Wie man Datenschutzabbau als Versorgungsinnovation framet

Der fleißige Herr Spahn: Mit Vollgas gegen den Datenschutz - Teil 2

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Unbemerkt von der Öffentlichkeit geht der Datenschutzabbau in die nächste Runde. Spahns Digitale-Versorgung-Gesetz, bekannt als "App auf Rezept", plant digitale "Innovationen" auf Kosten des informationellen Selbstbestimmungsrechts der Bürger (Teil 1: Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz).

Das Wichtigste zuerst

  • Das am 27. September in erster Lesung beratene "Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation" sieht vor, dass gesetzliche Krankenkassen durch inhaltliche Kooperation mit Unternehmen und durch den Erwerb von Anteilen an Investmentfonds direkt an der Entwicklung und Erprobung von digitalen Medizinprodukten beteiligt werden sollen.

  • Zu diesem Zweck sollen sie die rechtliche Grundlage dafür erhalten,

    1. ohne Einwilligung der Versicherten die personenbezogenen Daten von rund 72 Millionen gesetzlich versicherter Bürger für eine versichertenbezogene Bedarfsanalyse auszuwerten,

    2. Digitalprodukte (niedriger Risikoklasse) ohne Nachweis eines medizinischen Nutzens und ohne ärztliche Verordnung in einer Erprobungsphase für den Einsatz an Versicherten nach deren Einwilligung testen zu dürfen sowie

    3. ohne Einwilligung der Versicherten eine umfassende Datensammlung an den Spitzenverband Bund der Krankenkassen zu schicken. Dieser reicht die Einzeldatensätze pseudonymisiert an ein staatliches "Forschungszentrum" weiter, das wiederum u.a. für die endgültige Zulassung der Digitalprodukte zuständig ist. Hier werden die Daten abermals ohne Einwilligung der Versicherten zu vielfältigen Zwecken verarbeitet und (auf Antrag auch pseudonymisiert) einer Vielzahl von Interessengruppen zur Nutzung zugänglich macht.

  • Der Bundesrat schlägt Alarm. In seiner Stellungnahme warnt er eindringlich vor "erhebliche[n] Risiken für die Persönlichkeitsrechte der Versicherten", vor der "Gefahr der Diskriminierung" durch "individuelle Gesundheitsprofile" sowie vor dem "Reidentifikationsrisiko". Es bestünden "ganz erhebliche Zweifel" an der Verhältnismäßigkeit der vom Gesetz vorgesehenen Datenverarbeitung. Der Bundesrat fordert daher "eine umfassende Überprüfung der Regelungen unter dem Gesichtspunkt des Sozialdatenschutzes". -In einer Gegenäußerung weist der Gesundheitsminister bzw. die Bundesregierung die Kritik des Bundesrates zurück. Man beruft sich dabei auch auf den Bundesbeauftragten für Datenschutz Ulrich Kelber, unter dessen Beteiligung die entsprechenden Regelungen "intensiv hinsichtlich der Einhaltung der Grundsätze der Normenklarheit, der Erforderlichkeit, der Zweckbindung und der Verhältnismäßigkeit geprüft" worden seien (Abschnitt Nr. 8).

  • Das Gesetz soll am 07. November beschlossen werden. Es bedarf nicht der Zustimmung des Bundesrates und soll am 01. Januar 2020 in Kraft treten.

Welcher Datenschutzabbau erfolgt bei der Produktentwicklung?

Um in inhaltlicher Kooperation mit Unternehmen die Entwicklung neuer Digitalprodukte zu fördern, sollen die gesetzlichen Krankenkassen die Befugnis erhalten, ohne Einwilligung der rund 72 Millionen Versicherten die gespeicherten personenbezogenen Daten pseudonymisiert zur zielgerichteten Bedarfsanalyse auszuwerten. Darüber hatte die Plattform netzpolitik.org bereits im Juli berichtet.

Welche Daten im Zuge der Auswertung "versichertenbezogen zusammengeführt" sollen, konkretisiert die Gesetzesbegründung im Referentenentwurf [5]: Alter, Geschlecht, sozioökonomische Faktoren zur "Analyse [...] von Nutzerpräferenzen bestimmter Versicherungsgruppen", des Weiteren Abrechnungsdaten aus der vertragsärztlichen Versorgung, der Arzneimittelverordnung, der stationären Versorgung und anderer Leistungserbringer.

Mit scharfen Worten kritisiert die Bundesärztekammer die geplante Datenschutzverletzung:

Die Bundesärzteschaft lehnt es ab, dass Sozialdaten - ohne Zustimmung der Versicherten - mittelbar zur Generierung von Geschäftsmodellen von Unternehmen der Informationstechnologie genutzt werden.

Bundesärztekammer

Sozialdaten sind als personenbezogene Daten rechtlich geschützt.

Gesundheitsdaten (Teil der Sozialdaten) stehen dabei aufgrund ihrer existenziellen Bedeutung auch in pseudonymisierter Form unter besonderem rechtlichen Schutz. Sie dürfen grundsätzlich nicht verarbeitet werden (Art. 9 Abs. 1 DSGVO).

Zwar gibt es rechtlich vorgesehene Ausnahmen (Art. 9 Abs. 2 DSGVO), die auch Krankenkassen eine Verarbeitung unter Beachtung bestimmter Grundsätze erlauben. Ohne Einwilligung erfolgende Bedarfsanalysen zu Marktforschungszwecken gehören aber nicht dazu.

Daher beruft sich Spahn wie schon beim sog. Implantate-Register-Gesetz auf ein schutzwürdiges Allgemeininteresse im Bereich der öffentlichen Gesundheit: Die Datenverarbeitung sei rechtmäßig, heißt es in der Gesetzesbegründung, da

die Auswertung der Daten zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist.

Der Versuch, die Einschränkung von Datenschutzrechten unter Berufung auf "hohe Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung" zu begründen (Art. 9 Abs. 2 lit. i DSGVO), ist recht kühn, bedenkt man, dass hier Digitalprodukte in die Versorgung eingebracht werden sollen, die zum Zeitpunkt ihrer Einführung und für weitere 12 Monate nicht einmal den Nachweis eines medizinischen Nutzens erbringen müssen und darüber hinaus ohne jede Indikationsstellung ärztlicherseits von den Krankenkassen selbst verordnet werden dürfen.

Welcher Datenschutzabbau erfolgt bei der Einführung der Produkte?

Um digitale Gesundheitsprodukte zudem schneller in die Versorgung einzuführen, ist es den Krankenkassen erlaubt, den Versicherten mit deren Einwilligung auch ohne ärztliche Verordnung ein individuelles "Angebot" zu unterbreiten. Hierfür dürfen sie laut geplantem Gesetz zusätzliche Daten erheben und speichern.

Fraglich ist allerdings, ob diese "Angebote" angesichts des ungleichen Abhängigkeitsverhältnisses zwischen Krankenkasse und einzelnem Versicherten noch dem datenschutzrechtlich verankerten Gebot der Freiwilligkeit der Einwilligung entsprechen oder ob sie nicht eher zu jenen "Angeboten" gehören, die, um mit Don Corleone zu sprechen, nicht abgelehnt werden können.

Erhebliche Zweifel bestehen außerdem an der Verhältnismäßigkeit der Datenverarbeitung, wie der Bundesrat in seiner Stellungnahme ausführt:

Die personenbezogene Zusammenführung und Auswertung ermöglicht den Krankenkassen in großem Umfang individuelle Gesundheitsprofile ihrer Versicherten zu erstellen. Dies birgt erhebliche Risiken für die Persönlichkeitsrechte der Versicherten und die Gefahr der Diskriminierung von einzelnen oder bestimmten Risikogruppen. Gerade angesichts der Weite der potenziellen Nutzungen der Daten bestehen ganz erhebliche Zweifel, ob der Grundsatz der Verhältnismäßigkeit gewahrt bleibt.

Bundesrat

Welcher Datenschutzabbau erfolgt bei der Nutzung der Daten im "Forschungszentrum"?

Die massive Sozialdatensammlung - bestehend aus Informationen über Alter, Geschlecht, sozioökonomische Faktoren, Wohnort, Krankenhausbehandlungen, ambulante ärztl. Versorgung, die Versorgung mit Heil- und Hilfsmitteln und digitale Gesundheitsanwendungen, die Versorgung durch Hebammen sowie Versorgung durch andere Leistungserbringer - wird einem "staatlichen Forschungsdatenzentrum" zugeführt. Dies geschieht auf dem Weg der ohnehin erfolgenden Meldung von Krankenkassendaten für den morbiditätsorientierten Risikostrukturausgleich.

Das entscheidende Puzzlesteil zum Gesamtbild: Dieses "Forschungsdatenzentrum" entsteht, so hatte die FAZ bereits im Juli berichtet, aus der Fusion der bisherigen Datenaufbereitungsstelle (in der übrigens auch die umfassenden Patientendaten für das Implantate-Register verarbeitet werden) mit dem dem Gesundheitsminister direkt nachgeordneten Bundesinstitut für Arzneimittel und Medizinprodukte, das auch für die endgültige Zulassung der digitalen Medizinprodukte zuständig sein soll.

So entsteht nicht nur ein riesiges staatliches Patientendatenzentrum, sondern zugleich ein perfekt organisierter Datenkreislauf zur Entwicklung, Erprobung und Zulassung von Digitalprodukten auf Kosten des informationellen Selbstbestimmungsrechts der Versicherten.

Und auch das gehört zum Gesamtbild: Bereits 2017 hat die Bundesregierung im Rahmen des Bundesversorgungsgesetzes die Möglichkeiten der Sozialdatennutzung zu Forschungszwecken erheblich ausgeweitet. Spahn will nun diese Möglichkeiten ein weiteres Mal ausdehnen: "Die Nutzungsmöglichkeit zu Forschungszwecken wird offener gefasst", heißt es in der Gesetzesbegründung, und zwar u.a. zugunsten des "Nachweises der positiven Versorgungseffekte" der eingeführten digitalen Medizinprodukte.

Das erweiterte Datenangebot darf im "Forschungsdatenzentrum" aber nicht nur für den ebenfalls erweiterten Forschungszweck verarbeitet werden, sondern auch noch für eine Reihe anderer Zwecke wie etwa für bestimmte "politische Entscheidungen" oder für die "Gesundheitsberichterstattung des Bundes und der Länder".

Der Bundesrat kritisiert, dass bei dieser "umfangreiche [n] Nutzung der Daten" "weder die bislang geltenden Beschränkungen für die Übermittlung von Sozialdaten zu Forschungszwecken (vgl. § 75 SGB X: Abwägung und grundsätzlich Einwilligungserfordernis) noch die nach der bisherigen Fassung geltende Begrenzung des in Betracht kommenden Bereichs der Forschungsthemen (vgl. die geltende Fassung des § 303e Abs. 2 Nummer 4 SGB V)" beachtet werden. Weiter heißt es in der Stellungnahme:

Daten mit erhöhter Gefahr der Reidentifizierung [...] sollen bereits dann zugänglich gemacht werden dürfen, wenn der Antragsteller nur 'nachvollziehbar darlegt', dass die Verarbeitung solcher Daten für seinen Zweck erforderlich sei. Es fehlt an einer klaren Regelung zur Abwägung des angestrebten Nutzens mit dem Reidentifikationsrisiko und dem Persönlichkeitsrecht der Betroffenen. Auch hier bestehen erhebliche Zweifel, ob mit den Regelungen §§ 303 a ff. SGB V der Grundsatz der Verhältnismäßigkeit im Hinblick auf die Persönlichkeitsrechte der Versicherten gewahrt bleibt.

Bundesrat

Das Ausmaß der Datennutzung zeigt die folgende Liste der Nutzungsberechtigten, die auch den Zugang zu pseudonymisierten Einzeldatensätzen (nach Verpflichtung zur Geheimhaltung) erhalten können:

die für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene, der Spitzenverband Bund der Krankenkassen, die Bundes- und Landesverbände der Krankenkassen, die Krankenkassen, die Kassenärztlichen Bundesvereinigungen und Kassenärztlichen Vereinigungen, die Institutionen der Gesundheitsberichterstattung des Bundes und der Länder, die Institutionen der Gesundheitsversorgungsforschung, die Hochschulen sowie außeruniversitäre Forschungseinrichtungen und sonstige Einrichtungen, die Daten zur unabhängigen wissenschaftlichen Forschung benötigen, der Gemeinsame Bundesausschuss, das Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen, das Institut des Bewertungsausschusses, die Beauftragte für Patientenbelange, maßgebliche Selbsthilfeorganisationen chronisch kranker und behinderter Menschen auf Bundesebene, das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen, das Institut für das Entgeldsystem im Krankenhaus, die für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden sowie übrige oberste Bundesbehörden, die Bundesärztekammer, die Bundeszahnärztekammer, die Bundespsychotherapeutenkammer sowie die Bundesapothekenkammer und schließlich die Deutsche Krankenhausgesellschaft.

Weshalb bemerkt die Öffentlichkeit nichts von der erneuten Gefährdung ihrer Grundrechte?

Dass im Interesse eines zentralen staatlichen Zugriffs auf sensible Gesundheitsdaten zunehmend Datenschutzgrundsätze ausgehebelt werden (s. auch sog. Implantateregister-Gesetz), ist nicht unproblematisch, bedenkt man, dass Datenschutzrechte von den Grundrechten abgeleitet werden und damit zu den Abwehrrechten gegen den Staat zählen.

Mindestens genauso bedenklich aber ist aus der Perspektive einer demokratischen Gesellschaft, dass eine notwendige gesellschaftliche Debatte hierüber ausbleibt. Das ist u.a. auf folgende Elemente einer sehr professionellen politisch-strategischen Regierungskommunikation zurückzuführen:

  • ein Innovations-Frame, dessen Verwendung nicht nur in Deutschland als grundlegend für eine Akzeptanz stiftende Kommunikation über 'Digitalisierung im Gesundheitswesen' gilt. Damit verbunden: Ein optimistischer Fortschritts-Frame, der sich laut dem Sprachwissenschaftler George Lakoff auch in Bewegungsmetaphern der Vorwärtsbewegung widerspiegelt, die wiederum unsere unbewussten Denkstrukturen von Zukunft als etwas räumlich vor uns Liegendes aktivieren würden (z.B. Spahn bringt auf den Weg, treibt voran, will vorankommen, ebnet den Weg, leitet erste Schritte ein, aber auch: Deutschland hinkt hinterher, muss aufholen usw.),

  • eine gezielte Überforderung der Medien durch einen täglichen Tsunami an neuen einzelnen Informationsschnipseln aus dem Gesundheitsministerium mit dem Ergebnis, dass selbst für kritische Journalisten die dahinter liegenden Zusammenhänge kaum noch erkennbar sind,

  • das Unsichtbarmachen von Datenschutzabbau auch in Form von Gesetzesnamen, die alles andere als eine Einschränkung von Grundrechten vermuten lassen ("Bundesversorgungsgesetz", "Implantateregister-Errichtungsgesetz", "Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation"), und schließlich

  • stete öffentlichkeitswirksame Beteuerungen des Gesundheitsministers, dass ihm der Datenschutz " sehr sehr sehr wichtig" ist.

Dass Jens Spahn als Gesundheitsminister dem Datenschutz besondere Aufmerksamkeit widmen würde, hätte man spätestens seit seinem 2016 erschienenen Buch "App vom Arzt" ahnen können:

Am Ende unseres Buches möchten wir feststellen, dass unsere - zugegeben etwas provokante These, dass Datenschutz nur was für Gesunde ist, nicht ganz stimmt. Er ist in der heutigen überdrehten Form auch nichts für Gesunde. […] Wir sind keine Fanatiker und wollen den Datenschutz nicht völlig abschaffen. Aber wir müssen ihn überprüfen und dort, wo er hinderlich ist, anders formulieren.

Jens Spahn