in Kürze
„Die Technik leistet keinen hippokratischen Eid. Spätestens seit der industriellen Revolution ging es bei vielen Entscheidungen, die Technologen in der Wissenschaft oder Industrie, beim Militär oder in einer Regierung getroffen haben, nicht um die Frage ‚Sollten wir?‘, sondern immer nur um ‚Können wir?‘“
Edward Snowden1
Mit der Telematikinfrastruktur (TI) sollen die Gesundheitsdaten möglichst aller derzeit etwa 73 Millionen gesetzlich versicherten Bundesbürger ins Internet gelangen, in einer Cloud zentral gespeichert werden und zentral zugänglich sein. Sie verbleiben dann nicht länger in den jeweiligen Arztpraxen, Psychotherapiepraxen, Krankenhäusern, Psychiatrien, Altersheimen etc. Die Versicherten entscheiden, welche ihrer Gesundheitsdaten in die elektronische Patientenakte (ePA) gelangen; im geplanten zweiten Schritt (TI 2.0) sollen Versicherte (irgendwann) zudem entscheiden können, welche Behandler auf welche ihrer ePA-Daten zugreifen können.
Letzteres ist schön im Sinne der informationellen Selbstbestimmung des Patienten, bedeutet aber auch, dass wir Behandler uns nicht sicher sein können, ob die dort enthaltenen Angaben relevant und hinreichend sind. Welchen Vorteil also wird die ePA haben, wenn Behandler die Daten doch wieder selbst abklären, neu erheben oder vom Mitbehandler anfordern müssen?
Daten im Internet sind nicht sicher. Seit Edward Snowden wissen wir das alle.
Gesundheitsdaten im Internet gehören zur besonders begehrten Ware, da sie äußerst sensible Informationen enthalten (Stichwort Datensicherheit).
Mit der Schaffung einer zentralisierten digitalen Infrastruktur im Gesundheitswesen schafft sich der Bund einen neuen, kritischen Angriffspunkt (Stichwort Datenresilienz).
Zu den Gruppierungen, die ein Interesse haben, gehören Versicherungen, Arbeitgeber, Kreditinstitute, Pharmakonzerne. Insgesamt stellt der Staat mit dem Sammeln von Big Data wirtschaftliche Interessen über den Datenschutz, während man uns glauben machen will, es gehe dabei um die Verbesserung unserer Gesundheitsversorgung.2
Welche Vorteile die Einführung der ePA in der geplanten Form für Versicherte und Behandler haben wird, bleibt unbeantwortet. Effizienzsteigerung, Vermeidung sogenannter Doppeluntersuchungen oder gar bessere Möglichkeiten lebensrettender Maßnahmen im Notfall werden gebetsmühlenartig wiederholt, ohne empirische Belege und ohne inhaltlich zu überzeugen.3
Ein weiteres, gerne angeführtes Argument für die zentrale Sammlung von Gesundheitsdaten ist ihre Verwendbarkeit für die Forschung. Mit dem Digitale-Versorgung-Gesetz (DVG) wurde ein Forschungsdatenzentrum (siehe § 303d) geschaffen, in welches der Spitzenverband der Krankenkassen die zusammengeführten Gesundheitsdaten aller gesetzlich Versicherten zu Auswertungszwecken und Marktanalysen an verschiedenste Stellen pseudonymisiert bzw. anonymisiert weitergeben kann – und zwar, anders als zunächst angegeben, ohne aktive Einwilligung4 der Versicherten. Beides klingt so, als sei die Identität des Datenbesitzers geschützt. Die Identität lässt sich bei Pseudonymisierungen aber leicht zurückverfolgen und selbst Anonymisierungen können im digitalen Bereich mithilfe von Bots wieder re-anonymisiert werden.
Interessant an der Stelle ist, wie im DVG unter § 303e Absatz 4 beschrieben, dass das Forschungsdatenzentrum die Daten nur an Nutzungsberechtigte weitergeben darf, wenn „durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass […] insbesondere ein Kopieren der Daten verhindert werden kann“. Wie aber soll das bei digitalen Daten sichergestellt werden?5 Es ist einer dieser Sätze, gegossen in Gesetzestext und geschluckt vom Parlament, welche eine Datensicherheit suggerieren, die es nicht gibt.
Abseits der Frage der Daten(un)sicherheit gibt es von wissenschaftlicher Seite Zweifel daran, dass Forschung via Big Data gewinnbringenden Erkenntnisse liefern kann. Die Daten werden aus verschiedensten Haufen zusammengeworfen, sodass niemand für Validität und Reliabilität garantieren bzw. deren Einschränkungen beleuchten und berücksichtigen kann.6 Wer die Forschung fördern will, soll direkt in gründliche wissenschaftliche Forschung investieren. Dafür bräuchte es sicher weit weniger Geld als alles, das in TI und ePA gesteckt wurde und wird: geschätzte vier Milliarden Euro.7
Krankenkassen müssen den ganzen Spaß erst einmal bezahlen, dürften durch Generierung und Verfügbarkeit digitaler Algorithmen schließlich aber an Einfluss und Kontrolle gewinnen, um Druck auf Behandler und Versicherte auszuüben. Betriebsärzte haben ebenfalls bereits Zugang zu den Daten angemeldet, sodass Arbeitgeber ihre Arbeitnehmer künftig genauer auf Fitness und Belastbarkeit hin durchleuchten können. Bundesregierung und Bundesgesundheitsminister profitieren, indem sie sich als Macher und Zukunftsgestalter profilieren, ohne einen Blick dafür zu haben, was Behandler und Patienten wirklich brauchen. Besonders profitiert hat bislang die IT-Branche mit schon jetzt erheblichen Umsatzsteigerungen, während IT-Experten gleichzeitig die Hände über dem Kopf zusammenschlagen, wenn sie die übereilte und dilettantische Umsetzung des Projekts samt bereits mehrfach aufgezeigten Sicherheitslücken8 beurteilen.
Bei dem Ganzen werden wir Behandler in ein juristisches Dilemma gezwungen: Verweigern wir die Anbindung an die TI, verstoßen wir gegen das Sozialgesetzbuch, genauer gegen das Digitale Versorgungsgesetz (DVG) bzw. – neuer − gegen das Patientendatenschutzgesetz (PDSG) und das Digitale-Versorgung-und-Pflege-Modernisierung-Gesetz (DVPMG). Lassen wir uns anbinden, beteiligen wir uns an Verstößen gegen die höherrangige europäische Datenschutzgrundverordnung (DSGVO).9
Permanent Record, Frankfurt am Main, 2019, S. 234 f.
Daten seien „der Rohstoff des 21. Jahrhunderts“ (Angela Merkel) − hier müsse aufgepasst werden, dass Datenschutz „nicht die Oberhand über wirtschaftliche Verarbeitung“ gewinne (dpa, 02.11.2015, https://www.heise.de/newsticker/meldung/Merkel-Daten-sind-Rohstoffe-des-21-Jahrhunderts-2867735.html). Auch wenn Merkel hier nicht von Gesundheitsdaten sprach, werden wirtschaftliche Interessen deutlich. Noch einmal deutlicher wird das, wenn Spahn und von der Leyen eine „Soziale Marktwirtschaft für den europäischen Datenraum“ fordern (https://www.faz.net/aktuell/politik/von-der-leyen-und-spahn-europaeischen-weg-fuer-umgang-mit-daten-finden-16426668/ursula-von-der-leyen-cdu-16426879.html).
Nach unserem Kenntnisstand wurde keine einzige Studie darüber erhoben, ob die zentrale Sammlung und Speicherung von Gesundheitsdaten die Gesundheitsversorgung verbessert. Die Behauptungen, dass Doppeluntersuchungen im Sinne unnötiger Überversorgung nennenswerte Mehrkosten im Gesundheitssystem darstellen, hat sich nicht bestätigt (http://myhfc.nav-virchowbund.de/clients/nav/uploads/files/studie_doppeluntersuchungen.pdf). Zudem bleibt es, so wie die ePa konzipiert ist, Versicherten unbenommen, sich Zweit- und Drittmeinungen einzuholen, ohne dass die jeweiligen Behandler davon erfahren müssen. Relevante Daten für den Notfall, wie z. B. Allergien oder Medikamentenplan, gehören auf einen Zettel ins Portemonnaie und könnten ebenso gut dezentral auf der Gesundheitskarte gespeichert werden.
Wie Telepolis aufmerksam aufgedeckte (https://www.heise.de/tp/features/ePA-Datengesetz-Sie-haben-den-Affen-uebersehen-4861122.html und https://www.heise.de/tp/features/Oberster-Datenschuetzer-und-73-Mio-Buerger-ausgetrickst-4863346.html), haben Spahn und sein Haus hier offenbar wieder getrickst und getäuscht. Im DVG war noch festgelegt, dass die Versicherten in eine Datenspende zu Forschungszwecken einwilligen müssen. Im nachfolgenden PDSG ist dieses entscheidende Detail kurzerhand abgeschafft, eingekleidet in geschickte Formulierungen, sodass es auf den ersten Blick nicht auffällt. Zudem wurde dem Bundesdatenschutzbeauftragten, Ulrich Kelber, vor Abstimmung des PDSG-Gesetzes nicht nur wenig Zeit gelassen, die Änderungen zu lesen, sondern eine in diesem Detail andere Fassung vorgelegt, nach welcher die Zustimmung weiterhin erforderlich sei. So zerstört man Vertrauen und schädigt die Demokratie. Zu Spahn und seinen Methoden siehe auch https://www.blaetter.de/ausgabe/2019/juni/die-kunststuecke-des-herrn-spahn.
Sehr viel realistischer erscheint uns die Einschätzung des IT-Sicherheitsexperten Martin Tschirsich: „Nur müssen wir die Realität anerkennen. Wir können langfristig nicht kontrollieren, wer unsere Gesundheitsdaten für welche Zwecke verarbeitet und mit weiteren Daten zusammenführt“ (https://www.aerzteblatt.de/nachrichten/100202/Neuen-Sicherheitsmassnahmen-stehen-stets-auch-neue-Angriffsmoeglichkeiten-gegenueber).
Prof. Dr. Antes, Mathematiker und Biometriker: „Big Data ist ein Hype, der uns geradewegs in eine Falle führt. Die Idee dahinter ist, dass man riesige Datenmengen völlig unstrukturiert und unsystematisch durchwühlen kann und dabei auf sinnvolle Zusammenhänge stößt. Das ist wissenschaftlicher Unfug und kann nicht funktionieren. Wissenschaftliches Arbeiten bedeutet, dass man mithilfe von Theorie und Daten Hypothesen generiert, die empirisch durch Studien bestätigt oder widerlegt werden müssen. Der Big-Data-Hype steht in krassem Gegensatz zu diesem Erkenntnisprozess“ (https://apps.derstandard.de/privacywall/story/2000107328669/mathematiker-gerd-antes-big-data-fuehrt-uns-in-eine-falle, siehe auch https://www.aerzteblatt.de/archiv/175874/Big-Data-und-Personalisierte-Medizin-Goldene-Zukunft-oder-leere-Versprechungen#literatur).
Angabe von Dr. Andreas Meißner und des Bündnisses für Datenschutz und Schweigepflicht, im Rahmen ihrer Petition gegen TI und Co. Die Kollegen/Kolleginnen haben bei den betreffenden Institutionen (Gesundheitsministerium, gematik, KBV etc.) um Auskunft über die Kosten gebeten; daraus ergab sich eine Kalkulation von 3,7 Mrd. € bis 2019 und geschätzten Folgekosten von knapp 400.000 € − tatsächlich sind die Kosten so ausufernd, dass sie niemand mehr genau benennen kann. Wie im Skript der Petition angegeben, habe der Bundesrechnungshof bereits in einem Bericht vom 18.1.2019 gegenüber dem Haushaltsausschuss kritisiert, dass die Bundesregierung die Kosten bereits für die Einführung und Anwendung der elektronischen Gesundheitskarte auf Anfrage nicht genau beziffern konnte (https://www.gesundheitsdaten-in-gefahr.de/petition/).
https://www.heise.de/select/ct/2019/17/1565965030209380 und https://www.spiegel.de/netzwelt/netzpolitik/ccc-hacker-finden-sicherheitsluecken-in-der-telematikinfrastruktur-a-1302902.html und https://www.heise.de/select/ct/2020/3/1580498856872446 und und und …
https://www.heise.de/tp/features/Oberster-Datenschuetzer-und-73-Mio-Buerger-ausgetrickst-4863346.html und https://www.heise.de/select/ct/2020/19/2022716005147736374