Ethikrat-Vorsitzende: "Datensparsamkeit ist heute eine irrsinnige Idee"

Alena Buyx, Vorsitzende des Ethikrats, reibt sich an einem grundlegenden Prinzip der Datenschutz-Grundverordnung (DSGVO): "Datensparsamkeit ist in der heutigen Zeit eine irrsinnige Idee", erklärte die Medizinethikerin am Dienstag auf der Digitalkonferenz re:publica 24 in Berlin bei einem Streitgespräch mit dem noch amtierenden Bundesdatenschutzbeauftragten Ulrich Kelber. "Wir klicken 48 Seiten Cookie-Erklärungen weg", argumentierte Buyx. Für Big-Tech-Konzerne sei es kein Problem, an immense Datenmassen zu kommen. Jeder Browserverlauf sei aufgrund der daraus ersichtlichen Porno-Vorlieben sensibler als Gesundheitsdaten. Hier gebe es eine große Unverhältnismäßigkeit, "was Risiken anbelangt".

Sie sei dafür, die Interessen der Menschen zu schützen, "von denen die Daten stammen", verdeutlichte Buyx. Zugleich sei es nötig, im Gesundheitssektor etwa durch gemeinwohlorientierte Forschungskonsortien "üppig" Daten zu nutzen: "Da hinken wir hinterher, dramatisch." Einschlägige Studien fänden in Deutschland entweder gar nicht mehr statt oder fingen anderthalb Jahre später an. Das liege auch mit an der hiesigen Datenschutzpraxis und "wie wir Leute zwingen, über Hürden zu springen". Viele Menschen gingen hierzulande davon aus, "bestimmte Daten können wir gar nicht nutzen". Das liege mit an der Erfahrung, dass die Schutzbestimmungen "sehr streng ausgelegt" würden.

Man dürfe die Vorgabe aus der DSGVO zur "Minimierung" persönlicher Daten "nicht mit Sparsamkeit verwechseln", hielt Kelber dagegen. Das Motto laute also nicht: "Alles wegwerfen." Vielmehr gehe es darum, nichts zu erheben, was man nicht für eine konkrete Datenverarbeitung brauche. Wolle man persönliche Informationen für andere Zwecke wie etwa die Forschung im Gesundheitsbereich weiterverwenden ("Sekundärnutzung"), ermöglichten technische Schutzmechanismen wie die Pseudonymisierung "alles". Die Aufsichtsbehörden verwendeten 90 Prozent ihrer Arbeit darauf, um zu beraten, "wie eine gewollte Datennutzung erreicht werden kann". Da es darüber aber keinen Streit gebe, tauche dieser Aspekt nicht in den Medien auf.

Datenschutz kann "statistische" Leben kosten

Vor allem während der Corona-Pandemie sei es "super-frustrierend" gewesen, wenn ein Anruf genügt hätte, um sich über eine stärkere Nutzung von Krankenhausdaten mit Datenschutzbeauftragten ins Benehmen zu setzen, blickte Buyx zurück. Dann wäre schneller klar geworden, welche Form von Isolation in Kliniken und welche Medikamente hälfen, wo die Patienten überhaupt hingingen und wie es mit Besuchen geregelt worden sei. "Wir hatten eine Datenwüste", ärgert sich die Wissenschaftlerin. Sie und ihre Kollegen hätten mit Informationen aus Israel oder Großbritannien arbeiten müssen. Insofern sei an der Behauptung, "Datenschutz kann Leben kosten", etwas dran. "Das heißt nicht, vorne fällt einer um. Das sind statistische Leben, die man verliert." So hätten etwa hochbetagte, besonders gefährdete Menschen durch eine bessere Verteilung von Impfungen stärker geschützt werden können.

Zu den größten Aufregern zählte für Buyx ein Paragraf im Krankenhausgesetz Bayerns, wonach Daten vor Ort verbleiben mussten. Diese Regel aus den 1980ern habe verhindert, dass Informationen aus Kliniken in die Forschungs-Cloud gepackt werden konnten. Erst Brandbriefe interessierter Wissenschaftler hätten erreicht, dass die Klausel gestrichen worden sei. Generell seien die Datenschutz-Folgenabschätzungen auch bei Forschungsprojekten extrem lang in Deutschland. Hier wäre es wünschenswert, die Hürden gerade bei Gemeinwohlorientierung etwas zu senken.

Datenschutz billige Ausrede für Digitalisierungsversager

Vor 20 Jahren hätten die Datenschutzbeauftragten von Bund und Ländern erstmals ein Forschungsdatengesetz mit mehr Nutzungsmöglichkeiten gefordert, hob Kelber hervor. Erst jetzt liege dazu ein Gesetzesentwurf vor. Würden Register, Verzeichnisse und IT-Projekte aus öffentlichen Geldern finanziert, sollten damit eine bestimmte Datenqualität und standardisierte Übertragungswege erzwungen werden. Leider herrsche vielfach in Firmen und Behörden aber noch die Haltung vor, man haben zwar schnelle Computer, wolle aber "Schutztechnologien der 80er-Jahre einsetzen". So gebe es keine Verschlüsselung, keine verteilte Datenhaltung und keine gesicherten Zugänge. Doch "wer dumm digitalisiert, muss sich auf die Aufsichtsbehörden gefasst machen".

"Deutschland ist gefährlich unterdigitalisiert", wird Kelber nicht müde zu unterstreichen. Das Robert-Koch-Institut etwa habe bis heute keine digitale Meldekette mit den Gesundheitsämtern. Eine gute Bekannte von ihm, die an Krebs erkrankt sei, habe Aufnahmen aus einer Bildgebung in der Eifel mitten in der Nacht auf CD zur behandelnden Klinik in Essen fahren müssen in der Hoffnung, dass sich das Tumorboard noch rechtzeitig damit beschäftigen könne. Und das nur, weil die zuständige Praxis nicht an das gesicherte Kommunikationssystem im Gesundheitswesen angeschlossen gewesen sei, keine verschlüsselte E-Mail habe senden können und auch die Einwilligung auf den Einsatz von Sicherheitsverfahren abgelehnt habe. Für den Informatiker ist damit klar: Nicht nur während der Pandemie hatten "die, die bei der Digitalisierung nicht vorankommen" und "im Föderalismus ersticken" eine "einfache Ausrede mit dem Datenschutz".

Kelber würde es auch begrüßen, wenn die Aufsichtsbehörden mehr verbindliche, harmonisierende Beschlüsse fassen könnten. Doch dieser Ansatz finde sich im Gesetzentwurf der Bundesregierung zur Novelle des Bundesdatenschutzgesetzes (BDSG) nicht wider. "Das traut sich die Politik nicht", beklagt der Ex-Staatssekretär. So müsse jede Beschwerde weiter selbständig bearbeitet werden. Generell seien "viele Prozesse der Digitalisierung nicht angepasst" und es werde auch nicht an Basisbausteinen dafür gearbeitet.

(akn)