POLITIK: Das Interview
Interview mit Prof. Ulrich Kelber (SPD), Bundesbeauftragter für Datenschutz und Informationsfreiheit: „Ein digitaler Impfnachweis kann besser sein als der analoge“
;
Der Datenschutz im Gesundheitswesen ist immer wieder ein Konfliktpunkt. Der Bundesdatenschutzbeauftragte Ulrich Kelber wehrt sich gegen Anschuldigungen, wirbt für mehr Dialog mit Datenschützern und erklärt, ab wann er selbst eine elektronische Patientenakte nutzen werde.
Aktuell wird wieder über den Datenschutz bei mehreren Projekten zur Bekämpfung der Pandemie gestritten: das digitale Impfzertifikat oder auch die Datenspeicherung von Schnelltests. Wie sehr ärgert Sie der Vorwurf, „Problem mit dem Datenschutz“ verhindere Pandemiebekämpfung?
Das ist anstrengend, besonders wenn drei Dinge passieren: Erstens werden teilweise mehrfach widerlegte Storys wieder aufgewärmt. Das zweite: Leute, die noch nicht den kompletten Überblick haben, geben „der Datenschutz ist Schuld“ als schnelle Antwort. Damit sie nicht sagen müssen, sie wissen etwas nicht. Und dann gibt es eine dritte Gruppe, die lenkt gerne vom Thema beziehungsweise Versäumnissen an anderer Stelle ab. Und das ist nicht in Ordnung. Man sollte die Debatte um den Datenschutz auf das konzentrieren, was sie ist: Welche Daten sind für einen legitimen Zweck notwendig und dürfen verarbeit werden? Und welche sind dafür nicht notwendig und dürfen nicht verarbeitet werden?
Beim Impfzertifikat und bei den Schnelltests: Welche Daten sind notwendig und dürfen verarbeitet werden?
Beim digitalen Impfzertifikat sind wir noch mitten in der Beratung. Ein gut gemachter digitaler Impfnachweis ist auch aus Datenschutzsicht besser als jeder analoge Nachweis. Daher bin ich optimistisch. Was die Europäische Union für die Interoperabilität für das Reisen über Grenzen vorgelegt hat, das ist gut. Jetzt müssen wir das in Deutschland mit einem Verfahren zusammenbringen, damit es auch bei neuen Impfungen sofort funktioniert sowie bei den Impfungen, die in der Vergangenheit vorgenommen wurden. Auf EU-Ebene ist für die Interoperabilität ein vernünftig bemessener Datensatz festgelegt worden. Dabei werden die Daten aufgenommen, die für den Nachweis nötig sind, bis hin zu den Chargennummern der Impfstoffe.
Wenn man die Veröffentlichungen in den vergangenen Wochen sieht – wie gut ist Ihr Verhältnis zum Bundesgesundheitsministerium?
Das ist erst mal ein enges Verhältnis, da wir sehr viel gemeinsam zu tun haben. Das ist ein zum Teil pandemiebedingt hektisches Miteinander, weil natürlich immer wieder neue Herausforderungen kommen. Ich wünsche mir, dass man bei allen Vorhaben zu einem noch früheren Zeitpunkt den ersten Kontakt mit uns aufnimmt. Zur agilen Arbeit an Gesetzen und Projekten gehört eben auch die agile Einbindung der Datenschutzbehörde, also zu einem frühen Zeitpunkt über Weichenstellungen zu informieren und sich beraten zu lassen. Das macht Vorhaben billiger und schneller und am Ende vertrauenswürdiger für die Nutzenden.
Auch bei Forschungsdaten, besonders bei der internationalen Zusammenarbeit, wird immer wieder der Datenschutz beklagt, dass beispielsweise Alter oder Geschlecht nicht verknüpft werden können. Ist das auch nur vorgeschoben?
Ich empfehle den Forschenden nicht die Grundhaltung „darf ich sowieso nicht, deshalb versuche ich es gar nicht“. Wenn sie etwas für erforderlich halten und es ein hohes öffentliches Interesse gibt, wie beispielsweise an der aktuellen Pandemie, sollten sie das Gespräch suchen. Dann wird man schon an vielen Stellen zu der Erkenntnis kommen, dass es mit vorhandenem Datenrecht geht. Bei dem Tempo, bei dem wir momentan Rechtssetzung betreiben, könnte sogar an der einen oder anderen Stelle die rechtliche Grundlage für bestimmte notwendige Datentransfers und Datenverarbeitungen geschaffen werden. Wir sagen da oft: „Schreibt es doch eindeutig in eine Verordnung oder in ein Gesetz hinein.“
Wenn man die Debatte um Datenschutz im Gesundheitswesen betrachtet, dann kann man den Eindruck gewinnen, dass es eine gewisse „Angst“ gibt, den Datenschutz einzubeziehen.
Ich hoffe, dass niemand Angst vor dem Gespräch mit meinen Mitarbeiterinnen und Mitarbeitern oder auch mit mir hat. Es wäre schade, wenn sich die Einstellung durchsetzt, dass man nicht fragt aus Angst, es könnte nein gesagt werden. Denn wir können auch ohne vorheriges Fragen später Nein sagen. Man kommt in seinem Projekt viel weiter und schneller voran, wenn man uns Datenschutzbehörden in Bund und Ländern früh einbindet.
Die Datenschutz-Grundverordnung der EU wird oft als Hemmnis für eine umfassendere Datennutzung im Gesundheitswesen genannt. Allerdings werden in Art. 9 der DSGVO auch für diesen sensiblen Bereich Optionen eröffnet. Wird aus Ihrer Sicht die DSGVO zu Unrecht als zu hohe Hürde kommuniziert?
Die DSGVO soll ja auf der einen Seite auch ein Schutzschirm der Grundrechte sein. Sie soll bestimmte Datenverarbeitung ganz verhindern, bei anderen Daten soll sie grundsätzlich eine Rechtsgrundlage einfordern und an bestimmten Stellen soll sie ohne eine informierte, freiwillige, konkrete Einwilligung des Betroffenen nicht stattfinden. Dass die DSGVO insbesondere in Art. 9 besondere Schutzmaßnahmen dieser sensiblen Daten vorgesehen hat, dass muss die Gesundheitsbranche insgesamt akzeptieren. Viele tun das auch und die Medizin hat sich dazu längst auch eigene ethische Grundsätze gegeben. Ich bin manchmal über den ein oder anderen erstaunt, der glaubt, er könne mit Gesundheitsdaten tun, was er will. Ohne rechtliche Notwendigkeit, ohne Einwilligung. Das ist schon heftig. Und es gibt nach wie vor ein mangelndes Bewusstsein, was man an Datensicherheit anbieten muss. Da geht es um den Schutz von Daten sowie die technische Umsetzung davon, wie Daten gespeichert werden. Das geht schon bei der Kommunikation über Patientendaten los: Ich bin immer wieder erstaunt, wenn ich höre, dass kritisiert wird, dass Patientendaten nur mit verschlüsselten E-Mails versendet werden dürfen. Was wurde denn da früher gemacht? Wurden da Daten auf Postkarten geschrieben?
Wie können sich denn Ärztinnen und Ärzten beim Datenschutz besser aufstellen?
Als allererstes sollte man den Datenschutz aus Sicht der Patientinnen und Patienten sehen. Also keine Digitalisierung mit Tunnelblick. Es geht nicht darum, bei neuen Herausforderungen die erstbesten Daten und Lösungen zu fordern. Und dann auf diese erstbeste Lösung zu bestehen und keine anderen Anforderungen zu akzeptieren. Das geht natürlich nicht. Da sollte man sich eher fragen: „Was möchte eigentlich die Patientin oder der Patient, den ich behandle?
Zweitens: Es gehört heute dazu, dass man Datensicherheit und Cyber Security gemeinsam denkt. Da sind unsere Infrastrukturen in einer vernetzen Welt zu anfällig. Drittens fordere ich sichere Alternativen ein, wie zum Beispiel einen sicheren Messengerdienst für den Gesundheitsbereich, vielleicht sogar in der TI-Umgebung. Und viertens brauchen wir gerade auch für den Gesundheitsbereich ein Forschungsdatengesetz, dass Rechtssicherheit auch für die Datennutzung schafft.
Auch bei der elektronischen Patientenakte (ePa) gibt es Diskussionen in den vergangenen Monaten. Ihre Kritik daran kommt auch bei Ärztinnen und Ärzte an. Ab dem 1. Juli sind auch Vertragsärzte an die ePa angeschlossen. Wie geht es aus Ihrer Sicht mit der Diskussion beispielsweise um das feingranulare Datenmanagement für Patienten weiter?
Für uns ist die Situation derzeit viel unaufgeregter. Wir beobachten den aktuellen Testversuch. Es hat nichts mit uns zu tun, dass die ePa nicht am 1. Januar 2021 gestartet ist, sowie auch die Verzögerung zwischen 2010 und 2021 nichts mit dem Datenschutz zu tun hatte. Die datenschutzrechtlichen Anforderungen sind seit über zehn Jahren bekannt. Wir haben gesagt, dass wir erstens keine Minderung bei der Sicherheit der Authentifizierung wollen. Zweitens: Es muss die Möglichkeit zur feingranularen Steuerung geben, welcher Arzt welche vertraulichen Unterlagen sehen darf. Das sieht das Gesetz vor, allerdings nicht für alle Versicherten. Und da haben wir einen zusätzlichen Schritt gemacht: Denn es kann nicht sein, dass für Menschen, die nicht über geeignete Endgeräte verfügen, die nicht über das allgemeine Internet arbeiten wollen, dass es für die keine Möglichkeit der dokumentengenauen Steuerung gibt. Das muss geändert werden. Das stand auch im ursprünglichen Gesetzentwurf drin.
Noch mal gefragt: Es geht Ihnen bei Ihrer Kritik um die kommenden sechs Monate, denn ab 2022 soll es ja das feingranulare Management geben. Richtig?
Bisher gibt es kein feingranulares Management. Wir beabsichtigen anzuweisen, dass es ab dem 1. Januar 2022 gesichert das feingranulare Management gibt. Das steht auch im Gesetz, wenn man es ernst nimmt. Wo wir uns in unserer Forderung vom Gesetz unterscheiden: Wir sind der Meinung, dass das Recht für alle Patientinnen und Patienten gelten muss. Ich bin nach wie vor optimistisch, dass eine andere Bundesbehörde den Krankenkassen nicht empfehlen wird, dagegen zu klagen, dass alle Versicherten die gleichen Rechte haben.
Wann werden Sie Ihre elektronische Patientenakte freischalten und nutzen?
Ich verfüge über ein geeignetes Endgerät und halte es angesichts der gewählten Möglichkeiten zur Authentifizierung für sicher. Das heißt, wenn ich eine Möglichkeit zur feingranularen Steuerung bekomme, werde ich ein begeisterter Nutzer der ePa sein. Den Nutzwert der ePa und den kommenden Anwendungen darauf sehe ich sehr deutlich. Daher werde ich sie mir vermutlich Anfang 2022 privat zulegen.
Das Interview führten Rebecca Beerheide und André Haserück.
