Richter zweifelt an zentraler Massenspeicherung von Gesundheitsdaten

Inhaltsverzeichnis

Am Sozialgericht Berlin drehte sich am Dienstag stundenlang alles um die Frage, ob die Gesundheitsdaten aller rund 73 Millionen gesetzlich Versicherten hierzulande zentral für Forschungszwecke zur Verfügung gestellt werden sollten. Der Vorsitzende Richter Michael Kanert machte dabei schnell klar, dass er damit zusammenhängende technische und juristische Aspekte ausführlich behandeln und den Fall nicht direkt dem Europäischen Gerichtshof vorlegen will. Gegebenenfalls sei es besser, ausgemachte Missstände einfach abzustellen.

Superschutz für Superdaten

"Superdaten benötigen einen Superschutz", betonte Kanert unter Verweis auf die besonders sensiblen medizinischen Informationen. Verwaltungsbehörden müssten sich auf Einschränkungen aufgrund des Datenschutzes einstellen, wenn so Grundrechtseingriffe minimiert werden könnten. Es gelte zu klären, ob die vom Gesetzgeber verfolgten Zwecke auch mit begrenzten Daten, Einwilligung oder Widerspruchsmöglichkeiten ohne nennenswerte Abstriche hinsichtlich der Repräsentativität der Forschungsergebnisse erreicht werden könnten.

Klägerin in der Auseinandersetzung ist die Informatikerin Constanze Kurz. Die Sprecherin des Chaos Computer Clubs (CCC) befürchtet, dass aufgrund der vom Digitale-Versorgung-Gesetz (DGV) vorgesehenen zentralen Speicherung von Gesundheitsdaten beim Forschungsdatenzentrum (FDZ) diese in falsche Hände geraten könnten. Sie will daher von ihrer Krankenkasse, der Novitas BKK, mit Unterstützung der Gesellschaft für Freiheitsrechte (GFF) erreichen, dass diese die Weitergabe unterlässt.

Die BKK hat im Eilverfahren bereits erklärt, die Daten der Klägerin nicht an den Spitzenverband der gesetzlichen Krankenkassen (GKV) zu übermitteln, der als Sammelstelle vor einem Transfer ans FDZ dient. Im Hauptverfahren sollen die Einwände beider Seiten nun genauer geprüft werden. Kanert sprach hier von einem "großen Diskussionsumfang": die Akte habe inzwischen drei Bände.

Umstrittene zentrale Datenauswertung

Auch beim Bundesverfassungsgericht war schon ein Eilverfahren anhängig. Die entsprechende Beschwerde lehnten die Karlsruher Richter in diesem Schnelldurchgang zwar ab, bezeichneten deren Erfolgsaussichten in einem potenziellen Hauptsacheverfahren aber als offen. Die Eingabe hielten sie nicht für offensichtlich unbegründet, da es gewichtige Bedenken gegen eine zentrale Datenauswertung beim FDZ gebe und das Vorhaben schon im Gesetzgebungsverfahren umstritten gewesen sei.

Zum Stand der Dinge erläuterte ein Vertreter des GKV-Spitzenverbands, dass rund 85 Prozent der Kassen bereits Daten mit einem Volumen von circa 50 Prozent der Versicherten geliefert hätten. Man kontrolliere nur die Füllstände, die täglich aktualisiert würden. Noch im Laufe der Woche dürften die restlichen Daten da sein, die dann auf Vollständigkeit und Plausibilität geprüft würden. Für den zentralen Ansatz dabei spreche etwa, dass dabei auch die Krankenkassenwechsel von jährlich rund elf Millionen Bürgern berücksichtigt werden könnten.

Die Datenübermittlung ans FDZ sei für Dezember vorgesehen, wenn das entsprechende Signal bis dahin komme, so die Ansage. Zuvor hatte es bei dem Verband geheißen, dass zum Stichtag 1. Oktober bereits die Datensätze aller Versicherten eingetroffen seien.

Rein technisch könnte es dieses Jahr noch möglich sein, "dass wir sie in Empfang nehmen", berichtete Steffen Heß, der das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelte FDZ leitet: "Wir sind im Aufbau der Prozesse und der Infrastruktur." Man wolle aber nicht übereilt handeln, da "viele organisatorische und technische Fragestellungen noch in Klärung" seien und der Austausch mit den Aufsichtsbehörden noch laufe.

Umgang mit Forschungsdaten

Kanert wollte etwa wissen, wie das FDZ einen ordnungsgemäßen Umgang mit den sensiblen Informationen gewährleisten und kontrollieren wolle. "Wir werden eine sichere virtuelle Umgebung schaffen, in der die Daten ausgewertet werden", führte Heß aus. Beim Forschungsdatenzentrum liegen generell nur pseudonymiserte Daten vor. Projektspezifisch werde das Reidentifikationsrisiko schon bei Datenbereitstellung in einer sicheren virtuellen Umgebung reduziert. Zum Ende einer Datenanalyse werden demnach ausschließlich aggregierte Ergebnisse herausgegeben – dadurch ließe sich das Reidentifikationsrisiko minimieren.

Aus dem abgeschirmten Speicher- und Rechenbereich gingen letztlich nur Ergebnisse ähnlich wie in einer Forschungspublikation, ließ Heß durchblicken. Er erwarte bis zu 100 Anträge von Wissenschaftlern etwa von Universitäten oder Krankenhausgesellschaften auf Zugang zu dem System im FDZ, deren Identität und Berechtigung über einen Institutionsbeauftragten geprüft würden. Bisher habe es 30 bis 40 Anträge für Arbeiten mit einem kleineren, pseudonymisierten Datensatz gegeben, der bereits seit 2009 vorliege. Völlig unklar sei, wie ein Einbezug freigegebener Daten aus der elektronischen Patientenakte (ePA) dezentral erfolgen solle.

"Das Grundübel ist die Zentralisierung des Datenbestandes", monierte der Mainzer Staatsrechtler Matthias Bäcker, der Kurz als Anwalt vertritt. Viel besser wäre es, die dezentralen Datentöpfe der 97 gesetzlichen Krankenkassen hierzulande dezentral projektbasiert virtuell zusammenzutragen. Das entsprechende verteilte Rechnen sei mittlerweile ein Standardprozess in der IT. Als Sicherungsverfahren böte sich das Verfahren Differential Privacy (DP) an, bei dem die Daten minimal verrauscht würden, trotzdem aber für die Wissenschaft gut verwertbar wären.

Genaue Daten für Forschung nötig

DP funktioniere grundsätzlich, gab der von der Kassenseite benannte Sachverständige Oliver Stiemerling zu. Er verglich das Verfahren mit einer Postleitzahl, bei der die letzten drei Stellen abgeschnitten würden. Das wäre für Arbeiten mit dem FDZ aber zu ungenau. Dabei gehe es etwa darum, eine möglichst genaue Korrelation zwischen einem räumlichen Gebiet und einer Umweltbelastung wie dem Wohnen in einer Einflugschneise eines Flughafens zu finden. Durch eine symmetrische Verschiebung von Werten, wie sie bei DP erfolge, erhalte man allenfalls einen Durchschnittsfall, "aber nicht mehr".

Durchführbar würden über das FDZ etwa auch übergreifende Abfragen nach Impfausweisen, brachte Stiemerling ein zweites Beispiel. Interessant sein könnte etwa, wie groß das Risiko sei, im Anschluss an eine Impfung zu erkranken. Wenn dann die Einzeldatensätze bei den Krankenkassen und die Angaben zu Impfausweisen beim FDZ lägen, könnten Forscher damit nichts anfangen. Nötig sei eine Stelle, wo man die Informationen für Korrelationen zusammenfassen könne. Zudem böten 97 Kassen, bei denen die Patientendaten unverschlüsselt rumlägen, eine viel größere Angriffsfläche. Dies gelte auch für die Schnittstellen beziehungsweise Öffnungspunkte beim FDZ für die Kassen, die bei einem dezentralen Ansatz erforderlich wären.

"Wir brauchen jede Information, die rauszukriegen ist aus diesem Land", hieb Wolfgang Hoffmann, Leiter des Forschungsinformationssystems der Uni Greifswald, in die gleiche Kerbe. Die Wissenschaftler müssten "möglichst nah ran" etwa durch Simulationen medizinischer Versuche, um etwa eine personalisierte Dosierung von Arzneimitteln zu bewerkstelligen oder den Kampf gegen mehrere Krankheiten gleichzeitig zu gewinnen. Das gehe nur "mit maximaler Präzision". Bei verrauschten, dezentralen Daten werde die Aussagekraft nur schlechter.

Der Kryptologe Dominique Schröder von der Universität Erlangen-Nürnberg kritisierte grundlegend falsche Annahmen bei diesen Darstellungen. Mit DP werde eine bestimmte Wahrscheinlichkeit berechnet, "mit der wir verschieben". Das gehe Schritt für Schritt. Bei einigen Werten werde so etwas daneben gerückt, bei anderen nicht. Welche verschoben würden, "weiß ich nicht als Forscher". Vor allem bei einer großen Datenmenge werde so das Resultat nicht verändert. Gesichert sei durch das Verrauschen dagegen, dass ein Wissenschaftler nicht von einer Information einer Untersuchung auf eine bestimmte Person und deren Krankheit schließen könne. Jeder Beteiligte bleibe vollständig privat.

Eine dezentrale Berechnung in verteilten Datenbanken sei kein Problem über ein gemeinsames gleiches Interface, meinte Schröder ferner. Der Forscher kriege dabei dann nur "das Zusammengeführte". Echtzeitsysteme ließen sich absichern, das passiere etwa schon beim Online-Banking übers Smartphone.

Schutz der Daten

Große Tech-Konzerne hätten verteilte Rechenverfahren und teils DP seit sechs oder sieben Jahren produktiv im Einsatz, ergänzte Kurz. Sie wolle keine Forschung verhindern, sondern eine Deanonymisierung. Zentrale Datensätze seien auch zentrale Angriffspunkte geworden. Thilo Weichert vom Netzwerk Datenschutzexpertise warnte, dass eine zentrale Lösung klar verfassungswidrig sein dürfte. Schon vorher hatte er in Bezug auf die ePA herausgearbeitet: Nur wenige Merkmale genügten, um Datensätze einzelnen Patienten wieder zuordnen zu können. Es reiche nicht aus, wenn ein FDZ-Sachbearbeiter darüber entscheide, welche Daten aus der Akte in pseudonymisierter, leicht reidentifizierbarer Form bereitgestellt würden.

Die Frage der Verrauschung werde sich wohl nur über ein spezielles Gutachten ausleuchten lassen können, deutete Kanert an. Der Kadi zeigte sich wenig beeindruckt von Argumenten der Verteidigung. Wenn für dezentrale Abfragen etwa ein neues Computerprogramm geschrieben werden müsste, "so what", verwies er auf das größere Ganze. Europarechtliche Fragen sollen an einem weiteren, vermutlich wieder lang werdenden Verhandlungstag besprochen werden. Ein zweites Verfahren läuft parallel in Frankfurt am Main.

(olb)