Kelber moniert offene Datenschutz-Baustellen im Gesundheitsbereich

Egal, ob bei Registern, Krankenversichertennummer in der Telematikinfrastruktur oder beim Modellvorhaben zur Genomsequenzierung – der Bundesdatenschutzbeauftragte sieht Nachbesserungsbedarf.

 

Berlin. Das Bundesgesundheitsministerium (BMG) hat bei einer Reihe seiner jüngsten Gesetze unter dem früheren Amtsinhaber Jens Spahn (CDU) offensichtlich unter datenschutzrechtlichen Aspekten geschlampt – das sieht zumindest Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI/SPD), so. In seinem Tätigkeitsbericht für das Jahr 2021, den er am Dienstag in Berlin an Bundestagspräsidentin Bärbel Bas (SPD) übergeben hat, benennt er die offenen Baustellen. Darunter befinden sich im Gesundheitsbereich:

 Implantateregister: „Unverändert ist die Registerstelle beim BMG angesiedelt, obwohl dies keine geeignete Registerbehörde ist, wie sich auch der Gesetzesbegründung entnehmen lässt“, moniert Kelber in seinem Bericht. Dies sei nur so lange unproblematisch, wie der eigentliche Registerbetrieb noch nicht angelaufen sei. Kelber: „Ich werde die Situation beobachten und habe dem BMG dringend empfohlen, zeitnah eine geeignete Behörde vorzusehen, die den Registerbetrieb dauerhaft rechtssicher und datenschutzkonform übernehmen kann.“

 Zentrum für Krebsregisterdaten: Die bereits im letztjährigen Tätigkeitsbericht adressierten Pläne zur Ausweitung des beim Zentrum für Krebsregisterdaten (ZfKD) beim RKI vorgehaltenen Datensatzes seien inzwischen in Kelbers Sinne angegangen worden. Für ihn kritisch gewesen war der große Kreis der Zugangsberechtigten, da auf Antrag auch Private, also auch Unternehmen der Pharmaindustrie, Zugang erhielten.

„In der Ressortabstimmung konnte ich allerdings erreichen, dass neben dem Beirat auch ein wissenschaftlicher Ausschuss an der Entscheidung über den Antrag beteiligt ist. Da dieser unter anderem das Reidentifikationsrisiko prüft, sollen ihm auch Datenschutz-Sachverständige angehören“, konkretisiert er im aktuellen Bericht.

Vorrangig sollen anonymisierte Daten übermittelt, der Zugang zu pseudonymisierten Datensätzen nur unter Kontrolle des ZfKD zulässig sein, Fehlverhalten werde sanktioniert, und bewilligte Anträge würden in einem Verzeichnis veröffentlicht. Von Kelbers Radar verschwindet das ZfKD indes noch nicht: „Ich werde die Antragsbearbeitung im Blick behalten, um sicherzustellen, dass trotz der Zugangsberechtigung für kommerzielle Forschung der Schutz der Betroffenen gewahrt bleibt.“

 Verwendung der Krankenversichertennummer (KVNR) in der TI: Die KVNR werde zur eindeutigen Identifizierung der Versicherten bei verschiedenen Anwendungen innerhalb der Telematikinfrastruktur (TI), wie dem TI-Messenger, benötigt. „Datenschutzrechtlich zulässig ist die Verarbeitung aber nur auf Grundlage einer eindeutigen gesetzlichen Befugnisnorm, die gegenwärtig nicht vorliegt“, so Kelbers Urteil.

Insbesondere lasse sich die Verarbeitung der KVNR durch die Leistungserbringer im Rahmen einer freiwilligen Anwendung der TI unter keine der in § 18 SGB IV – die Norm regelt die Zulässigkeit der Verarbeitung der Versicherungsnummer – aufgeführten Fallgruppen subsumieren. Auch das SGB V sehe keine spezialgesetzliche Regelung für die Verwendung der KVNR zu den beschriebenen Zwecken vor. Er habe dem BMG mitgeteilt, den gegenwärtigen Zustand zunächst dulden zu wollen. Im Gegenzug erwarte er aber, dass zum nächstmöglichen Zeitpunkt eine entsprechende Rechtsgrundlage geschaffen werde.

 Modellvorhaben Genomsequenzierung: Der im Juli 2021 in Kraft getretene Paragraf 64e SGB V verpflichtet die Kassen, bis zum 1. Januar 2023 Rahmenverträge mit den Leistungserbringern zur Durchführung von Modellvorhaben zur umfassenden Diagnostik und Therapiefindung mittels Genomsequenzierung bei seltenen und bei onkologischen Erkrankungen einzugehen.

Wesentlicher Regelungsinhalt war weiter das Errichten einer „gemeinsamen Dateninfrastruktur“, in der Genomdaten gespeichert und genutzt werden können. „Leider fehlte es der Formulierung in vielerlei Hinsicht an Gehalt und Konkretisierung“, moniert Kelber. Und ergänzt: „Ich empfehle, beim Modellvorhaben Genomsequenzierung den Aufbau der ‚gemeinsamen Dateninfrastruktur‘ dezentral zu strukturieren und statt einer doppelten Datenhaltung jeweils anlassbezogene Datenzugänge vorzusehen.“

Kassen klagen gegen von mir verhängte Maßnahmen zur Durchsetzung einer europarechtskonformen Ausgestaltung der ePA und damit gegen gleiche Rechte für alle Versicherten.

Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

 elektronische Patientenakte (ePA): Stillstand attestiert Kelber in seinem Dauerzwist mit den gesetzlichen Krankenkassen in puncto feingranulares Zugriffsdatenmanagement bei der ePA. Nachdem fünf große Kassen gegen seine Anweisungen – auch bestärkt durch das Bundesamt für Soziale Sicherung (BAS) – beim Sozialgericht Köln Klage erhoben haben, müssen beide Parteien zunächst auf den Ausgang des Verfahrens warten.