Am 7. November 2019 hat der Bundestag den von der Bundesregierung eingebrachten Entwurf für das „Digitale-Versorgungs-Gesetz“ (im Folgenden DVG) angenommen. Danach sollen die Krankenkassen Patientendaten unter Verwendung sog. „Lieferpseudonyme“ an den Spitzenverband Bund der Krankenkassen als Datensammelstelle übermitteln. In einem weiteren Schritt soll eine Vertrauensstelle dieses Lieferpseudonym in ein einheitliches Pseudonym umwandeln, um so die Daten einer rechtmäßigen Verarbeitung zugänglich machen zu können. Die Bundesregierung verfolgt dabei u.a. das Ziel, bisher nicht oder schlecht genutzte Gesundheitsdaten zur Verarbeitung bereit zu stellen. Durch die Verarbeitung größerer Datenbestände soll die medizinische Versorgung, wie beispielsweise durch die Entwicklung digitaler Gesundheitsanwendungen, wie Apps, erweitert werden.[1]
Datenschutzrechtliches Risiko
Neben dem großen Potential, welches das DVG für die Gesundheitsbranche bietet, offenbart die geplante Verarbeitung von Patientendaten insbesondere hinsichtlich des Datenschutzes und der IT-Sicherheit erhebliche Risiken. Diese Risiken werden im Folgenden, im Lichte der DSGVO, näher beschrieben und es wird versucht, risikoärmere Alternativen aufzuzeigen.
Anwendbarkeit der DS-GVO
Nach Art. 2 Absatz 1 DSGVO i.V.m. Art. 4 Nr. 1 DSGVO umfasst der sachliche Anwendungsbereich der DS-GVO personenbezogene Daten, also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das DVG regelt die Verarbeitung[2] von Patientendaten, also u.a. von Informationen über den Namen, die Adresse, die Art der Krankheit oder den Krankheitsverlauf des jeweiligen Patienten, wonach der sachliche Schutzbereich der DSGVO eröffnet ist. Darüber hinaus handelt es sich bei diesen Daten um sog. Gesundheitsdaten i.S.v. Art. 9 Abs. 1 DSGVO, deren Verarbeitung im Grundsatz untersagt ist. Nach Art 9 Absatz 2 lit. j) DSGVO ist eine Verarbeitung zum Zwecke der wissenschaftlichen Forschung ausnahmsweise möglich, wenn sie auf Grundlage des Rechts eines Mitgliedstaats erfolgt, in einem angemessenen Verhältnis zum verfolgten Ziel steht, angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorsieht und erforderlich ist. Unter der Bedingung der Erforderlichkeit kommt hier zudem eine Verarbeitung zum Zwecke der Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung[3], sowie eine Verarbeitung zum Zwecke der medizinischen Versorgung[4] in Betracht.[5]
Rechtmäßigkeit der Verarbeitung
Die DSGVO enthält bezüglich der Verarbeitung von personenbezogenen Daten ein grundsätzliches Verbot mit Erlaubnisvorbehalt. Dieser Erlaubnisvorbehalt wird durch den Katalog des Art. 6 Absatz 1 Satz 1 DSGVO abschließend geregelt. Nach Art. 6 Absatz 1 Satz 1 lit. c) DSGVO ist eine Datenverarbeitung von personenbezogenen Daten rechtmäßig, wenn sie zur Erfüllung rechtlicher Pflichten, denen der Verarbeiter unterliegt, erforderlich ist. Nach § 303b Absatz 1 SGB V sind die Krankenkassen verpflichtet, Patientendaten für die in § 303e Absatz 2 SGB V vorgesehenen Zwecke an den Spitzenverband Bund der Krankenkassen als Datensammelstelle zu übermitteln. Da den Krankenkassen so keine eigenverantwortliche Entscheidung über die Datenübermittlung verbleibt, ist von einer rechtlichen Pflicht zur Datenverarbeitung i.S.v. Art. 6 Absatz 1 Satz 1 lit. c) DSGVO auszugehen.[6] Dass den Krankenkassen zusätzlich die Möglichkeit eröffnet wird, die erhobenen Patientendaten für bestimmte Zwecke selbst auswerten zu dürfen, ändert an der Einordnung als Verarbeitungspflicht nichts.
Anonymisierung und Pseudonymisierung
Ersten datenschutzrechtlichen Bedenken will die im DVG vorgesehene Anonymisierung und Pseudonymisierung von personenbezogenen Daten begegnen. Hierzu sieht beispielsweise Art. 1 DVG die Einfügung eines neuen § 68 a SGB V vor. Danach können Krankenkassen zum Zwecke der Verbesserung der Qualität und der Wirtschaftlichkeit der Versorgung, die Entwicklung digitaler Innovationen fördern.[7] Um den konkreten Versorgungsbedarf feststellen zu können, dürfen die Krankenkassen die von ihnen (rechtmäßig) erhobenen, versichertenbezogenen Daten im erforderlichen Umfang auswerten.[8] Dabei sind die Daten vor der Auswertung zu pseudonymisieren, wenn möglich sogar zu anonymisieren.[9] Problematisch ist allerdings, ob diese Methoden der besonderen Schutzbedürftigkeit der durch die Krankenkassen erhobenen Gesundheitsdaten[10] gerecht werden.
Hiergegen wird vorgebracht, dass es nach dem heutigen Stand der Technik immer häufiger möglich ist, scheinbar anonymisierte oder pseudonymisierte Daten zu de-anonymisieren bzw. zu de-pseudonymisieren.[11] Hierzu bedarf es nicht einmal der unbefugten Beschaffung der beispielsweise bei der Pseudonymisierung verwendeten kryptografischen Schlüssel oder Pseudonymisierungslisten.[12] Vielmehr besteht die Gefahr darin, dass nicht ausreichend anonymisierte oder pseodonymisierte Daten durch die Kombination mit anderen Datenquellen zu einer Identifizierung der betroffenen Person führen können. Dieses Problem kann insbesondere auftreten, wenn der Verarbeiter über zusätzliches Hintergrundwissen in Form von weiteren Datenquellen verfügt.[13] Andererseits besteht die Gefahr der de-Pseudonymisierung auch, wenn zu kleine Datensätze verwendet werden, da so ein Bezug zwischen den einzelnen pseudonymisierten Daten leichter hergestellt werden kann.[14]
Um sich dem Risiko der de-Anonymisierung und de-Pseudonymisierung nicht aussetzen zu müssen, scheint es sinnvoll, auf verschlüsselte Daten zurückzugreifen.[15] Bei der Verschlüsselung von Daten wird der Klartext der Informationen durch ein Verschlüsselungsverfahren (Kryptosystem) zu einem nicht lesbaren „Geheimtext“ umgewandelt.[16] Die verschlüsselten Daten verlieren dadurch, im Gegensatz zu pseudonymisierten oder nicht ausreichend anonymisierten Daten, jegliche personenbezogene Aussagekraft.[17] Zur Entschlüsselung der Daten bedarf es abhängig vom gewählten Verschlüsselungsverfahren des gleichen oder eines anderen als bei der Verschlüsselung genutzten Schlüssels. Bei der symmetrischen Verschlüsselung ist für die Entschlüsselung der Daten, der Schlüssel, der für die Verschlüsselung verwendet worden ist, nötig.[18] Wurde hingegen eine asymmetrische Verschlüsselung gewählt, weicht der Schlüssel, der zur Verschlüsselung verwendet wurde, vom Schlüssel der Entschlüsselung ab. Jedoch bleiben die Schlüssel rein mathematisch miteinander verbunden.[19]
Die Verschlüsselung von Daten zeigt, dass die Herstellung eines Personenbezugs ausschließlich bei Kenntnis des jeweiligen Schlüssels möglich ist und schließt somit andere Gefahrenquellen, wie die Kombination mit weiteren Datenbeständen zur Identifizierung, schon rein technisch aus.
Normklarheit
Eine weitere Problematik stellt die Unbestimmtheit einiger im DVG verwendeter Rechtsbegriffe dar. So spricht § 68a Absatz 5 Satz 1 SGB V von der Auswertung der von den Krankenkassen erhobenen Daten zum Zwecke der Schaffung „digitaler Innovationen“ in der Versorgung. Auch § 68b Absatz 1 Satz 1 DVG V enthält mit dem Begriff der Förderung von sog. „Versorgungsinnovationen“ einen nicht näher bestimmten Begriff. Die §§ 68a Absatz 2 SGB V und 68b Absatz 1 Satz 1 Nr. 1, 2 SGB V versuchen zwar die jeweiligen Begriffe zu konkretisieren, trennscharf gelingt ihnen dies jedoch nicht. Zwar bedürfen Gesetze gerade im Hinblick auf Sachverhalte der Digitalisierung einer gewissen Flexibilität, die durchaus durch die Verwendung von unbestimmten, aber bestimmbaren Rechtsbegriffen ausgestaltet werden kann.[20] Dennoch erscheint der derzeitige Gesetzestext gerade in Anbetracht des in Art. 5 Absatz 1 lit. c DS-GVO festgelegten Zweckbindungsgrundsatzes, wonach Daten nur für eindeutige Zwecke erhoben werden dürfen, ergänzungsbedürftig.
Verhältnismäßigkeit im engeren Sinne
Ein weiteres Problem stellt sich im Zusammenhang mit dem Grundsatz der Verhältnismäßigkeit i.e.S., der in Erwägungsgrund 170 S. 2 zur DSGVO genannt wird. Danach darf der angestrebte Zweck nicht außer Verhältnis zur Schwere des Eingriffs stehen. Um die Schwere des Eingriffs aus Betroffenensicht beurteilen zu können, ist die Kenntnis des Umfangs und der Art der Datenverarbeitung durch die Krankenkassen nötig. Die Gesetzesbegründung zum DVG führt hierzu aus, dass die Krankenkassen Abrechnungsdaten aus der vertragsärztlichen Versorgung nach § 295 Absatz 2 SGB V, der Arzneimittelverordnung nach § 300 Absatz 1 Nr. 2 SGB V, der stationären Versorgung nach § 301 SGB V und die Abrechnung sonstiger Leistungserbringer nach § 302 Absatz 1 SGB V, auswerten können.[21] Welche Daten genau und in welchem Umfang diese erhoben werden, bleibt hingegen unbeantwortet. Dies erscheint gerade im Hinblick auf die im Rahmen der Verhältnismäßigkeit i.e.S. vorzunehmende Abwägung nicht haltbar. Durch die Verarbeitung von Patientendaten, wird den Krankenkassen die Erstellung umfangreicher Gesundheitsprofile ermöglicht, was jedenfalls einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung als möglich erscheinen lässt. Außerdem ermöglicht die Erstellung von Gesundheitsprofilen die Bewertung von Menschen, anhand ihrer pathologischen Eigenschaften und kann so diskriminierende Wirkungen entfalten.[22] Aus den genannten Gründen ist das DVG in seiner jetzigen Fassung als unverhältnismäßig anzusehen.
Fazit
Abschließend lässt sich feststellen, dass das DVG in seiner aktuellen Fassung nicht den datenschutzrechtlichen Anforderungen der DSGVO entspricht. Einerseits sind die Potentiale, die sich durch die Verarbeitung von Patientendaten eröffnen, enorm. Dafür ist zweifelsohne auch eine Digitalisierung in der Gesundheitsbranche für die Bundesrepublik als Digitalisierungsstandort nötig. Andererseits darf hingegen nicht ausgeblendet werden, dass durch die im DVG vorgesehene Datenverarbeitung schwerwiegende Eingriffe in die Rechte der Betroffenen drohen. Um – überspitzt gesagt – eine dem chinesischen „Sozialkreditsystem“[23] entsprechende Entwicklung in Deutschland zu vermeiden, sind die Entscheidungsträger dazu aufgefordert, die jetzige Gesetzesfassung nachzubessern und offene Fragen zu konkretisieren.
[1] BT-Drs. 19/13438, S. 1 f.
[2] Art 4 Nr. 2 DSGVO.
[3] Art 9 Absatz 2 lit. i) DSGVO.
[4] Art 9 Absatz 2 lit. h) DSGVO.
[5] Weichert, in: Kühling/Buchner (Hrsg.), BDSG/DS-GVO, 2. Auflage, 2018, Art. 9 Rn. 130.
[6] Pabst, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, 2018, Art. 6 Rn. 62.
[7] § 68 a Absatz 1 Satz 1 SGB V.
[8] § 68 a Absatz 1 Satz 1 SGB V.
[9] § 68 a Absatz 1 Satz 1, 2 SGB V.
[10] Art. 9 Absatz 1 DSGVO.
[11] Schröder, BT-Protokoll Nr. 19/63, S. 17.
[12] Vgl. Schwartmann/Weiß, Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz 2017, S. 30.
[13] Goltz/Grunert/Heuer, De-Anonymisierungsverfahren: Kategorisierung und Anwendung für Datenbankanfragen 2017, S. 9.
[14] Greis, Viel Kritik an zentraler Sammlung von Patientendaten, Golem.de, 03.11.2019, zuletzt abgerufen am 22.11.2019.
[15] Schröder, BT-Protokoll Nr. 19/63, S. 17.
[16] Ernestus, in: Simitis, BDSG, 8. Auflage, 2014, § 9 Rn. 166.
[17] Vgl. Jandt, in: Kühling/Buchner, BDSG/DS-GVO, 2. Auflage, 2018, Art. 32 Rn. 19.
[18] Schneier, Angewandte Kryptographie, 32 ff.
[19] Jandt, in: Kühling/Buchner, BDSG/DS-GVO, 2. Auflage, 2018, Art. 32 Rn. 19.
[20] BR-Drs. 360/19, S. 9f.
[21] BR-Drs 360/19, S. 10.
[22] BR-Drs 360/19, S. 10.
[23] Dorloff/Satra, Auf dem Weg zur totalen Überwachung, Tagesschau.de, 24.03.2019, zuletzt abgerufen am 22.11.2019.