ePA-Datengesetz - Sie haben den Affen übersehen
Mit Vollgas gegen den Datenschutz - Teil 5
TP-Recherche. Neues Gesetz legalisiert datenbasierte Gesundheitsprofilbildung auch gegen den Willen des Versicherten. Mit einem Verfahrenskniff gelingt Spahn unbemerkt ein weiterer Datenschutzabbau. Was sagt der Bundesdatenschutzbeauftragte dazu?
"Man muss Gesetze kompliziert machen, dann fällt das nicht so auf." Horst Seehofers Nähkästchen-Plauderei hatte im letzten Jahr insbesondere beim Koalitionspartner lautstarke Empörung ausgelöst. Jetzt hat die SPD mitgemacht. Nicht lautstark, sondern still und leise.
Der Verfahrenskniff ist alt und funktioniert eigentlich immer- auch im Fall des am 3. Juli mit den Stimmen der Regierungsfraktionen verabschiedeten Gesetzes "zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur". Das Gesetz enthält die datenschutzrechtlichen Regelungen zur elektronischen Patientenakte, in die Versicherte ab 2021 ihre medizinischen Behandlungsdaten einstellen können.
Kritisiert wird an dem Gesetz v.a. das defizitäre, weil nicht dokumentenbezogene Zugriffsmanagement im ersten Jahr der Einführung, das Fehlen ausreichend hoher Standards der Datensicherheit, unklare Verantwortlichkeiten, das hohe Re-Identifikationsrisiko im Fall der freiwilligen Freigabe der eigenen Gesundheitsdaten für die Forschung und schließlich die Befugnis der Krankenkassen, nach Einwilligung der Versicherten Zugriff auf die Patientenakte zu nehmen.
Aber eine der datenschutzrechtlich fragwürdigsten Regelungen überhaupt - die wird bis heute nicht kritisiert, und zwar weil man sie so gut übersehen kann.
Verantwortlich dafür ist ein beliebter Verfahrenskniff, dessen Funktionsweise einer bewusst ausgelösten Unaufmerksamkeitsblindheit (inattentional blindness) ähnelt:
Die Psychologen Arien Mack und Irvin Rock hatten Versuchspersonen, denen wiederholt ein kurzer visueller Reiz in Form eines Kreuzes dargeboten wurde, die Aufgabe gegeben, zu beobachten, ob jeweils die horizontale oder die vertikale Linie länger sei. In späteren Durchgängen wurde dann unerwartet ein fremdes Objekt mit eingeblendet, das von etwa einem Viertel der Teilnehmer (in späteren Experimenten auch mehr) vollkommen übersehen wurde. Die Psychologen folgerten aus diesem und weiteren Experimenten: Es gibt keine bewusste Wahrnehmung ohne Aufmerksamkeit.
Zu diesem Ergebnis kommt auch das sehr viel bekanntere Gorilla-Experiment. Gut die Hälfte der Versuchspersonen, die sich während eines Basketballspiels darauf konzentrierten, nur die Pässe jenes Teams zu zählen, das weiße Shirts trug, übersah eine Person, die irgendwann im Gorillakostüm seelenruhig mitten durchs Spielfeld lief.
Auf der Ebene von Gesetzgebungsverfahren wird der Affe bevorzugt kurz vor Schluss in den Entwurf gestellt: Auf der Grundlage von Änderungsanträgen der Regierungskoalition wird im federführenden Ausschuss zeitgleich mit einigen "Anpassungen" auch eine Regelung in den Entwurf mit aufgenommen, die bislang gar nicht Gegenstand der öffentlichen Auseinandersetzung war und auf die sich deshalb so kurz vor der entscheidenden Bundestagssitzung wahrscheinlich auch keine mediale Aufmerksamkeit mehr richten wird.
Im vorliegenden Fall ist es der § 68b Abs. 3 SGB V (neu). Er war schon im vergangenen November mit dem unter dem Schlagwort "App auf Rezept" bekannten Digitale-Versorgung-Gesetz beschlossen worden (Wie man Datenschutzabbau als Versorgungsinnovation framet).
Mit diesem Gesetz, das auch die Weitergabe von Gesundheitsdaten an die Forschung erzwang, hatten Krankenkassen das Recht erhalten, durch Kooperation mit Unternehmen und durch den Erwerb von Anteilen an Investmentfonds die Entwicklung sog. digitaler Innovationen (z.B. digitaler Medizinprodukte) zu fördern und dazu die - noch nicht einmal anonymisierten - Daten der Versicherten für eine marktorientierte Bedarfsanalyse auszuwerten.
Mit §68b SGB V erhielten die Kassen schließlich die Befugnis, die bei ihnen gespeicherten Daten der Versicherten auch noch für ein individualisiertes "Angebot" auszuwerten, allerdings nur sofern der Versicherte ausdrücklich einer solchen Datenauswertung zustimmt.
Und jetzt die Überraschung: Das Einwilligungserfordernis ist weg. Still und leise gestrichen.
So lautete die alte Fassung des § 68b Abs. 3 SGB V:
Die Krankenkassen dürfen die Auswertung von Daten eines Versicherten nach Absatz 1 und die Unterbreitung von Informationen und Angeboten nach Absatz 2 jedoch nur vornehmen, wenn die oder der Versicherte zuvor schriftlich oder elektronisch eingewilligt hat, dass ihre oder seine personenbezogenen Daten zur Erstellung von individuell geeigneten Informationen oder Angeboten zu individuell geeigneten Versorgungsinnovationen verarbeitet werden [...].
Ursprüngliche Fassung des § 68b Abs. 3 SGB V
Und so lautet dagegen die neue Fassung des § 68b Abs. 3 SGB V:
Die Teilnahme an Maßnahmen nach Absatz 2 ist freiwillig. Die Versicherten können der gezielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. Die Krankenkassen informieren die Versicherten bei der ersten Kontaktaufnahme zum Zwecke der Information oder des Unterbreitens von Angeboten nach Absatz 2 über die Möglichkeit des Widerspruchs.
Aktuelle Fassung des § 68b Abs. 3 SGB V
Wer sich jetzt hoffnungsvoll an das immerhin noch gewährte Widerspruchsrecht klammert, der sollte noch einmal genauer hinschauen: Das Widerspruchsrecht bezieht sich ausdrücklich nur auf die "gezielte Information" sowie die "Unterbreitung von Angeboten", nicht aber auf die Datenauswertung selbst (Ausnahme laut Gesetzesbegründung: Direktwerbung).
Auch enttäuscht wird, wer eine rechtsstaatlichen Prinzipien genügende Begründung für diesen Eingriff in das informationelle Selbstbestimmungsrecht erwartet. In der Begründung zum geänderten Gesetzentwurf heißt es hierzu lax:
"Das vormals bestehende Einwilligungserfordernis entfällt, da es sich nicht als praktikabel erwiesen hat."
In seiner Stellungnahme zum Digitale-Versorgung-Gesetz hatte der Bundesrat bereits letztes Jahr eindringlich vor "erhebliche[n] Risiken für die Persönlichkeitsrechte der Versicherten" und der "Gefahr der Diskriminierung von einzelnen oder bestimmten Risikogruppen" durch "individuelle Gesundheitsprofile" gewarnt. Jetzt hat Spahn leise nachgelegt und diese erheblichen Risiken für die Persönlichkeitsrechte der Versicherten im ePA-Gesetz noch einmal drastisch erhöht.
Um es deutlich zusammenzufassen: Während das kritische Augenmerk vom Bundesdatenschutzbeauftragten und von zur Anhörung geladenen Sachverständigen wie etwa dem Chaos Computer Club monatelang u.a. auf die im Gesetzentwurf vorgesehene umstrittene Befugnis der Krankenkassen gerichtet war, mit Einwilligung der Versicherten auf die elektronische Patientenakte zuzugreifen, streicht die Regierungskoalition unbemerkt an anderer Stelle im Fünften Buch Sozialgesetzbuch in Bezug auf eine andere Regelung, die mit den neuen Regelungen zur EPA eigentlich gar nichts zu tun hat, das bisher vorgesehene Einwilligungserfordernis für eine individuelle Gesundheitsprofile ermöglichende Datennutzung durch die Krankenkassen. (Anmerkung: "in Bezug auf eine andere Regelung, die mit den neuen Regelungen zur EPA eigentlich gar nichts zu tun hat" wurde ergänzt, um MIssverständnisse zu vermeiden. Es handelt sich hier nicht um das Einwilligungserfordernis zum Zugriff auf die EPA. Dies besteht weiterhin.)
Die 73 Millionen gesetzlich versicherter Bürger ahnen von alledem nichts. Jetzt kann eigentlich nur noch der Bundesdatenschutzbeauftragte Ulrich Kelber eingreifen. Denn es gehört zum Kernbereich seiner Aufgaben, die Bürger über Risiken, Gesetze und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten aufzuklären. Mehr noch: Zum Schutz der Persönlichkeitsrechte der Bürger ermöglicht ihm die Datenschutzgrundverordnung sogar, aufsichtsrechtliche Maßnahmen zu ergreifen.
Telepolis hatte den Bundesdatenschutzbeauftragten am 24. 07. 2020 um eine datenschutzrechtliche Bewertung der Änderung des §68b Abs. 3 SGB V gebeten. Die Presseanfrage wurde nicht beantwortet. Wir haben jetzt nachgehakt und Ulrich Kelber ergänzend folgende Fragen zur Gesetzesänderung gestellt:
1. Beabsichtigen Sie, die Bevölkerung über diese datenschutzrechtlich wichtige Gesetzesänderung und die damit einhergehenden Risiken für ihre Persönlichkeitsrechte aufzuklären?
2. Welche rechtlichen Möglichkeiten haben die betroffenen Bürger, sich gegen eine solche datenschutzrechtlich fragwürdige Nutzung ihrer Sozialdaten zu wehren?
3. Welche aufsichtsrechtlichen Maßnahmen können Sie diesbezüglich zum Schutz der Persönlichkeitsrechte von 73 Millionen gesetzlich versicherter Bürger ergreifen?
Telepolis wird zeitnah berichten.
TP-Serie zum Datenschutzabbau im Gesundheitswesen:
Teil 1 Implantateregister-Errichtungsgesetz
Teil 2 Digitale-Versorgung-Gesetz
Teil 3 Terminservice- und Versorgungsgesetz
Teil 4 Pandemiegesetz