Interview: Warum im Gesundheitswesen ein großer Vertrauensverlust droht
Mit Änderungen an der E-Patientenakte will die Politik mehr Patientendaten. Warum Änderungen an den Gesetzesvorhaben wichtig sind, erklärt BfDI Prof. Kelber.
(Bild: PopTika/Shutterstock.com)
(Bild: Federal Government/Kugler)
Immer lauter wird der Wunsch nach der Forschung mit Big Data, entsprechende Gesetze sind in verschiedenen Bereichen EU-weit in Arbeit. Ob im Finanzbereich oder im Gesundheitswesen oder anderswo, ein verantwortungsvoller Umgang mit Daten ist essenziell für das Vertrauen der Menschen. Fast täglich veröffentlichen Cyberkriminelle sensible Daten in Datenhehlerforen und dem Darknet. Unter anderem darum wurde der vom Gesundheitsministerium geforderte Verzicht auf eine Verschlüsselung der Daten in der "elektronischen Patientenakte für alle" erst kürzlich vom Bundesbeauftragten für den Datenschutz und die Informationssicherheit, Prof. Ulrich Kelber, stark kritisiert. Sofern Daten gestohlen würden, wären sie zumindest geschützt.
Doch politische Akteure fordern auch einen niedrigschwelligeren Zugang zur elektronischen Patientenakte (ePA) und anderen Diensten der Telematikinfrastruktur, dem Gesundheitsnetz. Dazu haben wir Antworten von Prof. Kelber.
heise online: Wie bewerten Sie das Vorgehen der Bundesregierung, die Datensicherheit bei der ePA herabzusetzen?
Prof. Ulrich Kelber: Die Datensicherheit der ePA selbst soll nicht herabgesetzt werden. Die Bundesregierung plant aber, dass die Versicherten zukünftig in ein dauerhaft niedriges Sicherheitsniveau bei der Anmeldung an die ePA einwilligen sollen. Ganz konkret: Die Bundesregierung plant, dass nach der ersten sicheren Anmeldung eine Einwilligung erscheint, die im Kern besagt, dass zukünftig unbefristet das normale Entsperren des Endgeräts reicht, um auf die App und damit die Gesundheitsdaten zuzugreifen.
Unser Vorschlag ist stattdessen, dass die Versicherten sich auch zukünftig sicher ausweisen müssen. Das heißt aber nicht, dass ich für jedes Öffnen der App den Ausweis ans Gerät halten muss. Denn bei modernen Geräten hielte die Gerätebindung sechs Monate. Nur etwa zehn Prozent der Geräte auf dem Markt sind so alt, dass die Gerätebindung "nur" 24 Stunden hält. Sicherheit und Komfort sind also vereinbar.
Warum ist die Herabstufung des Sicherheitsniveaus für den Zugang zur Telematikinfrastruktur (TI) für die Nutzung von Diensten wie der elektronischen Patientenakte und der E-Rezept-App problematisch?
Kelber: Zugangsmittel, die kein der Telematikinfrastruktur entsprechendes, angemessen hohes Sicherheitsniveau erreichen, wie es für besonders schützenswerte Gesundheitsdaten erforderlich ist, sind mit den Grundrechten der Versicherten nicht vereinbar. Und das europäische Recht sieht aus gutem Grund keine Möglichkeit vor, per mehr oder minder freiwilliger Einwilligung auf ein Sicherheitsniveau zu verzichten, dass der Datenverarbeiter einzuhalten verpflichtet ist.
Der vertrauensvolle und möglichst Privatsphäre-bewahrende Umgang mit Daten wird aktuell unter anderem im Rahmen des Gesundheitsdatennutzungsgesetzes kontrovers diskutiert. Aufgrund der Relevanz des vertrauensvollen Umgangs mit persönlichen Daten wurden daher weitere Leitlinien zur Anonymisierung und Pseudonymisierung angekündigt. Wer durfte dort mitentscheiden?
Kelber: Die Leitlinien zu Anonymisierung und Pseudonymisierung werden derzeit vom Europäischen Datenschutzausschuss in der "Technology Expert Subgroup" erarbeitet. Mitentscheiden dürfen dort die Aufsichtsbehörden der EU-Mitgliedstaaten und der Europäische Datenschutzbeauftragte. Ich bin mir sicher, dass der Ausschuss die Leitlinien zur Öffentlichen Konsultation stellen wird.
Gibt es da auch speziell Leitlinien im Umgang mit KI-Methoden zur Datenauswertung, auch in Hinblick auf synthetische Daten?
Kelber: Die angesprochenen Leitlinien befassen sich mit den Themen Anonymisierung und Pseudonymisierung. Sie sollen die alten "Leitlinien" der ehemaligen "Article 29 Data Protection Working Party" ersetzen. Die in den Leitlinien genannten Anforderungen für Anonymisierung und Pseudonymisierung gelten auch für Anonymisierung und Pseudonymisierung im Zusammenhang mit KI-basierter Verarbeitung oder synthetischer Datengenerierung. Darüber hinaus gibt es eine Vielzahl von bereits veröffentlichten Leitlinien.
Welche verlässlichen Verfahren gibt es beispielsweise zur Anonymisierung aktuell?
Kelber: Es gibt diverse Techniken, die zum Anonymisieren angewandt werden. Typischerweise kommen Methoden der Aggregierung, Randomisierung und Generalisierung zum Einsatz, oftmals auch in Kombination. Ob ein Anonymisierungsverfahren geeignet ist, um anonyme Informationen zu produzieren, hängt natürlich nicht allein von dem angewandten Verfahren, sondern auch von den zu anonymisierenden Daten ab.
Eine Alternative kann auch sein, die Daten in einer gut pseudonymisierten Form beispielsweise in einem Datenzentrum vorzuhalten und die Arbeit an diesen Daten nur denjenigen zu gestatten, die voraussichtlich nicht über zusätzliche Daten verfügen, um eine Re-Personalisierung durchführen zu können.
Die Weitergabe von Abrechnungsdaten an das Forschungsdatenzentrum und später, nach erfolgreichem Datenzugangsantrag, auch an Dritte erfolgt aktuell ohne Zustimmung der gesetzlich Versicherten. Kritiker sehen die Betroffenenrechte aufgrund von Re-Identifikationsrisiken nicht ausreichend geschützt. Für wie wahrscheinlich halten Sie es, dass die geplanten Gesetze im Gesundheitswesen nachträglich für nichtig erklärt werden?
Kelber: Das lässt sich zum jetzigen Zeitpunkt noch nicht eindeutig sagen, der Europäische Gesundheitsdatenraum (EHDS) verzögert sich aktuell leider auch. Ich befürchte, dass erst das nächste EU-Parlament und die nächste EU-Kommission die Gesetzgebung abschließen werden. Ich bin mir aber sehr sicher, dass es Klageverfahren geben wird. Aber selbst, wenn die Gerichte nur Nachbesserungen an den Gesetzen verlangen, wäre das ein großer Schaden für das notwendige Vertrauen der Bürgerinnen und Bürger. Mal ganz zu schweigen davon, dass es im Zweifelsfall wieder Zeit und Geld kostet.
Wir haben Vorschläge gemacht, wie diese Gefahr verringert oder sogar ganz vermieden werden kann, denn zweifellos können diese Daten einen wichtigen Beitrag für medizinischen Fortschritt leisten. Ganz wichtig übrigens: "Weitergegeben" werden dürfen nur zuverlässig anonymisierte Daten, da diese dann nicht mehr der Datenschutzgrundverordnung unterliegen. Ansonsten, im Fall von pseudonymisierten Daten, ist nur die Arbeit an den Daten im Forschungsdatenzentrum möglich, die Daten werden also nicht kopiert.
(mack)