Durch das Digitale-Versorgung-Gesetz vom 9.12.2019 wurden durch den damaligen Gesundheitsminister Spahn eine Vertrauensstelle und ein Forschungsdatenzentrum (FDZ) unter Aufsicht des BMG geschaffen, für die es im § 303a Abs. 2 SGB V hieß: „Sie unterliegen dem Sozialgeheimnis nach § 35 des Ersten Buches“.
Das Forschungsdatenzentrum, das derzeit beim Bundesinstitut für Arzneimittel und Medizinprodukte aufgebaut wird, soll zukünftig die Erschließung aller Gesundheitsdaten der gesetzlich Krankenversicherten in Deutschland ermöglichen. Nach dem Referentenentwurf für ein Gesundheitsdatennutzungsgesetz (GDNG) gehören dazu dann auch (ggf. noch fehlerhafte) Abrechnungsdaten aus der vertragsärztlichen Versorgung – vor deren sachlicher und rechnerischer Berichtigung durch die Kassenärztlichen Vereinigungen. Diese Daten müssen nach den BMG-Plänen zusätzlich zum regulären Abrechnungslauf bereits vier Wochen nach Quartalsende von der KV an die Krankenkassen und von dort an das Forschungsdatenzentrum übermittelt werden. Damit sollen sie beschleunigt für Forschungszwecke und Zwecke des ministeriell gesteuerten FDZ verfügbar sein, welche Zwecke auch immer eine um 4,5 Wochen vorverlegte Kenntnis unbereinigter Daten rechtfertigen. Die bisherige Höchstfrist von 30 Jahren für die Aufbewahrung von Einzeldatensätzen wird gestrichen und dies mit dem Bedarf an Längsschnittuntersuchungen begründet. Damit werden zukünftig alle Gesundheitsdaten der Versicherten (d. h. Stammdaten der Kassen, Abrechnungsdaten der Ärzte und Psychotherapeuten, Krankheits- und Leistungsdaten anderer Leistungserbringer einschl. der in der ePA gespeicherten Daten) auf unbegrenzte Zeit im Forschungsdatenzentrum gespeichert.
Streichung des Sozialgeheimnisschutzes
Vor diesem Hintergrund lässt folgende Passage des GDNG-Entwurfes aufmerken: In § 303a SGB V werden die Wörter „unterliegen dem Sozialgeheimnis nach § 35 des Ersten Buches“ gestrichen. Damit entfällt die Fortgeltung folgender Regelungen:
1) Jeder hat Anspruch darauf, dass die ihn betreffenden Sozialdaten (§ 67 Absatz 2 Zehntes Buch) von den Leistungsträgern nicht unbefugt verarbeitet werden (Sozialgeheimnis). Die Wahrung des Sozialgeheimnisses umfasst die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sozialdaten der Beschäftigten und ihrer Angehörigen dürfen Personen, die Personalentscheidungen treffen oder daran mitwirken können, weder zugänglich sein noch von Zugriffsberechtigten weitergegeben werden.
Warum soll dieser Sozialgeheimnisschutz für die Vertrauensstelle und für das Forschungsdatenzentrum nicht bestehen bleiben? Das BMG gibt dafür folgende kurze Begründung: „“Der Verweis, dass die Vertrauensstelle und das Forschungsdatenzentrum dem Sozialgeheimnis unterliegen, wird gestrichen, da dies bei Behörden entbehrlich ist.“ Diese Begründung macht misstrauisch, denn im § 35 Abs. 1 SGB I werden viele andere Behörden ausdrücklich genannt:
… die Verbände der Leistungsträger, die Arbeitsgemeinschaften der Leistungsträger und ihrer Verbände, die Datenstelle der Rentenversicherung, die in diesem Gesetzbuch genannten öffentlich-rechtlichen Vereinigungen, Integrationsfachdienste, die Künstlersozialkasse, die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist, die Behörden der Zollverwaltung, soweit sie Aufgaben nach § 2 des Schwarzarbeitsbekämpfungsgesetzes und § 66 des Zehnten Buches durchführen, die Versicherungsämter und Gemeindebehörden sowie die anerkannten Adoptionsvermittlungsstellen (§ 2 Absatz 3 des Adoptionsvermittlungsgesetzes), soweit sie Aufgaben nach diesem Gesetzbuch wahrnehmen, und die Stellen, die Aufgaben nach § 67c Absatz 3 des Zehnten Buches wahrnehmen. Die Beschäftigten haben auch nach Beendigung ihrer Tätigkeit bei den genannten Stellen das Sozialgeheimnis zu wahren.
Hier wird sich die Regierung im Anhörungsverfahren vor den Bundestags-abgeordneten rechtfertigen müssen, falls die Ausnahme des BMG-Forschungsdatenzentrums vom Sozialgeheimnisschutz im kommenden Kabinettsentwurf immer noch enthalten ist.
Verzicht auf Strafen bei Datenmissbrauch
In einer früheren Entwurfsfassung zum GDNG waren noch strafrechtliche Konsequenzen für Verstöße gegen das Gesetz durch Personen enthalten, die zur Speicherung und Verarbeitung von Gesundheitsforschungsdaten berechtigt sind. Im offiziellen Referentenentwurf sind diese Sanktionen wieder entfernt wurden. Schon der Versuch zur Herstellung von Personenbezügen zu Versicherten oder zu Leistungserbringern sollte ursprünglich strafbar sein, die Offenbarung fremder personenbezogener Gesundheitsdaten, die für Forschungszwecke bereitgestellt wurden, sollte mit bis zu drei Jahren Freiheitsentzug bestraft werden können.
Stattdessen ist jetzt lediglich noch vorgesehen, dass bei Datenschutzverstößen wie z. B. vorsätzlicher Re-Identifizierung von Einzelpersonen oder Unternehmen die forschenden Einrichtungen vom Datenzugang ausgeschlossen werden können. Für Datenschutzverstöße des Personals des Forschungsdatenzentrums bzw. der Krankenkassen sind durch den Verzicht auf Strafbarkeit gar keine speziellen Sanktionen mehr geregelt. Dies korrespondiert mit der oben erwähnten Streichung des Sozialgeheimnisschutzes und sollte die Warnlampe von Bürgerrechtsverteidigern leuchten lassen.
Keine Grenzen für Spähprogramme der Kassen
Verarbeitung von versichertenbezogenen Gesundheitsdaten für Forschungsvorhaben der Krankenkassen und der Kassenärztlichen Vereinigungen bedurften bisher der Zustimmung durch die Landesdatenschutzbeauftragten, für länderübergreifende Auswertungen gab es eine Regelung zur Hauptverantwortung beim Datenschutz. Diese Einschränkung wird für die Kranken- und Pflegekassen im GDNG-Entwurf aufgehoben. Die Kassen sollen „zum individuellen Gesundheitsschutz ihrer Versicherten, zur Verbesserung der Versorgung und zur Verbesserung der Patientensicherheit“ jegliche elektronische Auswertung der bei ihnen umfassend verfügbaren Daten vornehmen dürfen. Sie können zukünftig auf dieser Datenbasis ihre Versicherten individuell ansprechen und beraten.
„Niemand hat die Absicht, eine Mauer zu bauen“ sagte DDR-Chef Walter Ulbricht 1961 zwei Monate vor dem Bau der Berliner Mauer. „Niemand hat die Absicht, dass Krankenkassen demnächst ihre ausgabenstärksten Versicherten herausfiltern, um ihnen Vorschläge für eine kostensparende vertragsärztliche Versorgung zu unterbreiten“ wird es demnächst bei der Verteidigung des Gesetzentwurfes heißen. Zu befürchten ist aber ein Dammbruch hinsichtlich der ökonomisch getriggerten Patientensteuerung durch die gesetzlichen Krankenkassen.
Dass den Kassen auch ohne (!) Einwilligung der Versicherten eine Schleppnetzfahndung quer durch die personalisierten Daten erlaubt ist, wird im Gesetz zwar begrenzt auf die Früherkennung seltener Erkrankungen, Überprüfung der Arzneimittelsicherheit, Krebsrisikofaktoren und die Erkennung akuter oder schwerwiegender Gesundheitsrisiken. Es handelt sich hier aber um dehnbare und vor allem durch externen Datenschutz unkontrollierbare Anlässe. Die Oberaufsicht über den Datenschutz für alle Kassen, Kassenärztlichen Vereinigungen und sonstigen Sozialdaten verarbeitenden Stellen soll im Übrigen beim Bundesdatenschutzbeauftragten konzentriert werden.
Löchrige e-Patientenakte
Versicherte, die dem Anlegen einer Patientenakte nicht widersprochen haben, können immer noch der Spende ihrer gespeicherten Daten für Forschungszwecke widersprechen. Diese zweite Opt-out-Möglichkeit ist deshalb wichtig, weil ohne aktiven Widerspruch alle ePA-Daten automatisch an das Forschungsdatenzentrum übermittelt (und wie oben beschrieben länger als 30 Jahre gespeichert) werden. Diese „Ausleitung“ der Daten soll in den nächsten Jahren technisch perfektioniert werden. Deshalb heißt es im GDNG-Entwurf: „Das Bundesministerium für Gesundheit wird ermächtigt, ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zum technischen Verfahren bei der Ausleitung von Daten aus der elektronischen Patientenakte … und der Zurverfügungstellung der Daten an Dritte zu regeln“. Ein Schelm, wer denkt, dass es hier um etwas anderes als das Wohl der Patienten gehen könnte!
Nach einer repräsentativen Civey-Umfrage im Auftrag von Tagesspiegel Background Gesundheit haben sich mehr als die Hälfte von 2.517 Befragten gegen eine Nutzung ihrer Daten für die Forschung ausgesprochen, vor allem in den jüngeren Jahrgängen ist die Skepsis groß. Daher steht zu erwarten, dass sehr viele Versicherte im geplanten „Datencockpit“ der ePA für den Ausstieg aus dem automatisierten Anzapfen ihrer Akte optieren. Eine Möglichkeit, der kaum eingeschränkten Verarbeitung von Abrechnungsdiagnosen und -leistungen der Ärzte und Psychotherapeuten durch Krankenkassen und forschende Firmen zu widersprechen, werden unsere Patienten hingegen nicht mehr haben, wenn das Gesundheitsdatennutzungsgesetz wie geplant verabschiedet wird. Darauf jetzt öffentlich hinzuweisen, sind wir all denen schuldig, die sich uns anvertrauen.
Ein Beitrag von Dr. Thomas Schröter, BDI-Mitglied und stellv. Vorsitzender der KV-Thüringen
