Zu Hauptinhalt springen
Startseite UR

Im Schweinsgalopp ins Datenleck?

Prof. Dr. Jürgen Kühling zum Digitale-Versorgung-Gesetz und der Nutzung von 73 Millionen Patientendaten


7. Januar 2020 | Fotos von Markus Deli

Vor zwei Monaten, am 7. November 2019, hat der Deutsche Bundestag das „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ verabschiedet, diesen Monat wird es in Kraft treten. Es sieht unter anderem die Etablierung von Videosprechstunden, die flächendeckende Einführung der elektronischen Patientenakte sowie die Verschreibung von Gesundheits-Apps auf Kosten der Krankenkassen vor. Insbesondere ein Punkt des Digitale-Versorgung-Gesetzes (DVG) hat Kritik ausgelöst: die Weitergabe von Abrechnungsdaten der gesetzlich Versicherten für Forschungszwecke. Die Verarbeitung großer Datenmengen via Big Data gilt als große Hoffnung in der Gesundheitsforschung; mithilfe dieser Analysetechniken kann ergebnisoffen nach Mustern und Zusammenhängen gesucht und dadurch Korrelationen aufgezeigt werden, die es erst ermöglichen, die richtigen Forschungsfragen zu stellen. Doch es steht die Befürchtung im Raum, bei der Weitergabe von Abrechnungsdaten würde der Datenschutz zu lax gehandhabt, sensible Informationen könnten in die falschen Hände geraten. Die Bundestagsfraktion der Grünen kritisierte, dass der Gesundheitsminister Jens Spahn „im Schweinsgalopp praktisch ohne gesellschaftliche Diskussion“ Patientendaten an Forschungseinrichtungen weitergeben möchte.

Prof. Dr. Jürgen Kühling, Inhaber der Regensburger Lehrstuhls für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht, ist Kenner der Materie. Im September 2019 hat er zusammen mit seinen Mitarbeitern Florian Sackmann und Roman Schildbach im Auftrag des Bundesgesundheitsministeriums ein Rechtsgutachten erstellt, in dem es um den sozialdatenschutzrechtlichen Weiterentwicklungsbedarf im Hinblick auf Big-Data-Anwendungen im Gesundheitswesen geht. Wir haben ihn zu seiner Einschätzung der datenschutzrechtlichen Bedenken interviewt.


Margit Scheid: Herr Prof. Kühling, Sie vermuten, dass die Kritik am Digitale-Versorgung-Gesetz auf Missverständnissen beruht. Welche Fehleinschätzungen vermuten Sie hinter dem Vorwurf der Grünen, das Gesundheitsministerium nehme den Datenschutz nicht ernst genug?


Prof. Dr. Jürgen Kühling: In der Diskussion um die sogenannte Datentransparenz gemäß den §§ 303a ff. SGB V kam es leider immer wieder zu einer Vermischung verschiedener Themen und Fakten wurden teilweise außer Acht gelassen. Das Digitale-Versorgung-Gesetz beinhaltet neben dem Thema Datentransparenz noch viele andere Dinge, wie beispielsweise Gesundheits-Apps auf Rezept. Die Datensicherheit dieser Apps wurde oft in einem Atemzug mit der Sammlung der GKV-Abrechnungsdaten genannt, ohne zu differenzieren.

Dabei sollte man sich – anders als manche mediale Berichterstattung – zunächst klarmachen, um welche Daten es tatsächlich geht. Gesammelt werden im Wesentlichen die Abrechnungsdaten der gesetzlichen Krankenkassen. Daten aus Patientenakten, Messwerte oder Arztbriefe und dergleichen werden nicht erfasst. Diese Abrechnungsdaten werden sodann unter hohen Sicherheitsstandards und ohne eine direkte Rückführbarkeit auf die Identität der Versicherten von einer Behörde gespeichert. Ausgewählte Forschungsprojekte können dann unter strengen Voraussetzungen mit diesen Daten arbeiten, um die Versorgung zu verbessern. Dies geschieht jedoch grundsätzlich, ohne dass einzelne Forscher Zugriff auf den Datensatz der Versorgungsdaten bekommen. Sie erhalten von der Behörde lediglich Ergebnismengen.

Hinzu kommt, dass diese Art der Datensammlung keine Neuheit ist. Es gibt sie schon seit einigen Jahren und durch das neue Gesetz wird der Datenschutz eher im Detail verbessert als verschlechtert. So ist das Konzept der Datentransparenz beispielsweise von je her so konzipiert, dass Forscher unter keinerlei Umständen aus den Ergebnissen einzelne Versicherte identifizieren können sollen. Jedoch besteht ein geringes Restrisiko des Missbrauchs, weshalb nun Forschern, die ihren Datenzugang missbrauchen, strafrechtliche Konsequenzen drohen.


Die grüne Gesundheitsexpertin Maria Klein-Schmeink bemängelte unter anderem, dass Regelungen zu Löschfristen und Widerspruchsmöglichkeiten erst in einer Verordnung folgen sollten. Wie werten Sie diesen Einwand?

Die Löschfrist ist im neuen § 303d Abs. 3 SGB V ausdrücklich geregelt. In Bezug auf die Frist kann es hier auch keine Abweichung auf der Verordnungsebene mehr geben. Ein Widerspruchsrecht ist tatsächlich konzeptionell nicht vorgesehen, was sicher vor allem daran liegt, dass die Daten aus der Sicht der Behörde anonym sind. Die Behörde weiß selbst nicht, welcher Datensatz von Abrechnungsdaten welchem Versicherten zuzuordnen ist. Ein Widerspruchsrecht ergibt daher keinen Sinn.

Ganz grundsätzlich ist es aber selbstverständlich zulässig, Detailfragen durch eine untergesetzliche Verordnung weiter zu konkretisieren. Die Normen im Gesundheits- und Sozialdatenschutzrecht sind ohnehin schon sehr umfangreich und komplex. Einzelfragen in eine Verordnung zu verlagern, kann der Rechtsklarheit deshalb durchaus zuträglich sein. Was dagegen verfassungsrechtlich problematisch wäre und wovon wir in unserem Gutachten abrieten, ist die Verlagerung von datenschutzrechtlichen Zulässigkeitstatbeständen in Rechtsverordnungen. Dies ist hier jedoch nicht geschehen.


Es ist stets die Rede von den Daten der gesetzlich Versicherten, die Abrechnungsdaten der privaten Krankenversicherungen scheinen dagegen unantastbar. Was steckt dahinter, gibt es praktische Gründe oder haben die privat Versicherten eine mächtigere Lobby?

Dies hat jedenfalls praktische Gründe. Die Abrechnungsdaten aus der gesetzlichen Krankenversicherung werden für den Risikostrukturausgleich der Kassen (ein Instrument, um die Beiträge der Versicherten gerecht zu verteilen) ohnehin gesammelt und verarbeitet. Deshalb liegt es nahe, diese Daten auch unter den genannten Sicherheitsvorkehrungen und strengen Voraussetzungen der Forschung zur Verfügung zu stellen. Denn hiervon profitiert potenziell letztlich die gesamte Versorgung. Eine vergleichbare Datensammlung für die privaten Krankenversicherungen einzurichten, wäre sicher aufwändiger in der Umsetzung und mit Blick auf die deutlich geringere Zahl der Versicherten für die Forschung nicht ganz so interessant. Auch liegt die Versorgungsverantwortung hier in der Hand der Privaten.

In Ihrem Gutachten zeigen Sie die Hoffnungen auf, die mit Big Data-Analysen im Gesundheitswesen verbunden sind: Durch die ergebnisoffene Suche nach Mustern und z. B. in Patientendaten könnten bislang noch nicht entdeckte Zusammenhänge zwischen Vorerkrankungen, Behandlungswegen und Wechselwirkungen aufgezeigt werden. Sie machen aber auch klar, dass Big Data gerade in Bezug auf Gesundheitsdaten mit großen Risiken verbunden ist. Welche sind das?

Natürlich gibt aus persönlichkeitsrechtlicher Sicht Risiken, die mit der systematischen Auswertung solch großer Datenmengen einhergehen. Die Persönlichkeitsrechtsverletzungen bei einer Big-Data-Anwendung werden in der Regel Folgen für eine große Zahl von Betroffenen entfalten. Werden darüber hinaus auch noch sensible Daten wie Gesundheitsdaten verarbeitet, können Datenschutzrechtsverstöße besonders schwer wiegen. Letztlich steht die Gefahr im Raum, dass ein unkontrolliertes Sammeln großer Mengen von personenbezogenen Daten in Verbindung mit einer detaillierten und intelligenten Auswertung dieser den Menschen zum vielbeschworenen „gläsernen Bürger“ macht.

Datenschutzrechtlich nicht ganz einfach zu handhaben ist zudem, dass sich die Grenzen der Anonymität verschieben. Daten ohne Klarnamen, wie in unserem Beispiel der Datentransparenz, hätten früher möglicherweise als anonym gegolten. Je größer die Datenmenge und je mehr Korrelationen entdeckt werden können, desto höher ist auch die Gefahr einer Re-Identifizierung der hinter den Daten stehenden Person. Daher bedarf es einer umsichtigen Fortentwicklung von Big-Data-Anwendungen.


Sind Big-Data-Analysen im Gesundheitswesen nach der aktuellen Rechtslage überhaupt möglich?

Diese Frage untersuchen wir bei uns am Lehrstuhl. Eine pauschale Antwort ist dabei nicht möglich. Big Data ist ein Oberbegriff, der ein weites Feld abdeckt. Einige Formen von Big-Data-Anwendungen werden sicherlich nicht datenschutzrechtlich zulässig sein. Wir sind jedoch der Auffassung, dass bestimmte, sinnvolle Anwendungsfälle unter den strengen Voraussetzungen des europäischen Datenschutzrechts möglich sein müssen.


Muss das Datenschutzrecht an neue technologische Gegebenheiten angepasst werden?

Das Datenschutzrecht ist grundsätzlich technologieneutral ausgestaltet und bietet Spielraum für neue Entwicklungen in der Datenverarbeitung. Detailoptimierungen – wie bei der Datentransparenz im neuen DVG – sind immer möglich. Eine komplette Abkehr vom bisherigen datenschutzrechtlichen Regelungskonzept – wie zuweilen gefordert – halten wir jedoch nicht für sinnvoll. Vielmehr sollte die pfadabhängige Entwicklung der letzten Jahre und Jahrzehnte unter Beibehaltung des hohen datenschutzrechtlichen Standards, aber auch unter Einbeziehung allgemeinheitsdienlicher Verarbeitungsinteressen, fortgeführt werden.

Dies stützt auch der internationale Vergleich. Blicken wir über den Atlantik in die USA sehen wir eine Kultur der Datenverarbeitung, die vor allem durch große Internetkonzerne und Kapitalinteressen getrieben ist. Dagegen wird in China die Privatsphäre von einem technologiegetriebenen Überwachungsstaat eingeengt, den George Orwell nicht besser hätte ersinnen können. Umso wichtiger ist es, unser europäisches Verständnis des Privatspährenschutzes hochzuhalten. Das Datenschutzrecht darf dabei aber nicht zum Innovationshemmnis werden, sondern muss Entwicklungen in persönlichkeitsrechtfreundliche Bahnen lenken. Dann können wir Europäer weltweit die Vorreiterrolle einer technologieoffenen und datenschutzfreundlichen Rechtsordnung einnehmen.


Der Deutsche Ethikrat hat sich bereits 2017 Gedanken über eine Fortentwicklung des Datenschutzrechts gemacht und Reformvorschläge vorgestellt, dabei geht es auch um die Grundsätze der Zweckbindung und der Datensparsamkeit. Ist es an der Zeit, sich von diesen Standards zu verabschieden?

In Bezug auf den Grundsatz der Datensparsamkeit müssen wir nicht völlig neu denken. Dieser Grundsatz verbietet es nicht, „große“ Mengen an Daten zu verarbeiten. Er verbietet lediglich die Verarbeitung unangemessen großer Datenmengen. In die Frage, wann von „unangemessen“ die Rede sein kann, müssen auch die Verarbeitungsinteressen mit einbezogen werden. Soweit diese von großer gesellschaftlicher Bedeutung sind, kann auch Big Data mit dem Grundsatz der Datensparsamkeit vereinbart werden. Im Übrigen wäre eine Abschaffung des Grundsatzes verfassungsrechtlich kaum möglich.

Gleiches gilt für den Grundsatz der Zweckbindung. Es gibt in der maßgebenden Datenschutzgrundverordnung durchaus eng gefasste Ausnahmen von diesem Grundsatz. Dies bietet Raum für sinn- und maßvolle Big-Data-Anwendungen. Hier liegt die Herausforderung vor allem in der ausgewogenen Ausgestaltung der Spielräume durch die Datenschutzaufsicht und die Rechtsprechung.


Herr Professor Kühling, haben Sie vielen Dank für das Gespräch.


Weiterführende Links

  1. Startseite

Media Relations & Communications

 

Anschnitt Sommer Ar- 35_