Symbolbild für Datentransparenzverfahren

Datentransparenzverfahren – Die Zukunft von Patientendaten

Gesundheitsdaten gehören zu den sensibelsten Daten einer Person. Gleichzeitig informieren sie auch repräsentativ über aktuelle gesellschaftliche Entwicklungen, die Häufigkeit von Krankheiten oder den Bedarf an bestimmten Medikamenten. Das Datentransparenzverfahren soll die pseudonymisierte Weitergabe von Gesundheitsdaten an die Forschung ermöglichen.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2022-12-09

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Gesundheitsdaten gehören zu den sensibelsten Daten einer Person. Gleichzeitig geben sie in einer repräsentativen Menge auch Aufschluss über neueste Entwicklungen in der Gesellschaft, die Häufigkeit von Krankheiten oder die Notwendigkeit von bestimmten Medikamenten.

Kurz: Die Daten, die durch Krankenkassen erfasst und gespeichert werden, sind äußerst relevant für die Forschung. Das Datentransparenzverfahren soll die pseudonymisierte Weitergabe von Gesundheitsdaten an die Forschung ermöglichen. Doch welche Rolle spielt der Datenschutz dabei? Und welche Risiken bringt dieses Vorgehen mit sich? In diesem Artikel erfahren Sie mehr.

Sie benötigen individuelle Unterstützung? Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend zum Datenschutz beraten. Nehmen Sie jederzeit Kontakt zu uns auf.

Das Wichtigste in Kürze 

  • Das Datentransparenzverfahren sieht vor, dass gesetzliche Krankenkassen als Datensammelstelle handeln und Gesundheitsdaten aller Versicherten den Forschungsinstituten zur Verfügung stellen. Dadurch soll die medizinische Versorgung, die Innovationskraft und die Arbeitsplatzsituation in Deutschland verbessert werden. 
  • Um keine Rückschlüsse auf einzelne Patienten ziehen zu können, sollen die Datensätze und Patientenakten pseudonymisiert werden. Kritiker sehen den Datenschutz gefährdet.
  • Zwar werden keine einzelnen Datensätze an die Forschungsinstitute herausgegeben, die Daten geben aber Aufschluss über den Gesundheitsverlauf des ganzen Lebens. Patienten mit seltenen Krankheiten ziehen bereits vor Gericht, weil sie Rückschlüsse auf ihre Person befürchten. Eine Klage erreichte bereits das Bundesverfassungsgericht.

Was ist das Datentransparenzverfahren?

Aktuell sind rund 73 Millionen Deutsche bei einer gesetzlichen Krankenkasse registriert - es handelt sich also um eine sehr große Datenmenge, die der Forschung zur Verfügung gestellt werden soll. Werden diese Daten jedoch nicht ausreichend geschützt, geben sie Fremden tiefe Einblicke in die privatesten Bereiche unseres Lebens.

Ziel des Datentransparenzverfahrens ist es, Gesundheitsdaten durch die Krankenkassen zu sammeln und der Forschung zur Verfügung zu stellen. So sollen wichtige Erkenntnisse für die gesundheitliche Versorgung der Bevölkerung gewonnen werden.

Gesundheitsdaten stehen in der DSGVO unter einem besonderen Schutz (Art. 9 Abs. 1 DSGVO). Das hierzu in Kraft getretene Gesetz der Bundesregierung weicht diesen Schutz jedoch deutlich auf, um repräsentative Daten der Forschung zur Verfügung stellen zu können.

Im September 2020 stellte das Bundesministerium für Gesundheit, damals unter der Leitung von Jens Spahn, eine sogenannte Roadmap vor. Darin waren weitere Schritte in diese Richtung definiert.

Neben dem Ziel, Gesundheitsdaten der Bevölkerung für die Forschung nutzbar zu machen, waren noch drei tiefergehende Visionen darin verankert:

  1. Durch wissenschaftsbasierte Auswertung die Patientenversorgung verbessern,
  2. Durch die Analyse der Daten den medizinischen Fortschritt vorantreiben,
  3. Die Innovationskraft Deutschlands steigern und dadurch Arbeitsplätze sichern und Wohlstand ausbauen.

Hierzu sollen bis 2025 die Strukturen zur digitalen Gesundheitsversorgung und -forschung weiter ausgebaut werden, aber auch die Datensicherheit vorangetrieben werden. Grundsätzlich soll aber, so das Papier, der Gesundheitssektor immer weiter digitalisiert werden.

Rechtsquellen:

Datenschutz durch Pseudonymisierung ausreichend?

Neben digitalen Patientenakten und weiteren Schritten zur Digitalisierung in der Gesundheitsbranche ist seither festgeschrieben, dass Patientendaten bereits bei den Krankenkassen pseudonymisiert werden. So können Gesundheitsdaten ohne Namen und Krankenversichertennummer an das Robert-Koch-Institut (RKI) weitergegeben werden.

Dabei dürfen Forschungszentren keine Einzeldatensätze, sondern nur gesammelte Datensätze erhalten. Die pseudonymisierten Gesundheitsdaten sollen keine Rückschlüsse auf einzelne Patienten zulassen.

Datenschützer kritisieren insbesondere, dass die weitergegebenen Daten von den Krankenkassen lediglich pseudonymisiert werden:

Bei einer Pseudonymisierung werden nur der Name und andere Angaben durch eine Kennziffer oder ein Kennzeichen ersetzt, um eine Identifizierung zu erschweren. Anders als bei einer Anonymisierung ist es aber nicht unmöglich, die betroffene Person zu identifizieren.

Bei einer Anonymisierung lassen sich Informationen hingegen nicht mehr auf eine Person beziehen, etwa durch Vorenthalten des Wohnortes und anderer Informationen. Rückschlüsse auf die Identität einer Person sind hier also wesentlich unwahrscheinlicher als bei einer Pseudonymisierung.

Während bei den meisten Menschen das Risiko einer Identifizierung gering ausfällt, ist das Identifizierungsrisiko bei Menschen mit seltenen Krankheiten oder Leiden signifikant erhöht. Es ist daher anzunehmen, dass insbesondere diese Menschen von einem erhöhten Missbrauchsrisiko im Hinblick auf ihre Daten betroffen sind.

Datentransparenzverfahren sorgt für Bedenken im Datenschutz

Fraglich ist außerdem, ob das Datentransparenzverfahren mit der DSGVO und den Werten auf EU-Ebene in Einklang steht.

Unter Datenschützern ist die Rechtslage eindeutig:

  • Neben der fehlenden Anonymisierung räumt das Datentransparenzverfahren Betroffenen jedenfalls kein Widerspruchsrecht ein, welches nach der DSGVO für Datenverarbeitungen jeglicher Art aber zwingend vorgeschrieben ist.
  • Darüber hinaus ist durch die fehlenden Auskunftsrechte wohl auch der grundrechtliche Schutz der informationellen Selbstbestimmung zumindest eingeschränkt.

In jedem Fall ist es Aufgabe des Staates, die Datenschutzbedenken aus dem Weg zu räumen und die Gesundheitsdaten von Millionen gesetzlich versicherter Bürger bestmöglich vor Missbrauch zu schützen.

DVG vor Gericht: Warum sich Klagen gegen das Datentransparenzverfahren häufen

Bereits im März 2020 kam es zu einer einstweiligen Anordnung im Eilverfahren beim Bundesverfassungsgericht (BVerfG). Der Kläger befürchtete, durch das DVG trotz Pseudonymisierung identifiziert zu werden.

Dieser Vorwurf liege insbesondere darin begründet, dass er an einer seltenen Erbkrankheit leide, die in Kombination mit anderen Angaben in seiner Patientenakte zu seiner Identifikation führen könne.

Das Bundesverfassungsgericht hat nach Vornahme einer Folgenabwägung die einstweilige Anordnung mit folgender Begründung abgelehnt:

  • Es konnte zwar nicht ausgeschlossen werden, dass tiefe Eingriffe in das Persönlichkeitsrecht möglich seien, jedoch fehle es an einer konkreten Betroffenheit des Antragstellers. Schließlich war es noch nicht zu einer Identifizierung anhand der Daten gekommen.
  • Erst wenn die Anonymisierung im konkreten Fall fehlschlagen würde, sei ein erheblicher Grundrechtseingriff gegeben. Daher überwogen für das Gericht die drohenden Nachteile für die Forschung, sollte die Regelung vorläufig außer Kraft gesetzt werden.
  • Das Bundesverfassungsgericht stellte aber klar, dass erst in einer zu erhebenden Verfassungsbeschwerde im Hauptsacheverfahren umfassende Abwägungen getroffen und das Gesetz endgültig beurteilt werden könne. Das letzte Wort ist hier also noch nicht gesprochen.

Eine weitere Klage wurde durch ein Mitglied des Chaos-Computer-Clubs vor dem Sozialgericht Berlin in Gang gesetzt:

  • Seit Mitte Oktober wird darüber verhandelt, ob die Gesundheitsdaten aller gesetzlich Versicherten in Deutschland der Forschung zur Verfügung gestellt werden dürfen.
  • Die Klägerin fürchtet, dass durch Datenlecks und unzureichende Datenschutzmechanismen ihre Daten in falsche Hände gelangen könnten. Sie kritisierte nicht die Datensammlung als solche, sondern den zu erwartenden Mangel an Datenschutz.
  • Das Sozialgericht machte deutlich, erst einmal selbst den Fall behandeln zu wollen, statt den Fall direkt an den Europäischen Gerichtshof weiterzugeben. Wie das Urteil ausfällt, ist noch unklar. 

Fazit

Der Zweck des Datentransparenzverfahrens ist klar und zum Teil auch nachvollziehbar, denn nur durch Forschung können die Medizin und die Patientenversorgung in Deutschland weiter vorangetrieben werden. Spätestens seit der Corona-Pandemie ist deutlich, wie wichtig die Auswertung von Gesundheitsdaten ist.

Mithilfe von anonymisierten Gesundheitsdaten könnte die Forschung neue Trends und Bedürfnisse der Bevölkerung erkennen. Eine Voraussetzung dabei ist, dass es sich um große bzw. repräsentative Datenmengen handeln muss, die eine ordentliche Grundlage für Erkenntnisse bietet. 

Dabei darf jedoch nicht der Datenschutz unter den Tisch fallen. Wenn die Gesundheitsdaten in die falschen Hände gelangen, sind nicht nur einzelne Personen gefährdet, sondern unter Umständen auch die aus der Forschung gewonnenen Erkenntnisse.

Forschung und Datenschutz müssen zusammen gedacht werden. Der Vorrang der Forschung muss also da enden, wo der Datenschutz beginnt - und hieran lässt sich arbeiten.

Sie haben offene Fragen oder benötigen individuelle Hilfe? Gerne beraten unsere Rechtsexperten Sie zu Ihrem individuellen Fall. Dafür stellen wir Ihnen bei Bedarf unsere Full-Service-Lösungen vor. Kommen Sie für ein persönliches Gespräch jederzeit auf uns zu.
 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 09.12.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr