Zum Inhalt springen Zur Navigation springen
„Superschutz für Superdaten“ – das Datentransparenzverfahren

„Superschutz für Superdaten“ – das Datentransparenzverfahren

Informationen über die Gesundheit gehören zu den sensibelsten Daten, die über eine Person gespeichert werden. Deshalb werden sie durch die DSGVO in Art. 9 Abs. 1 in besonderer Weise geschützt. Nun soll jedoch dieser Schutz aufgeweicht werden. Grund dafür ist das im Jahre 2019 in Kraft getretene Digitale-Versorgung-Gesetz (DVG) und das damit einhergehende Datentransparenzverfahren. Ein Richter versucht nun, die Sache von Grund auf zu klären.

Verfahren vor dem Sozialgericht

Seit Mitte Oktober dreht sich am Sozialgericht in Berlin als erster Instanz alles um die Frage, ob die Gesundheitsdaten aller rund 73 Millionen gesetzlich Versicherten in Deutschland zentral für Forschungszwecke zur Verfügung gestellt werden sollten.

Klägerin ist hierbei die Informatikerin Dr. Constanze Kurz, die Sprecherin des Chaos Computer Clubs (CCC), welche in Unterstützung mit der Gesellschaft für Freiheitsrechte (GFF) erreichen möchte, dass ihre Daten von der Krankenkasse nicht weitergegeben werden und somit nicht in falsche Hände geraten können. Sie befürchtet, dass Sicherheitsmängel zu einem Datenleck führen könnten, und wendet sich somit nicht gegen die Sammlung der Datensätze als solche, sondern gegen deren konkrete Ausgestaltung. Die Klage wird unterstützt von einem weiteren Kläger mit einer seltenen Krankheit. Gemeinsam verfolgt man die Absicht, eine Klärung bis auf europäische Ebene voranzutreiben.

In Eilverfahren sowohl vor dem Sozialgericht in Berlin als auch in Frankfurt wurde bereits erklärt, dass die Daten der Kläger nicht an den Spitzenverband der gesetzlichen Krankenkassen (GKV) übermittelt werden dürfen. Im Hauptverfahren soll nun eine genauere Überprüfung der beiderseitigen Einwände stattfinden.

Der zuständige Richter machte dabei schnell klar, dass er den Fall nicht direkt dem Europäischen Gerichtshof (EuGH) vorlegen, sondern die technischen und juristischen Aspekte selbst erst mal ausführlich behandeln möchte. Ziel ist die Beantwortung der Frage, ob ein Eingriff in das Grundrecht der Betroffenen auf informationelle Selbstbestimmung verhältnismäßig ist. Dem Schutz des Einzelnen steht hier das öffentliche Interesse an dem Datensatz gegenüber.

Datentransparenzverfahren — Was ist passiert?

Bis zum 01. Oktober 2022 sollten die Krankenkassen im Rahmen des Datentransparenzverfahrens Gesundheitsdaten der Versicherten zu Forschungszwecken bereitstellen. Bis zum 1. Dezember 2022 sollen die Daten sodann an das am Bundesinstitut für Arzneimittel und Medizinprodukte eingerichtete Forschungszentrum (FDZ) weitergeleitet werden. Dort sollen sie immer weiter ergänzt und bis zu 30 Jahre lang gespeichert werden.

Es sollen die Kosten- und Leistungsdaten aller gesetzlich Versicherten wie auch Angaben zu den Leistungsbringern gespeichert werden. Die gesetzlichen Krankenkassen werden bis zu einem Stichtag umfangreiche Gesundheitsdaten zu Forschungszwecken in eine Datensammlung einspeisen. Zu den Daten zählen unter anderem ärztliche Diagnosen, Daten zu Krankenhausaufenthalten, zu Operationen und zu Medikamenten der Versicherten. Die Datensammlung soll der medizinischen Forschung und der Versorgungsforschung zur Verfügung gestellt werden.

Pseudonymisierung als ausreichender Schutz?

Die Daten, welche in die Datensammlung eingespeist werden, sollen lediglich pseudonymisiert werden. Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen zumindest wesentlich zu erschweren. Ohne Hinzuziehung zusätzlicher Informationen sollen die Daten nicht mehr einer spezifisch betroffenen Person zugeordnet werden können. Die Zuordnung der Informationen zu den ihnen zugehörigen Personen ist also möglich, soweit dazu die Hinzuziehung zusätzlicher Informationen notwendig ist, die gesondert und unter dem Schutz passender technischer und organisatorischer Maßnahmen aufbewahrt werden.

Die Pseudonymisierung schützt folglich nicht davor, dass eine Re-Identifizierung der Betroffenen nahezu ausgeschlossen ist. Sie stellt gerade kein Anonymisierungsverfahren dar.

Anonyme Informationen sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person oder auf personenbezogene Daten beziehen, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist. Das Entscheidende ist also, dass kein Personenbezug mehr hergestellt werden kann, d. h., dass die konkrete Person, über die die Informationen Aufschluss geben, nicht mehr ermittelt werden kann.

Unter Experten ist unstrittig, dass das Krankheitsbild vor allem bei seltenen Krankheiten einen Aufschluss darüber gibt, welche Personen sich hinter dem Datensatz verbergen. Dies birgt ein erhebliches Missbrauchsrisiko.

„Wer an einer seltenen Krankheit leidet, ist in scheinbar anonymisierten Datenbanken besonders leicht identifizierbar. Das ist besonders dann gefährlich, wenn die Krankheit stigmatisierend wirkt oder die Kenntnis davon sogar Erpressungspotenzial hat“, sagt Bijan Moini, Jurist und Verfahrenskoordinator von GFF.

Schutz durch DSGVO und GG

Die Verfahren zur Datensammlung muss sich sowohl an der DSGVO als auch am deutschen Grundgesetz messen lassen. Das Datenschutztransparenzverfahren sieht neben den lediglich pseudonymisierten Daten zudem kein Widerspruchsrecht der Betroffenen vor. Ein fehlendes Widerspruchsrecht verstößt gegen das Grundrecht auf informationelle Selbstbestimmung und gegen Art. 21 DSGVO. Es fehlt an der erforderlichen Transparenz zur Wahrnehmung der Auskunftsrechte.

Aus dem Recht auf informationelle Selbstbestimmung ergibt sich darüber hinaus auch die staatliche Schutzpflicht, Daten so gut wie möglich und mit der besten Technik vor Missbrauch zu schützen. Es ist daher sicherzustellen, dass ein ausreichendes Sicherheitsniveau besteht.

Forschung vs. Datenschutz?

Es muss nicht heißen Forschung oder Datenschutz, sondern Forschung UND Datenschutz. Die Nutzung von Gesundheitsdaten zu Forschungszwecken zum Wohl der Allgemeinheit ist durchaus sinnvoll und unterstützenswert. Wenn die Daten der Forschung zugänglich gemacht werden, kann auch die öffentliche Gesundheitsversorgung besser evaluiert und weiterentwickelt werden. Auch können die Daten genutzt werden, um innovative Technologien im Rahmen der Digitalisierung des Gesundheitsbereichs zu fördern.

Dazu sollten jedoch nicht generell alle Sicherheitsstandards über Bord geworfen werden. Ziel ist es zu erreichen, dass die Daten der Versicherten bestmöglich geschützt werden, um einen Missbrauch zu verhindern und dem Betroffenen eine Entscheidungsmöglichkeit zu geben. Wichtige Forschung zugunsten des Allgemeinwohls muss so ausgestaltet werden, dass keine Grundrechte verletzt werden. Sind die Daten einmal in den falschen Händen, ist eine Umkehr nicht mehr möglich. Es bleibt daher abzuwarten, wie der Richter entscheiden wird.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Pseudonym ist völlig ok, wenn der Patient einwilligt und der Empfänger der Daten keine weitere Möglichkeit hat, die Daten dem Patienten wieder zuzuordnen. Außer er hacked die Systeme des Studienpartners. Per Gesetz alle Gesundheitsdienstleister zu verpflichten alle Daten zu übermitteln und diese wieder kombinierbar mit Datenlieferungen aus anderen Quellen (profiling) zu haben, hebt den Schutz der Bürger sehr weitgehend auf. Das ist nicht tragbar.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.