Zentrale Gesundheits-Datenbank in der Kritik
Was nach dem Traum vieler Forscher klingt, ist für Datenschützer eher ein Albtraum: Gesundheitsdaten von 73 Millionen Versicherten an einer zentralen Stelle. Jens Spahn will die Patienteninformationen der gesetzlichen Krankenkassen in einem Forschungszentrum zusammenführen und Forschern, Behörden und Berufsvetretungen wie der Bundesärztekammmer schneller und umfangreicher als bisher zur Verfügung stellen. Im Rahmen des geplanten Digitale-Versorgung-Gesetzes (DVG) sollen die Krankenkassen Patientendaten an den Spitzenverband “Bund der Krankenkassen” weiterleiten. Die Daten sollen dort pseudonymisiert und im Anschluss an ein Forschungsdatenzentrum übermittelt werden, wo sie unter anderem zu Forschungszwecken zur Verfügung stehen. Dass die Patienten ihr Einverständnis dazu geben, sieht der Gesetzesentwurf nicht vor.
Schon jetzt laufen Gesundheitsdaten beim Spitzenverband der Krankenkassen zusammen und werden teils der Forschung zur Verfügung gestellt. Neu ist allerdings, dass die Daten auch noch automatisch an ein neu zu schaffendes Forschungszentrum gehen sollen, das nicht in der Infrastruktur der Krankenkassen liegt. Zudem sollen die Daten in deutlich größerem Umfang als momentan von Forschern genutzt werden können. Um die Patientenakte geht es in dem Gesetzesentwurf explizit nicht, sondern um pseudonymisierte Patientendaten.
Hochattraktives Hacker-Ziel
Konkret geht es um Kosten- und Leistungsdaten – also auch darum, welche Behandlungen ein Patient erhalten hat – und um persönliche Daten wie Alter, Geschlecht und Wohnort. Das geplante Forschungszentrum, das sie speichern soll, ist dem Bundesgesundheitsministerium unterstellt. Das Redaktionsnetzwerk Deutschland spricht von einer der umfangreichsten Datensammlungen Deutschlands.
Zugriff auf die Daten hätten Behörden, Forschungseinrichtungen und Universitätskliniken zwecks “Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens” und “zur Unterstützung politischer Entscheidungsprozesse”. Dass die Industrie auf die Daten zugreift, ist nicht vorgesehen.
Befürchtet wird vor allem, dass die Daten nicht ausreichend geschützt und pseudonymisiert werden. Die konkreten Schutzmaßnahmen sind noch nicht festgelegt. In einer Anhörung im Bundestag vom 16. Oktober kritisierten die eingeladenen Experten, der Entwurf beschreibe unzureichend den geplanten Schutz der sensiblen Gesundheitsdaten. Und auch das Grundprinzip des Systems wird als gefährlich erachtet: Denn in der IT-Sicherheit gilt eine solch zentrale Anhäufung von hochsensiblen und gleichzeitig wertvollen Daten als attraktives Ziel für Angreifer (alias Hacker). Professionell organisierte Angriffe gelten als vorprogrammiert.
Um den Datenschutz zu wahren, sollen die Informationen pseudonymisiert an das Forschungszentrum übertragen werden. Den genauen Prozess wird das Bundesamt für Sicherheit in der Inforamtionstechnik (BSI) entwickeln.
Datenschutz spielt untergeordnete Rolle
Für seinen Vorstoß erntet der Gesundheitsminister viel Kritik:
Auf Twitter äußerte sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Entwurf: “Wir haben BMG [Bundesministerium für Gesundheit] Empfehlungen gegeben und werden gegenüber Bundestag Stellungnahme abgeben, die dann öffentlich ist. Spoiler: Wir haben Bedenken!”
Für die Bundestagsfraktion der Grünen ist es “hoch bedenklich, dass Spahn im Schweinsgalopp praktisch ohne gesellschaftliche Diskussion komplette Gesundheitsdaten der gesetzlich Versicherten für die Forschung zugänglich machen möchte”, wie die grüne Gesundheitsexpertin Maria Klein-Schmeink dem Redaktionsnetzwerk Deutschland sagte. Sie bemängelte auch, dass Regelungen zu Löschfristen und Widerspruchsmöglichkeiten erst in einer Verordnung folgen sollten.
In einer Anhörung des Gesundheitsausschusses vom 16. Oktober antwortete der Informatikprofessor Dominique Schröder von der Uni Erlangen-Nürnberg auf die Frage, ob das geplante Gesetz die Daten ausreichend schütze: “Es wird immer von pseudonymisierten und anonymisierten Daten geredet und jeder ist der Meinung, wenn da anonymisiert steht, dass das auch so ist. Aber es gibt viele Beispiele aus der Kryptografie und der IT-Sicherheit, wo wir wunderbar zeigen konnten, wie wir die Daten deanonymisieren können, das geht wirklich wunderbar.”
Der Vorstand der Deutschen Stiftung Patientenschutz, Eugen Brysch, betonte, niemand bezweifele die Notwendigkeit, Zahlen und Fakten für Medizin und Pflege in Deutschland zu erheben. Zuständig sei besonders das Statistische Bundesamt. So sei gewährleistet, dass beim Sammeln von Informationen “höchste Datenschutzstandards” eingehalten werden. “Wenn der Bundesgesundheitsminister das durchlöchern will, braucht es das Einverständnis der Betroffenen. Doch der Datenschutz für Patienten spielt bei Jens Spahn eher eine untergeordnete Rolle”, sagte Brysch der Deutschen Presse-Agentur. Schon das Konzept zur Einführung der elektronischen Patientenakte sei dafür ein “erschreckendes Beispiel”.
Der Verein Digitale Gesellschaft kritisiert in einem offenen Brief an die Bundestagsabgeordneten vor allem die zentrale Speicherung der Gesundheitsdaten. Sie öffne “der Überwachung, der Kontrolle und der Sortierung von Menschen sowie der Diskriminierung bestimmter Risikogruppen Tür und Tor.”
”Ein Problem bei Datenschutz und Datensicherheit hat es nie gegeben”
Das Bundesgesundheitsministerium wies die Vorwürfe zurück: “Wir nehmen Datenschutz und -sicherheit immer sehr ernst. Gesundheitsdaten sind die sensibelsten Daten, die es gibt”, stellte Ministeriumssprecher Hanno Kautz klar. Das beschriebene Verfahren bestehe bereits seit vielen Jahren. Abrechnungsdaten würden der Forschung bereits heute in anonymisierter Form zur Verfügung gestellt. “Ein Problem bei Datenschutz und Datensicherheit hat es nie gegeben”, betonte der Sprecher.
Mit dem neuen Verfahren werde sichergestellt, dass Daten vor allem schneller und in besserer Qualität – und nicht um Jahre zeitverzögert – für die Forschung zugänglich sind. Eine gute Versorgungsforschung komme chronisch kranken Patientinnen und Patienten zugute. “Es wäre unethisch, Versorgung nicht durch Nutzung anonymisierter Daten zu verbessern, obwohl man es könnte”, so Kautz. Es würden auch künftig nur anonymisierte Daten zur Verfügung gestellt. Die berechtigten Forschungsinstitutionen seien im Gesetz abschließend aufgezählt und eng eingegrenzt.
Das DVG soll am Donnerstag den 7. November im Bundestag verabschiedet werden und muss anschließend vom Bundesrat abgesegnet werden. (dpa / hcz)