bvvp - Blog

von Angela Lüthe

• 14. April 2023
• Datenschutz
• Digitalisierung

Daten sind das Öl des 21. Jahrhunderts. Wir benötigen Daten, um Maßnahmen zu steuern, Risiken abzuschätzen, Kohorten zu bilden, Versicherungspolicen zu optimieren, Bürger*innen und Wähler*innen zu beeinflussen und – wichtiger denn je – um die künstliche Intelligenz mit ihnen zu füttern. Das Nutzungspotential von gesammelten Daten kann nicht hoch genug eingestuft werden. Daten sind ein unermesslicher Schatz, vor allem Gesundheitsdaten. Dies hat auch die EU erkannt und möchte hier mit China oder den USA konkurrieren. Wie man durch die Verknüpfung von Gesundheitsdaten mit Bewegungs- und biometrischen Daten die Bevölkerung kontrollieren und ihre Freiheiten einschränken kann, hat China während der Corona-Pandemie eindrucksvoll gezeigt.

Dem aktuell vorgelegten Verordnungsentwurf der EU Kommission zum European Health Data Space zufolge, kurz EHDS genannt, will man Zugang erhalten zu den Gesundheitsdaten aller EU-Bürger*innen und diese nutzen für Forschung, Innovation, Gesundheitswesen, Politikgestaltung und Regulierungszwecke, im Mittelpunkt steht also die sogenannte „Sekundärnutzung“.

Es geht wie immer um Geld, um viel Geld: 5,5 Mrd. Euro sollen in 10 Jahren durch den erleichterten Austausch von Gesundheitsdaten eingespart werden und 5,4 Mrd. Euro durch die bessere Datennutzung für Forschung und Politikgestaltung. Der digitale Gesundheitsmarkt soll damit ein zusätzliches Wachstum von 20 bis 30 Prozent generieren können, womit deutlich wird, wer hier gute Lobbyarbeit geleistet hat.

Der Zweck heiligt die Mittel, das wusste schon Machiavelli, aber ob das auch für sensible Gesundheitsdaten gilt?

Für die Sekundärnutzung von Gesundheitsdaten billigt die EU ihren Bürger*innen, unseren Patient*innen kein Recht zu, dem Datentransfer zu widersprechen. Da hilft auch nicht die DSGVO, die ansonsten bei sensiblen Gesundheitsdaten so pingelig ist. Bei gesetzlich verankerten Übermittlungspflichten hat die DSGVO nichts mehr zu melden. Sollte es später mit den Gesundheitsdaten der EU-Bürger*innen zu Datenpannen oder Datenverlusten kommen, dann droht auch kein Bußgeld für nationale oder EU-Behörden, denn Bußgelder für Behörden und öffentliche Stellen wurden in der DSGVO schon vorsorglich ausgeschlossen.

Die Daten aus der deutschen elektronischen Patientenakte ePA wandern zunächst zum deutschen Forschungsdatenzentrum FDZ, von dort dann zu den EHR-Systemen (electronic health recording systems) der EU. Bevor die Daten von den Behörden bereitgestellt werden, sind diese zu anonymisieren, in Ausnahmefällen zu pseudonymisieren.

Das Bundesministerium für Bildung und Forschung fördert die Erforschung und Entwicklung von Verfahren zur Anonymisierung von Daten mit 70 Millionen Euro, der identische Betrag geht 2023 auch als Förderung an die Gaming-Branche. Gaming Industrie und Datensicherheit gleich hoch zu fördern, hat nichts mit „mehr Fortschritt wagen“ zu tun, sondern eher etwas mit daredevil gaming.

Waghalsig ist auch die Vorgabe, dass die EHR-Systeme in der EU sich selbst beim Thema Datensicherheit zertifizieren dürfen, gemäß dem Motto: Bei uns sind die Daten sicher, haben wir selber geprüft.

Angesichts der steigenden Leistung von Rechenzentren, zukünftigen Quantencomputern und dem Einsatz von KI dürften die derzeit verwendeten Anonymisierungs- und Pseudonymisierungstools bald nichts mehr wert sein. ChatGPT, eine KI, die seit Ende 2022 Furore macht, verfügt in der aktuellen Version 4 über 100 Billionen Parameter, der Vorgänger vom letzten November hatte lediglich 175 Milliarden Paramater, ein wahrlich beeindruckender Zuwachs in nur vier Monaten.

Kaum ein Datensatz erlaubt so weitreichende Rückschlüsse auf eine Person wie Daten über Behandlungen, Operationen, Medikationspläne, Diagnosen. Reindentizierung selbst anonymisierter Daten ist mit Hochleistungscomputern und KI nicht allzu schwierig.

Wenn dann auch noch die Daten von Wellness-Apps und Fitnessuhren hinzugenommen werden, was die EU Kommission anstrebt, bräuchte sich niemand mehr zu wundern, wenn am Handy, Tablet oder PC immer die passende Werbung für Apps, Lebenshilfe oder Medikamente gegen ein bestehendes Leiden erscheinen.

Übertreibungen einer digitalen Hinterbänklerin? Weit gefehlt. So etwas funktioniert schon jetzt zum Beispiel im Bereich der Vermittlung von digitalen Arztterminen. Buche einen Termin beim Urologen wegen Inkontinenz bei doctor… und dein Handy, Tablet oder PC schicken dir Werbung für die günstigen Inkontinenzvorlagen und Apps zur Beckenbodengymnastik.

Alles nur eine Frage, mit wem man die Daten teilt.

Welches Potential Werbung für die Bekämpfung von Leiden hat, kann man schon jetzt vor den Nachrichten im rechtlich öffentlichen Fernsehen erfahren. Da werden wir täglich mit Filmclips zu Darmblähungen, Verstopfung und Knieschmerzen beglückt. Es sind die teuersten Werbezeiten im Fernsehen, trotzdem scheint es sich zu lohnen. Von 142 Mio. Packungen verkauften Schmerzmitteln in 2020 waren 88 Mio. nicht verschreibungspflichtig.

Alles nur eine Frage des Umsatzes.

Wie leicht sensible Gesundheitsdaten auch aus staatlicher Datenobhut entwendet werden können, erfuhren 2018 fast die Hälfte der norwegischen Bevölkerung.

Alles nur eine Frage der Zeit, bis zentral gespeicherte Gesundheitsdaten verloren gehen.
Patientengeheimnis und ärztliche Schweigepflicht bleiben beim EHDS auf der Strecke, selbst Genomdaten und psychiatrische Daten werden beim EHDS von der Nutzung nicht ausgespart.

Die Opt-out-Regelung mit feingranularem Zugriffsrecht in der deutschen ePA wird zum Rohrkrepierer auf EU Ebene, wenn der EHDS- Verordnungsvorschlag der EU Kommission in der aktuellen Form umgesetzt wird.

Der unermessliche Schatz der Gesundheitsdaten weckt Begehrlichkeiten, vor allem dann, wenn dieser zentral abgelegt und verwaltet wird. Datenschutz für den Datenschatz dürfte, wenn überhaupt, nur bei einer dezentralen Speicherung möglich sein. Aber dann kämen weder nationale noch internationale Datensammler an den Schatz. Jens Spahn hat mit seinen Gesetzen vorgesorgt, dass es zu diesem Schutz nicht kommt, er hat national die Voraussetzungen für die europaweite Datensammelorgie geschaffen. Jens war unser game-changer beim Thema Patientengeheimnis und ärztliche Schweigepflicht, frei nach seinem Motto von 2016 „Datenschutz ist was für Gesunde.“

Alle, denen ärztliche Schweigepflicht und das Patientengeheimnis wichtig ist, sollten sich mit dem EHDS befassen. Sämtliche Ähnlichkeiten mit real existierenden Gesetzen in Deutschland und mit Gesetzesvorhaben in der EU oder auch mit bereits erfolgten Datenschutzverstößen bestimmter Vermittler von Arztterminen sind nicht zufällig. Infos zu Parallelen können jederzeit im Internet nachgelesen werden.

• facebook
• twitter