Der Kommentar von Chefredakteur Marc Oliver Pick
Bundesgesundheitsminister Karl Lauterbach hat wieder einmal eine Auszeichnung bekommen. Die Freude darüber dürfte bei ihm allerdings eher bescheiden ausfallen, denn ihm wurde der „Big Brother Award“ 2024 in der Kategorie Gesundheit verliehen, und zwar für seine (Mit-)Verantwortung am European Health Data Space, kurz EHDS, und an dem, was bei der nationalen Umsetzung, dem Gesundheitsdatennutzungsgesetz (GDNG) in Kombination mit dem Digitalgesetz (DigiG), am Ende herausgekommen ist.
Safe für unsere sensibelsten Daten
Das Ergebnis, die elektronische Patientenakte (ePA), werden wir alle ab 15. Januar 2025 in den Händen halten. Eine kleine Plastikkarte, die alle relevanten Gesundheitsdaten enthält, quasi eine Art Safe, der unsere sensibelsten Daten überhaupt enthält und die helfen können, zum Beispiel Doppeluntersuchungen zu vermeiden, einen leichteren Überblick über Medikationen oder ältere Befunde zu behalten, um nur einige zu nennen. Das ist die eine Hälfte des Zwecks, dessen Nutzen leicht nachvollziehbar ist.
Bei der ePA geht es allerdings nicht nur darum, ein Werkzeug zur Verbesserung von Diagnose und Therapie in die Hand zu bekommen, den sogenannten Primärnutzen, sie hat auch einen eingebauten „Sekundärnutzen“. Denn die Summe all dieser Daten ist eine wahrer Schatz für diverse Forschungsvorhaben, können aus dem gewaltigen Datenpool doch einfacher und umfassender als je zuvor spezifische Gesundheitsdaten selektiert werden, auf die die Wissenschaft angewiesen ist.
Sekundärnutzung von Gesundheitsdaten
Im Grunde eine gute Sache, aber die Ausgestaltung und das Prozedere werfen doch die eine oder andere Frage auf, vor allem zur sogenannten Sekundärnutzung von Gesundheitsdaten, die in ihrem Ausmaß noch nicht konkretisiert wurde. Ist das Vertrauen in die Versicherten und deren Akzeptanz der ePA seitens des Verordnungsgebers so gering, dass man auf die Opt-out-Lösung zurückgreift nach dem Motto, wer nicht explizit widerspricht, gibt sein Einverständnis zur Datenspende? Das ist alles andere als ein selbstbestimmter Umgang mit persönlichen medizinischen Daten, wie der FVDZ Bayern mit seiner Kampagne „Schütze deine Daten“ zu Recht anmerkt.
Forschung und Wissenschaft haben uns weit gebracht, auch und gerade in Sachen Gesundheit. Strukturierte und standardisierte Daten sind dafür eine unerlässliche Grundlage. Diese werden künftig zentral im Forschungsdatenzentrum Gesundheit (FDZ) gesammelt. Dort werden pseudonymisiert alle Abrechnungsdaten der Krankenkassen und die in der ePA hinterlegten Daten gespeichert. Noch ist jedoch nicht klar, wer unter welchen Voraussetzungen Zugriff auf diese Daten erhält. Das könnten erstens durchaus auch private Unternehmen der Gesundheitsbranche sein, die profitorientiert agieren. Und zweitens besteht hier die Möglichkeit, dass die Daten ganz oder in Teilen trotz zeitlich beschränkter Datenzugriffsrechte und Geheimhaltungspflichten an den nächsten Interessenten weitergegeben werden − denn wo ein Wille ist, gibt es immer auch einen Weg.
Eklatante Sicherheitslücken und Datendiebstähle
Ob der „Daten-Safe“ ePA im Übrigen wirklich so safe ist, wie offiziell kommuniziert wird, ist mehr als fraglich. Immer wieder sind eklatante Sicherheitslücken und Datendiebstähle in großen Ausmaß bekannt geworden. Gegen die erstrebenswerte maximale Sicherheit für hochsensible Gesundheitsdaten spricht nicht allein die zentrale Datenspeicherung beim FDZ, sondern auch die Gefahr, dass pseudonymisierte Datensätze in Zukunft oder bereits heute wieder deanonymisiert werden könnten. Vor allem dann, wenn Abrechnungsdaten der Krankenversicherer und Gesundheitsdaten der Versicherten am selben Ort zentral gespeichert werden ...
Die Digitalisierung des Gesundheitswesens in Deutschland zu beschleunigen ist wichtig und längst überfällig, denn mit der Suche nach dem perfekten System wurde viel Zeit vertrödelt. Als beherrschendes Prinzip ist Geschwindigkeit bei aller Dringlichkeit aber relativ, wenn sie mit Abstrichen an das Recht der informationellen Selbstbestimmung oder mit lückenhafter Sicherheit erkauft wird. Denn Datendiebstahl ist anders als klassischer Diebstahl: Daten verschwinden nicht wie ein gestohlenes Auto, sondern werden kopiert und weitergegeben. Dieser Schaden lässt sich nicht rückgängig machen.