Missing Link: Ausverkauf der Gesundheitsdaten im Namen der Forschung

Hierzulande steht die Massenspeicherung von Gesundheitsdaten noch vor Gericht, da kommt die EU mit einer XXL-Variante um die Ecke. Droht der gläserne Patient?

In Pocket speichern vorlesen Druckansicht 348 Kommentare lesen
Unrecognizable,Clinician,Accessing,Block,In,Blockchain,Of,Medical,Records.,Internet

(Bild: Superstar/Shutterstock.com)

Lesezeit: 15 Min.
Inhaltsverzeichnis

Der Streit über die Nutzung der Gesundheitsdaten der Bürger für vergleichsweise vage Forschungszwecke ist in vollem Gange. Hierzulande boxte Ex-Bundesgesundheitsminister Jens Spahn (CDU) 2019 das Digitale-Versorgung-Gesetz (DVG) gegen den Widerstand von Ärztegruppen, Daten- und Patientenschützern, Bürgerrechtlern und IT-Experten durch. Sensible Gesundheitsdaten aller rund 73 Millionen gesetzlich Versicherten sollen dazu pseudonymisiert an den Spitzenverband der gesetzlichen Krankenversicherung (GKV) und an das Forschungsdatenzentrum (FDZ) übermittelt werden, ohne dass die Betroffenen widersprechen können.

Kritiker wittern hinter der Initiative schon lange einen "Frontalangriff" auf das Grundrecht der informationellen Selbstbestimmung. Im Frühjahr 2022 klagten Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC), und ein an einer seltenen Blutgerinnungs-Krankheit leidender Patient gegen die Weitergabe ihrer Informationen wie Diagnosen, Krankschreibungen, Alter, Geschlecht und Wohnort durch ihre Kassen an die GKV. Unterstützt werden sie von der Gesellschaft für Freiheitsrechte (GFF), die beide Verfahren koordiniert.

Das Sozialgericht Berlin verhandelte erstmals im Oktober über die Klage von Kurz. Der Vorsitzende Richter Michael Kanert warf dabei grundlegende Fragen auf. Er will klären lassen, ob die vom Gesetzgeber verfolgten Zwecke auch mit begrenzten Daten in dezentralen Speichern, Einwilligung oder Widerspruchsmöglichkeiten ohne nennenswerte Abstriche hinsichtlich der Repräsentativität der Forschungsergebnisse erreicht werden können.

Davon geht etwa der Kryptologe Dominique Schröder von der Universität Erlangen-Nürnberg aus. Er hatte schon bei einer Anhörung zum DVG verlangt, dass Berechnungen beim FDZ "lediglich auf verschlüsselten Daten" durchgeführt werden dürften. Ein Patient könne angesichts des Stands der Technik über eine App jede einzelne Verarbeitung einfach freigeben.

"Das ganze Verfahren ist so gestaltet, dass es ein strukturelles Sicherheitsproblem aufweist", gab am zweiten Verhandlungstag im Februar der Mainzer Staatsrechtler Matthias Bäcker zu bedenken. Er vertritt Kurz als Anwalt. Für eine Verarbeitung der Daten im FDZ gebe es keine adäquate Rechtsgrundlage. Der Transfer sei daher "nicht erforderlich". Als hauptsächlichen Einwand gegen das vorgesehene zentralisierte Modell führte der Jurist ins Feld, dass dieses "unvermeidlich zu einer Erhöhung des Sicherheitsrisikos" führe. Der Vorgabe nach seien die Daten einmal bei den Krankenkassen, würden dann aber zusätzlich "an weiterer Stelle zentral publiziert". Dies führe zu einer "Addition" der Gefahren von Cyberattacken.

Forschungsaktivitäten auf dezentral nur bei den Kassen vorgehaltenen Daten haben Bäcker zufolge dagegen etwa den Vorteil, dass sich Wissenschaftler dabei Instrumente aus dem Werkzeugkasten aktueller Schutzverfahren wie Differential Privacy herausgreifen könnten. Damit werden die Daten minimal verrauscht. Das FDZ würde so zum "Knotenpunkt statt zur Datenhalde".

Aus Sicht des Deutschen Netzwerk Versorgungsforschung (DNVF) scheidet der dezentrale Ansatz aber aus. Eine Einschränkung der gesetzlich definierten Datenmenge "hätte für die medizinisch-wissenschaftliche Forschung und damit perspektivisch für das deutsche Gesundheitssystem und die medizinische Versorgung" von derzeitigen und künftigen Patienten "erhebliche negative Auswirkungen", hebt die Wissenschaftsvereinigung hervor. Einschränkungen etwa "durch praxisferne Verschlüsselungstechnologien oder Dezentralisierung" des FDZ-Bestandes wären mit großen Nachteilen für die Bürger verknüpft.

Der GVK-Spitzenverband, der als Sammelstelle dient, hat bisher die Gesundheitsdaten aus 2019 vollständig ans FDZ übermittelt. Die aus 2020 und 2021 stehen bereit und sollten eigentlich auch schon transferiert worden sein, doch beim Aufbau der Infrastruktur für die Datenauswertung in abgesicherten virtuellen Räumen erlitt das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelte Zentrum nach Darstellung seines Leiters Steffen Heß einen Rückschlag: Ein Problem mit einem externen Dienstleister habe zu Verzögerungen geführt.

Vorbereiten auf seine Funktion als Drehscheibe konnte sich das FDZ seit 2019 mit einem kleineren, pseudonymisierten Datensatz. Dafür gab es Hess zufolge rund 30 bis 40 Zugangsanträge von Wissenschaftlern. "Bisher war das Nutzungsinteresse an den vom Forschungsdatenzentrum bereitgestellten Daten begrenzt", wissen die Autoren einer im März veröffentlichten Studie zu Data-Mining des Büros für Technikfolgen-Abschätzung beim Bundestag. Ein Grund seien die mehrjährigen Zeitverzögerungen bis zum Einspeisen der Informationen, ein anderer die engen Grenzen der Zugangsmöglichkeiten. So könnten etwa Medizinproduktehersteller bislang nur zusammen mit öffentlichen Forschungseinrichtungen entsprechende Daten nutzen, um beispielsweise algorithmische Systeme zu trainieren.

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

Mit dem DGV und dem Ausbau der elektronischen Patientenakte (ePA), den Bundesgesundheitsminister Karl Lauterbach (SPD) plant, dürfte das Interesse am FDZ steigen. Schon mit der ePA wurden große Hoffnungen verbunden, vielfältige gesundheitsbezogene Daten vor allem aus Behandlungskontexten zusammenzuführen und perspektivisch das Einwilligungsmanagement für deren Weitergabe zu Forschungszwecken zu organisieren. Die Akte hat laut den TAB-Forschern ein "besonderes Data-Mining-Potenzial", das zusätzlich zu den medizinischen Behandlungsdaten nun auch die bei den Krankenkassen gespeicherten Informationen sowie künftig "individuell erhobene Vitaldaten personenbezogen" gesammelt werden könnten.