Am Donnerstag soll der Bundestag ein Gesetz verabschieden, mit dem für Forschungszwecke eine zentrale Gesundheitsdatenbank über 73 Millionen gesetzliche Versicherte geschaffen werden soll. Die Daten sollen lediglich pseudonymisiert werden. Das damit verbundene Risiko ist nur einer von vielen Kritikpunkten an dem Vorhaben.

Das umstrittene „Digitale-Versorgung-Gesetz“ [PDF] steht am Donnerstag auf der Tagesordnung des Bundestages. Im Sommer hat das Bundeskabinett das Vorhaben von Gesundheitsminister Jens Spahn auf den Weg gebracht.

Eines der wichtigsten Vorhaben im neuen Gesetz ist die Einführung einer neuen Forschungsdatenbank. Die Daten von gesetzlich Versicherten sollen darin gesammelt werden und für Forschungsvorhaben zur Verfügung stehen. Neben Personendaten wie Alter und Geschlecht sollen Informationen zum Versicherungsverhältnis, zum Leistungsbezug und zum Vitalstatus der Versicherten gesammelt werden – das ganze ohne vorherige Einwilligung durch die Versicherten. Zur Einführung würden damit alle 73 Millionen gesetzlich versicherte Patient:innen in die Datenbank eingetragen. Privat Versicherte sind von diesem Vorhaben nicht betroffen.

Umgesetzt wird diese Sammlung laut Gesetz über eine „Vertrauensstelle“ beim Spitzenverband Bund der gesetzlichen Krankenkassen. Von dieser sollen die Daten pseudonymisiert an ein neues Forschungsdatenzentrum weitergereicht werden. Dazu soll „im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein schlüsselabhängiges Verfahren zur Pseudonymisierung“ festgelegt werden. Wie genau die Daten übertragen und pseudonymisiert werden sollen, soll also später geklärt werden. Ein Verfahren soll bis spätestens Ende 2021 gemeinsam vom Bund der Krankenkassen, dem Gesundheitsministerium und dem Forschungsministerium definiert werden.

Auch die Wirtschaft möchte Zugriff auf die Datenbank

Die Kritik am Aufbau einer zentralen Gesundheitsdatenbank ist immens. Die Grünen-Abgeordnete Maria Klein-Schmeink hält das Vorhaben für bedenklich und merkt an, dass die Datenbank gar nicht richtig diskutiert worden ist. Zudem pocht sie auf Widerspruchsmöglichkeiten der Versicherten.

Auch der Bundesrat hatte in seiner Stellungnahme „erhebliche Zweifel, ob mit den Regelungen […] der Grundsatz der Verhältnismäßigkeit im Hinblick auf die Persönlichkeitsrechte der Versicherten gewahrt bleibt“ angemeldet. Der SPD-nahe Netzverein D64 und Saskia Esken, Kandidatin für den SPD-Vorsitz, kritisieren das Vorhaben ebenfalls.

Der Verein Digitale Gesellschaft warnt ebenfalls vor den Risiken einer solchen Datensammlung. Der Bundesdatenschutzbeauftragte Ulrich Kelber hat eine Stellungnahme angekündigt. Auf Twitter schrieb er bereits: „Wir haben Bedenken!“

In der öffentlichen Anhörung vor dem Gesundheitsausschuss hat der Informatiker Dominique Schröder von der Uni Erlangen-Nürnberg bemängelt, dass eine Pseudonymisierung von Daten leicht rückgängig gemacht werden könne. Er stellte alternative Methoden vor, mit denen Berechnungen auf Basis verschlüsselter Daten durchführbar wären: „In der Technik sind wir durchaus an der Stelle, dass wir diese mangelhafte Technik der Anonymisierung und Pseudonymisierung nicht mehr benötigen“, sagte er in der Anhörung.

Während die Pläne des Ministers für eine zentrale Gesundheitsdatenbank vielen also zu weit gehen, kritisieren andere, dass nicht auch die Wirtschaft auf die Daten zugreifen können soll. In der Anhörung vor dem Gesundheitsausschuss machte der CDU-Abgeordnete Tino Sorge Nutzungsmöglichkeiten für Unternehmen zum Thema. Der Sachverständige Sebastian Zilch vom Bundesverband der Gesundheits-IT nahm den Ball auf und kritisierte, „dass die Industrie vom Zugang zum Forschungsdatenzentrum komplett ausgeschlossen ist.“

Eine solche privatwirtschaftliche Nutzung ist im Gesetz tatsächlich nicht vorgesehen. Die Möglichkeit einer Erweiterung sollte allerdings mitgedacht werden. Ist so eine zentrale Datenbank erstmal gesetzlich etabliert, wären kleine Änderungen leichter durchzubringen. Zumal die Forderung danach schon präsent ist. An anderer Stelle öffnet das Gesetz zudem bereits Hintertüren zur Zusammenarbeit der Krankenkassen mit der Wirtschaft.

Lösen Sie ihr Rezept bitte bei Google ein

Auch Gesundheitsapps werden im Gesetz geregelt. Dabei kann es sich um eine Vielzahl von Anwendungen handeln, zum Beispiel Fitnesstracker, Symptomtagebücher oder Apps zur Diagnose. Das Gesetz macht solche Apps nun zu Versicherungsleistungen. Ärzte sollen die Nutzung einer Gesundheitsapp also verschreiben können, auf Kosten der Krankenkassen.

Teilweise gibt es solche Apps schon, beispielsweise Vivy oder TK-Safe. Wie es um die Datensicherheit dieser Apps bestellt ist, konnten im letzten Jahr Untersuchungen von heise und vom IT-Sicherheitsexperten Martin Tschirsich auf dem 35C3 zeigen: gar nicht gut. Auch die Organisation Privacy International berichtet regelmäßig über die Weitergabe von Daten durch Gesundheitsapps. Erst zuletzt hatte eine Zyklus-App Daten an Facebook weitergegeben.

Dennoch sind im Gesetz keine Sicherheitsanforderungen an solche Apps enthalten. Auch sie sollen später geklärt werden. Die Kassenärztliche Bundesvereinigung, die Vertretung der Ärzte gegenüber den Krankenkassen, soll bis zum 31. März 2020 ein Sicherheitskonzept erarbeiten. Geplant ist, dass die Bundesvereinigung zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik Hersteller solcher Apps zertifiziert.

Das Bundesinstitut für Arzneimittel und Medizinprodukte soll dann ein Verzeichnis von Gesundheitsapps erstellen. Nur Apps aus diesem Verzeichnis sollen von den Krankenkassen verschrieben und bezahlt werden können. Eine Prüfung soll allerdings erst nach einem Jahr der Nutzung durchgeführt werden. Apps könnten also erstmal eingesetzt werden und müssen erst dann ihre Wirkung beweisen. Diese soll „durch Fallberichte, Expertenmeinungen, Anwendungsbeobachtungen, Studien oder sonstige valide Erkenntnisse nachgewiesen“ werden. Das sind sehr unspezifische Beweismöglichkeiten. Das müssen sie aber wohl auch sein, damit ein Nutzen überhaupt bewiesen werden kann. Denn bisher ist es wissenschaftlich nicht belegt, ob solche Apps überhaupt eine gesundheitliche Wirkung haben..

Es könnte viel Geld in die Verschreibung und Entwicklung solcher Apps fließen. Neben der Erstattungsmöglichkeit können die Krankenkassen zukünftig bis zu zwei Prozent ihres Eigenkapitals in die Entwicklung von solchen Apps investieren. Auch sollen Krankenkassen künftig „digitale Innovationen“ und „Versorgungsinnovationen“ fördern. Was genau das ist, bleibt unklar, wie auch der Bundesrat in seiner Stellungnahme kritisiert hat. Der genaue Zweck der Datenverarbeitung bleibt dadurch im Ungewissen.

Dass die Evaluation von Gesundheitsapps laut Gesetz frühstens nach einem Jahr stattfinden soll, bezeichnet der Digitale Gesellschaft e.V. als Wirtschaftsförderung, da Entwickler schon vor einer Prüfung Geld von den Krankenkassen bekommen. Eine verdeckte Wirtschaftsförderung bejahte auch der Sachverständige Robert Spiller vom Deutschen Gewerkschaftsbund in der Gesetzesanhörung. Zudem wies er darauf hin, dass die Grenze von einem Jahr bis zur Evaluation leicht zu umgehen ist, beispielsweise durch neue Versionen der App. Der DGB vermisst „einen konkreten Schutzmechanismus, um das auszuschließen“.

Die Digitale Gesellschaft kritisiert zudem, dass Ärzte durch diese Förderung aus der Verantwortung genommen werden und stattdessen Krankenkassen, die als Unternehmen immer Kostenminimierung zum Ziel haben, nun selbst über die Versorgung von Kranken entscheiden können. „Zu befürchten ist, dass bei diesen Entscheidungen andere Kriterien als die medizinischen, also ökonomische, eine Rolle spielen“, so der Verein in seiner Stellungnahme.

Elektronische Patientenakte: Datenschutz soll später geklärt werden

Auch die Telematik-Infrastruktur, die zum Austausch von Gesundheitsdaten dient, soll mit dem Gesetz vorangetrieben werden. Bereits 2015 wurde im E-Health-Gesetz beschlossen, Ärzte zur Nutzung der Telematik zu verpflichten. Tatsächlich droht Ärzten, die dieser Verpflichtung noch nicht nachgekommen sind, ab diesem Jahr eine Honorarkürzung von 2,5 Prozent.

Dabei ist die Telematik-Infrastruktur umstritten. Das System, das als Virtual Private Network (VPN) mit begrenztem Zugang konzipiert ist und Patientendaten verschlüsselt hinterlegt, hat einige Probleme. So sind unter anderem Metadaten nicht ausreichend verschlüsselt und die für den Zugang vorgesehenen Konnektoren sind in Arztpraxen oftmals unsachgemäß angeschlossen.

Im diesem System soll auch die elektronische Patientenakte (ePA) gespeichert werden. Zwar sind umfangreiche Bestimmungen zur ePA seit einem Referentenentwurf von Mitte des Jahres wieder aus dem Gesetz geflogen und sollen in einem eigenen Gesetz zum Datenschutz der ePA geregelt werden. Doch die Planung zur ePA schreitet auch mit dem Gesetzentwurf voran. So sollen sich laut Entwurf auch Apotheken bis September 2020 und Krankenhäuser bis Anfang 2021 an die Telematik anschließen. Krankenkassen sollen bis dahin zudem auch den Versicherten eine Nutzung der ePA ermöglichen. Wie dieses Vorhaben mit den Sicherheitsbestimmungen und Zugriffsbeschränkungen der Telematik-Infrastruktur in Einklang gebracht werden soll, bleibt völlig offen.

Als erste Amtshandlung hatte sich die Datenethikkommission vor fast einem Jahr hat zur ePA geäußert. Sie mahnt eine Mitwirkung von Patient:innen am Gestaltungsprozess und die Berücksichtigung von rechtlichen und ethischen Fragen an. Das alles passiert nach wie vor nicht.

Update 07.11.2019:

In einer früheren Version wurde die Kassenärztliche Bundesvereinigung falsch charakterisiert. Der Fehler ist korrigiert und wir bitten um Entschuldigung.