Zum Inhalt springen
Viele Menschen laufen über einen Großstadt-Zebrastreifen Photo by Ryoji Iwata on Unsplash
Freiheit im digitalen Zeitalter
Art. 1, 2

Datenleak verhindern: Gesundheitsdaten-Datenbank von 73 Millionen gesetzlich Versicherter

Die Daten von 73 Millionen gesetzlich Versicherten zu Forschungszwecken sind in Gefahr: Wir klagen zum Schutz vor Missbrauch

Informationen über unsere Gesundheit gehören zu den sensibelsten Daten, die über uns gespeichert werden. Deshalb müssen sie besonders gut geschützt werden. Das neue „Digitale-Versorgungs-Gesetz“ (DVG) droht diesen Schutz nun aufzuweichen. Bis zum 1. Oktober 2022 werden die Daten von 73 Millionen gesetzlich Versicherten zu Forschungszwecken vollautomatisch in einer zentralen Datenbank zusammengeführt und dann immer weiter ergänzt. Ein Widerspruchsrecht gegen die Weitergabe gibt es nicht. Die Nutzung von Gesundheitsdaten zu Forschungszwecken im Wohl der Allgemeinheit ist grundsätzlich sinnvoll. Die für die neue Gesundheitsdatenbank bislang gesetzlich vorgesehenen Schutzstandards reichen jedoch nicht aus. Gemeinsam mit der Informatikerin Constanze Kurz und einem weiteren Kläger mit einer seltenen Krankheit reichte die GFF erfolgreiche Eilanträge gegen die Sammlung bei den Sozialgerichten in Berlin und Frankfurt ein. Die Hauptsacheverfahren sind noch anhängig. Das Ziel ist es zu erreichen, dass die Daten der Versicherten bestmöglich geschützt werden, um einen Missbrauch zu verhindern. Zudem muss es möglich sein, gegen die Datenverarbeitung Widerspruch einzulegen.
Bijan Moini

Bijan Moini

Legal Director und Syndikus

„Niemand will Gesundheitsforschung verhindern. Aber das Gesetz sieht weder ausreichende Schutzstandards noch moderne Verschlüsselungsmethoden vor – das ist fahrlässig und gefährlich. Wenn Gesundheitsdaten einmal in falsche Hände geraten, kann das nicht mehr rückgängig gemacht werden.“

Bis zum 1. Oktober 2022 werden die gesetzlichen Krankenkassen umfangreiche Gesundheitsdaten zu Forschungszwecken in eine Datensammlung einspeisen. Grundlage hierfür ist das 2019 in Kraft getretene „Digitale-Versorgung-Gesetz“ (DVG). Zu den Daten zählen unter anderem ärztliche Diagnosen, Daten zu Krankenhausaufenthalten, zu Operationen und zu Medikamenten ihrer Versicherten. Die Informationen werden nach und nach aufgestockt und bis zu 30 Jahre gespeichert. Davon betroffen sind 73 Millionen gesetzlich Versicherte und damit fast 90 % aller Menschen in Deutschland.

Grundsätzlich ist es sinnvoll, Gesundheitsdaten bestimmten staatlichen Stellen und der Wissenschaft zur Verfügung zu stellen. Die Gesundheitsdaten der gesetzlichen Krankenversicherungen sind eine wertvolle Ressource, die im öffentlichen Interesse nicht ungenutzt bleiben sollte. Wenn die Daten der Forschung zugänglich gemacht werden, kann auch die öffentliche Gesundheitsversorgung besser evaluiert und weiterentwickelt werden. Das DVG zielt auch darauf ab, innovative Technologien im Rahmen der Digitalisierung des Gesundheitsbereichs zu fördern.

Bislang vorgesehener Schutz ist unzureichend

Bislang sollen die Daten bei der vollautomatisierten Weitergabe lediglich pseudonymisiert werden. Das bedeutet, dass der Name, der Geburtstag und -monat der versicherten Person entfernt werden. Ein im Auftrag der GFF erstelltes Gutachten des Kryptographie-Professors Dominique Schröder zeigt jedoch, dass eine solche Pseudonymisierung nicht davor schützt, dass Menschen re-identifiziert werden. Dies birgt ein erhebliches Missbrauchsrisiko, insbesondere da keine Pflicht zur Nutzung moderner Verschlüsselungstechnik besteht, um die Daten zu sichern.

Die gesetzliche Regelung der Gesundheitsdatenbank muss sich sowohl an der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) als auch am deutschen Grundgesetz messen lassen. Das Fehlen eines Widerspruchsrechts verstößt gegen das Grundrecht auf informationelle Selbstbestimmung und gegen Artikel 21 DSGVO.

Vor allem für besonders schutzbedürftige Menschen wie jene mit einer seltenen oder stigmatisierenden Erkrankung muss ein Widerspruchsrecht bestehen. Es darf nicht sein, dass Stellen wie etwa Ärztevereinigungen, Hochschulen sowie oberste Bundesbehörden auch gegen den erklärten Willen der Betroffenen Zugriff auf diese intimen und sensiblen Daten erhalten. Besonders schutzbedürftige Menschen müssen im Fall von Datenmissbrauch oder Datenlecks persönliche Nachteile wie etwa Ansehensverlust, Ausgrenzung oder finanzielle Verluste fürchten. Deshalb haben sie ein besonders großes Interesse an der Vertraulichkeit ihrer Daten.

Aus dem Recht auf informationelle Selbstbestimmung ergibt sich darüber hinaus auch die staatliche Schutzpflicht, Daten so gut wie möglich und mit der besten Technik vor Missbrauch zu schützen. Wichtige Forschung zugunsten des Allgemeinwohls muss so ermöglicht werden, dass dabei keine Grundrechte verletzt werden.

Externer Inhalt von YouTube

Es gelten die Datenschutzbestimmungen von YouTube, wenn Sie externen Inhalt aufrufen.

Eine animierte Zusammenfassung zum Thema Gesundheitsdaten-Datenbank

Hohe Schutzstandards und ein Widerspruchsrecht

Die GFF will mit Eilanträgen und Klagen gerichtlich feststellen lassen, dass für die Gesundheitsdatenbank hohe IT-Sicherheitsstandards gelten müssen. Dies betrifft die Zusammenführung der Datensätze vor der Pseudonymisierung, die zentrale Speicherung der pseudonymisierten Datensätze sowie die Verarbeitung der Daten durch die Nutzungsberechtigten. Zudem soll ein Widerspruchsrecht zumindest für besonders Schutzbedürftige anerkannt und festgeschrieben werden.

Die erste von der GFF unterstützten Klägerin, Constanze Kurz, Sprecherin des Chaos Computer Club und Informatikerin, befürchtet, dass die Sicherheitsmängel zu einem gefährlichen Datenleck führen könnten. Der zweite Kläger hat eine seltene Krankheit und hat Sorge, trotz Pseudonymisierung seiner Daten leicht re-identifiziert zu werden und z.B. bei der Jobsuche diskriminiert zu werden. Der Kläger und die Klägerin werden vor Gericht von GFF-Kooperationsanwalt Prof. Matthias Bäcker (Uni Mainz) vertreten.

Die Klage des Klägers mit einer seltenen Krankheit läuft vor dem Sozialgericht Frankfurt als Eilverfahren (Aktenzeichen: S 220 SF 12-22 DS ER) und als Hauptsacheverfahren (Aktenzeichen: S 220 SF 13-22 DS). Das Eilverfahren war in zweiter Instanz vor dem LSG Darmstadt erfolgreich, das Hauptsacheverfahren steht noch aus.

Forschungsdatenzentrum hat kein Sicherheitskonzept - Fall zunächst ruhend gestellt

Das Eilverfahren von Constanze Kurz vor dem Sozialgericht Berlin (Aktenzeichen S 25 KR 932-22 ER) war ebenfalls erfolgreich. Aktuell ist auch hier das Hauptsacheverfahren (Aktenzeichen S 25 KR 1222-22 DS) noch anhängig. Der zweite Verhandlungstermin fand am 15. Februar 2023 statt. Der Termin war kürzer als gedacht, denn das Forschungsdatenzentrum teilte mit, dass es noch immer nicht wie vorgesehen arbeite, dass noch kein Sicherheitskonzept vorliege und dass der Dienstleister, der zum Betrieb der Datenbank erforderlich sei, ausgetauscht werden müsse. All das werde mindestens bis ins zweite Halbjahr 2023 dauern. Damit fehlt auf absehbare Zeit eine entscheidende Komponente zur Vervollständigung des Sachverhalts. Das Gericht schlug deshalb vor, dass wir das Verfahren ruhend stellen, bis das Forschungsdatenzentrum wisse, wie es eigentlich genau arbeiten werde. Dem haben die Beteiligten zugestimmt.

Ein Schwarzer Mann sitzt im Rollstuhl und hat eine Sonnenbrille auf während er lächelt

FREEDOM NEEDS FIGHTERS

FREIHEIT BRAUCHT STARKE FREUND*INNEN

Grundrechte verteidigen.
Fördermitglied werden!