Kontroverse: Patientendaten in Gefahr?
TP-Exklusiv. Bedrohung oder Sicherheit? Der Bundesdatenschutzbeauftragte Ulrich Kelber bewertet die neue Datentransparenzverordnung von Bundesgesundheitsminister Spahn
Die Gesellschaft für Informatik spricht von einer "enormen Bedrohung für alle persönlichen und personenbezogenen Gesundheitsdaten". Auch Patientenschützer warnen vor erheblichen Risiken. Wir haben den Bundesdatenschutzbeauftragten um eine datenschutzrechtliche Bewertung gebeten.
Worum es geht: Die neue Datentransparenzverordnung von Gesundheitsminister Spahn soll Regelungen des im November mit den Stimmen der Regierungsfraktionen beschlossenen Digitale-Versorgung-Gesetz konkretisieren, das die bereits 2003 unter Rot-Grün eingeführte Nutzung von Versichertendaten noch einmal erheblich ausgeweitet hatte, ohne den Versicherten ein Widerspruchsrecht einzuräumen. Der Bundesrat hatte dies letztes Jahr heftig kritisiert.
Die nun von Gesundheitsminister Spahn erlassene neue Datentransparenzverordnung dient zur Konkretisierung dieses im Digitale-Versorgung-Gesetz erweiterten Verfahrens zur Datennutzung.
Patientenschützer und Verbände kritisieren das Re-Identifikationsrisiko, das u.a. dadurch erhöht wurde, dass die Nutzung von bloß pseudonymisierten Einzeldatensätzen nun "nicht mehr nur im Ausnahmefall" in Betracht kommt, wie es im Entwurf zur Verordnung heißt. Gesundheitsminister Spahn hatte im November mehrfach zugesichert, dass die Versichertendaten der Forschung nur anonymisiert zur Verfügung gestellt würden.
Zwar darf auf pseudonymisierte Daten nur in den Räumen des Forschungsdatenzentrums zugegriffen werden, dennoch entsteht ein erhöhtes Re-Identifikationsrisiko durch die nun gleichzeitig vorgenommene erhebliche Erweiterung des Datenumfangs. Wie Telepolis am Dienstag berichtete, werden jetzt auch individuelle Behandlungsdaten wie z.B. Angaben zu ärztlichen Zweitmeinungen mit in die Datensammlung aufgenommen (Genaueres dazu: Schon wieder: Spahn erhöht Datenschutz-Risiko).
Auch die Gesellschaft für Informatik warnt. In ihrem Gutachten zum Entwurf der Verordnung stellt sie eine "unzureichende Sicherheitsqualität der Datentransparenzverordnung" fest. Sie kritisiert, dass "mithilfe sogenannter Lieferpseudonyme und späterer sogenannter periodenübergreifender Pseudonyme [...] vermeintliche Maßnahmen zur Wahrung des Rechts auf Datenschutz ergriffen" würden, die "jedoch bei weitem nicht ausreichend" seien, "wie aus der Aufstellung der erhobenen Daten hervorgeht".
Bedenken wurden auch hinsichtlich der unzureichenden Kontrolle beim Zugriff auf die Datenbestände geäußert. Die Gesellschaft für Informatik warnt in diesem Zusammenhang vor einer "enorme[n] Bedrohung für alle persönlichen und personenbezogenen Gesundheitsdaten".
Es müsse, so heißt es in dem Gutachten, "eine aktive Vorsorge gegen den Missbrauch der erhobenen und später verarbeiteten Daten erkennbar, nachvollziehbar und durch unabhängige Gremien und Institutionen prüfbar werden".
Wie Telepolis gestern berichtet hat, dürfen Nutzungsberechtigte die Versichertendaten auch an Dritte weitergeben. Eine Beschränkung auf öffentliche, nicht-gewinnorientierte Institutionen, wie sie der Deutsche Gewerkschaftsbund in seiner Stellungnahme vehement gefordert hatte, wurde dabei unterlassen (Spahn öffnet Industrie Hintertür zu Versichertendaten).
Auch Kontrollen, dass die Daten nicht missbräuchlich verwendet werden, sind offenbar nicht vorgesehen. Das Forschungsdatenzentrum prüft lediglich, ob eine Verpflichtungserklärung des Antragstellers zur Einhaltung des Datenschutzes vorliegt. Der Antragsteller soll selbst sicherstellen, dass "eine Datenverarbeitung durch Dritte für andere Zwecke als die der Beratung ausgeschlossen ist". Bei missbräuchlicher Verwendung der Daten darf der Antragsteller nach spätestens zwei Jahren wieder auf die sensiblen Daten zugreifen.
Gegenüber Telepolis hat der Bundesdatenschutzbeauftragte Ulrich Kelber, dessen Behörde " relativ frühzeitig, Anfang Mai 2020, in die Ausgestaltung der Transparenzverordnung einbezogen" (Ulrich Kelber) wurde, die Verordnung des Bundesgesundheitsministers datenschutzrechtlich bewertet.
Telepolis: Mit der neuen DaTrav [Datentransparenzverordnung] wird der Zugriff auf pseudonymisierte Einzeldatensätze nicht mehr nur in Ausnahmefällen gewährt. Gleichzeitig wird der Datenumfang erheblich erweitert. Außerdem dürfen die Daten auch an Dritte weitergegeben werden. Wie bewerten Sie diese Neuerungen datenschutzrechtlich?
Ulrich Kelber: "Der Wegfall der Beschränkung auf den Ausnahmefall und der erweiterte Datensatz ergeben sich dem Grunde nach aus gesetzlichen Vorschriften im SGB V, die durch das Digitale-Versorgung-Gesetz neu gefasst wurden. Auch hier waren wir eingebunden. Unsere Anregungen und Änderungswünsche wurden im Rahmen der Ressortabstimmung berücksichtigt. Das Forschungsdatenzentrum und die dort verwaltete Datenbank existieren schon seit 2012. Sie war bis zur Eingliederung des Forschungsdatenzentrums ins BfArM beim DIMDI angesiedelt. Die gesetzlichen Regelungen, die eine Nutzung der so genannten Routinedaten der gesetzlichen Versicherten vorsehen, existieren bereits seit 2003. Mit den neu gefassten Vorschriften werden die Nutzungsmöglichkeiten und die Aufgaben des Forschungsdatenzentrums - bisher Datenaufbereitungsstelle genannt - erweitert.
Die Nutzung bereits erhobener Daten zu Forschungszwecken wird von der DSGVO als Verarbeitungszweck privilegiert. Auch aus Sicht des Datenschutzes ist kein gänzlicher Verzicht geboten. Wichtig sind flankierende Vorgaben wie technische und organisatorische Maßnahmen, die die Sicherheit der Daten und vor allem das Persönlichkeitsrecht der Betroffenen schützen. Hierzu zählen die Zulieferung der Daten über das so genannte Lieferpseudonym, die Verwendung eines anderen Pseudonyms in der Datenbank, die verschlüsselte Speicherung, die abschließende Benennung der Nutzungsberechtigten und der möglichen Zwecke, die sorgfältige Prüfung der Voraussetzungen und die konkrete Festlegung der für den angegebenen Zweck erforderlichen Daten im Zulassungsverfahren.
Ein Fehlverhalten wird sanktioniert. Im SGB V finden sich entsprechende Strafvorschriften. Auch dies dient dem Schutz der personenbezogenen Daten. Wichtig ist auch, dass ein Zugang zu den pseudonymisierten Datensätzen bisher ausschließlich im Forschungsdatenzentrum möglich ist. Allerdings ist - dies ergibt sich aus der Gesetzesbegründung - zukünftig auch unter bestimmten technischen Absicherungen ein so genannter Remote-Zugriff möglich. Bei einer Übermittlung an Forscher oder andere Nutzungsberechtigte dürfen nur anonymisierte bzw. aggregierte Daten übermittelt werden. Deshalb sehe ich derzeit keinen Anlass zu weiterem Handeln."
Anmerkung: Die neue Verordnung setzt fest, dass das Forschungsdatenzentrum die Vorgaben zur Risikobewertung der bereitzustellenden Daten (gemeint das Risiko, dass Versicherte wieder identfiziert werden können) allein mit Vertretern der Daten-Nutzungsberechtigten festlegt. Das Risiko soll dabei "unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens" "minimiert" werden.
Telepolis: Laut Verordnung soll das Forschungsdatenzentrum die Vorgaben zur Risikobewertung der bereitzustellenden Daten (Re-Identifikationsgefahr) selbst festlegen und dabei nur den Arbeitskreis der Nutzungsberechtigten beteiligen. Wir fragen uns, weshalb hier nicht die oberste Bundesbehörde für Datenschutz beteiligt wird. Hatten Sie sich im Vorfeld für eine solche Beteiligung eingesetzt? Wenn ja, woran scheiterte dies?
Ulrich Kelber: "Eine Beteiligung am Arbeitskreis war nicht vorgesehen und wurde von mir auch nicht angestrebt. Im Rahmen meiner Aufsicht über das BfArM [Bundesinstitut für Arzneimittel und Medizinprodukte, Anmerkung von uns] kann ich bei [sic] Einsicht in die Verfahren nehmen, sollte das erforderlich sein."
Telepolis: Die Verordnung ist bereits seit gut 4 Wochen in Kraft getreten. Halten Sie es für erforderlich, aufsichtsrechtliche Maßnahmen zu ergreifen, um die Persönlichkeitsrechte der gesetzlich versicherten Bürger zu schützen? Und welche rechtlichen Möglichkeiten hätten die betroffenen Bürger selbst, sich gegen eine ihre Persönlichkeitsrechte gefährdende Rechtsverordnung zu wehren?
Ulrich Kelber: "Aufgrund der oben genannten Vorgaben - insbesondere der pseudonymen Zulieferung und Speicherung, der klaren Definition der nutzungsberechtigten Personen und Einrichtungen und der Sanktionen bei Verstößen - sehe ich aktuell keinen Handlungsbedarf. Dem betroffenen Bürger steht unter bestimmten Voraussetzungen ein Widerspruchsrecht nach der DSGVO zu."
Wir bedanken uns für die ausführliche Stellungnahme.
Die seit 2016 eigenständige oberste Behörde für den Datenschutz und die Informationsfreiheit ist zuständig für die Überwachung der Einhaltung datenschutzrechtlicher Bestimmungen auch bei öffentlichen Stellen (z.B. gesetzlichen Krankenkassen). Dabei ist der Bundesdatenschutzbeauftragte u.a. befugt, aufsichtsrechtliche Maßnahmen zu ergeifen. Zu seinen Aufgaben gehört auch die Aufklärung der Bürger über Risiken, Gesetze und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten.
Für Leser, die sich für weiterführende Informationen zum Widerspruchsrecht interessieren, verweisen wir auf einen im letzten Jahr von netzpolitik.org veröffentlichten Gastbeitrag von Prof. Mario Martini (Widerspruch nicht ganz ausgeschlossen). Hier wird ausführlich erklärt, unter welchen Bedingungen genau Betroffene ein Widerspruchsrecht geltend machen können, obwohl ein solches Recht im Digitale-Versorgung-Gesetz nicht explizit eingeräumt wird.
Hinweis: Wir haben dem Bundesdatenschutzbauftragten auch noch eine Frage gestellt zur Fusion der ehemaligen Datenaufbereitungsstelle mit dem Bundesinstitut für Arzneimittel und Medizinprodukte. Wir werden in einem gesonderten Beitrag auf diesen komplexen Themenbereich eingehen.