Vor zwei Monaten, am 7. November 2019, hat der Deutsche Bundestag das ?Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ verabschiedet, diesen Monat wird es in Kraft treten. Es sieht unter anderem die Etablierung von Videosprechstunden, die fl?chendeckende Einführung der elektronischen Patientenakte sowie die Verschreibung von Gesundheits-Apps auf Kosten der Krankenkassen vor. Insbesondere ein Punkt des Digitale-Versorgung-Gesetzes (DVG) hat Kritik ausgel?st: die Weitergabe von Abrechnungsdaten der gesetzlich Versicherten für Forschungszwecke. Die Verarbeitung gro?er Datenmengen via Big Data gilt als gro?e Hoffnung in der Gesundheitsforschung; mithilfe dieser Analysetechniken kann ergebnisoffen nach Mustern und Zusammenh?ngen gesucht und dadurch Korrelationen aufgezeigt werden, die es erst erm?glichen, die richtigen Forschungsfragen zu stellen. Doch es steht die Befürchtung im Raum, bei der Weitergabe von Abrechnungsdaten würde der Datenschutz zu lax gehandhabt, sensible Informationen k?nnten in die falschen H?nde geraten. Die Bundestagsfraktion der Grünen kritisierte, dass der Gesundheitsminister Jens Spahn ?im Schweinsgalopp praktisch ohne gesellschaftliche Diskussion“ Patientendaten an Forschungseinrichtungen weitergeben m?chte.
Prof. Dr. Jürgen Kühling, Inhaber der Regensburger Lehrstuhls für ?ffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht, ist Kenner der Materie. Im September 2019 hat er zusammen mit seinen Mitarbeitern Florian Sackmann und Roman Schildbach im Auftrag des Bundesgesundheitsministeriums ein Rechtsgutachten erstellt, in dem es um den sozialdatenschutzrechtlichen Weiterentwicklungsbedarf im Hinblick auf Big-Data-Anwendungen im Gesundheitswesen geht. Wir haben ihn zu seiner Einsch?tzung der datenschutzrechtlichen Bedenken interviewt.
Margit Scheid: Herr Prof. Kühling, Sie vermuten, dass die Kritik am Digitale-Versorgung-Gesetz auf Missverst?ndnissen beruht. Welche Fehleinsch?tzungen vermuten Sie hinter dem Vorwurf der Grünen, das Gesundheitsministerium nehme den Datenschutz nicht ernst genug?
Prof. Dr. Jürgen Kühling: In der Diskussion um die sogenannte Datentransparenz gem?? den §§ 303a ff. SGB V kam es leider immer wieder zu einer Vermischung verschiedener Themen und Fakten wurden teilweise au?er Acht gelassen. Das Digitale-Versorgung-Gesetz beinhaltet neben dem Thema Datentransparenz noch viele andere Dinge, wie beispielsweise Gesundheits-Apps auf Rezept. Die Datensicherheit dieser Apps wurde oft in einem Atemzug mit der Sammlung der GKV-Abrechnungsdaten genannt, ohne zu differenzieren.
Dabei sollte man sich – anders als manche mediale Berichterstattung – zun?chst klarmachen, um welche Daten es tats?chlich geht. Gesammelt werden im Wesentlichen die Abrechnungsdaten der gesetzlichen Krankenkassen. Daten aus Patientenakten, Messwerte oder Arztbriefe und dergleichen werden nicht erfasst. {web_name}e Abrechnungsdaten werden sodann unter hohen Sicherheitsstandards und ohne eine direkte Rückführbarkeit auf die Identit?t der Versicherten von einer Beh?rde gespeichert. Ausgew?hlte Forschungsprojekte k?nnen dann unter strengen Voraussetzungen mit diesen Daten arbeiten, um die Versorgung zu verbessern. {web_name} geschieht jedoch grunds?tzlich, ohne dass einzelne Forscher Zugriff auf den Datensatz der Versorgungsdaten bekommen. Sie erhalten von der Beh?rde lediglich Ergebnismengen.
Hinzu kommt, dass diese Art der Datensammlung keine Neuheit ist. Es gibt sie schon seit einigen Jahren und durch das neue Gesetz wird der Datenschutz eher im Detail verbessert als verschlechtert. So ist das Konzept der Datentransparenz beispielsweise von je her so konzipiert, dass Forscher unter keinerlei Umst?nden aus den Ergebnissen einzelne Versicherte identifizieren k?nnen sollen. Jedoch besteht ein geringes Restrisiko des Missbrauchs, weshalb nun Forschern, die ihren Datenzugang missbrauchen, strafrechtliche Konsequenzen drohen.
Die grüne Gesundheitsexpertin Maria Klein-Schmeink bem?ngelte unter anderem, dass Regelungen zu L?schfristen und Widerspruchsm?glichkeiten erst in einer Verordnung folgen sollten. Wie werten Sie diesen Einwand?
Die L?schfrist ist im neuen § 303d Abs. 3 SGB V ausdrücklich geregelt. In Bezug auf die Frist kann es hier auch keine Abweichung auf der Verordnungsebene mehr geben. Ein Widerspruchsrecht ist tats?chlich konzeptionell nicht vorgesehen, was sicher vor allem daran liegt, dass die Daten aus der Sicht der Beh?rde anonym sind. Die Beh?rde wei? selbst nicht, welcher Datensatz von Abrechnungsdaten welchem Versicherten zuzuordnen ist. Ein Widerspruchsrecht ergibt daher keinen Sinn.
Ganz grunds?tzlich ist es aber selbstverst?ndlich zul?ssig, Detailfragen durch eine untergesetzliche Verordnung weiter zu konkretisieren. Die Normen im Gesundheits- und Sozialdatenschutzrecht sind ohnehin schon sehr umfangreich und komplex. Einzelfragen in eine Verordnung zu verlagern, kann der Rechtsklarheit deshalb durchaus zutr?glich sein. Was dagegen verfassungsrechtlich problematisch w?re und wovon wir in unserem Gutachten abrieten, ist die Verlagerung von datenschutzrechtlichen Zul?ssigkeitstatbest?nden in Rechtsverordnungen. {web_name} ist hier jedoch nicht geschehen.
Es ist stets die Rede von den Daten der gesetzlich Versicherten, die Abrechnungsdaten der privaten Krankenversicherungen scheinen dagegen unantastbar. Was steckt dahinter, gibt es praktische Gründe oder haben die privat Versicherten eine m?chtigere Lobby?
{web_name} hat jedenfalls praktische Gründe. Die Abrechnungsdaten aus der gesetzlichen Krankenversicherung werden für den Risikostrukturausgleich der Kassen (ein Instrument, um die Beitr?ge der Versicherten gerecht zu verteilen) ohnehin gesammelt und verarbeitet. Deshalb liegt es nahe, diese Daten auch unter den genannten Sicherheitsvorkehrungen und strengen Voraussetzungen der Forschung zur Verfügung zu stellen. Denn hiervon profitiert potenziell letztlich die gesamte Versorgung. Eine vergleichbare Datensammlung für die privaten Krankenversicherungen einzurichten, w?re sicher aufw?ndiger in der Umsetzung und mit Blick auf die deutlich geringere Zahl der Versicherten für die Forschung nicht ganz so interessant. Auch liegt die Versorgungsverantwortung hier in der Hand der Privaten.
In Ihrem Gutachten zeigen Sie die Hoffnungen auf, die mit Big Data-Analysen im Gesundheitswesen verbunden sind: Durch die ergebnisoffene Suche nach Mustern und z. B. in Patientendaten k?nnten bislang noch nicht entdeckte Zusammenh?nge zwischen Vorerkrankungen, Behandlungswegen und Wechselwirkungen aufgezeigt werden. Sie machen aber auch klar, dass Big Data gerade in Bezug auf Gesundheitsdaten mit gro?en Risiken verbunden ist. Welche sind das?
Natürlich gibt aus pers?nlichkeitsrechtlicher Sicht Risiken, die mit der systematischen Auswertung solch gro?er Datenmengen einhergehen. Die Pers?nlichkeitsrechtsverletzungen bei einer Big-Data-Anwendung werden in der Regel Folgen für eine gro?e Zahl von Betroffenen entfalten. Werden darüber hinaus auch noch sensible Daten wie Gesundheitsdaten verarbeitet, k?nnen Datenschutzrechtsverst??e besonders schwer wiegen. Letztlich steht die Gefahr im Raum, dass ein unkontrolliertes Sammeln gro?er Mengen von personenbezogenen Daten in Verbindung mit einer detaillierten und intelligenten Auswertung dieser den Menschen zum vielbeschworenen ?gl?sernen Bürger“ macht.
Datenschutzrechtlich nicht ganz einfach zu handhaben ist zudem, dass sich die Grenzen der Anonymit?t verschieben. Daten ohne Klarnamen, wie in unserem Beispiel der Datentransparenz, h?tten früher m?glicherweise als anonym gegolten. Je gr??er die Datenmenge und je mehr Korrelationen entdeckt werden k?nnen, desto h?her ist auch die Gefahr einer Re-Identifizierung der hinter den Daten stehenden Person. Daher bedarf es einer umsichtigen Fortentwicklung von Big-Data-Anwendungen.
Sind Big-Data-Analysen im Gesundheitswesen nach der aktuellen Rechtslage überhaupt m?glich?
{web_name}e Frage untersuchen wir bei uns am Lehrstuhl. Eine pauschale Antwort ist dabei nicht m?glich. Big Data ist ein Oberbegriff, der ein weites Feld abdeckt. Einige Formen von Big-Data-Anwendungen werden sicherlich nicht datenschutzrechtlich zul?ssig sein. Wir sind jedoch der Auffassung, dass bestimmte, sinnvolle Anwendungsf?lle unter den strengen Voraussetzungen des europ?ischen Datenschutzrechts m?glich sein müssen.
Muss das Datenschutzrecht an neue technologische Gegebenheiten angepasst werden?
Das Datenschutzrecht ist grunds?tzlich technologieneutral ausgestaltet und bietet Spielraum für neue Entwicklungen in der Datenverarbeitung. Detailoptimierungen – wie bei der Datentransparenz im neuen DVG – sind immer m?glich. Eine komplette Abkehr vom bisherigen datenschutzrechtlichen Regelungskonzept – wie zuweilen gefordert – halten wir jedoch nicht für sinnvoll. Vielmehr sollte die pfadabh?ngige Entwicklung der letzten Jahre und Jahrzehnte unter Beibehaltung des hohen datenschutzrechtlichen Standards, aber auch unter Einbeziehung allgemeinheitsdienlicher Verarbeitungsinteressen, fortgeführt werden.
{web_name} stützt auch der internationale Vergleich. Blicken wir über den Atlantik in die USA sehen wir eine Kultur der Datenverarbeitung, die vor allem durch gro?e Internetkonzerne und Kapitalinteressen getrieben ist. Dagegen wird in China die Privatsph?re von einem technologiegetriebenen ?berwachungsstaat eingeengt, den George Orwell nicht besser h?tte ersinnen k?nnen. Umso wichtiger ist es, unser europ?isches Verst?ndnis des Privatsp?hrenschutzes hochzuhalten. Das Datenschutzrecht darf dabei aber nicht zum Innovationshemmnis werden, sondern muss Entwicklungen in pers?nlichkeitsrechtfreundliche Bahnen lenken. Dann k?nnen wir Europ?er weltweit die Vorreiterrolle einer technologieoffenen und datenschutzfreundlichen Rechtsordnung einnehmen.
Der Deutsche Ethikrat hat sich bereits 2017 Gedanken über eine Fortentwicklung des Datenschutzrechts gemacht und Reformvorschl?ge vorgestellt, dabei geht es auch um die Grunds?tze der Zweckbindung und der Datensparsamkeit. Ist es an der Zeit, sich von diesen Standards zu verabschieden?
In Bezug auf den Grundsatz der Datensparsamkeit müssen wir nicht v?llig neu denken. {web_name}er Grundsatz verbietet es nicht, ?gro?e“ Mengen an Daten zu verarbeiten. Er verbietet lediglich die Verarbeitung unangemessen gro?er Datenmengen. In die Frage, wann von ?unangemessen“ die Rede sein kann, müssen auch die Verarbeitungsinteressen mit einbezogen werden. Soweit diese von gro?er gesellschaftlicher Bedeutung sind, kann auch Big Data mit dem Grundsatz der Datensparsamkeit vereinbart werden. Im ?brigen w?re eine Abschaffung des Grundsatzes verfassungsrechtlich kaum m?glich.
Gleiches gilt für den Grundsatz der Zweckbindung. Es gibt in der ma?gebenden Datenschutzgrundverordnung durchaus eng gefasste Ausnahmen von diesem Grundsatz. {web_name} bietet Raum für sinn- und ma?volle Big-Data-Anwendungen. Hier liegt die Herausforderung vor allem in der ausgewogenen Ausgestaltung der Spielr?ume durch die Datenschutzaufsicht und die Rechtsprechung.
Herr Professor Kühling, haben Sie vielen Dank für das Gespr?ch.
Weiterführende Links
Foto: Markus Deli