Enteignung ist das neue Normal

In Deutschland und in der EU wurden Gesetzespakete verabschiedet, die vorsehen, dass Aufzeichnungen über unsere medizinischen Behandlungen zur Nutzung durch Krankenkassen und andere Unternehmen freigegeben werden. Zugleich soll Versicherten ein Zugriff auf diese Daten ermöglicht, und ein besserer Austausch dieser Daten zwischen Ärzt*nnen und Krankenhäusern ermöglicht werden. Wer volle Kontrolle über seine Krankenakten behalten will, müsste aktiv widersprechen (Opt-out).

Die aktuellen Änderungen

Bundesminister für Gesundheit Karl Lauterbach startete im Sommer 2023 Verfahren für ein „Gesetz zur verbesserten Nutzung von Gesundheitsdaten“ (Gesundheitsdatennutzungsgesetz, GDNG) und ein „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ (Digital-Gesetz, DigiG). Beide wurden im März 2024 im wesentlichen unverändert beschlossen, unterstützt von der Ampel-Koalition.1, 2 

Zuvor hatte die EU-Kommission im Mai 2022 den Entwurf einer Verordnung für einen Europäischen Gesundheitsdatenraum eingebracht, für den „European Health Data Space“ (EHDS). Ende 2023 kam es zu einem Trilog-Verfahren zwischen EU-Kommission, EU-Rat und EU-Parlament. Das Ergebnis wurde im April 2024 vom EU-Parlament angenommen. Mittlerweile liegt der konsolidierte Textvorschlag dieses Kompromisses vom EU-Rat vor, dessen Annahme durch das Parlament als Formsache gilt.3 Im EU-Parlament haben die christdemokratischen, liberalen und sozialdemokratischen Fraktionen nach den EU-Wahlen weiterhin die Mehrheit. Sie stehen hinter EHDS. Grüne und Linke stimmten mehrheitlich dagegen, können jedoch die Verabschiedung nicht verhindern. EHDS wird nach Inkrafttreten unmittelbar geltendes Recht in der ganzen EU, d.h. zur Wirksamkeit werden keine Gesetze in den Mitgliedstaaten benötigt.

Vermeintliche Problemlösung für Behandlung und Forschung

Hintergrund für die Verabschiedung dieser neuen Gesetze sind zwei verbreitete Problemwahrnehmungen. Zum einen geht es um die Verfügbarkeit von Krankenakten. Diese liegen fast überall elektronisch vor, jedoch als Insellösungen bei den einzelnen Krankenhäusern oder ärztlichen Praxen. Ein direkter Zugriff einer Einrichtung auf eine Krankenakte, die bei einer anderen Einrichtung geführt wird, ist selten möglich. Den Patient*innen steht das Recht auf eine Kopie ihrer Krankenakten zu.4 Eine automatische Zusammenführung von mehreren Krankenakten, die ein*e Patient*in bei unterschiedlichen Einrichtungen hat, ist nicht vorgesehen. Manche Ärzt*innen und Patient*innen wünschen sich eine elektronische Gesamtakte über alle medizinischen Behandlungen. Es gibt derartige „Gesamtkrankenakten“ bislang nur in wenigen Ländern, z. B. in Dänemark und Finnland.

Die zweite Problemwahrnehmung betrifft die Forschung. Bisher war erforderlich, eine Einwilligung der betroffenen Person einzuholen, ehe mit ihrer Krankenakte geforscht werden darf. Eine Bestimmung, die manchen Forschenden ein Dorn im Auge war. So hat der „Sachverständigenrat zur Beurteilung der Entwicklung im Gesundheitswesen“, dessen Mitglieder vom Gesundheitsminister berufen werden, in seinem 2021 abgelieferten Gutachten „Digitalisierung für Gesundheit“ Zugangsmöglichkeiten zu den Daten der Versicherten gefordert.5 Ebenso äußerte sich der Expert*innenrat der Bundesregierung zu COVID-19, der sich durch die systematische Erhebung von Echtzeit-Daten eine bessere Beobachtung und Bekämpfung von Infektionsdynamiken verspricht.6

Die Krankenkassen sammeln bereits systematisch die sog. Versorgungsdaten aller Versicherten. Dies sind Daten der Behandlung durch Ärzt*innen oder andere Leistende, Diagnosen, erbrachte Leistungen, verordnete Medikamente. Der Zugriff auf diese Versorgungsdaten zu Forschungszwecken soll bereits seit Längerem möglich sein.7 Obwohl nachgewiesen wurde, dass eine De-Anonymisierung medizinischer Informationen möglich ist, wenn nur wenige Daten der Betroffenen bekannt sind, wie Name, Alter und Wohnort oder Beruf.8

IT-Industrie als Antreiber

Zur Vorgeschichte der neuen Gesetze gehört, dass seit 2004 ein größeres IT-Industrie-Biotop entstanden ist, dem es gelingt, jährlich dreistellige Millionenbeträge aus den Beiträgen zur Krankenversicherung für IT-Projekte abzuzweigen, nach dem Prinzip der Selbstbedienung.9 Zentralstelle dieses „Telematik-Biotops“ ist die Gematik GmbH. Sie trägt als Nationale Agentur für Digitale Medizin die Gesamtverantwortung für die Telematikinfrastruktur (TI), die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen, wird aus Krankenkassenbeiträgen finanziert, jedoch ausschließlich vom Gesundheitsministerium kontrolliert. Andere Akteur*innen, wie der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), und das Bundesamt für Sicherheit in der Informationstechnik (BSI), werden ihr jetzt untergeordnet. Selbst die mächtigsten Akteur*innen im Gesundheitswesen, der Spitzenverband der Gesetzlichen Krankenversicherungen und die Kassenärztliche Bundesvereinigung, müssen Machtverluste zugunsten der Gematik hinnehmen.10 Die bisherigen Regelungsbefugnisse wurden dazu herabgestuft, dass sie „nur noch“ informiert werden und kommentieren dürfen. 

Unfreiwillige „Datenspende“ für alle

Nachdem die freiwillige elektronische Patient*innenakte (EPA) seit 2022 bisher wenig Anklang fand (Opt-in), werden alle Versicherten nach dem DigiG ab 15.01.2025 automatisch eine Elektronische Patientenakte (EPA) erhalten, die bei jedem Kontakt mit Ärzt*innen, Apotheken, Krankenhäusern weiter gefüllt wird. Wer die EPA nicht haben möchte, muss dies aktiv der Krankenkasse gegenüber erklären (Opt-out). Das ist auch für Eltern stellvertretend für ihre Kinder erforderlich, falls gewünscht. Das GDNG sieht vor, dass die aus den EPA ausgeleiteten Daten Dritten zur Forschung zur Verfügung gestellt werden. Je nach angegebenem Forschungsgegenstand werden die Daten anonymisiert, oder lediglich pseudonymisiert, d. h. mit einem eindeutigen Personenkennzeichen versehen. An die Qualifikation der Forschenden, oder an ihre Projekte, werden keine besonderen Anforderungen gestellt, auch profitorientierte Unternehmen dürfen mit den Daten forschen.11 Verknüpfungen mit anderen medizinischen Registern, wie Krebs- und Implantat-Registern sind geplant.12 Der Europäische Gesundheitsdatenraum EHDS entspricht weitgehend den deutschen Regelungen, EU-weit. Die EU-Kommission soll medizinische Datenstrukturen und Anwendungen europaweit vereinheitlichen. Eine EU-EPA soll kommen (mit Opt-out nur, wenn national vorgesehen). Sämtliche Pharma-Rezepte werden europaweit verfügbar, womit ein Ziel europäischer (Online-)Apothekenkonzerne erreicht wird, die jetzt den lukrativen deutschen Markt erobern. Forschende sollen (pseudo- oder anonymisierten) Zugriff auf alle größeren Bestände von Patient*innendaten erhalten, ebenfalls mit Opt-out-Möglichkeit. Damit wären erstmals privat Versicherte in Deutschland betroffen.13 

Risiken und Nebenwirkungen

Die Handhabung der EPA ist so umständlich, dass Praktiker*innen den Aufwand für hoch, den Nutzen für gering halten.14 Zudem soll es zwar möglich sein, Inhalte gegenüber einzelnen Dienstleister*innen zu verbergen, eine kleinteilige Rechteverwaltung der eigenen Gesundheitsdaten, wird aber nur für digital versierte Versicherte handhabbar sein. Kritiker*innen macht die zentralisierte Speicherung der Daten als ein attraktives Angriffsziel Sorgen. Manuel Atug, Sprecher der AG Kritische Infrastrukturen (KRITIS) befürchtet, „dass in den nächsten fünf bis zehn Jahren auch deutsche Gesundheitsdaten im großen Stil gestohlen werden, wenn die Regierung das Gesetz nicht noch mal nachbessert.“15 Die Deutsche Aidshilfe macht auf die Risiken von Diskriminierungen anhand von Eigenschaften wie sexuell übertragbare Infektionen, psychische Erkrankungen und Schwangerschaftsabbrüchen aufmerksam.16 Aufgrund dieser Befürchtungen hat sich ein Bündnis von Nicht-Regierungs-Organisationen gebildet, das deutsche Versicherte informiert und beim Opt-out unterstützt. Ihm gehört auch das Gen-ethische Netzwerk an.17 Für die meisten Versicherten ist der Beginn der deutschen EPA bereits verschoben worden. Lediglich in Franken und Hamburg soll der Beginn am 15.01.2025 sein. Es bleibt spannend.

• 1Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz — DigiG). In: Bundesgesetzblatt 2024, Nr. 101.
• 2Gesetz zur verbesserten Nutzung von Gesundheitsdaten. In: Bundesgesetzblatt 2024, Nr. 102.
• 3Rat der Europäischen Union, (22.04.2024): Dokument 7567/24, online: www.kurzlinks.de/gid270-ba.
• 4Bürgerliches Gesetzbuch, § 630 g, Datenschutz-Grundverordnung, Art. 15 Abs. 3.
• 5Sachverständigenrat zur Begutachtung der Entwicklung im Gesundheitswesen (2021): Gutachten Digitalisierung für Gesundheit. Ziele und Rahmenbedingungen eines dynamisch lernenden Gesundheitssystems. Online: www.kurzlinks.de/gid270-bb.
• 6Stellungnahme des ExpertInnenrates der Bundesregierung zu COVID-19 (22.02.2022): Dringende Maßnahmen für eine verbesserte Datenerhebung und Digitalisierung. Online: www.kurzlinks.de/gid270-bc.
• 7Schmitt, U. (2022): Gesundheitsdaten zwischen Arztgeheimnis und Profit. In: GID Nr. 262, S.13-15, online: www.gen-ethisches-netzwerk.de/node/4472.
• 8Schröder, D. (25.04.2022): Sachverständigengutachten zum Schutz medizinischer Daten. Online: www.kurzlinks.de/gid270-bd.
• 9Kuhlmann, J. (19.08.2022): Pannenfabrik Gematik – das System dahinter. Patientenrechte Datenschutz. Online: www.kurzlinks.de/gid270-be.
• 10Schütze, B. (2024): Das Digital-Gesetz aus Sicht von Datenschutz und IT-Sicherheit. In: Datenschutz-Nachrichten Nr. 2/2024, S.60, online: www.kurzlinks.de/gid270-bf.
• 11Weichert, T.(2024): Gesundheitsdatennutzung ohne Datenschutz? In: Datenschutz-Nachrichten Nr. 2/2024, S.66.
• 12Koch, M.-C. (21.05.2024): „Geplantes Registergesetz: Mit Forschungskennziffer Gesundheitsdaten verknüpfen“, Heise Online, online: www.kurzlinks.de/gid270-bg.
• 13Kuhlmann, J. (23.03.2024): EHDS Zwischenbilanz – dreimal opt-out. Patientenrechte Datenschutz. Online: www.kurzlinks.de/gid270-bh.
• 14Streit, S. (01.06.2024): Digitalisierung in der Medizin 2024, elektronische Patientenakte (ePA) made in Germany. Video-Vortrag, online: www.kurzlinks.de/gid270-bi.
• 15Tagesschau (14.12.2023): Lauterbachs digitale Aufholjagd. Online: www.kurzlinks.de/gid270-bj.
• 16Deutsche Aidshilfe: Elektronische Patient*innenakte (ePA). Online: www.aidshilfe.de/medien/md/epa.
• 17Widerspruch gegen die elektronische Patientenakte (EPA). Online: www.widerspruch-epa.de. [Letzter Zugriff Onlinequellen: 10.07.2024]