Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz
Wie man Datenschutzabbau im Gesundheitswesen als Sicherheitsmaßnahme framet
Medienwirksam stellt sich der Bundesgesundheitsminister als Hüter des Datenschutzes dar. In Wirklichkeit hat er gerade unbemerkt von der Öffentlichkeit einen bedeutenden Eingriff in die Grundrechte des Bürgers durchs Parlament gebracht.
Das Wichtigste zuerst:
- Jeder Bürger, dem ein medizinisches Implantat eingesetzt wird, wird zukünftig laut "Implantateregister-Errichtungsgesetz" verpflichtet, seine sensiblen Gesundheitsdaten zentral in einem staatlichen Patientendaten-Implantationsregister verarbeiten und z.T. pseudonymisiert zu vielfältigen Zwecken (u.a. zur Sekundärnutzung für "wissenschaftliche Zwecke") weiternutzen zu lassen.
- Zu den Implantaten zählt das Gesetz Gelenkendoprothesen (Hüfte, Knie, Schulter usw.), Brustimplantate, Herzklappen und andere kardiale Implantate, implantierbare Defibrillatoren und Herzschrittmacher, Neurostimulatoren, Cochlea-Implantate, Wirbelkörperersatzsysteme und Bandscheibenprothesen sowie Stents.
- Neben Daten zur Identifizierung des Betroffenen werden folgende Daten verarbeitet: technische, zeitliche, organisatorische, klinische Daten zu den gesamten Versorgungsprozessen, insbesondere Anamnese, Befunde, Indikationen, Voroperationen, Größe, Gewicht des Patienten, Aufnahmedatum, Datum der Operation und Datum der Entlassung. Desweiteren technische, zeitliche, organisatorische, klinische und ergebnisbezogene Daten zur Nachsorge und Ergebnismessung.
- Der Gesetzesname "Implantateregister-Errichtungsgesetz" ist daher irreführend. Er legt nahe, entsprechend der Forderung der EU-Medizinprodukteverordnung 2017/745 ein Produkteregister zu errichten, das u.a. im Notfall die Rückverfolgbarkeit der Implantate sicherstellt. Spahns Register geht dagegen als vollumfängliches Patientendaten-Implantationsregister meilenweit darüber hinaus.
- Im Unterschied zu anerkannten auf freiwillige Teilnahme basierenden europäischen Gesundheitsversorgungsregistern z.B. in Schweden (SCAAR/Swedeheart) wird in Deutschland der betroffene Patient dazu verpflichtet, dem Staat einen umfassenden und dauerhaften Zugriff auf seine sensiblen Gesundheitsdaten zu ermöglichen.
- Das Recht des Betroffenen auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) wird vom Gesetz ausgeschlossen.
- Das Recht des Betroffenen auf Widerspruch (Art. 21 DSGVO) wird auch ausgeschlossen.
- Bei der öffentlichen Anhörung zum Gesetzesentwurf Ende Juni (ab Min. 44:34) wurde anlässlich von Fragen zum Datenschutz eingeräumt, dass der Bundesbeauftragte für Datenschutz "nicht hier" sei. Unsicherheit herrschte, ob er geladen war. Der Vorsitzende: "Wir müssen warten, bis er hier ist." Nach der Tagesordnung war der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) nicht geladen.1
- Das Gesetz wurde am 26. September vom Parlament beschlossen. Es bedarf nicht der Zustimmung durch den Bundesrat und soll am 01. Januar 2020 in Kraft treten.
- Gesundheitsminister Spahn hatte bereits im April auf der DMEA -Messe angekündigt, sich auch nach Verabschiedung des Gesetzes für eine bessere Datennutzung in der Sozialdatenschutzgesetzgebung einsetzen zu wollen, um Menschen rechtzeitig "Angebote" machen zu können, bevor sie z.B. Erwerbsminderungsrente beantragen.
Was bedeutet das Gesetz?
"Aber es geht!", ruft der Bundesgesundheitsminister Mitte April euphorisch in den Saal hinein. Hier auf der DMEA, der größten HealthCareIT-Messe Europas, weiß das Publikum den Wert von sensiblen Gesundheitsdaten zu schätzen (Video ab Min. 17:20).
"Wir sind damit gut durchs Kabinett gekommen!!!", prahlt Spahn, der sein Glück selbst kaum zu fassen scheint. Durchs Kabinett gekommen und mittlerweile sogar durchs Parlament ist der Bundesgesundheitsminister mit einem bedeutenden Eingriff in die Grundrechte der Bürger, nämlich mit der "Beschränkung des Rechts auf informationelle Selbstbestimmung", wie es in der Begründung zum "Implantateregister-Errichtungsgesetz" heißt.
Das Gesetz, das am 26. September vom Parlament beschlossen wurde und medial in Verkennung seiner Tragweite überwiegend als Ausdruck staatlicher Fürsorge gegenüber Implantatträgern vermittelt wurde, sieht vor, ohne Einwilligung des betroffenen Bürgers umfassende Gesundheitsdaten in einem staatlichen Register zu erfassen sowie in vielfältiger Art kontinuierlich weiterzuverarbeiten und weiterzugeben, ohne zu den jeweiligen Nutzungen eine Einwilligung des Bürgers einholen zu müssen.
Auf diese Weise werden Datenschutzrechte ausgehebelt, die sich aus den Grundrechten ableiten und damit zu den Abwehrrechten des Bürgers gegen den Staat gehören.
Die Tragweite des Gesetzes kann man nur dann ermessen, wenn man weiß, dass Gesundheitsdaten nicht nur zu den dem Datenschutz unterliegenden personenbezogenen Daten gehören (auch in pseudonymisierter Form), sondern darüber hinaus aufgrund ihrer existenziellen Bedeutung für den Menschen rechtlich als sog. sensible Daten unter besonderen Schutz stehen. (Art. 9 Abs. 1 DSGVO).
Sie dürfen deshalb grundsätzlich nicht verarbeitet werden. Zwar gibt es rechtlich vorgesehene Ausnahmen (Art. 9 Abs. 2 DSGVO), nach denen eine Verarbeitung unter Beachtung bestimmter Prinzipien zulässig sein kann: eine Einwilligung des Betroffenen oder etwa ein Gesetz, indem ein Allgemeininteresse geltend gemacht werden kann, das den Grundrechtseingriff erforderlich macht. Insbesondere Letzeres muss allerdings gut begründet werden.
Dazu hatte Spahn bereits im April auf der oben genannten Messe der Gesundheitsbranche aus dem Nähkästchen geplaudert:
Das Gesetz hat jetzt 34 Seiten und die Begründung 100, weil Sie gut begründen müssen, wenn Sie im Datenschutz möglicherweise etwas mehr verpflichtend machen und nicht alles von einer Einwilligung abhängig machen, wenn 's um solche Versorgungsdatensammlungen geht. [...] Aber es geht ! - Wir sind damit gut durchs Kabinett gekommen!!!
Jens Spahn
Wie wurde der Grundrechtseingriff begründet?
Tatsächlich beruft sich Spahn auf ein schutzwürdiges Allgemeininteresse (öffentliche Gesundheit, Abwehr von Risiken, Qualitätsverbesserung von Medizinprodukten, Rückrufaktion bei fehlerhaften Implantaten).
Die Verpflichtung zur Registrierung sei deswegen erforderlich, da bereits jetzt jeder 10. Patient die freiwillige Teilnahme am Endoprothesenregister Deutschland "verweigert". Die Teilnehmerquote betroffener Patienten liege "lediglich bei 90 %", was "erhebliche Auswirkungen" auf die Validität der Daten und Belastbarkeit der Auswertungsergebnisse habe. Eine Freiwilligkeit der Teilnahme würde somit "die Zweckerreichung in erheblichem Maße gefährden".
Entwaffnend ehrlich spricht Spahn gegenüber seinem Messe-Publikum im April darüber, wie er die Grenzen des juristisch Machbaren ausgelotet hat, um das Einwilligungserfordernis auszuhebeln:
Wir haben uns intensiv ausgetauscht und gefragt: Wieweit können wir gehen - beim Einwilligungserfordernis oder Nicht-Erfordernis? Aber wenn Sie genau schauen, was wir da geregelt haben, sieht man, dass auch mit heutigem Datenschutzrecht viel geht!
Jens Spahn
Im Unterschied zu den Krebsregistern, bei denen man in den letzten Jahren ebenfalls zur verpflichtenden Teilnahme übergegangen ist, aber meist dem Betroffenen zur Wahrung seines informationellen Selbstbestimmungsrechts immerhin noch das Widerspruchsrecht gelassen hat, hat Spahn dafür gesorgt, dass dieses wichtige Betroffenenrecht ausgeschlossen wird. Damit kommt sein Gesetz praktisch einer Aushebelung des Rechts auf informationelle Selbstbestimmung gleich.
Der Ausschluss sowohl des Widerspruchsrechts (Art. 21 DSGVO) als auch des Rechts auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) erfolgt unter Berufung auf Art. 23 DSGVO, der eine Beschränkung von Betroffenenrechten in einer Reihe von schwerwiegenden Fällen vorsieht, so z.B. als notwendige und verhältnismäßige Maßnahme, die die nationale Sicherheit, die Landesverteidigung, die Verhütung von Straftaten sicherstellt, oder auch als notwendige und verhältnismäßige Maßnahme, die den Schutz "sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses" sicherstellt etwa "im Bereich der öffentlichen Gesundheit".
Bereits 2016 hatte der Rechtswissenschaftler Alexander Roßnagel vorhergesehen, "dass die Mitgliedstaaten von den ihnen durch Art. 23 DSGVO eingeräumten Möglichkeiten der Beschränkung regen Gebrauch machen werden. Dadurch können die […] Betroffenenrechte erheblich relativiert werden." [5] (S. 165)
Worum geht es außerdem?
Mir war von Anfang an sehr wichtig, dass wir möglichst viel auch anonymisiert und pseudonymisiert […] an Daten dort hineinbringen, so verpflichtend wie möglich, mit so wenig Ausweichmöglichkeiten wie möglich - um es mal so zu formulieren.
Jens Spahn
Nicht zuletzt diese Aussage des Bundesgesundheitsministers auf der besagten DMEA-Messe deutet darauf hin, dass es möglicherweise auch um die Deckung des Bedarfs an riesigen Datensätzen geht, der sich vor allem mit Blick auf die in der Regelversorgung des Gesundheitssystems geplanten Big Data-Anwendungen ergibt.
Als sog. "strukturelle Hürden" werden dabei seit Jahren insbesondere die folgenden datenschutzrechtlich verankerten Grundsätze bewertet: das Einwilligungserfordernis sowie die Prinzipien der Datenminimierung und Zweckgebundenheit der Datenverarbeitung.
Spahns Patientendatenregistergesetz hat sämtliche "strukturellen Hürden" erfolgreich aus dem Weg geräumt: Das Einwilligungserfordernis wird unter Berufung auf ein wichtiges Allgemeininteresse beseitigt. Die Gebote der Datenminimierung und Zweckbindung werden v.a. durch die Koppelung einer Vielzahl von z.T. nicht hinreichend konkretisierten Zweckbeschreibungen des Registers umgangen. Und schließlich wird durch den Ausschluss des Widerspruchsrechts der Kontrollverlust des Bürgers hinsichtlich seiner sensibelsten Daten praktisch besiegelt.
Wenn also der Bundesgesundheitsminister auf der DMEA-Messe im April davon schwärmt, dass "auch mit heutigem Datenschutzrecht viel geht", dann bedeutet dies genau das: die Aushöhlung des Datenschutzrechts mit formal legalen Mitteln.
Weshalb hat die Öffentlichkeit diesen Angriff auf ihre Datenschutzrechte nicht bemerkt?
"Der Ökonomie der Aufmerksamkeit zu folgen (Franck 1998), bedeutet für die Regierungskommunikation, das Timing, die Themen und vor allem das Framing der Berichterstattung zu beeinflussen", heißt es in der von der Bertelsmann Stiftung 2008 herausgegebenen Schrift "Kommunikationsreform".
Tatsächlich ist Spahns Erfolg auch das Ergebnis einer herausragenden politischen Kommunikationsstrategie. Allein das Timing war hervorragend: Die Aufmerksamkeit der Öffentlichkeit wird seit Monaten absorbiert durch sehr polarisierende Themen (v.a. Brexit, Trump, Klimabewegung).
Mit unglaublicher Schnelligkeit verfolgt Spahn seine Gesetzesvorhaben. Dadurch wird selbst die kritische Öffentlichkeit förmlich überrannt. Unterstützend wirkt ferner eine geschickte Imagekonstruktion als fleißiger und fürsorglicher Kümmerer. Niemand argwöhnt, dass ausgerechnet dieser sympathische Bundesminister versuchen wird, auf formal legalem Wege dem Datenschutz das Genick zu brechen.
Und schließlich verhindert ein klug gewählter Sicherheits-Frame, der monatelang die ohnehin spärliche Berichterstattung über das Gesetz beherrscht, jede gesellschaftliche Debatte. Dass durch das Gesetz auch bedeutende Datenschutzrechte betroffen sind, erfährt die Bevölkerung ja nicht. Sie muss geradezu davon ausgehen, dass es nur um die Registrierung von Implantatprodukten geht. Der Gesetzesname wird dabei selbst zum politisch strategischen Frame, der, indem er die falsche Tatsache einer bloßen Produktregistrierung vorspiegelt, als Pars-pro-toto-Fehlschluss die Arglosigkeit der Bevölkerung forciert.
Auf diese Weise wurde einer intensiven gesellschaftlichen Diskussion, die angesichts der Tragweite eines solchen Grundrechtseingriffs ganz sicher zu erwarten gewesen war, erfolgreich der Riegel vorgeschoben.
Es ist der 27. September 2019. Spahn hat das Gesetz durchs Parlament gebracht. Jetzt tritt er in einem vom Bundesgesundheitsministerium auch auf YouTube veröffentlichten Erklärvideo vor das Volk. In leicht verständlicher Sprache verkündet er, dass die Regierung den Patienten von nun an "im Alltag begleiten" sowie "unterstützen und helfen" werde und dass das neue Gesetz für den Patienten vor allem "Sicherheit" bedeute, nicht nur im Hinblick auf Implantate:
"Damit gewährleisten wir Datenschutz und Datensicherheit auf höchstem Niveau", versichert der Bundesgesundheitsminister und lächelt.