BfDI zu Gesundheitsdatennutzung: Teilweise nicht mal grundlegende IT-Sicherheit
Erkenntnis auf Basis von Gesundheitsdaten ermöglicht eine bessere Behandlung. Gleichzeitig dürfen sensible Informationen nicht in falsche Hände gelangen.
Der noch amtierende Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, fasst die aktuelle Situation im Bereich IT-Sicherheit zusammen und erklärt, warum Datenschutz nicht für schlecht umgesetzte IT-Projekte verantwortlich gemacht werden sollte. Die Datenschutzgrundverordnung verhindere Forschung nicht.
(Bild: heise online)
"Die Forschung mit Gesundheitsdaten hilft, neue Erkenntnisse über Ursachen von Krankheiten, effizientere Therapien und bessere Behandlungsmöglichkeiten zu ermöglichen." Dies bekräftigte der derzeit noch geschäftsführend amtierende Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, auf der Eröffnungsveranstaltung des Zentrums für Medizinische Datennutzbarkeit und Translation (ZMDT) am Freitag in Bonn. In seinem Vortrag ließ Kelber die Herausforderungen seiner Amtszeit als BfDI Revue passieren. Gesundheitsdaten jedoch hätten einen besonderen Schutzbedarf, denn eine "unsachgemäße Verwendung sensibler Gesundheitsdaten kann gravierende Folgen haben" und Raum für Diskriminierung schaffen, warnte der Datenschützer.
Die Datenschutz-Grundverordnung stehe einer Nutzung von Gesundheitsdaten nicht im Weg, trotzdem werden "Server teilweise noch nicht mal minimal abgesichert", erkärte Kelber. Dies zeige gerade erneut der Fall des Terminservice Dubidoc, wo Millionen von Patientendaten frei zugänglich waren. Auch auf einen kürzlich bekannt gewordenen Cybervorfall in Finnland spielte Kelber an, "wo bis heute Menschen erpresst werden". Dort läuft gerade ein Prozess gegen einen mutmaßlichen Erpresser eines Psychotherapie-Zentrums, auch Zahlungen habe es bereits gegeben, damit diese Daten nicht veröffentlicht werden.
Vertrauensvolles Teilen von Daten
Aus diesen Gründen seien adäquate Schutzmaßnahmen erforderlich. Wo Bürger begründet vertrauen, sei ihre Motivation höher, Daten freiwillig zu teilen und Technologien zu nutzen. Daher ist Datenschutz nach Kelbers Ansicht eine "essenzielle Voraussetzung für menschenzentrierte wissenschaftliche Forschung mit Gesundheitsdaten".
Der Datenschutz habe sogar seinen Ursprung in der Medizin, führte Kelber weiter aus. Der über 2000 Jahre alte Hippokratische Eid sei quasi die erste Datenschutzerklärung. "Der Datenschutz wird [...] aber immer wieder sehr pauschal als Hindernisgrund" genannt. In den meisten Fällen sei das mit Ausnahmen sehr pauschal, etwa aufgrund der unterschiedlichen Datenschutzgrundlagen in den verschiedenen Ländern. Philosophen und Mediziner würden hierzulande von Tausenden Toten sprechen, für die man als Datenschützer verantwortlich sei. Dafür sei allerdings nicht der Datenschutz verantwortlich, der würde die Datennutzung in den wenigsten Fällen verhindern. Gleichzeitig sind Software-Anbieter teilweise nicht mal bereit, die einfachsten Datenschutzstandards zu akzeptieren. Immer noch komme veraltete und ungesicherte Technik zum Einsatz.
Abwägen von Einzelinteressen, Pauschalurteile keine Lösung
"Die rechtlichen Grundlagen sind spätestens mit dem Volkszählungsurteil vor knapp über 40 Jahren gelegt worden", sagte Kelber. Das Recht auf körperliche Unversehrtheit leite sich aus gleichen Artikeln ab. Konflikte könnten zwischen den Grundrechten entstehen. Es gebe kein "Supergesetz", es sei immer ein Abwägen von Einzelinteressen. Pauschalurteile seien keine Lösung. Die DSGVO selbst sei datenschutzfreundlich, selbst Artikel 6 und 89.
Der Sachverständigenrat (SVR) hatte 2021 Gutachten veröffentlicht, in dem der Datenschutz und das Opt-In-Modell bei der elektronischen Patientenakte kritisiert wurde. "Kluges Misstrauen sollte zu geeigneten Schutzmaßnahmen führen – nicht Hilfe verhindern, denn Daten teilen heißt besser heilen", sagte damals der ehemalige SVR-Vorsitzende Ferdinand Gerlach damals zu dem Gutachten. Es könne laut Kelber allerdings nicht sein, dass sämtliche Gesundheitsdaten für die Sekundärdatennutzung zur Verfügung stehen dürften.
"Miteinander reden wäre gut gewesen"
Sachliche Fehler in dem Gutachten hätte man laut Kelber verhindern können, wenn man nicht über, sondern mit den Datenschutzaufsichtsbehörden geredet hätte. Forderungen wie einen vollständigen und bedingungslosen Zugang zu allen Daten stimmen auch nicht mit der Helsinki-Erklärung des Weltärzteverbandes überein.
Auf der Global Privacy Assembly im Oktober 2023 wurde – ohne Länder wie China – ein Paper zur weltweiten Nutzung von Gesundheitsdaten veröffentlicht. Es gebe laut Kelber zudem zahlreiche wichtige Gutachten, wie das von Louisa Specht-Riemenschneider, das unter anderem Vorschläge für ein Gesundheitsforschungsdatenzugangsgesetz und für Datentreuhandstrukturen enthält. Oder das Gutachten zur Weiterentwicklung medizinischer Register der TMF zusammen mit dem Institut für Wirtschaftlichkeit im Gesundheitswesen, das auch in die vergangene Koalitionsvereinbarung aufgenommen wurde. Auch ein Forschungsdatengesetz und ein Registergesetz sind 20 Jahre nach der Forderung von Datenschützern endlich auf dem Weg.
Vernachlässigung von Sicherheitsstandards
Erneut übte Kelber Kritik an der Herabsetzung der Sicherheitsstandards bei der Authentifizierung gegenüber der elektronischen Patientenakte. Dabei habe die Gematik selbst erklärt, dass sich der Diebstahl von Gesundheitsdaten wirtschaftlich nicht beziffern lasse. Dabei sei eine komfortable Nutzung möglich, wenn die Verbreitung der eID nicht weiter zusammengestrichen werde und die Krankenkassen endlich die PINs herausrücken.
Beim E-Rezept hatte Kelber sein Veto eingelegt, als es möglich war, dass 18.000 Apotheken Einsicht in die Rezept-Daten der Versicherten – lediglich mit der Versichertennummer – hätten erhalten können. Als Reaktion darauf wurde Kelber das Veto-Recht entzogen, der Noch-BfDI müsse künftig nur noch ins Benehmen gesetzt werden.
Lesen Sie auch
Auslegungssache 102: BfDI dringend gesucht!
Für die Zukunft wünsche sich Kelber, dass Datenschützer früher in die Vorhaben einbezogen werden. Ihrer Aufsichtspflicht werden die Datenschützer nachkommen und auch der Europäische Gerichtshof und Verfassungsgericht seien auf Seite der Datenschützer. Freiwillig und unabhängig treffen sich die Datenschützer zudem im Rahmen der Datenschutzkonferenz (DSK).
Datenschutz nicht verantwortlich für schlecht umgesetzte Software
Kelber fand aber auch lobende Worte, beispielsweise für das Bundesinstitut für Arzneimittel und Medizinprodukte, da an digitale Gesundheits- und Pflegeanwendungen künftig höhere Anforderungen gestellt werden. Das sei preisgünstiger, als wenn die IT-Sicherheit nach Veröffentlichung der Produkte noch nachgebessert werden müsse. Trotzdem kritisierte er, dass immer wieder der Datenschutz für mangelhafte Umsetzungen und fehlende Interoperabilität bei Digitalprojekten verantwortlich gemacht wird, so sei beispielsweise die dokumentenbasierte elektronische Patientenakte nutzlos. Künftig wollen Kelber und Co. Anregungen zum Datenschutz geben, Erleichterung seien ebenfalls in Arbeit.
(mack)