Zum Stichtag 1. Oktober werden also zum ersten Mal für jeden gesetzlich Versicherten Angaben zur Person (Geburtsjahr, Geschlecht und Postleitzahl) mit den Informationen zur Krankengeschichte und zur Versicherung (einschl. strukturierte Behandlungsprogramme) pseudonymisiert an die zentrale Datensammelstelle beim Spitzenverband Bund der Krankenkassen übermittelt. Dort wird geprüft, ob die Informationen vollständig, plausibel und konsistent sind. Dann werden sie an das Forschungsdatenzentrum des Bundes übersandt – angesiedelt beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) –, an welches dann die Anträge auf Erschließung gestellt werden können. Die sogenannte Vertrauensstelle beim Robert Koch-Institut hat die Funktion, über die Zuteilung von periodenübergreifenden Pseudonymen Datenanalysen z.B. über längere Zeiträume technisch möglich zu machen. Die Einrichtung dieser Stellen wie auch das gesamte Verfahren wird durch Beitragsmittel der Versicherten finanziert.

Klarnamen enthält die Datensammlung keine. Sind einzelne Personen damit vor einer Identifizierung geschützt? Nicht wirklich, sagt Kurz. Die technischen Vorkehrungen gegen eine Rückführbarkeit der Daten seien nicht ausreichend. So könne man die Daten z.B. mit einem geeigneten zweiten Datensatz, in dem die vollen Namen enthalten sind, abgleichen. Dann ließen sich die gesammelten Daten relativ leicht konkreten Personen zuordnen. 

Kryptographie-Experten: Daten kaum vor Re-Identifizierung geschützt

In dieser Aussage wird Kurz u.a. durch ein Gutachten des Kryptografie-Experten Prof. Dr. Dominique Schröder  der Friedrich-Alexander-Universität Nürnberg-Erlangen gestützt. Er hat neben dieser als recht einfach beschriebenen Angriffsmöglichkeit weitere identifiziert.

Und der Chaos Computer Club (CCC) kündigt zum Hauptsacheverfahren, das für den 18. Oktober angesetzt ist, eine weitere technische Stellungnahme zu der Datensammlung an. Darin bestätigen die CCC-Sicherheitsexperten die Aussagen von Prof. Schröder. Darüber hinaus bemängeln sie nachdrücklich die Risiken der zentralen Speicherung. Eine dezentrale Speicherung dagegen würde die Auswirkungen eines Angriffes mindern: Einerseits wären bei Angriffen eben nur Teilmengen betroffen und andererseits wäre das Wissen über den Angriff auf den einen Teil beim Schutz anderer Teile hilfreich. Der Verlust von großen Datenmengen erzeuge dagegen neben dem Schaden für die vielen Betroffenen auch hohe Kosten durch juristische Verfahren, Schadensersatzforderungen und andere Folgekosten. 

Pseudonymisierung im Widerspruch zum Ziel der Datensammlung

Gleichzeitig melden die Experten grundsätzlich Zweifel an, ob Pseudonymisierung hier überhaupt ein sinnvoller Schutzmechanismus gegen Re-Identifizierung sein kann. Denn ein Gesundheitsdatensatz sei in der Regel nur nützlich, wenn Geburtsjahr, Geschlecht, Krankengeschichte usw. des Falles zugeordnet sind. Es seien aber genau diese medizinisch notwendigen Zusatzdaten, die eine Re-Identifizierung des Datensatzes verhältnismäßig einfach möglich machen. Ergo: Die vorgesehene simple Pseudonymisierung mit Arbeitsnummern und Lieferpseudonymen bei gänzlich intaktem Datensatz sei in keiner Weise der Aufgabe gewachsen, die zentralisiert gespeicherten Daten von Millionen von Menschen adäquat zu schützen.

In ihrer Klagebegründung unterstreicht Kurz, dass es ihr nicht darum ginge, das Verfahren ersatzlos zu beseitigen. Sie stelle nicht infrage, dass es legitimen und gewichtigen Zielen dient. Die gesetzliche Ausgestaltung des „Datentransparenzverfahrens“ würde jedoch gravierende Mängel aufweisen. Neben den Sicherheitsmängeln, die durch die gesetzliche und verordnungsrechtliche Gestaltung des Verfahrens angelegt würden, beanstandet Kurz die Unverhältnismäßigkeit: Das Verfahren räumt den Versicherten kein Recht zum Widerspruch gegen die Datenverarbeitung ein.

Gesundheitsdaten einer Person im Schnitt 250 US-Dollar wert

Auch die Gesellschaft für Freiheitsrechte e.V. (GFF), die Kurz in der Klage unterstützt, sieht Verstöße gegen das Grundrecht, selbst über die eigenen Daten zu bestimmen, wie auch gegen das Datenschutzrecht der Europäischen Union. Der Wert der Gesundheitsdaten einer Person werde auf durchschnittlich 250 US-Dollar geschätzt. Die Gefahr, dass Daten über direkte Hackerangriffe entwendet würden, steht also im Raum, so die GFF. Es sei auch nicht ausgeschlossen, dass Daten durch Personen in den zugriffsberechtigten Institutionen weitergegeben werden. Als schützende Maßnahme müsse ein Widerspruchsrecht eingeräumt werden.

Die Möglichkeit, der Datenverarbeitung zu widersprechen, sei hierbei erst recht für Personen mit seltenen oder stigmatisierenden Krankheiten wichtig. Ihnen kann nicht nur ein direkter Schaden entstehen, wenn ihre Krankengeschichte entwendet oder veröffentlicht wird, sie laufen außerdem auch ein höheres Risiko, aus der Menge identifiziert zu werden. 

Vor diesem Hintergrund unterstützt die GFF ein weiteres Verfahren. Der klagende Patient, der unter einer schweren Hämophilie sowie einer rezidivierenden depressiven Störung mit kombinierter Persönlicheitsstörung leidet, fürchtet, dass ihm u.a. berufliche Nachteile entstehen, wenn seine Krankheitsdaten öffentlich werden.   

Datenbank geht an den Start - merken wird das zunächst keiner der Versicherten

Sowohl das Eilverfahren des Hämophilie-Patienten wie auch das von Kurz wurden gewonnen, ihre Daten werden zunächst nicht eingespeist. Das Verfahren läuft weiter, es zielt auf eine Klärung der Rechtslage durch das Bundesverfassungsgericht bzw. den Europäischen Gerichtshof.

Zum Start des Hauptverfahrens von Kurz sind die Datensätze aller anderen gesetzlich Versicherten bereits ein erstes Mal zusammengeführt. Merken wird das keiner der 73 Millionen – wo kein Widerspruchsrecht eingeräumt wird, gibt es auch keine Pflicht, darüber zu informieren. 

Medical-Tribune-Bericht