Ein neues Gesetz zum Umgang mit Patientendaten verstößt gegen den Datenschutz

Der gläserne Patient

Das »Digitale-Versorgung-Gesetz« sieht vor, dass sämtliche Gesundheitsdaten der gesetzlich Versicherten in einer Datenbank gesammelt werden. Es verstößt gegen mehrere Prinzipien des Datenschutzes.
Von

Die gesetzlichen Krankenversicherungen verfügen über eine riesige Menge an Patientendaten. Sie kennen Name, Alter, Geschlecht und Beruf, aber auch die gesamte Krankengeschichte ihrer Versicherten. Sie wissen, wer wann wie lange wegen welcher Erkrankung arbeitsunfähig geschrieben wurde und welche Therapien und Medikamente verschrieben wurden. Gemäß dem am Donnerstag voriger Woche vom Bundestag beschlossenen »Digitale-Versorgung-Gesetz« (DVG) sollen nun alle diese Daten vom Spitzenverband der gesetzlichen Krankenversicherungen gesammelt und von einem beim Gesundheitsministerium angesiedelten »Forschungsdatenzentrum« verwaltet werden. Das Ergebnis wäre ein umfassender Pool sämtlicher Gesundheitsdaten der rund 73 Millionen gesetzlich Versicherten.

Die Versicherten können die Speicherung ihrer Daten lediglich vermeiden, indem sie nicht zum Arzt gehen oder die Rechnung privat begleichen.

Verschiedene Institutionen des Gesundheitssystems sollen Zugriff auf die Daten erhalten, etwa die kassenärztliche Vereinigung, die Deutsche Krankenhausgesellschaft und der Gemeinsame Bundesausschuss, der festlegt, welche Therapien und Medikamente die gesetzlichen Krankenkassen erstatten müssen. Für diese Institutionen wäre eine solche Datenbank sehr nützlich. Mit ihrer Hilfe ließen sich diverse statistische Analysen vornehmen: Wie entwickeln sich Krankheitshäufigkeiten und -verläufe in der Bevölkerung in Abhängigkeit von verschiedenen Faktoren? Wie wirksam sind verschiedene Therapieansätze, auch unter Berücksichtigung ihrer Kosten? In welchem Ausmaß werden unnötige Medikamente verschrieben? Auch Forschungs­einrichtungen sollen die Daten nutzen dürfen, um langfristige Studien zu erstellen.

Das erscheint zunächst durchaus sinnvoll, hat in der beschlossenen Form aber einen Haken. Die Daten werden nicht anonymisiert gespeichert, sondern lediglich pseudonymisiert, so dass jede einzelne in der Datenbank gespeicherte Person nachträglich identi­fiziert werden könnte. Nach Angaben des Blogs Netzpolitik.org genügen ­bereits »einige wenige Merkmale, um pseudonymisierte Daten doch ­einer Einzelperson zuzuordnen«. Dies sei vor allem »bei Datensätzen mit niedrigen Fallzahlen wie bei seltenen Krankheiten« möglich.