Klagen gegen zentrale Speicherung von Gesundheitsdaten

Versichertenkarten
Versicherte hätten bislang keinen Einfluss auf die Übertragung ihrer Daten. (Quelle: IMAGO / epd)

Die Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte (GFF) hat vor mehreren Sozialgerichten Eilanträge gegen die geplante zentrale Sammlung von Gesundheitsdaten in Deutschland eingereicht.

Das Digitale-Versorgung-Gesetz (DVG) sieht vor, dass ab Oktober 2022 die Gesundheitsdaten aller 73 Millionen gesetzlich Versicherten in Deutschland gesammelt und pseudonymisiert zentral beim Spitzenverband der Gesetzlichen Krankenversicherung (GKV) gespeichert werden. Von dort sollen sie an das Forschungszentrum Gesundheit übermittelt werden, das dem Bundesinstitut für Arzneimittel und Medizinprodukte untersteht. Die Daten sollen der Forschung dienen.

Die GFF sieht in der zentralen Datensammlung ein enormes Sicherheitsrisiko und beklagt, dass die vorgesehene Datenbank “weitreichende und unnötige Sicherheitsrisiken” aufweise. Sie fordert unter anderem ein höheres Verschlüsselungsniveau. Zudem sei keine Möglichkeit für die Millionen Betroffenen vorgesehen, der Weitergabe der eigenen Daten zu widersprechen. Das sei ein Skandal.

“Niemand will Gesundheitsforschung verhindern. Aber das Gesetz sieht weder ausreichende Schutzstandards noch moderne Verschlüsselungsmethoden vor – das ist fahrlässig und gefährlich. Wenn Gesundheitsdaten einmal in falsche Hände geraten, kann das nicht mehr rückgängig gemacht werden”, kommentierte Bijan Moini, Jurist und Verfahrenskoordinator bei der GFF.

Zu den übertragenen Daten würden unter anderem ärztliche Diagnosen, Informationen zu Krankenhausaufenthalten, zu Operationen und zu verabreichten Medikamenten gehören. Die Bürgerrechtler wollen einen besseren Schutz der heiklen Informationen erwirken, um präventiv gegen Missbrauch vorzugehen.

Verstöße gegen das Grundrecht

“Gesundheitsdaten sind mit einem Wert von durchschnittlich 250 US-Dollar pro Datensatz eine äußerst attraktive Beute für Datendiebe und böswillige Zugriffsberechtigte”, erklärte GFF-Jurist Moini.

Bei den Antragsstellern handelt es sich um die Sprecherin des Chaos Computer Clubs, Constanze Kurz, sowie um eine anonym gehaltene Person, die an einer seltenen Blutkrankheit leidet. Sie werden von der GFF unterstützt und durch den Rechtswissenschaftler Mathias Bäcker vor Gericht vertreten.

Die Antragssteller hätten am 3. Mai die Eilanträge gegen die Datensammlung eingereicht. In dem Verfahren von Constanze Kurz reichte die GFF zeitgleich mit dem Eilantrag auch eine Klage in der Hauptsache ein. Im zweiten Verfahren sei dies erst später geplant.

Mit den Verfahren will die GFF nach eigener Aussage “perspektivisch” eine Klärung der Rechtslage in dem Fall durch das Bundesverfassungsgericht oder den Europäischen Gerichtshof erreichen.

Die Organisation sieht in der Datenübertragung Verstöße gegen das Grundrecht, selbst über die eigenen Daten zu bestimmen, und gegen die Datenschutzgrundverordnung der Europäischen Union. “Das Fehlen eines Widerspruchsrechts verstößt gegen das Grundrecht auf informationelle Selbstbestimmung und gegen Artikel 21 DSGVO”, präzisiert die GFF.

Ausgrenzung und Diskriminierung

Zwischen 1. August und 1. Oktober 2022 sollen die Daten zusammengeführt und bis zu 30 Jahre lang gespeichert werden. Die Datenbank soll jährlich aufgestockt werden. Privatversicherte sind nicht betroffen.

Vor der Übertragung der Datensätze werden Name, Geburtstag und -monat der Versicherten entfernt. Aus Sicht von Dominique Schröder, Kryptographie-Forscher und Professor an der Friedrich-Alexander-Universität Erlangen-Nürnberg, reichen die vorgesehenen Schutzmechanismen zur Pseudonymisierung aber nicht aus, um die Identität der Patientinnen und Patienten zu schützen. Ein von ihm im Auftrag der GFF angefertigtes Gutachten zeige, dass sich Personen anhand der Gesundheitsdaten identifizieren ließen, wenn diese mit anderen Datensätzen abgeglichen würden. Aus IT-Sicherheitsperspektive sei eine dezentrale Datenspeicherung sicherer und entspreche dem tatsächlichen Stand der Technik und Wissenschaft.

Die mögliche Identifizierung über die Gesundheitsdaten sei vor allem für Menschen mit seltenen oder stigmatisierenden Krankheiten gefährlich. Der zweite Antragssteller erklärt: “Für Menschen wie mich mit einer seltenen Erkrankung ist das Risiko sehr hoch, identifiziert zu werden. Das kann zum Beispiel dazu führen, dass ich bei der Jobsuche diskriminiert werde.” Zumindest für diese Personen müsse es möglich sein, der Datenverarbeitung zu widersprechen.

Die GFF ergänzt: “Besonders schutzbedürftige Menschen müssen im Fall von Datenmissbrauch oder Datenlecks persönliche Nachteile wie etwa Ansehensverlust, Ausgrenzung oder finanzielle Verluste fürchten.” (hcz)