Kelber warnt vor Trivialisierung von Gesundheitsdaten

Ulrich Kelber (SPD), Bundesbeauftragter für Datenschutz /picture alliance, Wolfgang Kumm

Berlin – Die Coronapandemie habe dazu geführt, dass sensible Gesundheitsdaten immer selbstver­ständ­licher für alltägliche Belange verwendet werden. Das sei eine besorgniserregende Tendenz, warnte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, heute bei der Vorstellung seines jährlichen Tätigkeitsberichts.

„Es darf kein Standard werden, dass Gesundheits­daten eine Eintrittskarte sind, erst recht nicht in Be­schäf­tigungsverhältnissen“, so Kelber. Es müsse verhindert werden, dass Arbeitgeber dauerhaft Einblick in besonders schützenswerte Gesund­heits­daten erhielten.

„In der Debatte über die Impfpflicht an Arbeitsplätzen haben wir erlebt, dass einige sich wünschen, mehr dieser Daten dauerhaft auch als Arbeitgeber verarbeiten zu dürfen“, erklärte er. Es dürfe nicht passieren, dass jenseits der Notwendigkeit Daten gegenüber einem Dritten offenbart werde, zu dem man in einem ungleichen Machtverhältnis stehe.

Mit Blick auf die kostenfreien Coronabürgertests kritisierte er, dass die Bundesregierung neben Ärzten und Apothekern auch Dritte in die Durchführung einbezogen habe, die nicht der heilberuflichen Schwei­ge­­pflicht unterliegen.

„Wenn also Nicht-Ärzte Aufgaben übernehmen sollen, sind alternative Vorgaben nötig“, so Kelber im Be­richt. Mit der Erweiterung der möglichen Anbieter sei eine Vielzahl von Test­zentren in Zelten, Containern, leerstehenden Veranstaltungsräumen oder aber Ladenlokalen entstanden.

„Ob die Datenverarbeitung der jeweiligen Verantwortlichen im Einklang mit den Vorgaben der DSGVO für Gesundheitsdaten stand, war zuweilen zweifelhaft“, so der Bericht. Erst mit der Änderungsverord­nung vom 12. November 2021 sei auf Kelbers Hinweis hin die Vorgabe aufgenommen worden, dass auch die weiteren Leistungserbringer zur Verschwiegenheit verpflichtet sein müssten.

Ein positives Beispiel sei hingegen die Corona-Warn-App (CWA). Sie sei sowohl technologisch als auch datenschutzrechtlich eine Referenz. „Ich glaube, sie ist die beste deutsche App und sollte Vorbild für an­dere Entwicklungen sein“, so Kelber.

Auch im europäischen Vergleich stehe Deutschland mit ihr sehr gut da. Denn die CWA konzentriere sich auf ihre eigentliche Aufgabe – die Warnung vor einer möglichen Infektionsgefahr – und sei dabei auf eine minimale Datenerhebung ausgerichtet.

Dabei vermeide sie unnötige Umwege über die Gesundheitsämter könne ohne Verzögerungen warnen. Die Vorwürfe, zu strikter Datenschutz habe hierzulande die Bekämpfung der Coronapandemie behindert, wies er zurück. So hätte man Coronadaten, die aus Israel bezogen wurden, auch hierzulande verarbei­ten dürfen – sie hätten aber schlicht nicht zur Verfügung gestanden.

Auch mit den Digitalisierungsvorhaben im Gesundheitswesen hat sich Kelber im vergangenen Jahr wie­der umfassend beschäftigt. „Das Thema Gesundheit nimmt auch ohne Corona immer mehr Raum in un­serer Tätigkeit ein“, sagte er mit Blick auf die elektronische Patientenakte (ePA), Digitale Gesundheits­an­wendungen (DiGA), Genomsequenzierung und die Forschung mit personenbezogenen Gesundheits­daten.

Insbesondere der Streit um die ePA beschäftigt Kelber bereits seit 2020. Er kritisiert die aus seiner Sicht europarechtswidrige Ausgestaltung der ePA auf Grundlage des Patien­ten­daten-Schutz-Gesetzes (PDSG), insbesondere das Zugriffsmanagement nach dem „Alles-oder-Nichts-Prinzip“. Erst seit dem 1. Januar 2022 kann die Benutzergruppe, die über ein geeignetes mobiles Endgerät verfügt, feingranular, also dokumen­tenspezifisch Zugriffe erteilen.

„Die Versicherten, die kein eigenes geeignetes Gerät besitzen oder keines nutzen wollen, werden hiervon nicht erfasst“, so der Bericht. Sie könnten lediglich beim Leistungserbringer, zum Beispiel in der ärztli­chen Praxis, auf Kategorien von Dokumenten beschränkte Zugriffsrechte erteilen oder einem Dritten mit einem geeigneten technischen Gerät Vertretungsrechte einräumen.

Dabei müssten sie aber dieser Person gegenüber alle Daten offenlegen. Kelber sieht darin gleich mehre­re Verstöße gegen die DSGVO, außerdem würden die Krankenkassen damit den Versicherten gleiche Rechte verwehren.

Nachdem die Krankenkassen einer von ihm ausgesprochenen Warnung nicht Folge leisteten, hatte er ein datenschutzaufsichtsrechtliches Maßnahmeverfahren vorangetrieben und im September 2021 fünf gro­ße Krankenkassen angewiesen, das Zugriffsmanagement so zu verändern, dass es den europarechtlichen Vorgaben entspricht.

Dagegen klagen die Krankenkassen nun. Das Argument, dass ein nach seinen Vorstellungen ausgestal­tetes Zugriffsmanagement technisch nicht umsetzbar sei, werde schon dadurch widerlegt, dass zwei Krankenkassen einen Zugang über ein Internetportal geschaffen hätten und damit den Vorgaben ent­sprächen, so Kelber bei der Vorstellung seines Berichts: „Im Moment erleben wir, dass die Kassen viel Geld dafür ausgeben, nicht allen Versicherten das gleich Recht geben zu müssen.“ © lau/aerzteblatt.de