Spahn unterstellt Patientendaten seiner Aufsicht
Fortsetzung der TP-Recherche: Wie unabhängig ist das Forschungsdatenzentrum? Welche Rolle spielt es bei der geplanten Einrichtung eines EU-Gesundheitsdatenraums?
Hohe Re-Identifikationsgefahr (Schon wieder: Spahn erhöht Datenschutz-Risiko), ungenügende Schutzmaßnahmen, kaum Kontrolle zur Verhinderung von Missbrauch, Weitergabe der Daten auch an Dritte (Spahn öffnet Industrie Hintertür zu Patientendaten). Verbände und Patientenschützer schlagen Alarm. Die Gesellschaft für Informatik spricht von einer "enormen Bedrohung für alle persönlichen und personenbezogenen Gesundheitsdaten".
Die Liste der Datenschutz-Risiken der neuen Datentransparenzverordnung ist eigentlich lang genug - aber noch immer nicht vollständig. Die aus datenschutzrechtlicher Hinsicht wohl fragwürdigste Regelung wird nach wie vor von der Öffentlichkeit nicht wahrgenommen. Aber der Reihe nach.
Spahns neue Datentransparenzverordnung konkretisiert das im November mit dem Digitale-Versorgung-Gesetz erweiterte Verfahren zur Nutzung von Patientendaten in einem Forschungsdatenzentrum. Die Verordnung wird von IT-Experten als Hochsicherheitsrisiko für die sensiblen Patientendaten von 73 Millionen gesetzlich versicherter Bürger bewertet. Viele Bürger hatten deswegen auf ein Eingreifen des Bundesdatenschutzbeauftragten Ulrich Kelber gehofft.
Gegenüber Telepolis hat Kelber dann am 12. August erklärt, er sei selbst "frühzeitig an der Ausgestaltung der Transparenzverordnung" beteiligt gewesen und sehe aktuell "keinen Handlungsbedarf" für aufsichtsrechtliche Maßnahmen (Kelbers ausführliche Stellungnahme hier: Kontroverse: Patientendaten in Gefahr?).
Zur Erinnerung: Das Risiko der Versicherten, im Zuge der Datenauswertung als individuelle Person wieder identifiziert zu werden, ist erheblich gestiegen. Das liegt vor allem an der enormen Erweiterung des Datensatzes und an dem Zurverfügungstellen von bloß pseudonymisierten Einzeldatensätzen nicht nur im Ausnahmefall (Näheres dazu: Schon wieder - Spahn erhöht Datenschutz-Risiko).
Dazu teilte der Bundesdatenschutzbeauftragte mit, dass "der Wegfall der Beschränkung auf den Ausnahmefall und der erweiterte Datensatz [...] sich dem Grunde nach aus gesetzlichen Vorschriften im SGB V" ergeben, "die durch das Digitale-Versorgung-Gesetz neu gefasst wurden". Weiter fährt Kelber fort:
Auch hier waren wir eingebunden. Unsere Anregungen und Änderungswünsche wurden im Rahmen der Ressortabstimmung berücksichtigt.
Kelber
Des Weiteren weist Kelber in seiner Stellungnahme auch auf die in Spahns Verordnung vorgesehenen "flankierende[n] Vorgaben" hin "wie technische und organisatorische Maßnahmen, die die Sicherheit der Daten und vor allem das Persönlichkeitsrecht der Betroffenen schützen".
Aber ob diese Maßnahmen zum Schutz der Persönlichkeitsrechte der Betroffenen ausreichen, erscheint fraglich. Denn was (abgesehen von den bereits genannten Datenschutz-Risiken) trotz enormer Tragweite öffentlich bisher kaum zur Kenntnis genommen wird:
Spahn hat das Forschungsdatenzentrum in das dem Gesundheitsministerium unterstellte Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eingegliedert.
Das Bundesinstitut selbst ist aber auch datennutzungsberechtigt und darf nun gleichzeitig die Anträge auf Datennutzung überprüfen und genehmigen.
Im Klartext: Durch eine Rechtsverordnung (keine Beteiligung des Parlaments) gliedert der Gesundheitsminister das Forschungsdatenzentrum mit seinem gigantischen Pool an sensiblen Patientendaten in eine ihm unterstellte Behörde ein, die Daten-Nutzungsberechtigter und Antragsgenehmiger zugleich ist.
Die Verordnung sieht zwar vor, dass die jeweiligen Abteilungen innerhalb der Behörde räumlich und organisatorisch getrennt werden. Die Kollegen, die auf die Daten für Forschungszwecke zugreifen, dürfen also nicht gleichzeitig für die Genehmigung der Anträge zuständig sein. Es bleibt aber dieselbe Behörde, die noch dazu im Geschäftsbereich des Bundesgesundheitsministeriums tätig ist und unter dessen Aufsicht steht.
Aber das ist noch nicht alles. Der Plan, den Spahn im Rahmen der deutschen EU-Ratspräsidentschaft jetzt vorantreiben will, steht schon fest: Ein europäischer Datenraum, bestehend aus sensiblen Patientendaten. Laut Gesundheitsminister war der Austausch über "ein sinnvolles Zusammenführen von Gesundheitsdaten" am 16.07.2020 bereits Thema des informellen Treffens der EU-Gesundheitsminister im Rahmen der deutschen EU-Ratspräsidentschaft.
Die zunehmend zentralisierte staatliche Sammlung von Gesundheitsdaten im Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) dürfte dabei wegbereitend sein.
So wichtig auch die Arbeit des Bundesinstituts für Arzneimittel und Medizinprodukte ist - die Eingliederung des Forschungsdatenzentrums in eine dem Gesundheitsminister unterstellte Behörde, die Antragsgenehmiger und Datennutzungsberechtigter zugleich ist, erscheint datenschutzrechtlich mehr als fragwürdig.
Auch der Bundesdatenschutzbeauftragte Ulrich Kelber sieht das "sehr kritisch" und hatte - allerdings nur bis zum Inkrafttreten der Verordnung - den Betrieb der Datenbank vorerst gestoppt, wie er Telepolis am 12.08.2020 mitteilte. Eine Ansiedlung des Forschungsdatenzentrums bei einer eigenen, unabhängigen Stelle hält er für "notwendig".
Die Verordnung ist nun seit fast einem Vierteljahr in Kraft getreten. Der Bundesdatenschutzbeauftragte hat zuletzt auf der Bundespressekonferenz vom 19.08.2020 mitgeteilt, er sei in einem "sehr intensiven Gespräch".
Betroffene Bürger, die ihren Sozialdatenschutz verletzt sehen, haben laut Bundesdatenschutzbeauftragtem das Recht, sich "jederzeit an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) [zu] wenden. Als unabhängige Beschwerdeinstanz mit umfassenden Kontrollbefugnissen geht der BfDI den Beschwerden nach und unterrichtet den Betroffenen vom Ergebnis. Die Anfragen und Beschwerden werden vertraulich behandelt. Auf Wunsch des Betroffenen bleibt seine Identität gegenüber der öffentlichen Stelle geheim, über die er sich beschwert [Herv. von uns]." - aus: BfDI-Info 3, Sozialdatenschutz, April 2020