Verfahren gegen zentrale Massenspeicherung von Gesundheitsdaten ruht

Das Verfahren von Constanze Kurz und der Gesellschaft für Freiheitsrechte wurde vorläufig ruhend gestellt. Wesentliche Fragen sind aus Sicht des Gerichts offen.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
Medical,Technology,Concept.,Remote,Medicine.,Electronic,Medical,Record.

(Bild: metamorworks/Shutterstock.com)

Lesezeit: 6 Min.
Inhaltsverzeichnis

Das Verfahren der langjährigen Sprecherin des Chaos Computer Clubs (CCC), Constanze Kurz, und der Gesellschaft für Freiheitsrechte vor dem Berliner Sozialgericht gegen die Krankenkasse Novitas BBK wurde am Mittwochmittag vorläufig ruhend gestellt. Wesentliche Fragen sind aus Sicht des Berliner Sozialgerichts vom beim Bundesamt für Arzneimittelsicherheit und Medizinprodukte (BfArM) angesiedelten Forschungsdatenzentrum (FDZ) derzeit noch nicht zu beantworten – wann es überhaupt arbeiten kann, ist offener denn je. Die Krankenkasse war verklagt worden, weil sie, wie alle gesetzlichen Krankenkassen, Abrechnungsdaten der Versicherten weitergegeben hatte.

Eigentlich sollte das FDZ medizinische Daten von 73 Millionen gesetzlich Krankenversicherten in pseudonymisierter Form für Auswertungen anbieten. Doch es mangelt insbesondere am finalen Schutzkonzept für die Daten, das das FDZ später zur Verfügung stellen soll. Ein Vertreter des FDZ erläuterte, dass es aufgrund von Problemen mit einem Dienstleister in der Vergangenheit bis mindestens Mitte 2023 nicht zu einer Inbetriebnahme kommen könne. Anträge auf Zugang würden derzeit nicht angenommen, die Daten würden derzeit im Altsystem gespeichert und lediglich verwendet, um Pseudonymisierungsverfahren zu prüfen. Das würden auch nur die Mitarbeiter des Forschungsdatenzentrums tun, so Steffen Heß, der das Forschungsdatenzentrum Gesundheit in Bonn leitet.

Da der Dienstleister derzeit gewechselt werde, können die weiteren Vorbereitungen nicht mehr vor Jahresmitte abgeschlossen werden. Daraufhin bot der sich schwerpunktmäßig mit Datenschutz beschäftigende vorsitzende Richter der Sozialgerichtskammer an, den Prozess ruhen zu lassen – solange bis die tatsächlichen, entscheidungserheblichen Sachverhalte vorliegen. Dem stimmten alle Parteien zu, eine Wiederaufnahme bleibt allerdings jederzeit möglich.

Bei dem Verfahren vor dem Berliner Sozialgericht geht es um die Sache an sich und damit auch um die Details: Gibt es mildere Mittel, um das Ziel einer besseren VerfĂĽgbarkeit von Gesundheitsdaten fĂĽr Forschungszwecke zu erreichen? WĂĽrden die Mittel weniger tief in die Grundrechte der Betroffenen eingreifen? Der Weg des Forschungsdatenzentrums Gesundheit, mit dessen Schaffung als Lehre aus der Corona-Pandemie das BfArM von Bundesregierung und Bundestag gesetzlich beauftragt wurde, setzt auf Zentralisierung. Die gesetzlichen Krankenkassen ĂĽbergeben pseudonymisierte Daten an den GKV-Spitzenverband, der daher auch Verfahrensbeteiligter im Berliner Verfahren ist.

Der zentralen Datenspeicherung setzen die Klägerin Constanze Kurz und die Gesellschaft für Freiheitsrechte ein anderes Modell entgegen: Forschungsdaten sollten nicht zentral gesammelt werden, sondern dezentral bei den Krankenkassen verbleiben und von dort pseudonymisiert zu Forschungszwecken übermittelt. Dies wäre eine grundrechtsschonende Alternative – ob sie aber genauso zweckmäßig sei, war heute nicht abschließend zu ergründen.

Der Ansatz stehe jedenfalls im Widerspruch zu den Speicherfristvorgaben für Krankenkassen, argumentierten die Beklagten: Die pseudonymisierten Gesundheitsdaten sollten 30 Jahre vorhanden sein, Krankenkassen in der Regel aber spätestens nach 6 oder 10 Jahren Daten löschen müssen. Daher müssten diese nach dem Modell von Kurz eine doppelte Datenhaltung vornehmen. Die Kläger wiederum argumentierten, dass im Falle eines Datenschutz-GAUs dann immerhin nicht gleich alle 73 Millionen gesetzlich Krankenversicherten betroffen wären. Für Erstaunen sorgte daraufhin die Aussage eines Vertreters der Beklagten, dass es keine Fälle gegeben habe, in denen Systeme kompromittiert worden seien, bei denen die Sicherheit dem Stand der Technik entsprochen habe. Klägerin Constanze Kurz widersprach vehement, konnte jedoch auf mehrfache Nachfrage des Richters am heutigen Verhandlungstag kein konkretes Beispiel benennen.

Kanert zeigte sich inhaltlich höchst interessiert – ob Differential-Privacy-Ansätze in einem föderierten System die Probleme tatsächlich ausräumen oder nur andere Probleme schaffen würden, wollte der Richter etwa von den Anwesenden erfahren. Abschließend zu beantworten war dies jedoch nicht, Verweise auf die Ansätze der finnischen Gesundheitsforschungsdaten-Lösung FinData scheiterten zur allgemeinen Erheiterung aller Beteiligten vorerst an fehlenden Kenntnissen in finnischem Sozialrecht, finnischer Sprache und finnischer Gesundheitspolitik der Anwesenden.

Richter Michael Kanert befragte zudem Vertreter des Bundesdatenschutzbeauftragten zum Umfang ihrer Beteiligung im Rahmen der Entstehung des Digitale-Versorgung-Gesetzes und zum Umfang ihrer bisherigen Prüfungen zum Forschungsdatenzentrum. Die Bonner Aufsichtsbehörde wies darauf hin, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Gesetzgebungsverfahren zwar beteiligt werden müsse, Stellungnahmen und Empfehlungen jedoch nicht zwingend durch die Legislative Folge zu leisten wäre. Dies sei auch im Fall der Gesundheitsdaten nicht in allen Fällen so gewesen. Das Forschungszentrum für Gesundheitsdaten unterfalle dem gesetzlichen Beratungsmandat des BfDI, was auch in Anspruch genommen werde. Zugleich sei der BfDI aber auch die Aufsichtsbehörde - ein gesetzlich vorgesehener Spagat für die Datenschutzaufsichtsbehörde.

Eine Grundsatzentscheidung traf Richter Michael Kanert dafür gleich zu Beginn des Verhandlungstages: Einwände von Beklagten und Beigeladenen, die darauf abstellten, dass es der Klägerin nicht gelungen sein, darzulegen, wie eine sicherere, grundrechtschonendere Alternative aufzuzeigen und das Verfahren damit zu entscheiden sei, teilte der Richter nicht. Er sei sehr wohl der Auffassung, dass das Sozialgericht für eine Prüfung von Grundrechtseingriffen und die Vereinbarkeit mit Europarecht grundsätzlich zuständig sein könne, wenn dies im Sozialrecht geschehe. Rechtsgrundlage für das Forschungsdatenzentrum ist unter anderem der §303b Sozialgesetzbuch V – ob diese deutsche Grundlage mit dem grundsätzlich höherrangigen Europarecht, der Datenschutzgrundverordnung, so vereinbar sei, bezweifeln die Kläger. Kanert bedeutete den Prozessbeteiligten, dass es durchaus auch in ihrem Interesse sei, nicht den Gang durch alle Instanzen der Sozialgerichtsbarkeit zu gehen, was als Fingerzeig in Richtung Europäischer Gerichtshof verstanden werden kann.

Bereits in der Klageschrift hatten Constanze Kurz und die GFF angeregt, dem EuGH in Luxemburg Fragen zur Auslegung der Datenschutzgrundverordnung vorzulegen – etwa die Frage, ob das Europarecht in Form der DSGVO überhaupt für den Fall der Gesundheitsdatenforschung Anwendung finde. Wenn das bejaht würde, so die Kläger, schließe sich die Frage an, ob das Europarecht dahingehend auszulegen wäre, eine bevorstehende Datenverarbeitung im Vorhinein unterbinden zu können – sofern diese rechtswidrig sei. Auch die Frage an den EuGH, ob es bei der Verarbeitung von Gesundheitsdaten nicht zwingend einer Widerspruchsmöglichkeit bedürfe, hatten die Kläger angeregt. Während des Ruhens des Verfahrens bleibt auch der vorläufige Rechtsschutz bestehen, den Klägerin Constanze Kurz bereits im Eilverfahren zugesprochen bekommen hatte.

(mack)