Bundesdaten­schutzbeauftragter gegen neue Datenauswertung der Krankenkassen

Berlin – Der Bundesdatenschutzbeauftragte Ulrich Kelber sieht weiterhin Nachbesserungsbedarf bei der Re­gu­lierung der deutschen sowie der europäischen Gesundheitsdateninfrastruktur. Das erklärte er heute in Berlin bei der Vorstellung seines jährlichen Tätigkeitberichts.

Das Digitalgesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG) auf nationaler sowie die Einigung auf einen Europäischen Gesundheitsdatenraum (EHDS) auf europäischer Ebene würden dem Gesundheitswe­sen einen Digitalisierungsschub geben. Um eine Verbesserung der Patientenversorgung und Behandlung erfolgreich umzusetzen, müsse allerdings auch der Datenschutz von Anfang an mitgedacht werden.

Kelber sieht aber noch Defizite bei einigen zentralen Regelungen. „Die viel diskutierte Widerspruchslösung bei der elektronischen Patientenakte ist datenschutzrechtlich prinzipiell möglich“, erklärte er zwar. Allerdings gebe es dringenden Nachbesserungsbedarf speziell bei besonders sensiblen Daten wie psychischen Erkran­kungen, Schwangerschaftsabbrüchen oder HIV-Infektionen.

Eine seiner Forderungen sei deshalb, besonders schutzwürdige, höchstpersönliche Daten aus der informatio­nel­len Intimsphäre der Versicherten von der Pflichtbefüllung auszunehmen und unter einen Einwilligungsvor­behalt zu stellen.

Außerdem müsse die widerspruchsbasierte Pflichtbefüllung der ePA durch die Behandler „nach dem Grund­satz der Verhältnismäßigkeit auf ein notwendiges, dem gesetzlichen Zweck der ePA entsprechendes Mindest­maß“ beschränkt werden, schreibt Kelber in seinem Bericht: „Es darf keine ungeregelte Befüllungserlaubnis für die Behandler geben. Es bestehen Zweifel an der Erforderlichkeit der Befüllung, wenn diese ins Belieben der Behandler gestellt wird.“

Kelbers Kritik richtet sich auch gegen die Einrichtung von Ombudsstellen, an die sich Versicherte ohne eigene Endgeräte richten können, um ihre ePA-Daten einzusehen. Denn der Gesetzgeber habe – entgegen seines aus­drücklichen Rats – die Aufgabe der Einrichtung dieser Stellen an die Krankenkassen übertragen. Das Gebot, dass die Kassen keine Gesundheitsdaten verarbeiten sollen, spreche jedoch für eine Trennung.

Dieses Gebot hat der Gesetzgeber nach Kelbers Auffassung aber auch bei einer anderen umstrittenen Neue­rung verletzt: Die umstrittene Befugnis der Krankenkassen, bei ihnen vorliegende Daten versichertenbezogen auch ohne Einwilligung der Versicherten auszuwerten und ihnen darauf basie­rend Empfehlungen zu geben, verstoße gegen datenschutzrechtliche Grundsätze, heißt es im Bericht.

Konkret würden die Pläne das sozialdatenschutzrechtliche Trennungsgebot verletzen und den Krankenkassen die Profilbildung ermöglichen, wodurch ein erhebliches Diskriminierungspotential entstehe.

Zudem gebe es keinen Nachweis und keine Erfahrung dazu, ob die vorlie­genden Daten nach Struktur und Vali­dität überhaupt geeignet seien, die beabsichtigten Ergebnisse zuver­lässig zu erbringen. „Außerdem greift diese Auswer­tung in die ärztlichen Kompetenzen ein. Sie ist daher zu streichen“, forderte Kelber.

Ebenso kritisierte er, dass Gesundheitseinrichtungen, insbesondere Kran­kenhäuser, eine bundeseinheitliche Grundlage zur Weiterverarbeitung der zu Behandlungszwecken erhobenen Daten zu weiteren Zwecken ohne Beteili­gung der betroffenen Patienten erhalten sollen. Gleiches gelte für das Modellvorhaben Genomsequen­zie­rung, bei dem wesentliche Datenverarbeitungen ohne die Einwilligung der betroffenen Personen erlaubt werden.

Auch mit den Regelungsvorschlägen zum EHDS zeigte sich Kelber nicht durchweg zufrieden. „Das geht in einigen Bereichen leider weiter als wir das auf nationaler Eben vorsehen“, sagte er heute in Berlin. Auch hier seien die Widerspruchsrechte bei besonders sensiblen Daten nicht ausreichend.

Zwar fänden sich im aktuellen Kompromisstext der Ratspräsidentschaft Spanien aus datenschutzrechtlicher Sicht diverse Verbesserungen im Vergleich zum ursprünglichen Entwurf der Kommission wie die Angleichung einer Reihe von Definitionen und Regelungen an die Vorgaben der DSGVO oder Widerspruchsrechte bei der Primär- und Sekundärdatennutzung.

Trotzdem müsse der Verordnungsentwurf insbesondere im Bereich der Governance sowie der Grundsätze der Verhältnismäßigkeit und Datenminimierung erheblich nachgeschärft werden. Bei der Sekundärdatennutzung durch die Wissenschaft brauche es mehr Schutzmechanismen, die dafür sorgten, „dass Daten nicht vagabun­dieren, sondern wirklich in den Forschungsdatenzentren verbleiben“, erklärte er.

Besonders problematisch sei, dass auch bei der europäischen Sekundärdatennutzung selbst sensibelste Daten automatisch übertragen würden. „Ich glaube, hier hätte man den Datenkranz, also die Daten, die automatisch einfließen, reduzieren und weitere Widerspruchsmechanismen einbauen sollen“, so Kelber.

lau