Am 7. November 2019 hat der Bundestag den von der Bundesregierung eingebrachten Entwurf für das „Digitale-Versorgungs-Gesetz“ (im Folgenden DVG) angenommen. Danach sollen die Krankenkassen Patientendaten unter Verwendung sog. „Lieferpseudonyme“ an den Spitzenverband Bund der Krankenkassen als Datensammelstelle übermitteln. In einem weiteren Schritt soll eine Vertrauensstelle dieses Lieferpseudonym in ein einheitliches Pseudonym umwandeln, um so die Daten einer rechtmäßigen Verarbeitung zugänglich machen zu können. Die Bundesregierung verfolgt dabei u.a. das Ziel, bisher nicht oder schlecht genutzte Gesundheitsdaten zur Verarbeitung bereit zu stellen. Durch die Verarbeitung größerer Datenbestände soll die medizinische Versorgung, wie beispielsweise durch die Entwicklung digitaler Gesundheitsanwendungen, wie Apps, erweitert werden.1BT-Drs. 19/13438, S. 1 f.

Datenschutzrechtliches Risiko

Neben dem großen Potential, welches das DVG für die Gesundheitsbranche bietet, offenbart die geplante Verarbeitung von Patientendaten insbesondere hinsichtlich des Datenschutzes und der IT-Sicherheit erhebliche Risiken. Diese Risiken werden im Folgenden, im Lichte der DS-GVO, näher beschrieben und es wird versucht, risikoärmere Alternativen aufzuzeigen.

Anwendbarkeit der DS-GVO

Nach Art. 2 Absatz 1 DS-GVO i.V.m. Art. 4 Nr. 1 DS-GVO umfasst der sachliche Anwendungsbereich der DS-GVO personenbezogene Daten, also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das DVG regelt die Verarbeitung2Art 4 Nr. 2 DS-GVO. von Patientendaten, also u.a. von Informationen über den Namen, die Adresse, die Art der Krankheit oder den Krankheitsverlauf des jeweiligen Patienten, wonach der sachliche Schutzbereich der DS-GVO eröffnet ist. Darüber hinaus handelt es sich bei diesen Daten um sog. Gesundheitsdaten i.S.v. Art. 9 Abs. 1 DS-GVO, deren Verarbeitung im Grundsatz untersagt ist. Nach Art 9 Absatz 2 lit. j DS-GVO ist eine Verarbeitung zum Zwecke der wissenschaftlichen Forschung ausnahmsweise möglich, wenn sie auf Grundlage des Rechts eines Mitgliedstaats erfolgt, in einem angemessenen Verhältnis zum verfolgten Ziel steht, angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorsieht und erforderlich ist. Unter der Bedingung der Erforderlichkeit kommt hier zudem eine Verarbeitung zum Zwecke der Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung3Art 9 Absatz 2 lit. i DS-GVO., sowie eine Verarbeitung zum Zwecke der medizinischen Versorgung4Art 9 Absatz 2 lit. h DS-GVO. in Betracht.5Weichert, in: Kühling/Buchner (Hrsg.), BDSG/DS-GVO, 2. Auflage, 2018, Art. 9 Rn. 130.

Rechtmäßigkeit der Verarbeitung

Die DS-GVO enthält bezüglich der Verarbeitung von personenbezogenen Daten ein grundsätzliches Verbot mit Erlaubnisvorbehalt. Dieser Erlaubnisvorbehalt wird durch den Katalog des Art. 6 Absatz 1 Satz 1 DS-GVO abschließend geregelt. Nach Art. 6 Absatz 1 Satz 1 lit. c DS-GVO ist eine Datenverarbeitung von personenbezogenen Daten rechtmäßig, wenn sie zur Erfüllung rechtlicher Pflichten, denen der Verarbeiter unterliegt, erforderlich ist. Nach § 303 b Absatz 1 SGB V sind die Krankenkassen verpflichtet, Patientendaten für die in § 303 e Absatz 2 SGB V vorgesehenen Zwecke an den Spitzenverband Bund der Krankenkassen als Datensammelstelle zu übermitteln. Da den Krankenkassen so keine eigenverantwortliche Entscheidung über die Datenübermittlung verbleibt, ist von einer rechtlichen Pflicht zur Datenverarbeitung i.S.v. Art. 6 Absatz 1 Satz 1 lit. c DS-GVO auszugehen.6Pabst, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, 2018, Art. 6 Rn. 62. Dass den Krankenkassen zusätzlich die Möglichkeit eröffnet wird, die erhobenen Patientendaten für bestimmte Zwecke selbst auswerten zu dürfen, ändert an der Einordnung als Verarbeitungspflicht nichts.

Anonymisierung und Pseudonymisierung

Ersten datenschutzrechtlichen Bedenken will die im DVG vorgesehene Anonymisierung und Pseudonymisierung von personenbezogenen Daten begegnen. Hierzu sieht beispielsweise Art. 1 DVG die Einfügung eines neuen § 68 a SGB V vor. Danach können Krankenkassen zum Zwecke der Verbesserung der Qualität und der Wirtschaftlichkeit der Versorgung, die Entwicklung digitaler Innovationen fördern.7§ 68 a Absatz 1 Satz 1 SGB V. Um den konkreten Versorgungsbedarf feststellen zu können, dürfen die Krankenkassen die von ihnen (rechtmäßig) erhobenen, versichertenbezogenen Daten im erforderlichen Umfang auswerten.8§ 68 a Absatz 1 Satz 1 SGB V. Dabei sind die Daten vor der Auswertung zu pseudonymisieren, wenn möglich sogar zu anonymisieren.9§ 68 a Absatz 1 Satz 1, 2 SGB V. Problematisch ist allerdings, ob diese Methoden der besonderen Schutzbedürftigkeit der durch die Krankenkassen erhobenen Gesundheitsdaten10Art. 9 Absatz 1 DS-GVO. gerecht werden.

Hiergegen wird vorgebracht, dass es nach dem heutigen Stand der Technik immer häufiger möglich ist, scheinbar anonymisierte oder pseudonymisierte Daten zu de-anonymisieren bzw. zu de-pseudonymisieren.11Schröder, BT-Protokoll Nr. 19/63, S. 17. Hierzu bedarf es nicht einmal der unbefugten Beschaffung der beispielsweise bei der Pseudonymisierung verwendeten kryptografischen Schlüssel oder Pseudonymisierungslisten.12Vgl. Schwartmann/Weiß, Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz 2017, S. 30. Vielmehr besteht die Gefahr darin, dass nicht ausreichend anonymisierte oder pseodonymisierte Daten durch die Kombination mit anderen Datenquellen zu einer Identifizierung der betroffenen Person führen können. Dieses Problem kann insbesondere auftreten, wenn der Verarbeiter über zusätzliches Hintergrundwissen in Form von weiteren Datenquellen verfügt.13Goltz/Grunert/Heuer, De-Anonymisierungsverfahren: Kategorisierung und Anwendung für Datenbankanfragen 2017, S. 9. Andererseits besteht die Gefahr der de-Pseudonymisierung auch, wenn zu kleine Datensätze verwendet werden, da so ein Bezug zwischen den einzelnen pseudonymisierten Daten leichter hergestellt werden kann.14Greis, Viel Kritik an zentraler Sammlung von Patientendaten, Golem.de, 03.11.2019, abrufbar unter: ...continue

Um sich dem Risiko der de-Anonymisierung und de-Pseudonymisierung nicht aussetzen zu müssen, scheint es sinnvoll, auf verschlüsselte Daten zurückzugreifen.15Schröder, BT-Protokoll Nr. 19/63, S. 17. Bei der Verschlüsselung von Daten wird der Klartext der Informationen durch ein Verschlüsselungsverfahren (Kryptosystem) zu einem nicht lesbaren „Geheimtext“ umgewandelt.16Ernestus, in: Simitis, BDSG, 8. Auflage, 2014, § 9 Rn. 166. Die verschlüsselten Daten verlieren dadurch, im Gegensatz zu pseudonymisierten oder nicht ausreichend anonymisierten Daten, jegliche personenbezogene Aussagekraft.17Vgl. Jandt, in: Kühling/Buchner, BDSG/DS-GVO, 2. Auflage, 2018, Art. 32 Rn. 19. Zur Entschlüsselung der Daten bedarf es abhängig vom gewählten Verschlüsselungsverfahren des gleichen oder eines anderen als bei der Verschlüsselung genutzten Schlüssels. Bei der symmetrischen Verschlüsselung ist für die Entschlüsselung der Daten, der Schlüssel, der für die Verschlüsselung verwendet worden ist, nötig.18Schneier, Angewandte Kryptographie, 32 ff. Wurde hingegen eine asymmetrische Verschlüsselung gewählt, weicht der Schlüssel, der zur Verschlüsselung verwendet wurde, vom Schlüssel der Entschlüsselung ab. Jedoch bleiben die Schlüssel rein mathematisch miteinander verbunden.19Jandt, in: Kühling/Buchner, BDSG/DS-GVO, 2. Auflage, 2018, Art. 32 Rn. 19.

Die Verschlüsselung von Daten zeigt, dass die Herstellung eines Personenbezugs ausschließlich bei Kenntnis des jeweiligen Schlüssels möglich ist und schließt somit andere Gefahrenquellen, wie die Kombination mit weiteren Datenbeständen zur Identifizierung, schon rein technisch aus.

Normklarheit

Eine weitere Problematik stellt die Unbestimmtheit einiger im DVG verwendeter Rechtsbegriffe dar. So spricht § 68 a Absatz 5 Satz 1 SGB V von der Auswertung der von den Krankenkassen erhobenen Daten zum Zwecke der Schaffung „digitaler Innovationen“ in der Versorgung. Auch § 68 b Absatz 1 Satz 1 DVG V enthält mit dem Begriff der Förderung von sog. „Versorgungsinnovationen“ einen nicht näher bestimmten Begriff. Die §§ 68 a Absatz 2 SGB V und 68 b Absatz 1 Satz 1 Nr. 1, 2 SGB V versuchen zwar die jeweiligen Begriffe zu konkretisieren, trennscharf gelingt ihnen dies jedoch nicht. Zwar bedürfen Gesetze gerade im Hinblick auf Sachverhalte der Digitalisierung einer gewissen Flexibilität, die durchaus durch die Verwendung von unbestimmten, aber bestimmbaren Rechtsbegriffen ausgestaltet werden kann.20BR-Drs. 360/19, S. 9f. Dennoch erscheint der derzeitige Gesetzestext gerade in Anbetracht des in Art. 5 Absatz 1 lit. c DS-GVO festgelegten Zweckbindungsgrundsatzes, wonach Daten nur für eindeutige Zwecke erhoben werden dürfen, ergänzungsbedürftig.

Verhältnismäßigkeit im engeren Sinne

Im Zusammenhang mit dem Grundsatz der Verhältnismäßigkeit i.e.S., der in Erwägungsgrund 170 S. 2 zur DS-GVO genannt wird, ergibt sich ein weiteres Problem. Danach darf der angestrebte Zweck nicht außer Verhältnis zur Schwere des Eingriffs stehen. Um die Schwere des Eingriffs aus Betroffenensicht beurteilen zu können, ist die Kenntnis des Umfangs und der Art der Datenverarbeitung durch die Krankenkassen nötig. Die Gesetzesbegründung zum DVG führt hierzu aus, dass die Krankenkassen Abrechnungsdaten aus der vertragsärztlichen Versorgung nach § 295 Absatz 2 SGB V, der Arzneimittelverordnung nach § 300 Absatz 1 Nr. 2 SGB V, der stationären Versorgung nach § 301 SGB V und die Abrechnung sonstiger Leistungserbringer nach § 302 Absatz 1 SGB V, auswerten können.21BR-Drs 360/19, S. 10. Welche Daten genau und in welchem Umfang diese erhoben werden, bleibt hingegen unbeantwortet. Dies erscheint gerade im Hinblick auf die im Rahmen der Verhältnismäßigkeit i.e.S. vorzunehmende Abwägung nicht haltbar. Durch die Verarbeitung von Patientendaten, wird den Krankenkassen die Erstellung umfangreicher Gesundheitsprofile ermöglicht, was jedenfalls einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung als möglich erscheinen lässt. Außerdem ermöglicht die Erstellung von Gesundheitsprofilen die Bewertung von Menschen, anhand ihrer pathologischen Eigenschaften und kann so diskriminierende Wirkungen entfalten.22BR-Drs 360/19, S. 10. Aus den genannten Gründen ist das DVG in seiner jetzigen Fassung als unverhältnismäßig anzusehen.

Fazit

Abschließend lässt sich feststellen, dass das DVG in seiner aktuellen Fassung nicht den datenschutzrechtlichen Anforderungen der DS-GVO entspricht. Einerseits sind die Potentiale, die sich durch die Verarbeitung von Patientendaten eröffnen, enorm. Dafür ist zweifelsohne auch eine Digitalisierung in der Gesundheitsbranche für die Bundesrepublik als Digitalisierungsstandort nötig. Andererseits darf hingegen nicht ausgeblendet werden, dass durch die im DVG vorgesehene Datenverarbeitung schwerwiegende Eingriffe in die Rechte der Betroffenen drohen. Um – überspitzt gesagt – eine dem chinesischen „Sozialkreditsystem“23Dorloff/Satra, Auf dem Weg zur totalen Überwachung, Tagesschau.de, 24.03.2019, abrufbar unter: ...continue entsprechende Entwicklung in Deutschland zu vermeiden, sind die Entscheidungsträger dazu aufgefordert, die jetzige Gesetzesfassung nachzubessern und offene Fragen zu konkretisieren.

Referenzen   [ + ]

1. BT-Drs. 19/13438, S. 1 f.
2. Art 4 Nr. 2 DS-GVO.
3. Art 9 Absatz 2 lit. i DS-GVO.
4. Art 9 Absatz 2 lit. h DS-GVO.
5. Weichert, in: Kühling/Buchner (Hrsg.), BDSG/DS-GVO, 2. Auflage, 2018, Art. 9 Rn. 130.
6. Pabst, in: Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, 2018, Art. 6 Rn. 62.
7. § 68 a Absatz 1 Satz 1 SGB V.
8. § 68 a Absatz 1 Satz 1 SGB V.
9. § 68 a Absatz 1 Satz 1, 2 SGB V.
10. Art. 9 Absatz 1 DS-GVO.
11. Schröder, BT-Protokoll Nr. 19/63, S. 17.
12. Vgl. Schwartmann/Weiß, Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz 2017, S. 30.
13. Goltz/Grunert/Heuer, De-Anonymisierungsverfahren: Kategorisierung und Anwendung für Datenbankanfragen 2017, S. 9.
14. Greis, Viel Kritik an zentraler Sammlung von Patientendaten, Golem.de, 03.11.2019, abrufbar unter: https://www.golem.de/news/digitale-versorgung-viel-kritik-an-zentraler-sammlung-von-patientendaten-1911-144767.html, zuletzt abgerufen am 22.11.2019.
15. Schröder, BT-Protokoll Nr. 19/63, S. 17.
16. Ernestus, in: Simitis, BDSG, 8. Auflage, 2014, § 9 Rn. 166.
17. Vgl. Jandt, in: Kühling/Buchner, BDSG/DS-GVO, 2. Auflage, 2018, Art. 32 Rn. 19.
18. Schneier, Angewandte Kryptographie, 32 ff.
19. Jandt, in: Kühling/Buchner, BDSG/DS-GVO, 2. Auflage, 2018, Art. 32 Rn. 19.
20. BR-Drs. 360/19, S. 9f.
21. BR-Drs 360/19, S. 10.
22. BR-Drs 360/19, S. 10.
23. Dorloff/Satra, Auf dem Weg zur totalen Überwachung, Tagesschau.de, 24.03.2019, abrufbar unter: https://www.tagesschau.de/ausland/ueberwachung-china-101.html, zuletzt abgerufen am 22.11.2019.