Eigentlich sollten Patientendaten mit dem Digitale Versorgung‐Gesetz sicherer gemacht werden. Jetzt gilt das Gesetz seit gut 12 Wochen. Und sowohl Gesundheitspolitiker als auch Ärzte und Patientenvertreter fordern schon Nachbesserungen. Damit sollen die schlimmsten Sicherheitspannen und Datenschutzprobleme ausgebügelt werden – zum Beispiel bei der Weitergabe von Abrechnungsdaten aus Arztpraxen und Kliniken an Forschungseinrichtungen. Dabei geht es unter anderem um Diagnosen, Verordnungen von Arzneimitteln und Therapieanweisungen. Die Krankenkassen müssen solche persönlichen Abrechnungsdaten an ihren Spitzenverband Bund der Krankenkassen weiterleiten. Die Patienten können dem nicht widersprechen. Gespeichert werden die Daten dann in einem Forschungsdatenzentrum, unverschlüsselt und lediglich pseudonymisiert. Dabei wird der Name des Versicherten durch eine Identitätsnummer oder ein ähnliches Kennzeichen ersetzt. Auf den Versicherten‐Namen kann jederzeit wieder zurückgerechnet werden. Bei der Anonymisierung wird der Name dagegen entfernt.
Pseudonymisiert ist nicht gleich anonymisiert
Die FDP‐Bundestagsabgeordnete Christina Aschenberg‐Dugnus kritisiert, dass nur pseudonymisiert wird.
"Eine bloße Pseudonymisierung reicht eben nicht aus, das wurde von allen Seiten bestätigt. Und noch ein Punkt: Wer ist eigentlich datenschutzrechtlich verantwortlich im Sinne der Datenschutz‐ Grundverordnung? Weiß hier niemand, ist nicht geregelt."
Ungeregelt ist auch, welche Forschungseinrichtungen auf diese personenbeziehbaren Abrechnungsdaten zugreifen dürfen und wie diese Daten dann geschützt werden sollen. Dr. Achim Kessler von der Fraktion Die Linke befürchtet da Schlimmes. Unter zustimmendem Beifall der Oppositionsparteien sagte er im Deutschen Bundestag.
"Es ist nicht ausgeschlossen, dass diese Daten auch privaten, wirtschaftsnahen Forschungseinrichtungen zur Verfügung gestellt werden und dann grenzüberschreitend an Dritte weitergereicht werden. Sie fließen dann auch an IT‐Unternehmen im Ausland. "
IT‐Unternehmen sind da oft als Dienstleister für die Forschungslabore der Pharma‐ Unternehmen tätig. Der Rat der Sicherheitsexperten ist hier übrigens eindeutig. Peter Bauer, Deutschlandchef vom IT‐Sicherheitsunternehmen McAfee, empfiehlt strikte Anonymisierung, wenn medizinische Versorgungs‐ und Abrechnungsdaten an Forschungslabore oder Universitäten weitergegeben werden.
"Das ist die absolute Sorgfaltspflicht, die dort stattfinden muss. Anonymisieren der Daten macht natürlich Sinn. Das ist ein Schritt, um die Datensicherheit auch im Forschungsbereich zu gewährleisten. Aber ansonsten muss man ganz einfach sagen: Wenn man heute Datenflüsse, Informationsflüsse betrachtet, muss man sie immer Ende‐zu‐Ende betrachten, das heißt von dort, wo sie entstehen, bis zu dem, der sie verarbeitet. Ein Datensatz für die Forschung, den muss ich anders behandeln als einen Datensatz für die Behandlung von Patienten. Die Datensicherheit muss im gleichen Maße gewährleistet werden."
Pharmaunternehmen interessieren sich für die Daten
Die meisten Forschungsinstitute haben gar kein Interesse daran, aus Datensätzen auf die Identität einzelner Patienten zurückzurechnen. Bei den Forschungsabteilungen von Pharmaunternehmen sieht das schon anders aus. Pharmafirmen sind an diesen Patientendaten interessiert, weil sie so auch den Erfolg ihrer Außendienstler besser kontrollieren können. Mit rückgerechneten Daten kann nämlich ermittelt werden, ob ein bestimmter Arzt nach dem Besuch eines Pharma‐Vertreters signifikant öfter ein bestimmtes Medikament verordnet hat. Die Zuordnung zu einem Arzt erfolgt in diesem Fall über die rückgerechneten Patientennamen. Auch deshalb fordern die Grünen im deutschen Bundestag Nachbesserungen am Digitale‐Versorgung‐Gesetz. Die Abgeordnete Maria Klein‐Schmeink hält das für nötig,
"…weil, wie in der letzten Wahlperiode, eine klare Strategie fehlt. Gemeinsam mit den Patientinnen und Nutzerinnen, mit deren Verbänden müssen wir die gesundheitspolitischen Ziele festlegen, müssen wir alle Akteure an den Tisch bringen und schauen, wie wir daraus vernünftige Strategien herleiten. Und genau das ist nicht passiert."
Spahn: Viele Patienten wollten ihre Daten spenden
Dem widerspricht Bundesgesundheitsminister Jens Spahn, insbesondere anhand des Beispiels der Gesundheits‐Apps, die gemäß dem Digitale‐Versorgung‐Gesetz von Ärzten als Kassenleistung verschrieben werden können. Da zeige sich, dass die Patienten eine hohe Bereitschaft hätten, ihre Gesundheitsdaten zur Verfügung zu stellen. Nur müssten solche Gesundheits‐Apps eben wirklich nachprüfbar medizinisch sinnvoll sein. Jens Spahn.
"Die Wahrheit ist doch, dass es heute überhaupt keine Orientierung gibt. Die Apps sind alle da. Kann jeder downloaden, kann jeder sich herunterladen. Und keiner sortiert mal, welche App im Gesundheitswesen hat tatsächlich einen Mehrwert, wo es nicht nur schönes Marketing, wo es nicht nur Gimmick?"
Was allerdings mit den Patientendaten geschieht, die in diesen Gesundheits‐Apps erzeugt und verarbeitet werden, regelt das Gesetz nur unzureichend. Teilweise landen diese Daten in den Cloud der App‐Hersteller. An wen sie von dort aus weitergegeben werden, weiß niemand. Der Patient wird zwar bei der Installation solcher Apps auf die mögliche Weitergabe seiner Daten an Dritte aufmerksam gemacht. Doch viele Nutzer von Gesundheits‐Apps nehmen diesen Hinweis gar nicht zur Kenntnis. Die Diskussion über ein zweites Digitale‐Versorgung‐Gesetz dürfte also noch spannend werden.
