​Gesundheitsdatenforschung ja – aber bitte mit Datenschutz!​

Meinungsverschiedenheit zur Regierungspolitik? Diese scheint es bei der Frage, wie Gesundheitsdaten für die Medizinforschung genutzt werden sollen, nicht zu geben. Und dies ist schlecht! Schwarz-Rot und Ex-Bundesgesundheitsminister Jens Spahn verfolgten die gleichen Pläne wie die bisherige Ampel-Koalition mit Minister Karl Lauterbach. Absehbar verfolgt eine künftige Bundesregierung keine anderen Ziele: Unsere Gesundheitsdaten, die bei Ärzten, Krankenhäusern und anderen Heilberufen entstehen, sollen für sogenannte Sekundärzwecke genutzt werden können – Patientengeheimnis hin oder her.

Eine Einschätzung von Thilo Weichert

Aktuell ist Thilo Weichert Co-Vorsitzender des Vereins Digitalcourage und engagiert sich für den Datenschutz. Von 2004 bis 2015 war er Landesdatenschutzbeauftragter von Schleswig-Holstein.

Das Gesundheitsministerium hat den Entwurf einer "Verordnung zur Umsetzung der Verfahren beim Forschungsdatenzentrum Gesundheit" (Forschungsdatenzentrum Gesundheit Verordnung – FDZGesV) vorgelegt, bei dem der Datenschutz und die Wahrung des Patientengeheimnisses auf der Strecke bleiben.

Rechtliche Grundlage dieser Verordnung ist das Gesundheitsdatennutzungsgesetz (GDNG), das im März 2024 in Kraft trat. Dieses GDNG basiert auf dem Europäischen Gesundheitsdatenraum (European Health Data Space, EHDS), über den sich Rat, Parlament und Kommission der EU im Trilog geeinigt haben.

Grundidee der Regulierung ist ein Paradigmenwechsel beim Patientengeheimnis: Während Gesundheitsdaten bisher grundsätzlich nur ausnahmsweise oder nach Einwilligung der Patienten für Sekundärzwecke genutzt werden konnten, sollen sie nun Dritten zur Verfügung gestellt werden, ohne dass die Patienten gefragt werden müssen.

Zum Schutz dieser Daten vor Missbrauch werden die Daten in einem vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) verantworteten Forschungsdatenzentrum Gesundheit (FDZ) nicht mit Klarnamen, sondern pseudonymisiert bereitgestellt. Als Grunddaten werden dem FDZ zunächst sämtliche Abrechnungsdaten der Krankenkassen von ihren gesetzlich Versicherten gespeichert. Hinzukommen sollen die Daten aus der elektronischen Patientenakte (ePA), die ab Januar 2025 flächendeckend eingeführt wird, soweit die Patienten dem nicht widersprechen.

Im FDZ werden massenhaft zentral hochsensible Daten vorliegen. Umfassende Schutzmaßnahmen sind daher unabdingbar. Diese sind im EHDS und im GDNG nicht vorgesehen. Daher werden diese Gesetze bei einer Prüfung durch den Europäischen Gerichtshof oder das deutsche Bundesverfassungsgericht wegen Grundrechtsverstößen garantiert aufgehoben. Wer hoffte, diese Defizite würden durch die Umsetzungsverordnung zumindest teilweise behoben, wird enttäuscht:

1. Gespeichert werden zu jeder Person unter anderem folgende Abrechnungsdaten der gesetzlich Versicherten: Geburtsjahr, Geschlecht, Postleitzahl, Pflegebedürftigkeit, Krankenkasse, Versichertentage und -status, behandelnder Arzt bzw. Einrichtung, Behandlungsart und -datum, Aufnahme- und Entlassungsdatum und -grund, Diagnose, Operationsdatum, Terminvermittlung, Arzneimittel und Verordnungsdatum, Dialyse, Entbindungsdatum. 92 Merkmale sind vorgesehen. Selbst bei wirksamer Pseudonymisierung kann mit geringem Zusatzwissen ein Datensatz wieder dem Patienten zugeordnet werden.
2. Die Datennutzung wird nicht nur für Forschungszwecke erlaubt, sondern auch für die Entwicklung und Testung von Arzneimitteln, Medizinprodukten und Behandlungsmethoden, selbst für das Trainieren von Künstlicher Intelligenz, für die politische Planung oder für Wirtschaftlichkeitsanalysen.
3. Datenzugriff erhalten Antragsteller, ohne dass sie eine Qualifikation nachweisen müssten, ebenso Verbände, das BMG oder die Pharmaindustrie.
4. Der Antrag auf Datenzugang sieht nur wenige Nachweise vor; nicht gefordert werden ein Datenschutzkonzept und Angaben zur wissenschaftlichen Methodik. Die Gemeinnützigkeit der Datenauswertung lässt sich so nicht feststellen.
5. Die Genehmigung des Datenzugangs erfolgt durch das Bundesinstitut für Arzneimittel und Medizinprodukte, das auch für das FDZ zuständig ist. Dabei handelt es sich nicht um eine unabhängige, besonders qualifizierte Stelle, sondern um eine Behörde, die dem BMG nachgeordnet ist und von dort Weisungen erhält.
6. Das Genehmigungsverfahren ist intransparent. Aus einem zu veröffentlichenden Antragsregister können Patienten nicht im Ansatz erkennen, ob ihre Daten von einer Datenauswertung betroffen sind.
7. Selbst eine nachträgliche unabhängige Kontrolle der Zugangsgewährungen – zum Beispiel durch Datenschutzbehörden – ist nicht vorgesehen.
8. Die Rechenschaftspflicht der Datennutzer ist minimal: Erst 2 Jahre nach Abschluss eines Forschungsvorhabens sind dessen Ergebnisse in allgemeiner Form zu veröffentlichen.
9. In Fall eines Datenmissbrauchs droht eine Zugangssperre für maximal zwei Jahre. Ein mögliches Strafverfahren ist von einem Antrag der Patienten abhängig. Diese können aber von einem Missbrauch keine Kenntnis erlangen.
10. Es ist vorgesehen, dass immer mehr Gesundheitsdaten zu einem Personendatensatz hinzugespeichert werden können, insbesondere die Daten aus der elektronischen Patientenakte. Nicht vorgesehen ist, dass die Patienten über ihre Daten Auskunft erhalten können.
11. Es gibt für die Forschenden – anders als bei den Daten beim Arzt – kein Zeugnisverweigerungsrecht und kein Beschlagnahmeschutz. Strafverfolgungsbehörden können sich bei Bedarf hieran umfassend bedienen.

Die Veröffentlichung des Verordnungsentwurfs durch das Bundesgesundheitsministerium (BMG) erfolgte, ohne viel Aufmerksamkeit zu erregen. Eine breite Diskussion über die Pläne mit unseren Gesundheitsdaten ist jedoch dringend nötig.

Gesundheitsdatenforschung eigentlich begrüßenswert

Die Idee, unsere Gesundheitsdaten für medizinische Forschungszwecke zu nutzen, ist eigentlich zu begrüßen. Seit Corona wissen wir, dass der Medizinforschung zu wenige qualifizierte Daten zur Verfügung stehen. Eigentlich wäre ich auch gern bereit, meine Daten hierfür zur Verfügung zu stellen. Nötig wäre dafür meine Gewissheit, dass damit kein Schindluder getrieben wird. Der Entwurf für die FDZGesV begründet die Befürchtung, dass dies geschehen wird.

Da der Staat seinen Schutzpflichten nicht im Ansatz nachkommt, besteht für die Patienten die einzige Schutzmöglichkeit, zumindest der Datenausleitung bei seiner elektronischen Patientenakte zu widersprechen, so wie dies europarechtlich und gesetzlich vorgesehen ist.

Das BMG kann und muss durch eine massive Verbesserung der Verordnung die Voraussetzung dafür schaffen, dass der Sekundärnutzung der Gesundheitsdaten vertraut werden kann. Dies wäre nicht nur im Interesse der betroffenen Patienten, sondern auch im Interesse der medizinischen Forschung.

(mack)