Bundesregierung weicht unbeachtet Patientendatenschutz auf
Gesetzliche Krankenkassen könnten zukünftig Versichertendaten für individuell zugeschnittene Werbung ohne Zustimmung der Versicherten verwenden. Eigentlich sollte das am 3. Juli verabschiedete “Patientendaten-Schutz-Gesetz” solche Verwendung ohne Einwilligung der Patienten verhindern. Durch einen unbeachteten Änderungsantrag fiel dieser Schutz aber nun teilweise weg.
Bislang müssen die gesetzlichen Krankenkassen ihre Mitglieder jeweils um Erlaubnis bitten, ihre Patientendaten zu Werbezwecken auswerten zu dürfen. Auf Basis dieser Daten können die Kassen den Mitgliedern individuelle Werbung zusenden, beispielsweise für Versorgungsprogramme oder Therapien. So heißt es in Paragraph 68b Abs. 3 SGB V: “Die Krankenkassen dürfen die Auswertung von Daten eines Versicherten […] und die Unterbreitung von Informationen und Angeboten […] nur vornehmen, wenn die oder der Versicherte zuvor […] eingewilligt hat.”
Einwilligungserfordernis gestrichen
Diesen Paragraphen hat die Große Koalition nun im Gesundheitsausschuss mit einem Änderungsantrag versehen. Er soll die Einwilligung der Patienten abschaffen. So heißt es nun: “Die Teilnahme an Maßnahmen […] ist freiwillig. Die Versicherten können der gezielten Information oder der Unterbreitung von Angeboten […] durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen.”
Während es sich also ursprünglich um einen Opt-in-Prozess gehandelt hat, bei dem die Versicherten aktiv zustimmen mussten, handelt es sich nach der Änderung um einen sogenannten Opt-out-Prozess. Hier muss jeder einzelne selbst aktiv werden, um die Auswertung zu unterbinden und seine Daten zu schützen.
Laut Gesetz können die Versicherten nur widersprechen, gezielte Werbung zu erhalten. Gegen die generelle Analyse ihrer Daten durch die Kassen können sie nicht vorgehen. Die Versicherungen dürfen laut Paragraphen 68a SGB V die Patientendaten auswerten, um den “konkreten Versorgungsbedarf und den möglichen Einfluss digitaler Innovationen auf die Versorgung zu ermitteln und um positive Versorgungseffekte digitaler Anwendungen zu evaluieren.”
Hersteller von Medizinprodukten, Forschungseinrichtungen oder Unternehmen aus dem Bereich der Informationstechnologie dürfen solche “digitalen Innovationen” für die Krankenkassen entwickeln. Die Kassen stellen ihnen zu diesem Zweck die Auswertungsergebnisse ihrer Patientendaten zur Verfügung. Die Daten selbst dürfen die Kassen aber nicht an Dritte weitergeben.
Keine Debatte
Kritik gibt es unter anderem an dem Prozess, wie die Gesetzesänderung beschlossen wurde: Das Gesetz “zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur” wurde am 3. Juli 2020 vom Bundestag verabschiedet.
Die Nachrichtenseite netzpolitik.org kritisiert, dass laut Protokoll kein Redner – weder Regierung noch Opposition – auf die kritisierten Änderungen einging. Auch im Vorhinein habe keine der beteiligten Parteien CDU/CSU und SPD die Änderung der kritischen Passage des Paragraphen 68b SGB V öffentlich thematisiert.
Ebensowenig wurde der Bundesdatenschutzbeauftragte Ulrich Kelber am Prozess beteiligt. Laut dem Online-Magazin Telepolis hat die Bundesregierung den Änderungsantrag in der finalen Form niemals bei der obersten Bundesbehörde für Datenschutz vorgelegt. Stattdessen lag der Behörde nur eine Version zur Stellungnahme vor, in der die Änderungen noch nicht enthalten waren. Deswegen erfolgte vom Bundesdatenschutzbeauftragten damals keine Kritik.
Zudem sei die Datenschutzbehörde bei der Bearbeitung der ihr vorgelegten Version unter großen Zeitdruck gesetzt worden und habe nur 24 Stunden Zeit gehabt, diese durchzusehen und Stellung zu nehmen.
Gegenüber Telepolis kommentierte Kelber: “Aus datenschutzrechtlicher Sicht sehe ich den Wegfall des Einwilligungserfordernisses kritisch. Bereits die pseudonymisierte Auswertung der Versichertendaten […] stellt einen empfindlichen Eingriff in das Recht auf informationelle Selbstbestimmung der Versicherten dar.” Es bestehe die Gefahr, dass eine derartige “Datenrasterung” einen weiteren Baustein zur zukünftigen Komplettierung des “gläsernen Versicherten” liefert.
Kelber kündigte an, das Gesetz auf Konformität mit der DSGVO zu überprüfen. Sollte es Widersprüche geben, will er die darauf basierende Datenverarbeitung mit Anordnungen unterbinden oder Veränderungen anweisen. (hcz)