunsten von Krankenkassen, Leistungserbringern, Behörden und Ministerien – und zulasten der Patient:innen und Versicherten.

Denn bei einer Opt-in-Regelung müssten die Anbieter um die aktive Freigabe der Daten werben – und damit um das Vertrauen jeder versicherten Person. Beim Opt-out-Verfahren haben sie hingegen selbst keinerlei Interesse daran, die Möglichkeiten des Widerspruchs zu thematisieren geschweige denn, diese zu bewerben.

„Vertrauen lässt sich nicht verordnen“

These 7: Wie eine patientenzentrierte Gesundheitsdigitalisierung aussehen könnte

Die geplante Gesundheitsdigitalisierung ist nicht menschenzentriert gedacht und verfehlt damit gesellschaftlichen Potenziale. Für eine Kehrtwende sind aus unserer Sicht grundlegende Veränderungen hinsichtlich der Selbstbestimmung der:des Einzelnen, dem Gemeinwohl, der IT-Sicherheit und der Dezentralisierung der Daten erforderlich.

Das Recht auf informationelle Selbstbestimmung wahren

Gesundheitsdaten sind überaus sensible Daten. Gleichzeitig erleben Patient:innen immer wieder Stigmatisierung und Diskriminierung. Daher braucht es eine einfache Möglichkeit des individuellen Consent, der individuellen Verschattung und der individuell definierten Weitergabe an die Forschung. Diese Einstellungen müssen konsequent über alle digitalen Anwendungen hinweg wie auch beim digitalen Medikationsplan konsistent bleiben. Nur so lässt sich das Grundrecht auf informationelle Selbstbestimmung wahren.

Gemeinwohl definieren und umsetzen

Wenn Unternehmen die Gesundheitsdaten der Versicherten für ihre Forschung verwenden, sollten die Versicherten, die dafür ihre Daten spenden, im Sinne des Gemeinwohls davon profitieren. Dies kann etwa dadurch geschehen, dass sie Forschungsvorhaben und -ergebnisse einsehen können. Oder indem entsprechende Produkte patentfrei und für alle frei zugänglich sind (Open Access).

Die Einbindung von Versicherten und Leistungserbringer:innen, der Wissenschaft und der Zivilgesellschaft muss daher mit Blick auf die Ausgestaltung der Digitalisierung im Gesundheitswesen gestärkt werden. Nur so kann die Digitalisierung auch patientenzentriert und diskriminierungssensibel umgesetzt werden.

Zuvorderst muss aber die bislang überaus schwammige Definition des Gemeinwohls in den Digitalisierungsgesetzen präzisiert werden. Nur so lässt sich unter anderem verhindern, dass Unternehmen mit den Gesundheitsdaten aller vor allem ihr eigenes kommerzielles Interesse verfolgen.

Vertrauen durch Technik

Die Verwendung der sensiblen Gesundheitsdaten von Millionen Menschen erfordert eine sorgfältige Risikoabwägung hinsichtlich der Datensicherheit und der Privatsphäre. Genau das fehlt derzeit – was bei einem technologischen Großprojekt, das aktuell in Höchstgeschwindigkeit umgesetzt wird, schlicht unverantwortlich ist.

Es braucht zeitgemäße Sicherheitsparadigmen, die den Maßgaben von Security-by-Design und Zero Trust folgen. Nur so lässt sich das mögliche Schadensausmaß minimieren.

Konkret heißt das, technische Maßnahmen wie Kryptografie und Anonymisierung anzuwenden, die die Privatsphäre der Nutzer:innen bestmöglich schützen. Sie sollten keiner Person oder Institution mit ihren Daten oder einer Strafbewährung von Missbrauch „vertrauen“ müssen, sondern dokumentierte und geprüfte technische Sicherheit genießen.

Daten dezentralisieren

Wir müssen keine unsicheren Datenberge anhäufen, um Wissenschaft zu betreiben. Die Corona-Warn-App hat gezeigt, dass die Daten bei den Menschen bleiben und sie dennoch im Sinne des Gemeinwohls und anonym ausgewertet werden können.

Auf ähnliche Weise kann auch eine digitale Patientenakte Forschungsfragen beantworten. Eine Anonymisierung der Daten könnte etwa direkt in der ePA erfolgen und wäre damit sicherer, weil nur die Patient:innen direkten Zugriff auf ihre persönlichen Daten hätten.

Damit ließe sich eine Art persönlicher digitaler Gesundheitsassistent schaffen, der intelligent genug ist, um einerseits die Datensouveränität zu erhalten, andererseits aber auch Forschungsfragen zu beantworten – mit aktiver Beteiligung der Versicherten.

Gesundheitsforschung könnte damit tatsächlich „in einem geschützten digitalen Raum“ erfolgen. Und erst dann könnten wir – um Gesundheitsminister Karl Lauterbach ein letztes Mal zu zitieren – auch von einem „Quantensprung“ sprechen.

18 Ergänzungen

  1. Der nächste Schritt ist eine teuere Versicherungsprämie für Personen welch zukünftig an einer Erkrankung erkranken könnten.

    Bald darauf bekommen Person mit möglichen Erbkrankheiten keine längerfristigen Jobs mehr. (Erinnert mich an Gattaca).

    1. Das Problem mit den laengerfristigen Jobs stellt sich nicht: den naechsten Kanzler stellt die CDU und dann wird der Kuendigungsschutz ohnehin abgeschafft, vermutlich von einem SPD-Arbeitsminister.

    2. Die Versicherung versichern Dich gerne, am liebsten, wenn Du irgendwas „vergessen“ hast anzugeben, weil der Vertreter meinte, das das nicht nötig sei (er bekommt seine Provision nur im Abschlussfall).
      Sie prüfen die Angaben natürlich erst im Zahlungenfall. Wie schön, das man, auf anraten des Versicherungsvertreters „vergessen“ hat, etwas anzugeben was der Versicherer nun aber mit Superrechten ausden ePA Daten lesen kann….

      1. Wer einen Versicherungsbetrug begehen moechte, bekommt nur sehr begrenzt Mitleid. Solche Leute verschieben leider auch immer die Schuldvermutung zum Nachteil aller anderen.

          1. Relevante Angaben beim Abschluss einer Versicherung bewusst zu „vergessen“ ist de facto versuchter Versicherungsbetrug und keine „Irrefuehrung“. Der Versicherung ist das relativ egal, sie behaehlt die Beitrage und zahlt den deswegen nicht abgedeckten Schadensfall nicht. Selber schuld.

  2. Tja, wie eine zentralisierte Struktur such auswirkt sahen einige Kassen ja als ihr Serviceprovider „bitmark“ gehackt worden ist und wochenlangen im IT freien Notbetrieb liefen.
    So eine Firma wird wahrscheinlich auch die ePA Daten speichern…

    Warum muß Einstein Recht haben als er due Dummheit den Menschen mit der Größe des Weltraums verglich?

    Es ist klar das hier Milliarden ohne Schweiß einnehmbar sind.
    Man einnere sich an die 400 Millionen Euro die angeblich fällig gewesen wären um die TI boxen upzudaten…
    was dann dank CCC doch nur Software erforderte.
    Alles schon vergessen und vergeben?

  3. Derzeit erfolgt vermittels „pooling“ durch die Kassenärztliche Vereinigungen ein optimaler Schutz der Daten von Patient und Arzt.
    Das wurde zwar gemacht, um die Abrechnung vor zig Jahren überhaupt handbar zumachen. Es stellt aber sicher, das die gesetzlichen Kassen nicht sehen, was der einzelne Patient hatte und welcher Arzt was schreibt.
    Die KV hat die Daten aller Patienten dieser Kassen in einen Topf sortiert, und den Topf der KK zum Befüllen vorgelegt.
    Aus dem Topf bekommen die Ärzte ihr Honorar. Die Kassen wissen also auch nicht, wenn ein Arzt praktisch nur Patienten hat, die nur benzos verschrieben wurden, von verschiedenen Ärzten…der KV ist es egal, es ist ja nicht ihr Geld.

    Mit ePA ist das vorbei.
    Schlimm wenn diese Information über Medikamente-Missbrauch Kriminellen in die Hände fällt.

  4. Die datenschutzrechtliche Analysen und gefahren Stimme ich voll und ganz zu.
    nur bei den medizinischen Einordnungen sehe ich andere Aspekte. Zunächst bin ich durch eigene, sehr schlechte Erfahrungen mit Ärzten und ihrer Fähigkeit Diagnosen zu stellen, kritisch geworden, wenn es um medizinische Studien geht. Viele basieren auf statistische Korrelationen, die oft mit vielen Unsicherheit verbunden sind. daher halte ich eine automatisierte Diagnose, die mit vielen Daten arbeitet fur durchaus eine Verbesserung. da Ärzte meiner Ansicht nach, oft nur mit sehr begrenzten mittel arbeiten und nicht, wie es oft postuliert wird, besonders selektiv oder einfühlsam. was natürlich daran liegt, dass der Alltag in einer Praxis oft nicht genug Raum bietet umfangreiche Anamnese zu betreiben. (wie beschränkt diese ist, könnte ich Bücher zu schreiben). Daher halte ich die im Artikel an mehreren stellen, erwähnte Gefahr, dass die KI bestimmte Dinge über sieht für geringer, als was die heutige tatsächliche Art der Diagnosen übersieht.

    Das führt mich zu einem zweiten Punkt, den ich in dem sehr langen Artikel vermisse. Ist nicht geplant dieses Wissen auch für die Ausbildung von Ärzten zu nutzen?
    Es werden zwar Studien erwähnt, aber alles scheint auf den letztlich kommerziellen nutzen hinaus zu laufen (auch wenn er dem Gemeinwohl dienen soll)

    1. „aber alles scheint auf den letztlich kommerziellen nutzen hinaus zu laufen“

      Lauterbach ist ein SPD-Politiker, also ist das Primärziel Wirtschaftsförderung. Laut SPD muss man die Wirtschaft so lange fördern, bis sie gar nicht anders kann, als zum Gemeinwohl beitragen. Dafür müssen Opfer gebracht werden, und dazu ist auch Lauterbach bereit.

  5. > Viele basieren auf statistische Korrelationen, die oft mit vielen Unsicherheit verbunden sind.

    Leider ist es so, dass das Medizin-Studium im Bereich statistische Methodenlehre zu schwach ausbildet, und damit immer wieder schwache angreifbare Ergebnisse zeitigt. Es ist wirklich so, dass Korrelationen gerne gebraucht werden, weil selten darüber hinaus gelehrt und gelernt wurde. Dazu gibt es einschlägige Meta-Studien schon in den ’90er Jahren.

    In kaum einem anderen Studiengang kommt man so billig um Statisik herum, und damit so leicht zu einer Dissertation.

    1. Ein Bekannter hat in Wissenschaftsphilosophie promoviert, das ging hervorragend ganz ohne Statistik.

      Aendert nichts daran, dass die meisten medizinischen Dissertationen in Naturwissenschaften nichtmal als Referat durchkommen wuerden, ja. Die Ausbildung zum Arzt muesste dringend reformiert werden, unter anderem in den wissenschaftlichen Aspekte und dem „MD“ als speziellem Titel. Wird in Deutschland in den naechsten 20 Jahren natuerlich nicht passieren, sind die etablierten Besitzstandswahrer davor.

  6. Mir ist völlig unklar, wie die Daten der Vergangenheit in die EPA kommen sollen. Es wird kein Arzt die Zeit haben, diese Daten, die bei ihm über 40 Jahre gespeichert sind, einzugeben. Und wenn ja, wer bezahlt das?
    Ich selbst habe über 20 Jahre meine Daten in einem Ordner auf dem PC gesammelt. Das betrifft Arztbriefe, Laborwerte, Röntgenbilder u. ä., soweit ich ihrer habhaft werden konnte.
    Jedesmal, wenn eine neue Untersuchung bei einem anderen Arzt notwendig wurde, kann ich ausdrucken, was gebraucht wird. Das sind manchmal zig Seiten Papier. Wo bleibt der Umweltschutz? Einzelnen Ärzten kann ich das zwar elektronisch übermitteln. Diese drucken es dann aus und scannen es in ihr System ein. Wegen der Gefahr von Viren etc. können sie die Daten nicht direkt übernehmen bzw. wollen es nicht, bekommt man dann als Antwort. Also der Daten- bzw. sonstige Schutz, der schon im Kleinen nicht klappt, wie dann im Großen?

    1. In der Verwertungslogik sind aktuelle Daten auch schön. Da stehen vermutlich langfristig denkende Investoren und Strategen hinter.

      Oder man spiel mit im Abseits: Zur Not macht man einfach ein „Entbürorkratisierungsgesetz“ für die Medizien, „bringt die Digitalisierung voran“ [erwiedernde Beleidigungen und Fäkalausdrücke der Ärzteschaft und damit letzlich der Patienten hier rein], usw. usf.

    2. Solche Akten könnte man einer KI „anvertrauen“. Rest regelt ein Gesetz zur [Euphemismus Ihrer Wahl]. [Kraftausdrücke und Tiraden Seitens der Betroffenen und Geschädigten hier anschließen.]

      Das ganze natürlich in Deutsch, teuer und schlecht.

  7. Warum müssen die Patientenakte und das Rezept *überhaupt* digital werden? Warum kann man es nicht analog und damit weit weg vom Darknet belassen? Ach ja, irgendwelche parasitären Unternehmen und die von ihnen geschmierten Politiker, Beamte etc. wollen auf unser aller Kosten Geld „verdienen“.

    1. Wenn Sie sich zB mal mit einem chronisch Kranken unterhalten, dann ist fuer den einfacher und verlaesslicher Zugriff behandelnder und neu dazukommender Aerzte auf das angesammelte Wissen und die aktuelle wie vergangene Medikation ein Riesenvorteil. Nicht zuletzt automatisches Hervorheben/Warnung bei bekannten Unvertraeglichkeiten, da sind Fehler durch Standardvorgehen schnell fatal.

      1. Das ist doch gar keine Frage: Natürlich wäre es gut, wenn all diese Versprechen wirklich eingelöst würden und die Menschen Vertrauen in die Verlautbarungen der Politiker haben könnten. Das Schlimme ist doch, dass sie uns ein X für ein U vormachen, die Datenhoheit eben nicht beim Patienten liegt, sie es aber behaupten. Oder dass schönfärberisch von „echter Datensolidarität“ gesprochen wird, um uns das Gefühl zu geben, dass wir Patienten mit unserer „Datenspende“ etwas Gutes tun. Schauen Sie sich mal die Plenardebatte in der Bundestags-Mediathek an ( https://t1p.de/15lqr ). Das ist wie ein Werbefilm. Lauterbach benennt auch ganz klar, dass es um die Schaffung von Arbeitsplätzen geht. „Was soll daran schkecht sein?“ Und Mieves tritt auf wie in der Bütt, sehr ironischer Ton, man fühlt sich direkt verhöhnt.
        Mit den Inhalten dieses guten Artikels hier ist man drauf vorbereitet. Vielen Dank an die Autor:innen!!!!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.