Dateianhang:
Merkel-ist-Mengele kl.jpg
Ein bischen Aufregung zum Wochenende gefällig? Unser Bankkaufmann fingert wieder an Dingen, die ihn nix angehen (sollten) mvT
der_Chris, Freitag, 14.08.2020, 10:41
Moin Zusammen,
vielleicht interessiert es den einen oder anderen - oder auch nicht...
Es geht um unseren obersten Chefarzt Jensemann Spahn.
Dieser Mann treibt die Datenschützer in die Verzweifelung und man muss sich in dem gesamten Kontext seiner Tätigkeit,
insbesonders seit die Grippe+ wütet, verwundert die Augen reiben, zu was dieser Mann fähig ist.
Was mich dabei massiv umtreibt ist der Umstand, dass die Opposition im deutschen Bundestag offensichtlich:
- vollumfänglich pennt
- keinerlei Veranlassung sieht, einzuschreiten.
Der Reihe nach sehr schön bei Heise/Telepolis dargestellt und auf jeden Fall wert, mal quer zu lesen.:
Oktober 2019: Implantateregister-Errichtungsgesetz
Das Gesetz hat jetzt 34 Seiten und die Begründung 100, weil Sie gut begründen müssen,
wenn Sie im Datenschutz möglicherweise etwas mehr verpflichtend machen und nicht alles
von einer Einwilligung abhängig machen, wenn 's um solche Versorgungsdatensammlungen geht.
[...] Aber es geht ! - Wir sind damit gut durchs Kabinett gekommen!!! JENS SPAHN
Teil 2: Unbemerkt von der Öffentlichkeit geht der Datenschutzabbau in die nächste Runde.
Spahns Digitale-Versorgung-Gesetz, bekannt als "App auf Rezept", plant digitale "Innovationen"
auf Kosten des informationellen Selbstbestimmungsrechts der Bürger
November 2019 Versorgung durch Digitalisierung und Innovation
Teil 3: Damit entspricht Gesundheitsminister Spahn dem Wunsch des Gemeinsamen Bundesausschusses
(G-BA), dessen Vorsitzender bereits im Dezember 2018 öffentlich seinem Ärger über die bisher geltenden
Datenschutzregelungen Luft gemacht hatte: "Ich kann aber Qualitätssicherung nur betreiben, wenn ich den
Patienten kenne, wenn ich also weiß, ob der Läuse, Flöhe und Fußpilz hat."
Und? Schon den Kaffee auf? Tja liebe Leute es geht noch weiter
Mai 2020 Daten auch von Nichtinfizierten
Teil 4: Während die Aufmerksamkeit auf den Immunitätsnachweis gerichtet ist, plant Spahn mit seinem zweiten Pandemieschutzgesetz unverhältnismäßige Grundrechtseingriffe. Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz
August 2020 Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur
Anmerkung: Hört sich doch erstmal gut an..
Teil 5: Neues Gesetz legalisiert datenbasierte Gesundheitsprofilbildung auch gegen den Willen des Versicherten. Mit einem Verfahrenskniff gelingt Spahn unbemerkt ein weiterer Datenschutzabbau. "Man muss Gesetze kompliziert machen, dann fällt das nicht so auf."
Teil 6: Oberster Datenschützer und 73 Mio. Bürger ausgetrickst
Es ist schlimmer, als bisher angenommen. Und es zeigt, welche Manöver die Bundesregierung unternommen hat, um Datenschutzrechte von 73 Millionen gesetzlich Versicherter auszuhebeln, ohne dass die betroffenen Bürger selbst davon erfahren. Aber das ist, wie sich jetzt herausstellt, noch nicht alles.
Teil 7: Mich beunruhigt, dass uns zu viele Bürger weniger vertrauen als früher. Jens Spahn, 23.06.2019
Ich finde, im gesamten Kontext der Corona hat das kein Geschmäckle mehr, dass stinkt wie Schützenfestkotze und Hundekacke zusammen.
Wer legt diesem Mann das Handwerk?
Bin ich ein Alu-Hut wenn ich die Fragen stelle:
- Steckt da System hinter?
- Wo sind die Cashback Konten des Bankers? (Mit sowas sollte er sich ja auskennen)
- Wieso schreitet keiner ein?
- Was kommt als nächstes?
Und das alles im Kontext mit Impfzwang, BillyBoy Microsoft, Pandemie-Comics aus 2011 im EU Parlament, völlig wirren RKI Statistiken, usw...
Achso, und wenn einer wissen möchte, wo möglicherweise die Tür mit dem Zapfhahn ist, aus dem sich so mancher einen Schluck aus der Pulle gönnen könnte, dann hab ich noch das hier als Bonusmaterial oben drauf:
Ab dem 7. April unterstützte die Wirtschaftsprüfungsgesellschaft Ernst & Young (EY) das Bundesgesundheitsministerium. Bis zum 26. Juni haben dort 112 Mitarbeitende rund 29.000 Stunden Arbeit geleistet, heißt es in der Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Fraktion. Unter anderem kümmern die externen Berater sich um "das Vertragsmanagement, die Rechnungsbegleichung, die Klärung von Leistungsstörungen sowie die Organisation von Qualitätsprüfungs- und Logistikprozessen und die Dokumentation". 9,5 Millionen Euro sind als Honorar für die Prüfgesellschaft eingeplant.
Was mich wirklich fasziniert ist ja, dass der Typ aussieht wie Schwiegermuttis Liebling und bald teuflischer ist als unsere Todesraute
gefunden im gelben Forum und gerade zum richtigen Zeitpunkt,
wo wir dahinter kommen, um was es wirklich geht
+++++++++++++++++++++++++++++++++++++++
Teil 1
Der fleißige Herr Spahn - Mit Vollgas gegen den DatenschutzWie man Datenschutzabbau im Gesundheitswesen als Sicherheitsmaßnahme framet
Medienwirksam stellt sich der Bundesgesundheitsminister als Hüter des Datenschutzes dar. In Wirklichkeit hat er gerade unbemerkt von der Öffentlichkeit einen bedeutenden Eingriff in die Grundrechte des Bürgers durchs Parlament gebracht.
Das Wichtigste zuerst:
Jeder Bürger, dem ein medizinisches Implantat eingesetzt wird, wird zukünftig laut "Implantateregister-Errichtungsgesetz" verpflichtet, seine sensiblen Gesundheitsdaten zentral in einem staatlichen Patientendaten-Implantationsregister verarbeiten und z.T. pseudonymisiert zu vielfältigen Zwecken (u.a. zur Sekundärnutzung für "wissenschaftliche Zwecke") weiternutzen zu lassen.
Zu den Implantaten zählt das Gesetz Gelenkendoprothesen (Hüfte, Knie, Schulter usw.), Brustimplantate, Herzklappen und andere kardiale Implantate, implantierbare Defibrillatoren und Herzschrittmacher, Neurostimulatoren, Cochlea-Implantate, Wirbelkörperersatzsysteme und Bandscheibenprothesen sowie Stents.
Neben Daten zur Identifizierung des Betroffenen werden folgende Daten verarbeitet: technische, zeitliche, organisatorische, klinische Daten zu den gesamten Versorgungsprozessen, insbesondere Anamnese, Befunde, Indikationen, Voroperationen, Größe, Gewicht des Patienten, Aufnahmedatum, Datum der Operation und Datum der Entlassung. Desweiteren technische, zeitliche, organisatorische, klinische und ergebnisbezogene Daten zur Nachsorge und Ergebnismessung.
Der Gesetzesname "Implantateregister-Errichtungsgesetz" ist daher irreführend. Er legt nahe, entsprechend der Forderung der EU-Medizinprodukteverordnung 2017/745 ein Produkteregister zu errichten, das u.a. im Notfall die Rückverfolgbarkeit der Implantate sicherstellt. Spahns Register geht dagegen als vollumfängliches Patientendaten-Implantationsregister meilenweit darüber hinaus.
Im Unterschied zu anerkannten auf freiwillige Teilnahme basierenden europäischen Gesundheitsversorgungsregistern z.B. in Schweden (SCAAR/Swedeheart) wird in Deutschland der betroffene Patient dazu verpflichtet, dem Staat einen umfassenden und dauerhaften Zugriff auf seine sensiblen Gesundheitsdaten zu ermöglichen.
Das Recht des Betroffenen auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) wird vom Gesetz ausgeschlossen.
Das Recht des Betroffenen auf Widerspruch (Art. 21 DSGVO) wird auch ausgeschlossen.
Bei der öffentlichen Anhörung zum Gesetzesentwurf Ende Juni (ab Min. 44:34) wurde anlässlich von Fragen zum Datenschutz eingeräumt, dass der Bundesbeauftragte für Datenschutz "nicht hier" sei. Unsicherheit herrschte, ob er geladen war. Der Vorsitzende: "Wir müssen warten, bis er hier ist." Nach der Tagesordnung war der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) nicht geladen.1
Das Gesetz wurde am 26. September vom Parlament beschlossen. Es bedarf nicht der Zustimmung durch den Bundesrat und soll am 01. Januar 2020 in Kraft treten.
Gesundheitsminister Spahn hatte bereits im April auf der DMEA -Messe angekündigt, sich auch nach Verabschiedung des Gesetzes für eine bessere Datennutzung in der Sozialdatenschutzgesetzgebung einsetzen zu wollen, um Menschen rechtzeitig "Angebote" machen zu können, bevor sie z.B. Erwerbsminderungsrente beantragen.
Was bedeutet das Gesetz?
"Aber es geht!", ruft der Bundesgesundheitsminister Mitte April euphorisch in den Saal hinein. Hier auf der DMEA, der größten HealthCareIT-Messe Europas, weiß das Publikum den Wert von sensiblen Gesundheitsdaten zu schätzen (Video ab Min. 17:20).
"Wir sind damit gut durchs Kabinett gekommen!!!", prahlt Spahn, der sein Glück selbst kaum zu fassen scheint. Durchs Kabinett gekommen und mittlerweile sogar durchs Parlament ist der Bundesgesundheitsminister mit einem bedeutenden Eingriff in die Grundrechte der Bürger, nämlich mit der "Beschränkung des Rechts auf informationelle Selbstbestimmung", wie es in der Begründung zum "Implantateregister-Errichtungsgesetz" heißt.
Das Gesetz, das am 26. September vom Parlament beschlossen wurde und medial in Verkennung seiner Tragweite überwiegend als Ausdruck staatlicher Fürsorge gegenüber Implantatträgern vermittelt wurde, sieht vor, ohne Einwilligung des betroffenen Bürgers umfassende Gesundheitsdaten in einem staatlichen Register zu erfassen sowie in vielfältiger Art kontinuierlich weiterzuverarbeiten und weiterzugeben, ohne zu den jeweiligen Nutzungen eine Einwilligung des Bürgers einholen zu müssen.
Auf diese Weise werden Datenschutzrechte ausgehebelt, die sich aus den Grundrechten ableiten und damit zu den Abwehrrechten des Bürgers gegen den Staat gehören.
Die Tragweite des Gesetzes kann man nur dann ermessen, wenn man weiß, dass Gesundheitsdaten nicht nur zu den dem Datenschutz unterliegenden personenbezogenen Daten gehören (auch in pseudonymisierter Form), sondern darüber hinaus aufgrund ihrer existenziellen Bedeutung für den Menschen rechtlich als sog. sensible Daten unter besonderen Schutz stehen. (Art. 9 Abs. 1 DSGVO).
Sie dürfen deshalb grundsätzlich nicht verarbeitet werden. Zwar gibt es rechtlich vorgesehene Ausnahmen (Art. 9 Abs. 2 DSGVO), nach denen eine Verarbeitung unter Beachtung bestimmter Prinzipien zulässig sein kann: eine Einwilligung des Betroffenen oder etwa ein Gesetz, indem ein Allgemeininteresse geltend gemacht werden kann, das den Grundrechtseingriff erforderlich macht. Insbesondere Letzeres muss allerdings gut begründet werden.
Dazu hatte Spahn bereits im April auf der oben genannten Messe der Gesundheitsbranche aus dem Nähkästchen geplaudert:
Das Gesetz hat jetzt 34 Seiten und die Begründung 100, weil Sie gut begründen müssen, wenn Sie im Datenschutz möglicherweise etwas mehr verpflichtend machen und nicht alles von einer Einwilligung abhängig machen, wenn 's um solche Versorgungsdatensammlungen geht. [...] Aber es geht ! - Wir sind damit gut durchs Kabinett gekommen!!!
Jens Spahn
Wie wurde der Grundrechtseingriff begründet?
Tatsächlich beruft sich Spahn auf ein schutzwürdiges Allgemeininteresse (öffentliche Gesundheit, Abwehr von Risiken, Qualitätsverbesserung von Medizinprodukten, Rückrufaktion bei fehlerhaften Implantaten).
Die Verpflichtung zur Registrierung sei deswegen erforderlich, da bereits jetzt jeder 10. Patient die freiwillige Teilnahme am Endoprothesenregister Deutschland "verweigert". Die Teilnehmerquote betroffener Patienten liege "lediglich bei 90 %", was "erhebliche Auswirkungen" auf die Validität der Daten und Belastbarkeit der Auswertungsergebnisse habe. Eine Freiwilligkeit der Teilnahme würde somit "die Zweckerreichung in erheblichem Maße gefährden".
Entwaffnend ehrlich spricht Spahn gegenüber seinem Messe-Publikum im April darüber, wie er die Grenzen des juristisch Machbaren ausgelotet hat, um das Einwilligungserfordernis auszuhebeln:
Wir haben uns intensiv ausgetauscht und gefragt: Wieweit können wir gehen - beim Einwilligungserfordernis oder Nicht-Erfordernis? Aber wenn Sie genau schauen, was wir da geregelt haben, sieht man, dass auch mit heutigem Datenschutzrecht viel geht!
Jens Spahn
Im Unterschied zu den Krebsregistern, bei denen man in den letzten Jahren ebenfalls zur verpflichtenden Teilnahme übergegangen ist, aber meist dem Betroffenen zur Wahrung seines informationellen Selbstbestimmungsrechts immerhin noch das Widerspruchsrecht gelassen hat, hat Spahn dafür gesorgt, dass dieses wichtige Betroffenenrecht ausgeschlossen wird. Damit kommt sein Gesetz praktisch einer Aushebelung des Rechts auf informationelle Selbstbestimmung gleich.
Der Ausschluss sowohl des Widerspruchsrechts (Art. 21 DSGVO) als auch des Rechts auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) erfolgt unter Berufung auf Art. 23 DSGVO, der eine Beschränkung von Betroffenenrechten in einer Reihe von schwerwiegenden Fällen vorsieht, so z.B. als notwendige und verhältnismäßige Maßnahme, die die nationale Sicherheit, die Landesverteidigung, die Verhütung von Straftaten sicherstellt, oder auch als notwendige und verhältnismäßige Maßnahme, die den Schutz "sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses" sicherstellt etwa "im Bereich der öffentlichen Gesundheit".
Bereits 2016 hatte der Rechtswissenschaftler Alexander Roßnagel vorhergesehen, "dass die Mitgliedstaaten von den ihnen durch Art. 23 DSGVO eingeräumten Möglichkeiten der Beschränkung regen Gebrauch machen werden. Dadurch können die […] Betroffenenrechte erheblich relativiert werden." [5] (S. 165)
Worum geht es außerdem?
Mir war von Anfang an sehr wichtig, dass wir möglichst viel auch anonymisiert und pseudonymisiert […] an Daten dort hineinbringen, so verpflichtend wie möglich, mit so wenig Ausweichmöglichkeiten wie möglich - um es mal so zu formulieren.
Jens Spahn
Nicht zuletzt diese Aussage des Bundesgesundheitsministers auf der besagten DMEA-Messe deutet darauf hin, dass es möglicherweise auch um die Deckung des Bedarfs an riesigen Datensätzen geht, der sich vor allem mit Blick auf die in der Regelversorgung des Gesundheitssystems geplanten Big Data-Anwendungen ergibt.
Als sog. "strukturelle Hürden" werden dabei seit Jahren insbesondere die folgenden datenschutzrechtlich verankerten Grundsätze bewertet: das Einwilligungserfordernis sowie die Prinzipien der Datenminimierung und Zweckgebundenheit der Datenverarbeitung.
Spahns Patientendatenregistergesetz hat sämtliche "strukturellen Hürden" erfolgreich aus dem Weg geräumt: Das Einwilligungserfordernis wird unter Berufung auf ein wichtiges Allgemeininteresse beseitigt. Die Gebote der Datenminimierung und Zweckbindung werden v.a. durch die Koppelung einer Vielzahl von z.T. nicht hinreichend konkretisierten Zweckbeschreibungen des Registers umgangen. Und schließlich wird durch den Ausschluss des Widerspruchsrechts der Kontrollverlust des Bürgers hinsichtlich seiner sensibelsten Daten praktisch besiegelt.
Wenn also der Bundesgesundheitsminister auf der DMEA-Messe im April davon schwärmt, dass "auch mit heutigem Datenschutzrecht viel geht", dann bedeutet dies genau das: die Aushöhlung des Datenschutzrechts mit formal legalen Mitteln.
Weshalb hat die Öffentlichkeit diesen Angriff auf ihre Datenschutzrechte nicht bemerkt?
"Der Ökonomie der Aufmerksamkeit zu folgen (Franck 1998), bedeutet für die Regierungskommunikation, das Timing, die Themen und vor allem das Framing der Berichterstattung zu beeinflussen", heißt es in der von der Bertelsmann Stiftung 2008 herausgegebenen Schrift "Kommunikationsreform".
Tatsächlich ist Spahns Erfolg auch das Ergebnis einer herausragenden politischen Kommunikationsstrategie. Allein das Timing war hervorragend: Die Aufmerksamkeit der Öffentlichkeit wird seit Monaten absorbiert durch sehr polarisierende Themen (v.a. Brexit, Trump, Klimabewegung).
Mit unglaublicher Schnelligkeit verfolgt Spahn seine Gesetzesvorhaben. Dadurch wird selbst die kritische Öffentlichkeit förmlich überrannt. Unterstützend wirkt ferner eine geschickte Imagekonstruktion als fleißiger und fürsorglicher Kümmerer. Niemand argwöhnt, dass ausgerechnet dieser sympathische Bundesminister versuchen wird, auf formal legalem Wege dem Datenschutz das Genick zu brechen.
Und schließlich verhindert ein klug gewählter Sicherheits-Frame, der monatelang die ohnehin spärliche Berichterstattung über das Gesetz beherrscht, jede gesellschaftliche Debatte. Dass durch das Gesetz auch bedeutende Datenschutzrechte betroffen sind, erfährt die Bevölkerung ja nicht. Sie muss geradezu davon ausgehen, dass es nur um die Registrierung von Implantatprodukten geht. Der Gesetzesname wird dabei selbst zum politisch strategischen Frame, der, indem er die falsche Tatsache einer bloßen Produktregistrierung vorspiegelt, als Pars-pro-toto-Fehlschluss die Arglosigkeit der Bevölkerung forciert.
Auf diese Weise wurde einer intensiven gesellschaftlichen Diskussion, die angesichts der Tragweite eines solchen Grundrechtseingriffs ganz sicher zu erwarten gewesen war, erfolgreich der Riegel vorgeschoben.
Es ist der 27. September 2019. Spahn hat das Gesetz durchs Parlament gebracht. Jetzt tritt er in einem vom Bundesgesundheitsministerium auch auf YouTube veröffentlichten Erklärvideo vor das Volk. In leicht verständlicher Sprache verkündet er, dass die Regierung den Patienten von nun an "im Alltag begleiten" sowie "unterstützen und helfen" werde und dass das neue Gesetz für den Patienten vor allem "Sicherheit" bedeute, nicht nur im Hinblick auf Implantate:
"Damit gewährleisten wir Datenschutz und Datensicherheit auf höchstem Niveau", versichert der Bundesgesundheitsminister und lächelt. (Brigitta Engel)
https://www.heise.de/tp/features/Der-fl ... 56149.html++++++++++++++++++++++++++++++
Teil 2
Wie man Datenschutzabbau als Versorgungsinnovation framet
30. Oktober 2019 Brigitta EngelDer fleißige Herr Spahn: Mit Vollgas gegen den Datenschutz - Teil 2Unbemerkt von der Öffentlichkeit geht der Datenschutzabbau in die nächste Runde. Spahns Digitale-Versorgung-Gesetz, bekannt als "App auf Rezept", plant digitale "Innovationen" auf Kosten des informationellen Selbstbestimmungsrechts der Bürger (Teil 1: Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz).
Das Wichtigste zuerst
Das am 27. September in erster Lesung beratene "Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation" sieht vor, dass gesetzliche Krankenkassen durch inhaltliche Kooperation mit Unternehmen und durch den Erwerb von Anteilen an Investmentfonds direkt an der Entwicklung und Erprobung von digitalen Medizinprodukten beteiligt werden sollen.
Zu diesem Zweck sollen sie die rechtliche Grundlage dafür erhalten,
1. ohne Einwilligung der Versicherten die personenbezogenen Daten von rund 72 Millionen gesetzlich versicherter Bürger für eine versichertenbezogene Bedarfsanalyse auszuwerten,
2. Digitalprodukte (niedriger Risikoklasse) ohne Nachweis eines medizinischen Nutzens und ohne ärztliche Verordnung in einer Erprobungsphase für den Einsatz an Versicherten nach deren Einwilligung testen zu dürfen sowie
3. ohne Einwilligung der Versicherten eine umfassende Datensammlung an den Spitzenverband Bund der Krankenkassen zu schicken. Dieser reicht die Einzeldatensätze pseudonymisiert an ein staatliches "Forschungszentrum" weiter, das wiederum u.a. für die endgültige Zulassung der Digitalprodukte zuständig ist. Hier werden die Daten abermals ohne Einwilligung der Versicherten zu vielfältigen Zwecken verarbeitet und (auf Antrag auch pseudonymisiert) einer Vielzahl von Interessengruppen zur Nutzung zugänglich macht.
Der Bundesrat schlägt Alarm. In seiner Stellungnahme warnt er eindringlich vor "erhebliche[n] Risiken für die Persönlichkeitsrechte der Versicherten", vor der "Gefahr der Diskriminierung" durch "individuelle Gesundheitsprofile" sowie vor dem "Reidentifikationsrisiko". Es bestünden "ganz erhebliche Zweifel" an der Verhältnismäßigkeit der vom Gesetz vorgesehenen Datenverarbeitung. Der Bundesrat fordert daher "eine umfassende Überprüfung der Regelungen unter dem Gesichtspunkt des Sozialdatenschutzes". -In einer Gegenäußerung weist der Gesundheitsminister bzw. die Bundesregierung die Kritik des Bundesrates zurück. Man beruft sich dabei auch auf den Bundesbeauftragten für Datenschutz Ulrich Kelber, unter dessen Beteiligung die entsprechenden Regelungen "intensiv hinsichtlich der Einhaltung der Grundsätze der Normenklarheit, der Erforderlichkeit, der Zweckbindung und der Verhältnismäßigkeit geprüft" worden seien (Abschnitt Nr. 8).
Das Gesetz soll am 07. November beschlossen werden. Es bedarf nicht der Zustimmung des Bundesrates und soll am 01. Januar 2020 in Kraft treten.
Welcher Datenschutzabbau erfolgt bei der Produktentwicklung?
Um in inhaltlicher Kooperation mit Unternehmen die Entwicklung neuer Digitalprodukte zu fördern, sollen die gesetzlichen Krankenkassen die Befugnis erhalten, ohne Einwilligung der rund 72 Millionen Versicherten die gespeicherten personenbezogenen Daten pseudonymisiert zur zielgerichteten Bedarfsanalyse auszuwerten. Darüber hatte die Plattform netzpolitik.org bereits im Juli berichtet.
Welche Daten im Zuge der Auswertung "versichertenbezogen zusammengeführt" sollen, konkretisiert die Gesetzesbegründung im Referentenentwurf [5]: Alter, Geschlecht, sozioökonomische Faktoren zur "Analyse [...] von Nutzerpräferenzen bestimmter Versicherungsgruppen", des Weiteren Abrechnungsdaten aus der vertragsärztlichen Versorgung, der Arzneimittelverordnung, der stationären Versorgung und anderer Leistungserbringer.
Mit scharfen Worten kritisiert die Bundesärztekammer die geplante Datenschutzverletzung:
Die Bundesärzteschaft lehnt es ab, dass Sozialdaten - ohne Zustimmung der Versicherten - mittelbar zur Generierung von Geschäftsmodellen von Unternehmen der Informationstechnologie genutzt werden.
Bundesärztekammer
Sozialdaten sind als personenbezogene Daten rechtlich geschützt.
Gesundheitsdaten (Teil der Sozialdaten) stehen dabei aufgrund ihrer existenziellen Bedeutung auch in pseudonymisierter Form unter besonderem rechtlichen Schutz. Sie dürfen grundsätzlich nicht verarbeitet werden (Art. 9 Abs. 1 DSGVO).
Zwar gibt es rechtlich vorgesehene Ausnahmen (Art. 9 Abs. 2 DSGVO), die auch Krankenkassen eine Verarbeitung unter Beachtung bestimmter Grundsätze erlauben. Ohne Einwilligung erfolgende Bedarfsanalysen zu Marktforschungszwecken gehören aber nicht dazu.
Daher beruft sich Spahn wie schon beim sog. Implantate-Register-Gesetz auf ein schutzwürdiges Allgemeininteresse im Bereich der öffentlichen Gesundheit: Die Datenverarbeitung sei rechtmäßig, heißt es in der Gesetzesbegründung, da
die Auswertung der Daten zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist.
Der Versuch, die Einschränkung von Datenschutzrechten unter Berufung auf "hohe Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung" zu begründen (Art. 9 Abs. 2 lit. i DSGVO), ist recht kühn, bedenkt man, dass hier Digitalprodukte in die Versorgung eingebracht werden sollen, die zum Zeitpunkt ihrer Einführung und für weitere 12 Monate nicht einmal den Nachweis eines medizinischen Nutzens erbringen müssen und darüber hinaus ohne jede Indikationsstellung ärztlicherseits von den Krankenkassen selbst verordnet werden dürfen.
Welcher Datenschutzabbau erfolgt bei der Einführung der Produkte?
Um digitale Gesundheitsprodukte zudem schneller in die Versorgung einzuführen, ist es den Krankenkassen erlaubt, den Versicherten mit deren Einwilligung auch ohne ärztliche Verordnung ein individuelles "Angebot" zu unterbreiten. Hierfür dürfen sie laut geplantem Gesetz zusätzliche Daten erheben und speichern.
Fraglich ist allerdings, ob diese "Angebote" angesichts des ungleichen Abhängigkeitsverhältnisses zwischen Krankenkasse und einzelnem Versicherten noch dem datenschutzrechtlich verankerten Gebot der Freiwilligkeit der Einwilligung entsprechen oder ob sie nicht eher zu jenen "Angeboten" gehören, die, um mit Don Corleone zu sprechen, nicht abgelehnt werden können.
Erhebliche Zweifel bestehen außerdem an der Verhältnismäßigkeit der Datenverarbeitung, wie der Bundesrat in seiner Stellungnahme ausführt:
Die personenbezogene Zusammenführung und Auswertung ermöglicht den Krankenkassen in großem Umfang individuelle Gesundheitsprofile ihrer Versicherten zu erstellen. Dies birgt erhebliche Risiken für die Persönlichkeitsrechte der Versicherten und die Gefahr der Diskriminierung von einzelnen oder bestimmten Risikogruppen. Gerade angesichts der Weite der potenziellen Nutzungen der Daten bestehen ganz erhebliche Zweifel, ob der Grundsatz der Verhältnismäßigkeit gewahrt bleibt.
Bundesrat
Welcher Datenschutzabbau erfolgt bei der Nutzung der Daten im "Forschungszentrum"?
Die massive Sozialdatensammlung - bestehend aus Informationen über Alter, Geschlecht, sozioökonomische Faktoren, Wohnort, Krankenhausbehandlungen, ambulante ärztl. Versorgung, die Versorgung mit Heil- und Hilfsmitteln und digitale Gesundheitsanwendungen, die Versorgung durch Hebammen sowie Versorgung durch andere Leistungserbringer - wird einem "staatlichen Forschungsdatenzentrum" zugeführt. Dies geschieht auf dem Weg der ohnehin erfolgenden Meldung von Krankenkassendaten für den morbiditätsorientierten Risikostrukturausgleich.
Das entscheidende Puzzlesteil zum Gesamtbild: Dieses "Forschungsdatenzentrum" entsteht, so hatte die FAZ bereits im Juli berichtet, aus der Fusion der bisherigen Datenaufbereitungsstelle (in der übrigens auch die umfassenden Patientendaten für das Implantate-Register verarbeitet werden) mit dem dem Gesundheitsminister direkt nachgeordneten Bundesinstitut für Arzneimittel und Medizinprodukte, das auch für die endgültige Zulassung der digitalen Medizinprodukte zuständig sein soll.
So entsteht nicht nur ein riesiges staatliches Patientendatenzentrum, sondern zugleich ein perfekt organisierter Datenkreislauf zur Entwicklung, Erprobung und Zulassung von Digitalprodukten auf Kosten des informationellen Selbstbestimmungsrechts der Versicherten.
Und auch das gehört zum Gesamtbild: Bereits 2017 hat die Bundesregierung im Rahmen des Bundesversorgungsgesetzes die Möglichkeiten der Sozialdatennutzung zu Forschungszwecken erheblich ausgeweitet. Spahn will nun diese Möglichkeiten ein weiteres Mal ausdehnen: "Die Nutzungsmöglichkeit zu Forschungszwecken wird offener gefasst", heißt es in der Gesetzesbegründung, und zwar u.a. zugunsten des "Nachweises der positiven Versorgungseffekte" der eingeführten digitalen Medizinprodukte.
Das erweiterte Datenangebot darf im "Forschungsdatenzentrum" aber nicht nur für den ebenfalls erweiterten Forschungszweck verarbeitet werden, sondern auch noch für eine Reihe anderer Zwecke wie etwa für bestimmte "politische Entscheidungen" oder für die "Gesundheitsberichterstattung des Bundes und der Länder".
Der Bundesrat kritisiert, dass bei dieser "umfangreiche [n] Nutzung der Daten" "weder die bislang geltenden Beschränkungen für die Übermittlung von Sozialdaten zu Forschungszwecken (vgl. § 75 SGB X: Abwägung und grundsätzlich Einwilligungserfordernis) noch die nach der bisherigen Fassung geltende Begrenzung des in Betracht kommenden Bereichs der Forschungsthemen (vgl. die geltende Fassung des § 303e Abs. 2 Nummer 4 SGB V)" beachtet werden. Weiter heißt es in der Stellungnahme:
Daten mit erhöhter Gefahr der Reidentifizierung [...] sollen bereits dann zugänglich gemacht werden dürfen, wenn der Antragsteller nur 'nachvollziehbar darlegt', dass die Verarbeitung solcher Daten für seinen Zweck erforderlich sei. Es fehlt an einer klaren Regelung zur Abwägung des angestrebten Nutzens mit dem Reidentifikationsrisiko und dem Persönlichkeitsrecht der Betroffenen. Auch hier bestehen erhebliche Zweifel, ob mit den Regelungen §§ 303 a ff. SGB V der Grundsatz der Verhältnismäßigkeit im Hinblick auf die Persönlichkeitsrechte der Versicherten gewahrt bleibt.
Bundesrat
Das Ausmaß der Datennutzung zeigt die folgende Liste der Nutzungsberechtigten, die auch den Zugang zu pseudonymisierten Einzeldatensätzen (nach Verpflichtung zur Geheimhaltung) erhalten können:
die für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene, der Spitzenverband Bund der Krankenkassen, die Bundes- und Landesverbände der Krankenkassen, die Krankenkassen, die Kassenärztlichen Bundesvereinigungen und Kassenärztlichen Vereinigungen, die Institutionen der Gesundheitsberichterstattung des Bundes und der Länder, die Institutionen der Gesundheitsversorgungsforschung, die Hochschulen sowie außeruniversitäre Forschungseinrichtungen und sonstige Einrichtungen, die Daten zur unabhängigen wissenschaftlichen Forschung benötigen, der Gemeinsame Bundesausschuss, das Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen, das Institut des Bewertungsausschusses, die Beauftragte für Patientenbelange, maßgebliche Selbsthilfeorganisationen chronisch kranker und behinderter Menschen auf Bundesebene, das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen, das Institut für das Entgeldsystem im Krankenhaus, die für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden sowie übrige oberste Bundesbehörden, die Bundesärztekammer, die Bundeszahnärztekammer, die Bundespsychotherapeutenkammer sowie die Bundesapothekenkammer und schließlich die Deutsche Krankenhausgesellschaft.
Weshalb bemerkt die Öffentlichkeit nichts von der erneuten Gefährdung ihrer Grundrechte?
Dass im Interesse eines zentralen staatlichen Zugriffs auf sensible Gesundheitsdaten zunehmend Datenschutzgrundsätze ausgehebelt werden (s. auch sog. Implantateregister-Gesetz), ist nicht unproblematisch, bedenkt man, dass Datenschutzrechte von den Grundrechten abgeleitet werden und damit zu den Abwehrrechten gegen den Staat zählen.
Mindestens genauso bedenklich aber ist aus der Perspektive einer demokratischen Gesellschaft, dass eine notwendige gesellschaftliche Debatte hierüber ausbleibt. Das ist u.a. auf folgende Elemente einer sehr professionellen politisch-strategischen Regierungskommunikation zurückzuführen:
ein Innovations-Frame, dessen Verwendung nicht nur in Deutschland als grundlegend für eine Akzeptanz stiftende Kommunikation über 'Digitalisierung im Gesundheitswesen' gilt. Damit verbunden: Ein optimistischer Fortschritts-Frame, der sich laut dem Sprachwissenschaftler George Lakoff auch in Bewegungsmetaphern der Vorwärtsbewegung widerspiegelt, die wiederum unsere unbewussten Denkstrukturen von Zukunft als etwas räumlich vor uns Liegendes aktivieren würden (z.B. Spahn bringt auf den Weg, treibt voran, will vorankommen, ebnet den Weg, leitet erste Schritte ein, aber auch: Deutschland hinkt hinterher, muss aufholen usw.),
eine gezielte Überforderung der Medien durch einen täglichen Tsunami an neuen einzelnen Informationsschnipseln aus dem Gesundheitsministerium mit dem Ergebnis, dass selbst für kritische Journalisten die dahinter liegenden Zusammenhänge kaum noch erkennbar sind,
das Unsichtbarmachen von Datenschutzabbau auch in Form von Gesetzesnamen, die alles andere als eine Einschränkung von Grundrechten vermuten lassen ("Bundesversorgungsgesetz", "Implantateregister-Errichtungsgesetz", "Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation"), und schließlich
stete öffentlichkeitswirksame Beteuerungen des Gesundheitsministers, dass ihm der Datenschutz " sehr sehr sehr wichtig" ist.
Dass Jens Spahn als Gesundheitsminister dem Datenschutz besondere Aufmerksamkeit widmen würde, hätte man spätestens seit seinem 2016 erschienenen Buch "App vom Arzt" ahnen können:
Am Ende unseres Buches möchten wir feststellen, dass unsere - zugegeben etwas provokante These, dass Datenschutz nur was für Gesunde ist, nicht ganz stimmt. Er ist in der heutigen überdrehten Form auch nichts für Gesunde. […] Wir sind keine Fanatiker und wollen den Datenschutz nicht völlig abschaffen. Aber wir müssen ihn überprüfen und dort, wo er hinderlich ist, anders formulieren.
Jens Spahn
(Brigitta Engel)
++++++++++++++++++++++++++++++
Teil 3
"Terminservice- und Versorgungsgesetz": Wie man Datenschutzabbau als Qualitätssicherung framet05. November 2019 Brigitta Engel
Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz: Teil 3
Unbemerkt von der Öffentlichkeit hat Gesundheitsminister Spahn mit seinem "Terminservice- und Versorgungsgesetz" einen weiteren Abbau von Datenschutzrechten der Bürger durchs Parlament gebracht.
Teil 1: Implantateregister-Errichtungsgesetz
Teil 2: Digitale-Versorgung-Gesetz
Das Wichtigste zuerst:
Mit dem "Gesetz für schnellere Termine und bessere Versorgung" (TSVG) verspricht Gesundheitsminister Spahn "bessere Angebote für gesetzlich Versicherte". Unbekannt dürfte den gesetzlich Versicherten aber sein, dass zu den "besseren Angeboten" in Zukunft gehört, dass ihre sensiblen Gesundheitsdaten auch ohne Pseudonymisierung für die "Qualitätssicherung" leichter verfügbar gemacht werden.
Damit entspricht Gesundheitsminister Spahn dem Wunsch des Gemeinsamen Bundesausschusses (G-BA), dessen Vorsitzender bereits im Dezember 2018 öffentlich seinem Ärger über die bisher geltenden Datenschutzregelungen Luft gemacht hatte: "Ich kann aber Qualitätssicherung nur betreiben, wenn ich den Patienten kenne, wenn ich also weiß, ob der Läuse, Flöhe und Fußpilz hat."1 [ab Min. 2:32:31]
Anlass für den Unmut des G-BA-Vorsitzenden war ein vorangegangener Rechtsstreit beim LSG Berlin-Brandenburg, der zugunsten eines Suchtmediziners entschieden wurde: Der Arzt hatte mit Berufung auf bestehende Datenschutzregelungen erfolgreich dagegen geklagt, Behandlungsdokumentationen von namentlich bezeichneten drogenabhängigen Patienten ohne Pseudonymisierung zur "Qualitätssicherung" herausgeben zu müssen. Spahns Gesetz ändert nun die betreffenden Datenschutzregelungen so ab, dass der direkte Zugriff auf nicht pseudonymisierte Patientendaten rechtssicher erleichtert wird.
Zusätzlich darf der G-BA in Zukunft vorsehen, dass Leistungserbringern (z.B. Ärzten, Psychotherapeuten, Krankenhäusern) Informationen über ihre Patienten aus anderen Quellen übermittelt werden. Damit kann z.B. ein vorbehandelnder Arzt/Krankenhaus in Zukunft Einblick in Behandlungsdaten nehmen, die in anderen nachbehandelnden Einrichtungen erhoben wurden.
Das Gesetz wurde am 14. März 2019 vom Parlament beschlossen und ist bereits seit dem 11. Mai 2019 in Kraft getreten.
"Meine ganze ambulante QS [=Qualitätssicherung] ist gekippt worden durch die Datenschutzbeauftragten, weil ein Arzt geklagt hat", empört sich der Vorsitzende des Gemeinsamen Bundesausschusses auf der E-Health Konferenz der CDU/CSU im letzten Dezember: "Der Datenschutz hat es zunichte gemacht!"
Das war passiert: Einem suchtmedizinisch tätigen Hausarzt wurde nachträglich das Honorar gekürzt, da er sich unter Berufung auf die Datenschutzrechte seiner Patienten weigerte, Dokumente über deren Substitutionsbehandlungen ohne Pseudonymisierung zur Qualitätssicherung herauszugeben. Der Arzt klagte. Das Landessozialgericht Berlin-Brandenburg entschied im Mai 2018: Nach der geltenden Rechtslage müssen die Richtlinien des G-BA so geändert werden, dass patientenbezogene Informationen zum Zwecke der Qualitätssicherung pseudonymisiert werden. Das Urteil wurde ein Jahr später vom Bundessozialgericht bestätigt.
Der 299 wurde geschliffen
Bereits 2015 war die gesetzliche Regelung zur Pseudonymisierung von Patientendaten zur Qualitätssicherung um eine Ausnahme ergänzt worden. Spahn geht jetzt noch weiter: Mit seinem "Terminservice- und Versorgungsgesetz" wird die betreffende Gesetzesregelung des §299 Abs. 1 SGB V "geschliffen" - so die Formulierung des Vorsitzenden des G-BA auf besagter E-Health Konferenz.
Von einer Pseudonymisierung der Daten kann in Zukunft allein dann schon abgesehen werden, wenn die Richtigkeit der Behandlungsdokumentation Gegenstand der Qualitätsprüfung ist - mit anderen Worten: eigentlich immer.
Zusätzlich schafft Spahns Gesetz die rechtliche Voraussetzung dafür, dass der G-BA in Zukunft vorsehen kann, dass Leistungserbringern, z.B. Ärzten und Krankenhäusern, Informationen über ihre Patienten aus anderen Quellen übermittelt werden. So kann ein vorbehandelnder Arzt/Krankenhaus in Zukunft Einblick in Behandlungsdaten nehmen, die in anderen nachbehandelnden Einrichtungen erhoben wurden.
Ärzte und Krankenhäuser dürfen diese Daten dann mit den Daten, die bei ihnen zu den Versicherten ohnehin bereits vorliegen, unter Herstellung des Versichertenbezugs zusammenführen und auch selbst wieder verarbeiten.
Wahrnehmung von Gewinn statt Verlust
Neben "Sicherheit" (Implantateregister-Errichtungsgesetz) und "Innovation" (Digitale-Versorgung-Gesetz) ist "Qualitätssicherung" der dritte Frame, der die Wahrnehmung des Abbaus von Datenschutzrechten erheblich erschwert. Alle drei Frames richten den Scheinwerfer auf einen der Bevölkerung zuteil werdenden Gewinn: Sicherheit, Innovation oder Qualität. Im Schatten dieses Scheinwerferlichts hingegen liegt das, was alle drei Frames ausblenden: den wirklich gravierenden Verlust informationeller Selbstbestimmung.
1983 hatte das Bundesverfassungsgericht in seinem berühmten "Volkszählungsurteil" die Bedeutung des informationellen Selbstbestimmungsrechts hervorgehoben, und zwar nicht nur für "die individuellen Entfaltungschancen des Einzelnen", sondern auch für das "Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist".
Fast 40 Jahre später höhlen Gesetze im Gesundheitswesen das informationelle Selbstbestimmungsrecht der Bürger Schritt für Schritt aus: Das "Implantateregister-Errichtungsgesetz" und das "Terminservice- und Versorgungsgesetz" wurden bereits erfolgreich durchs Parlament gebracht. Am kommenden Donnerstag (07. November) nun soll auch das Digitale-Versorgung-Gesetz verabschiedet werden:
Nachdem in Teil 2 der Telepolis-Reihe zum Datenschutzabbau im Gesundheitswesen Spahns Pläne analysiert wurden, Gesundheitsdaten von gut 72 Millionen gesetzlich versicherter Bürger durch einen gigantischen Datenkreislauf für die Entwicklung und Zulassung von medizinischen Digitalprodukten in einem riesigen staatlichen Forschungsdatenzentrum verfügbar zu machen, haben jetzt endlich auch zahlreiche Medien mit großer Reichweite bis hin zur Tagesschau darüber berichtet.
Mit Erfolg: Jetzt - nach monatelanger Beschäftigung mit dem Gesetzesentwurf - zeigen sich die Bundstagsabgeordneten der Opposition ganz schnell noch ganz doll besorgt. (Brigitta Engel)
+++++++++++++++
Teil 4
Corona-Krise: Spahn will auch Daten von Nicht-InfiziertenBundesgesundheitsminister Jens Spahn bei der Vorstellung des Gesetzesentwurfs. Screenshot von YouTube-Video des BMG
Während die Aufmerksamkeit auf den Immunitätsnachweis gerichtet ist, plant Spahn mit seinem zweiten Pandemieschutzgesetz unverhältnismäßige Grundrechtseingriffe. Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz - Teil 4
Noch vor einigen Wochen hatte der Bundesgesundheitsminister die Bedeutung des rechtsstaatlichen Verhältnismäßigkeitsprinzips hervorgehoben. Auf die Frage von ARD-Moderator Zamperoni, ob man nicht besser den Karneval abgesagt hätte, entgegnete Spahn [1]: "Die Frage ist natürlich immer auch die der Verhältnismäßigkeit."
Das war Ende Februar. Jetzt muss sich der Bundesgesundheitsminister den Vorwurf gefallen lassen, bei seiner Sammelleidenschaft für Gesundheitsdaten jedes Maß zu verlieren. Dabei geht es um den Entwurf eines zweiten Pandemieschutzgesetzes, den Spahn letzte Woche auf einer Pressekonferenz vorgestellt hat und über den der Bundestag am 07. Mai berät.
Das "nötige Augenmaß" fehlt, kritisiert Ulrich Kelber den Gesetzesentwurf. Die Liste der Kritikpunkte in der Stellungnahme des Bundesdatenschutzbeauftragten ist lang: fehlende Erforderlichkeit, fehlende Verhältnismäßigkeit der Datensammlung, fehlende Begründungen für Grundrechtseingriffe und vieles mehr. Kelbers Gesamturteil:
Insgesamt tragen die vorgesehenen Regelungen der Bedeutung des Datenschutzes als Schutz des Grundrechts der Bürgerinnen und Bürger auf informationelle Selbstbestimmung nicht gebührend Rechnung.
Ulrich Kelber
Worum geht es konkret? Der Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite sieht eine erhebliche Ausweitung der im Infektionsschutzgesetz (IfSG) vorgesehenen Meldepflichten vor.
1. Ausweitung der Meldepflicht bei Covid-19-Erkrankten
Die namentliche Meldung von an COVID-19 erkrankten Bürgern soll zusätzlich zu den bisher schon zahlreichen personenbezogenen Angaben in Zukunft auch das Behandlungsergebnis und den Serostatus umfassen.
Der Bundesdatenschutzbeauftragte kritisiert die Verletzung des datenschutzrechtlichen Prinzips der Datenminimierung und bemängelt das Fehlen von Angaben zur Erforderlichkeit oder zumindest zeitlichen Befristung der neuen Regelung:
Da entsprechende Ausführungen in der Begründung fehlen, ist diese Regelung und eine darauf beruhende Datenübermittlung unzulässig.
Ulrich Kelber
2. Meldepflicht für Verdachtsfälle auch bei neu auftretenden Erkrankungen
Bisher bestand die Meldepflicht bei einer neuen, noch nicht im Infektionsschutzgesetz (IfSG) aufgeführten Erkrankung nur bei "Auftreten" der neuen Erkrankung. Nun sollen auch Bürger namentlich gemeldet werden müssen, bei denen sich lediglich der "Verdacht" ergibt, sie könnten an einer neuen bedrohlichen übertragbaren Erkrankung leiden.
In Bezug auf die neue Erkrankung Covid-19 war dies bereits am 31. Januar per Eilverordnung durch den Bundesgesundheitsminister durchgesetzt worden, und das RKI hatte für den Verdachtsfall Kriterien festgelegt.
Die jetzt geplante Regelung aber weitet die namentliche Verdachts-Meldepflicht auf alle künftig neu auftretenden und als bedrohlich eingestuften übertragbaren Krankheiten aus, ohne festzulegen, "unter welchen Voraussetzungen ein Verdacht anzunehmen ist und wer diese Voraussetzungen festlegt" (Kelber).1
Besonders wichtig in diesem Zusammenhang: Laut geltendem Infektionsschutzgesetz (IfSG) werden den Behörden bereits bei Verdachtsfällen die Anordnung weitreichender, die Grundrechte einschränkender Maßnahmen erlaubt.
Und: Nicht einmal die Löschung der Daten nach Wegfall des Verdachts sieht der Entwurf vor.
3. Meldepflicht für Nicht-Infizierte
Die unverhältnismäßigste Regelung aber ist diese: Künftig sollen auch nicht-infizierte Bürger nach erfolgter negativer Testung (PCR-Test oder Antikörpertest) auf SARS-CoV und SARS-CoV-2 gemeldet werden, und zwar unter Angabe einer Vielzahl personenbezogener Daten wie Geschlecht, Geburtsmonat, Geburtsjahr, Wohnort, Untersuchungsbefunde und Grund der Untersuchung. Pseudonymisiert werden Name und Geburtstag. Dem Bundesdatenschutzbeauftragten platzt angesichts einer solchen Unverhältnismäßigkeit der Kragen:
Die Ausführungen in der Begründung lassen nicht ansatzweise erkennen, auf welcher Grundlage hier in die Grundrechte einer eklatanten Anzahl von Betroffenen eingegriffen werden soll. Die dürftigen Angaben in der Begründung deuten darauf hin, dass eine rein statistische Erfassung den Zweck ebenso erfüllen würde. Eine Abwägung mit dem Persönlichkeitsrecht der Bürgerinnen und Bürger findet nicht statt. Offenbar wird hier verkannt, dass nach der Datenschutz-Grundverordnung auch bei Pseudonymisierung datenschutzrechtliche Maßgaben zu berücksichtigen sind. […] Eine generelle, bundesweite Meldepflicht für Nicht-Infizierte [...] ist nicht gerechtfertigt.
Ulrich Kelber
Was könnten die Neuerungen bedeuten? Bedenkt man, dass viele dieser an die Gesundheitsämter gemeldeten Daten an das dem Gesundheitsministerium unterstellte Robert-Koch-Institut übermittelt werden, so drängt sich eine Vermutung auf, die der Bundesdatenschutzbeauftragte in seiner Stellungnahme so formuliert:
Es entsteht der Eindruck, als solle im Zuge der aktuellen Pandemie ein (weiteres) bundesweites verpflichtendes staatliches klinisches Register eingerichtet werden. Hierfür gibt es allerdings keine datenschutzrechtlich tragfähige Grundlage.
Ulrich Kelber
Auf das Problem von zentralen Gesundheitsdatensammlungen hatte 2016 schon die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff aufmerksam gemacht:
Datenschützer werden immer etwas nervös, und zwar, wie ich finde, auch aus gutem Grund […], wenn Daten zu sehr, zu viel zentral gelagert werden. Das ist immer ein Grundproblem. Da gilt es aus datenschutzrechtlicher Sicht immer die Frage aufzuwerfen: Ist das erforderlich, ist das verhältnismäßig, was der Gesetzgeber plant?
E-Health-Konferenz der CDU 2016
+++++++++++++++
Teil 5
ePA-Datengesetz - Sie haben den Affen übersehen03. August 2020 Brigitta Engel und Florian Rötzer
Bundestagssitzung vom 03. Juli. Screenshot des BT-Videos
Mit Vollgas gegen den Datenschutz - Teil 5
TP-Recherche. Neues Gesetz legalisiert datenbasierte Gesundheitsprofilbildung auch gegen den Willen des Versicherten. Mit einem Verfahrenskniff gelingt Spahn unbemerkt ein weiterer Datenschutzabbau. Was sagt der Bundesdatenschutzbeauftragte dazu?
"Man muss Gesetze kompliziert machen, dann fällt das nicht so auf." Horst Seehofers Nähkästchen-Plauderei hatte im letzten Jahr insbesondere beim Koalitionspartner lautstarke Empörung ausgelöst. Jetzt hat die SPD mitgemacht. Nicht lautstark, sondern still und leise.
Der Verfahrenskniff ist alt und funktioniert eigentlich immer- auch im Fall des am 3. Juli mit den Stimmen der Regierungsfraktionen verabschiedeten Gesetzes "zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur". Das Gesetz enthält die datenschutzrechtlichen Regelungen zur elektronischen Patientenakte, in die Versicherte ab 2021 ihre medizinischen Behandlungsdaten einstellen können.
Kritisiert wird an dem Gesetz v.a. das defizitäre, weil nicht dokumentenbezogene Zugriffsmanagement im ersten Jahr der Einführung, das Fehlen ausreichend hoher Standards der Datensicherheit, unklare Verantwortlichkeiten, das hohe Re-Identifikationsrisiko im Fall der freiwilligen Freigabe der eigenen Gesundheitsdaten für die Forschung und schließlich die Befugnis der Krankenkassen, nach Einwilligung der Versicherten Zugriff auf die Patientenakte zu nehmen.
Aber eine der datenschutzrechtlich fragwürdigsten Regelungen überhaupt - die wird bis heute nicht kritisiert, und zwar weil man sie so gut übersehen kann.
Verantwortlich dafür ist ein beliebter Verfahrenskniff, dessen Funktionsweise einer bewusst ausgelösten Unaufmerksamkeitsblindheit (inattentional blindness) ähnelt:
Die Psychologen Arien Mack und Irvin Rock hatten Versuchspersonen, denen wiederholt ein kurzer visueller Reiz in Form eines Kreuzes dargeboten wurde, die Aufgabe gegeben, zu beobachten, ob jeweils die horizontale oder die vertikale Linie länger sei. In späteren Durchgängen wurde dann unerwartet ein fremdes Objekt mit eingeblendet, das von etwa einem Viertel der Teilnehmer (in späteren Experimenten auch mehr) vollkommen übersehen wurde. Die Psychologen folgerten aus diesem und weiteren Experimenten: Es gibt keine bewusste Wahrnehmung ohne Aufmerksamkeit.
Zu diesem Ergebnis kommt auch das sehr viel bekanntere Gorilla-Experiment. Gut die Hälfte der Versuchspersonen, die sich während eines Basketballspiels darauf konzentrierten, nur die Pässe jenes Teams zu zählen, das weiße Shirts trug, übersah eine Person, die irgendwann im Gorillakostüm seelenruhig mitten durchs Spielfeld lief.
Auf der Ebene von Gesetzgebungsverfahren wird der Affe bevorzugt kurz vor Schluss in den Entwurf gestellt: Auf der Grundlage von Änderungsanträgen der Regierungskoalition wird im federführenden Ausschuss zeitgleich mit einigen "Anpassungen" auch eine Regelung in den Entwurf mit aufgenommen, die bislang gar nicht Gegenstand der öffentlichen Auseinandersetzung war und auf die sich deshalb so kurz vor der entscheidenden Bundestagssitzung wahrscheinlich auch keine mediale Aufmerksamkeit mehr richten wird.
Im vorliegenden Fall ist es der § 68b Abs. 3 SGB V (neu). Er war schon im vergangenen November mit dem unter dem Schlagwort "App auf Rezept" bekannten Digitale-Versorgung-Gesetz beschlossen worden (Wie man Datenschutzabbau als Versorgungsinnovation framet).
Mit diesem Gesetz, das auch die Weitergabe von Gesundheitsdaten an die Forschung erzwang, hatten Krankenkassen das Recht erhalten, durch Kooperation mit Unternehmen und durch den Erwerb von Anteilen an Investmentfonds die Entwicklung sog. digitaler Innovationen (z.B. digitaler Medizinprodukte) zu fördern und dazu die - noch nicht einmal anonymisierten - Daten der Versicherten für eine marktorientierte Bedarfsanalyse auszuwerten.
Mit §68b SGB V erhielten die Kassen schließlich die Befugnis, die bei ihnen gespeicherten Daten der Versicherten auch noch für ein individualisiertes "Angebot" auszuwerten, allerdings nur sofern der Versicherte ausdrücklich einer solchen Datenauswertung zustimmt.
Und jetzt die Überraschung: Das Einwilligungserfordernis ist weg. Still und leise gestrichen.
So lautete die alte Fassung des § 68b Abs. 3 SGB V:
Die Krankenkassen dürfen die Auswertung von Daten eines Versicherten nach Absatz 1 und die Unterbreitung von Informationen und Angeboten nach Absatz 2 jedoch nur vornehmen, wenn die oder der Versicherte zuvor schriftlich oder elektronisch eingewilligt hat, dass ihre oder seine personenbezogenen Daten zur Erstellung von individuell geeigneten Informationen oder Angeboten zu individuell geeigneten Versorgungsinnovationen verarbeitet werden [...].
Ursprüngliche Fassung des § 68b Abs. 3 SGB V
Und so lautet dagegen die neue Fassung des § 68b Abs. 3 SGB V:
Die Teilnahme an Maßnahmen nach Absatz 2 ist freiwillig. Die Versicherten können der gezielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. Die Krankenkassen informieren die Versicherten bei der ersten Kontaktaufnahme zum Zwecke der Information oder des Unterbreitens von Angeboten nach Absatz 2 über die Möglichkeit des Widerspruchs.
Aktuelle Fassung des § 68b Abs. 3 SGB V
Wer sich jetzt hoffnungsvoll an das immerhin noch gewährte Widerspruchsrecht klammert, der sollte noch einmal genauer hinschauen: Das Widerspruchsrecht bezieht sich ausdrücklich nur auf die "gezielte Information" sowie die "Unterbreitung von Angeboten", nicht aber auf die Datenauswertung selbst (Ausnahme laut Gesetzesbegründung: Direktwerbung).
Auch enttäuscht wird, wer eine rechtsstaatlichen Prinzipien genügende Begründung für diesen Eingriff in das informationelle Selbstbestimmungsrecht erwartet. In der Begründung zum geänderten Gesetzentwurf heißt es hierzu lax:
"Das vormals bestehende Einwilligungserfordernis entfällt, da es sich nicht als praktikabel erwiesen hat."
In seiner Stellungnahme zum Digitale-Versorgung-Gesetz hatte der Bundesrat bereits letztes Jahr eindringlich vor "erhebliche[n] Risiken für die Persönlichkeitsrechte der Versicherten" und der "Gefahr der Diskriminierung von einzelnen oder bestimmten Risikogruppen" durch "individuelle Gesundheitsprofile" gewarnt. Jetzt hat Spahn leise nachgelegt und diese erheblichen Risiken für die Persönlichkeitsrechte der Versicherten im ePA-Gesetz noch einmal drastisch erhöht.
Um es deutlich zusammenzufassen: Während das kritische Augenmerk vom Bundesdatenschutzbeauftragten und von zur Anhörung geladenen Sachverständigen wie etwa dem Chaos Computer Club monatelang u.a. auf die im Gesetzentwurf vorgesehene umstrittene Befugnis der Krankenkassen gerichtet war, mit Einwilligung der Versicherten auf die elektronische Patientenakte zuzugreifen, streicht die Regierungskoalition unbemerkt an anderer Stelle im Fünften Buch Sozialgesetzbuch in Bezug auf eine andere Regelung, die mit den neuen Regelungen zur EPA eigentlich gar nichts zu tun hat, das bisher vorgesehene Einwilligungserfordernis für eine individuelle Gesundheitsprofile ermöglichende Datennutzung durch die Krankenkassen. (Anmerkung: "in Bezug auf eine andere Regelung, die mit den neuen Regelungen zur EPA eigentlich gar nichts zu tun hat" wurde ergänzt, um MIssverständnisse zu vermeiden. Es handelt sich hier nicht um das Einwilligungserfordernis zum Zugriff auf die EPA. Dies besteht weiterhin.)
Die 73 Millionen gesetzlich versicherter Bürger ahnen von alledem nichts. Jetzt kann eigentlich nur noch der Bundesdatenschutzbeauftragte Ulrich Kelber eingreifen. Denn es gehört zum Kernbereich seiner Aufgaben, die Bürger über Risiken, Gesetze und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten aufzuklären. Mehr noch: Zum Schutz der Persönlichkeitsrechte der Bürger ermöglicht ihm die Datenschutzgrundverordnung sogar, aufsichtsrechtliche Maßnahmen zu ergreifen.
Telepolis hatte den Bundesdatenschutzbeauftragten am 24. 07. 2020 um eine datenschutzrechtliche Bewertung der Änderung des §68b Abs. 3 SGB V gebeten. Die Presseanfrage wurde nicht beantwortet. Wir haben jetzt nachgehakt und Ulrich Kelber ergänzend folgende Fragen zur Gesetzesänderung gestellt:
1. Beabsichtigen Sie, die Bevölkerung über diese datenschutzrechtlich wichtige Gesetzesänderung und die damit einhergehenden Risiken für ihre Persönlichkeitsrechte aufzuklären?
2. Welche rechtlichen Möglichkeiten haben die betroffenen Bürger, sich gegen eine solche datenschutzrechtlich fragwürdige Nutzung ihrer Sozialdaten zu wehren?
3. Welche aufsichtsrechtlichen Maßnahmen können Sie diesbezüglich zum Schutz der Persönlichkeitsrechte von 73 Millionen gesetzlich versicherter Bürger ergreifen?
Update. Fortsetzungsartikel folgt. Der BfDI hat unsere erste Presseanfrage inzwischen beantwortet. Auch die Beantwortung der zweiten Presseanfrage ist in Bearbeitung.
TP-Serie zum Datenschutzabbau im Gesundheitswesen:
Teil 1 Implantateregister-Errichtungsgesetz
Teil 2 Digitale-Versorgung-Gesetz
Teil 3 Terminservice- und Versorgungsgesetz
Teil 4 Pandemiegesetz
+++++++++++++++++++++++++++++++++++++++++++++++
Teil 6
Oberster Datenschützer und 73 Mio. Bürger ausgetrickstTP-Exklusiv. "Datenrasterung". "Gläserner Versicherter". Jetzt äußert sich der Bundesdatenschutzbeauftragte zu dem ungeheuerlichen Vorgang
Es ist schlimmer, als bisher angenommen. Und es zeigt, welche Manöver die Bundesregierung unternommen hat, um Datenschutzrechte von 73 Millionen gesetzlich Versicherter auszuhebeln, ohne dass die betroffenen Bürger selbst davon erfahren. Aber das ist, wie sich jetzt herausstellt, noch nicht alles.
Am Montag hatte Telepolis aufgedeckt, dass CDU/CSU und SPD mit Hilfe eines von der Öffentlichkeit unbemerkten Änderungsantrags zum EPA-Gesetz (Elektronische Patientenakte) das erst im November im Digitale-Versorgung-Gesetz (DVG) (Wie man Datenschutz als Versorgungsinnovation framet) festgeschriebene Einwilligungserfordernis zur individualisierten Datenauswertung durch die Krankenkassen still und leise wieder beseitigt haben (zur genauen Einordnung des aktuellen Vorgangs: EPA-Datengesetz - Sie haben den Affen übersehen).
Hintergrund ist die von Gesundheitsminister Spahn aus wirtschaftlichen Gründen vorangetriebene neue Rolle der Krankenkassen in der medizinischen Versorgung, die es ihnen erlaubt, durch Kooperation mit Unternehmen und Erwerb von Anteilen an Investmentfonds sog. digitale Versorgungsinnovationen zu fördern. Dazu erhielten die Kassen im DVG u.a. die Befugnis, die bei ihnen gespeicherten personenbezogenen Daten der Versicherten für ein individualisiertes "Angebot" auszuwerten, allerdings nur sofern der Versicherte ausdrücklich einer solchen Datenauswertung zustimmt.
Mit dem am 03. Juli beschlossenen EPA-Datengesetz ist die kurz gewährte Freiwilligkeit auch schon wieder Geschichte.
Das ist keine Kleinigkeit. Es geht hier um nichts weniger als um das Recht auf informationelle Selbstbestimmung. Gegenüber Telepolis äußert sich der Bundesdatenschutzbeauftragte besorgt:
Aus datenschutzrechtlicher Sicht sehe ich den Wegfall des Einwilligungserfordernisses kritisch. Bereits die pseudonymisierte Auswertung der Versichertendaten, die zumindest teilweise einer besonderen Kategorie i. S. des Artikel 9 Abs. 1 DSGVO - den Gesundheitsdaten - zuzuordnen sind, stellt einen empfindlichen Eingriff in das Recht auf informationelle Selbstbestimmung der Versicherten dar. Es besteht die Gefahr, dass eine derartige 'Datenrasterung' einen weiteren Baustein zur zukünftigen Komplettierung des 'gläsernen Versicherten' liefert. Dies liegt nicht im Interesse der Versicherten.
Ulrich Kelber, BfDI
Dass das alles überhaupt still und lautlos unter den Augen des Bundesdatenschutzbeauftragten geschehen konnte, liegt daran, dass die Bundesregierung mit diesem inhaltlich überraschenden Änderungsantrag nicht nur die Öffentlichkeit umgangen hat, sondern - wie sich jetzt herausstellt - auch den erwartbaren Widerspruch des Bundesdatenschutzbeauftragten.
Man glaubt es kaum: Aber der Wortlaut des Änderungsantrags, den die Bundesregierung der obersten Bundesbehörde für Datenschutz in Form einer sog. Formulierungshilfe zur Stellungnahme vorgelegt hatte, stimmte nicht überein mit dem Wortlaut des im Gesundheitsausschuss tatsächlich zur Abstimmung vorgelegten Änderungsantrags [folgende Hervorhebung von uns]:
In der Formulierungshilfe war die Änderung, dass für die Verarbeitung personenbezogener Daten keine Einwilligung benötigt wird, nicht enthalten, diese muss im Ausschuss selbst vorgenommen worden sein. Der Text der Formulierungshilfe lautete: 'Die Teilnahme an Angeboten nach Absatz 2 und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden.' Aus diesem Grund hat der BfDI zu dem Punkt keine Stellungnahme abgegeben.
Ulrich Kelber, BfDI
Das stimmt. Im Unterschied zur Gesundheitsausschuss-Fassung enthielt die Kelber vorgelegte Fassung noch ein Einwilligungserfordernis für die Auswertung personenbezogener Daten - aber: nur noch für die freiwillige Teilnahme an den bereits auf der Grundlage der Datenauswertung erstellten individuellen Angeboten zu Versorgungsinnovationen, nicht mehr aber als Voraussetzung für die Erstellung der entsprechenden individuellen Angebote selbst. (Dementsprechend fehlte auch der in der bisher geltenden Fassung ausdrücklich enthaltene Hinweis auf die Datenauswertung in §68b Abs. 1 SGB V.)
Hier zum Vergleich die bisher geltende Fassung (Hervorhebung von uns):
"Die Krankenkassen dürfen die Auswertung von Daten eines Versicherten nach Absatz 1 und die Unterbreitung von Informationen und Angeboten nach Absatz 2 jedoch nur vornehmen, wenn die oder der Versicherte zuvor schriftlich oder elektronisch eingewilligt hat, dass ihre oder seine personenbezogenen Daten zur Erstellung von individuell geeigneten Informationen oder Angeboten zu individuell geeigneten Versorgungsinnovationen verarbeitet werden [...]."
Das dem Bundesdatenschutzbeauftragten präsentierte "Einwilligungserfordernis" ist unserer Auffassung nach eben nicht gleichbedeutend gewesen mit dem ursprünglichen Einwilligungserfordernis.1 Es bezieht sich in dem verwendeten Kontext lediglich auf die Datenauswertung zu einer ohnehin freiwilligen Teilnahme an sog. individuellen Versorgungsmaßnahmen.
Aber auch das ist noch nicht alles. Eine weitere TP-Recherche hat nun Folgendes zutage gefördert:
Die Streichung des Einwilligungserfordernisses geht zurück auf eine bereits im letzten Jahr an die Bundesregierung gerichtete und nun anlässlich des EPA-Gesetzes erneut erhobene Forderung seitens der Krankenkassen. Mehr noch: Die Ulrich Kelber von der Bundesregierung vorgelegte Fassung entspricht 1:1 dem Änderungsvorschlag der Kassen, nur die Datenauswertung für die ohnehin freiwillige Teilnahme an individuellen Versorgungsmaßnahmen soll zustimmungspflichtig sein. Die Datennutzung zur vorbereitenden Erstellung dieser individuellen Angebote aber soll auch gegen den Willen des Versicherten möglich sein.
Hier ein Beleg aus der Stellungnahme des GKV-Spitzenverbandes vom 11.10.2019 zum DVG-Entwurf:
"Die Auswertung der Daten nach §68b Abs. 1 SGB V ist nur mit vorheriger Einwilligung zulässig. Das dürfte an Praktikabilitätsgrenzen stoßen […].
Änderungsvorschlag: 'Die Teilnahme an Angeboten nach dieser Vorschrift und die für die Teilnahme erforderliche Verarbeitung der personenbezogenen Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden."
Oder hier unter der Rubrik "ergänzender Änderungsbedarf" aus der Stellungnahme des AOK Bundesverbandes vom 20.02.2020 zum Referentenentwurf des EPA-Gesetzes:
"Es besteht Regelungsbedarf hinsichtlich der Streichung des vorgezogenen Einwilligungserfordernisses bei der Datenauswertung zur Förderung von Versorgungsinnovationen. […] Änderungsvorschlag: "Die Teilnahme an Angeboten nach dieser Vorschrift und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen."
Und hier ein letzter Beleg aus der Stellungnahme des GKV-Spitzenverbandes vom 19.05. 2020 zum Kabinettsentwurf des EPA-Gesetzes, in der als "Anlass" für den "ergänzenden Änderungsbedarf" nun sogar die Corona-Krise genannt wird:
"Im Rahmen der aktuellen Corona-Krise wird deutlich, dass die Krankenkassen Versicherte mit konkreten Gesundheitsrisiken nicht zeitnah und hinreichend beraten und gezielt geeignete Gesundheitsleistungen anbieten können. […] Es besteht Regelungsbedarf hinsichtlich der Streichung des vorgezogenen Einwilligungserfordernisses bei der Datenauswertung zur Förderung von Versorgungsinnovationen. […] Änderungsvorschlag: "'Die Teilnahme an Angeboten nach dieser Vorschrift und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen.'"
Ob man die dem Bundesdatenschutzbeauftragten vorgelegte Fassung nun deuten mag, wie es seine Behörde tat oder wie wir es tun - das Ergebnis bleibt das gleiche: Die oberste Behörde für Datenschutz wurde geschickt schachmatt gesetzt, um eine alte Forderung der Krankenkassen unauffällig durch einen undurchsichtigen Änderungsantrag durchzusetzen.
Und schließlich gehört zum Gesamtbild auch das: Offenbar wurde die Datenschutzbehörde unter immensen Zeitdruck gesetzt: Für Durchsicht und Stellungnahme zu 53 Seiten mit Änderungsanträgen blieb der Behörde laut Kelber abzüglich eines Feiertages nur ein Arbeitstag, um Spahns Fristsetzung einzuhalten.
Aber das letzte Wort ist noch nicht gesprochen. Der Bundesdatenschutzbeauftragte kann unter bestimmten Bedingungen aufsichtsrechtliche Maßnahmen ergreifen:
Sofern meine Prüfung zu dem Ergebnis kommt, dass ein in Kraft befindliches Gesetz gegen Europarecht - namentlich die DSGVO - verstößt, kann ich die darauf basierende Datenverarbeitung mit entsprechenden Anordnungen unterbinden oder Veränderungen der Datenverarbeitung anweisen. Diese aufsichtsrechtlichen Maßnahmen wären selbstverständlich gerichtlich überprüfbar. Die Frage der Europarechtskonformität könnte wiederum von den deutschen Gerichten auch dem EuGH zur Vorabentscheidung vorgelegt werden.
Ulrich Kelber, BfDI
Wir haben den Bundesdatenschutzbeauftragten auch gefragt, welche rechtlichen Möglichkeiten die betroffenen Bürger selbst haben, sich gegen eine datenschutzrechtlich fragwürdige Nutzung ihrer Sozialdaten zu wehren:
1) "Die betroffenen Bürgerinnen und Bürger können sich an die für ihre gesetzliche Krankenversicherung zuständige Datenschutzaufsichtsbehörde wenden und um Prüfung der Rechtmäßigkeit des Vorgehens bitten."
2) Die betroffenen Bürger können auch den Klageweg bestreiten:
a) Sie können gegen die auf dem Gesetz basierenden Maßnahmen klagen, wenn sie der Auffassung sind, "dass das Gesetz gegen das Grundrecht auf informationelle Selbstbestimmung verstößt". Sollten die Gerichte anderer Meinung sein, können die Bürger Verfassungsbeschwerde einlegen.
b) Sollte das Gesetz "zwar nicht gegen das deutsche Grundgesetz, wohl aber gegen europäisches (Datenschutz-)Recht" verstoßen, also gegen die DSGVO, "besteht ein Anwendungsvorrang des europäischen Rechts und das deutsche Gesetz dürfte nicht angewendet werden. Ein Betroffener könnte eine Klage - im vorliegenden Fall vor dem Sozialgericht - darauf stützen, dass das Gesetz gegen die DSGVO verstößt."
Um die Öffentlichkeit aufzuklären, kündigt Kelber in jedem Fall schon mal eine Information seiner Behörde an, "wie wir mit allen relevanten Aspekten des PDSG [Patientendatenschutzgesetz, Anmerkung von uns] umgehen werden".
Die Bundesregierung muss sich jetzt zu diesem ungeheuerlichen Vorgang äußern. Denn dass ein solcher Umgang mit Grundrechten der Bürger zur "neuen Normalität" wird - daran kann niemandem gelegen sein.
Um Missverständnissen vorzubeugen: Das Gesetz heißt "Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur". Obwohl es die datenschutzrechtlichen Regelungen zur elektronischen Patientenakte enthält, wurde durch einen Änderungsantrag von CDU/CSU und SPD zu diesem Gesetz auch eine bereits mit dem Digitale-Versorgung-Gesetz beschlossene Regelung zu Lasten des Datenschutzes geändert. Wir verweisen zur Einordnung auf unseren vorangegangenen Artikel. Wir kürzen das Gesetz "EPA-Datengesetz" oder "EPA-Gesetz" ab. Die von der Bundesregierung angebotene Abkürzung: "Patientendaten-Schutz-Gesetz" enthält bereits eine Bewertung, die wir nicht kritiklos weiter verbreiten. (s. ebenso "Das Gute-KiTA-Gesetz" oder das "Starke-Familien-Gesetz".)
TP-Serie zum Datenschutzabbau im Gesundheitswesen:
Teil 1 Implantateregister-Errichtungsgesetz
Teil 2 Digitale-Versorgung-Gesetz
Teil 3 Terminservice- und Versorgungsgesetz
Teil 4 Pandemiegesetz
Teil 5: EPA-Datengesetz
(Brigitta Engel und Florian Rötzer)
+++++++++++++++++++++++++++++++++++
Teil 7:
Mich beunruhigt, dass uns zu viele Bürger weniger vertrauen als früher. Jens Spahn, 23.06.2019Schon wieder: Spahn erhöht Datenschutz-Risiko
11. August 2020 Brigitta Engel und Florian Rötzer
Bundesgesundheitsminister Jens Span versichert am 7. 11. 2019 im ZDF-Morgenmagazin, dass nur anonymisierte Daten an die Forschung weitergegeben werden. Screenshot
TP-Recherche. Versichertendaten werden nur anonymisiert der Forschung übergeben? Unsere neueste Recherche zu Spahns aktueller Verordnung zeigt, warum nicht nur Patientenschützer alarmiert sind. Der fleißige Herr Spahn: Mit Vollgas gegen den Datenschutz - Teil 6
Mich beunruhigt, dass uns zu viele Bürger weniger vertrauen als früher.
Jens Spahn, 23.06.2019
"Ich sag noch mal: anonymisiert." Dreimal bekräftigt der Gesundheitsminister sein Versprechen. Es ist der 07.11.2019, der Tag, an dem das Digitale-Versorgung-Gesetz verabschiedet werden soll.
Mit dem Digitale-Versorgung-Gesetz ("App auf Rezept") wurden im November 2019 drei datenschutzrechtlich umstrittene Regelungen beschlossen:
1. Ohne Einwilligung der Versicherten dürfen Krankenkassen zwecks Entwicklung digitaler Medizinprodukte personenbezogene Sozialdaten für eine marktorientierte Bedarfsanalyse auswerten.
2. Mit Einwilligung der Versicherten (Einwilligungserfordernis von CDU und SPD kürzlich wieder abgeschafft) dürfen Krankenkassen die personenbezogenen Sozialdaten der Versicherten individuell auswerten, um ihnen individualisierte Angebote zu diesen Produkten zu unterbreiten.
3. Ohne Einräumung eines Widerspruchsrechts werden Versichertendaten an die Forschung weitergegeben.
Spahn tritt im ZDF-Morgenmagazin vor die Kamera. Viele Bürger sind besorgt, dass ihre sensiblen Patientendaten der Forschung zugänglich gemacht werden, ohne dass ihnen ein Widerspruchsrecht eingeräumt wird. Der Gesundheitsminister beruhigt. "Wichtig ist: Es geht nicht um Behandlungsdaten, sondern um Abrechnungsdaten." Und die Daten gehen "anonymisiert" in die Forschung.
Dreimal versichert Spahn, dass nur anonymisierte Daten an die Forschung weitergegeben werden. Und dann, als die Moderatorin nachfragt, noch einmal: Pseudonymisiert gehen die Daten an die zentrale Datenstelle, aber "an die, die forschen, geht es anonymisiert, da wird also noch ein zweiter Schritt gemacht, wo nicht mal mehr die Pseudonymisierung ist."
Dieses Versprechen wird der Gesundheitsminister nur wenige Stunden später in seiner Bundestagsrede wiederholen: Die Daten werden "gegenüber denen, die damit forschen, immer anonymisiert zur Verfügung" gestellt.
Die Begriffe Pseudonymisierung und Anonymisierung bezeichnen unterschiedliche Datenschutzniveaus.
"Pseudonym" bedeutet, dass die Person unter Hinzuziehung von gesondert aufbewahrten Informationen wieder identifiziert werden kann. Pseudonymisierte Daten gehören deshalb zu den personenbezogenen Daten, deren Verarbeitung in den Anwendungsbereich der Datenschutzgrundverordnung fällt. "Anonym" bedeutet dagegen, die betroffene Person kann nicht oder nur mit sehr hohem Aufwand wieder identifiziert werden. Bei modernen Big-Data-Anwendungen ist allerdings selbst bei Anonymisierung der Daten der Schutz vor einer Re-Identifikation kaum noch gegeben.
19.06.2020. Unbemerkt von der breiten Öffentlichkeit ordnet der Gesundheitsminister an, dass der Zugriff auf pseudonymisierte Einzeldatensätze "nicht mehr nur als Ausnahmefall in Betracht" kommt, wie es in dem der Verordnung vorangegangenen Referentenentwurf heißt, der Telepolis vorliegt.
Tatsächlich war Spahns Aussage, die Versichertendaten würden immer anonymisiert zur Verfügung gestellt, schon zum damaligen Zeitpunkt nicht richtig. Das Digitale-Versorgung-Gesetz erlaubte nämlich in Ausnahmefällen auch den Zugriff auf bloß pseudonymisierte, also personenbezogene Daten. Jetzt hat Spahn aber angeordnet, dass der Zugriff auf pseudonymisierte Einzeldatensätze neben dem weiterhin möglichen Zugriff auf anonymisierte Daten als normaler Regelfall möglich wird. Der Antragsteller muss eine Begründung anfügen, weshalb er pseudonymisierte Daten für erforderlich hält, dann darf er im Forschungsdatenzentrum darauf zugreifen.
Warum sind Patientenschützer so alarmiert? Weil diese Änderung in Begleitung einer zweiten brisanten Änderung daher kommt:
Denn Spahn hat nun gleichzeitig angeordnet, dass der Datenumfang erheblich erweitert wird. Insgesamt entsteht damit ein gigantischer Datenpool bestehend aus Daten von 73 Millionen gesetzlich versicherter Bürger: Geburtsjahr, Geschlecht, Postleitzahl des Wohnortes, die Anzahl der Versichertentage, an denen die versicherte Person ihren Wohnsitz oder gewöhnlichen Aufenthalt außerhalb des Gebietes der Bundesrepublik hatte, Behandlungsmethoden, in Anspruch genommene Krankengeld-Tage, Abrechnungsbegründungen, Angaben zu ärztlichen Zweitmeinungen und gestellten Diagnosen, Kosten-und Leistungsdaten zu Krankenhausbehandlung, ambulanter Versorgung, Arzneimittel, Heil- und Hilfsmittel, Hebammenleistungen ...
Die bittere Konsequenz für den gesetzlich versicherten Bürger: Sein Risiko, von den vielen Nutzern seiner sensiblen Gesundheits- und Krankheitsdaten als Person identifiziert zu werden, ist stark erhöht, erst recht wenn die Daten auch noch mit anderen Datensätzen verknüpft werden. Dabei nimmt Spahns Verordnung ein gewisses Re-Identifikationsrisiko bewusst in Kauf. Das Risiko soll lediglich "minimiert" werden, und auch das mit folgender Maßgabe: "unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens".
Aber das ist noch nicht alles. Unsere Recherchen haben ergeben, dass Spahn mit seiner mittlerweile in Kraft getretenen Verordnung sämtliche Warnungen in den Wind geschlagen hat: Der Verband deutscher Ersatzkassen hatte vor dem Hintergrund des stark erweiterten Datenumfangs die Übermittlung der 5-stelligen Postleitzahl kritisiert, die Kassenärztliche Bundesvereinigung hatte mit Blick auf das hohe Re-Identifikationsrisiko die Einschränkung des Umfangs der genutzten Daten gefordert, die Bundesarbeitsgemeinschaft der Patientenstellen und -Initiativen hatte gefordert, dass die Weitergabe der Gesundheitsdaten nur anonymisiert erfolgen dürfe. Auch der Deutsche Gewerkschaftsbund hatte vor dem Bereitstellen pseudonymisierter Einzeldatensätze gewarnt und eine "vollständige Anonymisierung" gefordert "im Sinne größtmöglicher Sicherheit der Versicherten über den Schutz der von ihnen erhobenen Daten".
Wie konnte das passieren, dass der Gesundheitsminister hier im Alleingang erneut die Persönlichkeitsrechte von 73 Millionen gesetzlich versicherter Bürger gefährdet? Und was sagt der Bundesdatenschutzbeauftragte dazu?
Erst letzte Woche hatte sich Ulrich Kelber gegenüber Telepolis besorgt gezeigt angesichts des von CDU/CSU und SPD mit Hilfe eines undurchsichtigen Änderungsantrags still und leise durchgesetzten Datenschutzabbaus (EPA-Datengesetz - Sie haben den Affen übersehen) und vor der Gefahr des "gläsernen Versicherten" gewarnt. Allein der Vorgang selbst war abenteuerlich (Oberster Datenschützer und 73 Mio Bürger ausgetrickst). Noch immer wartet die Öffentlichkeit darauf, dass die Bundesregierung Stellung zu diesem ungeheuerlichen Vorgang bezieht.
Und nun also ein weiterer Schlag gegen das informationelle Selbstbestimmungsrecht der gesetzlich versicherten Bürger. Und wieder hätte die Öffentlichkeit beinahe nichts erfahren. Telepolis hat den Bundesdatenschutzbeauftragten Ulrich Kelber um eine Stellungnahme gebeten. Die Berichterstattung wird zeitnah fortgesetzt.
Die seit 2016 eigenständige oberste Behörde für den Datenschutz und die Informationsfreiheit ist zuständig für die Überwachung der Einhaltung datenschutzrechtlicher Bestimmungen auch bei öffentlichen Stellen (z.B. gesetzlichen Krankenkassen). Dabei ist der Bundesdatenschutzbeauftragte u.a. befugt, aufsichtsrechtliche Maßnahmen zu ergeifen. Zu seinen Aufgaben gehört auch die Aufklärung der Bürger über Risiken, Gesetze und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten.
TP-Serie zum Datenschutzabbau im Gesundheitswesen
Implantateregister-Errichtungsgesetz
Digitale-Versorgung-Gesetz
Terminservice- und Versorgungsgesetz
Pandemiegesetz
ePA-Datengesetz - Sie haben den Affen übersehen
Oberster Datenschützer und 73 Mio. Bürger ausgetrickst
+++++++++++++++++++++++++++++++++++++++++++++
Wie das BMG Schutzmasken beschaffte
Vertrag mit EY auf dem Prüfstand
von Dr. Anja Hall13.08.2020
Dateianhang:
csm_AdobeStock_337611309_136ffcb8fb.jpg
Als Schutzmasken fehlten, beauftragte Jens Spahn EY damit, die Beschaffung abzuwickeln. Gegen den Auftrag an EY gibt es aber jetzt ebenso rechtlichen Widerstand wie gegen die Abwicklung im Open-House-Verfahren. Dutzende Hersteller klagen.
Deutschland, im März 2020: Das Land ist im Griff der Corona-Pandemie und Gesundheitsexperten warnen, dass es zu wenig Schutzausrüstung gibt. Vor allem Masken fehlen. Gesundheitsminister Jens Spahn (CDU) fackelt nicht lange. Schon ab Anfang März beschafft das Bundesgesundheitsministerium (BMG) nach eigenen Angaben Schutzausrüstung, zum einen per Einzelbeschaffungsmaßnahmen, zum anderen über ein sogenanntes Open-House-Verfahren. Es ist nun genau dieses Open-House-Verfahren, um das sich Rechtsstreitigkeiten entzündet haben und das auch politisch einigen Wirbel verursacht.
Doch der Reihe nach: Am 27. März macht das Ministerium über die Generalzolldirektion einen Open-House-Vertrag über die Lieferung von Schutzausrüstung bekannt. Jedes Unternehmen, das die Vertragsbedingungen erfüllen kann, die vom Ministerium vorgegeben sind, hat demnach Anspruch auf einen Vertragsschluss.
Konkret bedeutet dies unter anderem: Die Unternehmen sollen mindestens 25.000 Masken zu einem Preis von 4,50 Euro netto für FFP-2-Masken und 60 Cent für OP-Masken liefern. Angebote dürfen bis zum 8. April abgegeben werden, geliefert werden sollen die Masken bis zum 30. April. Nach Angaben des BMG wird der Bund aus dem Open-House-Verfahren insgesamt 233 Millionen FFP-2- und 63 Millionen OP-Masken erhalten. Bei den festgesetzten Preisen geht es also um einen Auftragswert von insgesamt rund 1,09 Milliarden Euro.
Ein Millionenauftrag für EY
Für die Abwicklung der Beschaffung sucht sich das Gesundheitsministerium externe Hilfe: Ab dem 7. April unterstützt die Wirtschaftsprüfungsgesellschaft Ernst & Young (EY) das Ministerium. Bis zum 26. Juni haben dort 112 Mitarbeitende rund 29.000 Stunden Arbeit geleistet, heißt es in der Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Fraktion. Unter anderem kümmern die externen Berater sich um "das Vertragsmanagement, die Rechnungsbegleichung, die Klärung von Leistungsstörungen sowie die Organisation von Qualitätsprüfungs- und Logistikprozessen und die Dokumentation". 9,5 Millionen Euro sind als Honorar für die Prüfgesellschaft eingeplant.
EY hat den Auftrag vom Ministerium als zuvor ausgesuchter Bewerber direkt erhalten, in einem Verhandlungsverfahren ohne Teilnahmewettbewerb. Aus Sicht des Hanauer Rechtsanwalts Harald Nickel ist das ein Verstoß gegen das Vergaberecht. Seiner Ansicht nach hätte das Ministerium ein öffentlich bekanntgemachtes Vergabeverfahren durchführen müssen, zumindest eines mit mehreren nicht zuvor bestimmten Bietern, bevor es den millionenschweren Auftrag an EY vergibt.
Im Gespräch mit LTO sagt der Anwalt: "Wir als mittelständische Kanzlei hätten uns mit unserem Netzwerk selbst um den Auftrag beworben, wenn wir aufgrund einer Bekanntmachung die Chance gehabt hätten. Bei vorausschauender Planung wäre das möglich gewesen"
Über die nötigen Voraussetzungen dafür verfüge er, ist der Anwalt überzeugt. Seine Sozietät befasse sich derzeit intensiv mit Rechtsfragen rund um Corona und verfüge über ein großes interdisziplinäres Netzwerk. "Wir hätten ein Kernteam von zumindest 140 Experten und erforderlichenfalls mehr bereitstellen können", sagt er. Nickel hat deshalb zunächst die Vergabe gerügt und anschließend einen Nachprüfungsantrag gestellt. Über den verhandelt die Vergabekammer des Bundes, die beim Bundeskartellamt angesiedelt ist, am Freitag nicht-öffentlich (Az. VK 2-57/20).
Wie dringend war die Beauftragung?
Das Gesundheitsministerium hält die Direktvergabe an EY für zulässig. Denn mit der Covid-19-Pandemie habe ein "unvorhergesehenes und unvorhersehbares Ereignis" vorgelegen, das nach § 14 Abs. 4 Nr. 3 Vergabeverordnung (VgV) eine solche Auftragsvergabe erlaubte, schreibt das Ministerium in seiner Antwort auf die Kleine Anfrage.
Ein öffentlicher Auftraggeber kann dieser Regelung zufolge auf einen Teilnahmewettbewerb verzichten, wenn "äußerst dringliche, zwingende Gründe im Zusammenhang mit Ereignissen, die der betreffende öffentliche Auftraggeber nicht voraussehen konnte", es nicht zulassen, die vergaberechtlich sonst üblichen Mindestfristen einzuhalten. Dabei dürfen die Umstände zur Begründung dieser äußersten Dringlichkeit dem öffentlichen Auftraggeber nicht zuzurechnen sein.
Ob es tatsächlich nicht absehbar war, dass das Ministerium die Beschaffung nur mit externer Hilfe stemmen konnte, wird am Freitag die VK Bund in erster Instanz klären. Sollte das Ministerium unterliegen, würde die Nichtigkeit des Beratervertrags mit EY festgestellt werden. Damit müsste auch das das Honorar neu bestimmt werden, das für bisherige Leistungen zu entrichten ist. Maßgeblich dafür ist Verordnung PR Nr. 30/53 über die Preise bei öffentlichen Aufträgen. Demnach wird dabei zunächst versucht, einen objektiven oder spezielle Bereiche betreffenden bzw. einen subjektiven Marktpreis zu ermitteln. Sollte das nicht möglich sein, wird der Selbstkostenpreis mit angemessenem Gewinnaufschlag des Auftragnehmers angesetzt.
Streit zwischen Händlern und Ministerium
Neben dem Nachprüfungsantrag hat das Gesundheitsministerium weiteren Ärger. Denn was die Schutzmasken-Lieferanten viel mehr aufbringt als die Frage, wie EY an den Ministeriumsauftrag gekommen ist, ist das Vorgehen, das EY und das Ministerium bei der Abwicklung der Lieferaufträge angeblich an den Tag legen.
Wer sich mit Beschaffung nicht auskennt, für den klingt bereits das Open-House-Verfahren mehr als abenteuerlich: Jeder, der zu vorgegebenen Bedingungen liefern kann, hat ein Anrecht auf Vertragsschluss. Doch das Verfahren ist seit Jahren vor allem im deutschen Gesundheitssektor etabliert, sagt Vergaberechtler Dr. Marc Gabriel von der Kanzlei Baker McKenzie.
Insbesondere Krankenkassen setzen das Open-House-Verfahren Gabriel zufolge bei der Beschaffung von Arzneimitteln ein. Und es hat Vor- und Nachteile: "Im Grunde sagt der Auftraggeber: Jeder, der zu meinen Bedingungen liefern kann, macht mit", sagt der Vergaberechtler. "Den besten Preis wird der Auftraggeber auf diese Weise nicht erzielen, aber das Verfahren verursacht auch wenig Streit zwischen Anbieter und Auftraggeber". Ein weiteres Plus aus Auftraggebersicht: Er könne sicher sein, dass er irgendwoher etwas bekomme, so Gabriel weiter.
Aus Händlersicht ist denn auch weniger das Verfahren problematisch als vielmehr die Art und Weise, wie die Verträge gelebt werden. Denn seit Wochen häufen sich Medienberichte darüber, dass Lieferanten vergeblich auf ihr Geld warten. Wie unter anderem das Magazin Capital berichtet, hatte zum einen der vom Bund beauftragte Logistiker Schwierigkeiten, die Anlieferungen abzuwickeln. Zum anderen berufe der Bund sich darauf, dass der TÜV bei Prüfungen festgestellt habe, dass es Qualitätsmängel bei den Schutzmasken gebe, weshalb sie nicht abgenommen würden.
Einige Lieferanten vermuten dahinter eine Absicht, schreibt das Magazin. Der Gesundheitsminister habe viel zu viele Schutzmasken geordert – und noch dazu zu einem recht hohen Preis. Nun versuche er, aus den Verträgen herauszukommen, so der Vorwurf.
Das Gesundheitsministerium selbst teilt mit, dass fast die Hälfte der 700 Vertragspartner aus dem Open-House-Verfahren die Lieferfristen nicht eingehalten habe und daher aus dem Vertrag ausgeschieden sei. Von rund einem Sechstel der verbliebenen Verträge sei man aufgrund mangelnder Qualität der Ware vollständig zurückgetreten.
Ab Herbst wird in Bonn verhandelt
Diejenigen Lieferanten, die leer ausgegangen sind, versuchen nun auf einem anderen Weg zu ihrem Recht zu kommen. Fast 50 Klagen sind bislang gegen das Gesundheitsministerium beim Landgericht (LG) Bonn eingegangen. Gerichtssprecher Tobias Gülich bestätigte gegenüber LTO, dass Händler und Hersteller, mit denen das Gesundheitsministerium im Open-House-Verfahren Lieferverträge geschlossen hat, ausstehende Zahlungen einklagen, teilweise auch die Abnahme der Lieferungen.
Es geht Gülich zufolge meist um Beträge von ein bis zwei Millionen Euro, in der größten bislang eingegangenen Klage werden fast 38 Millionen gefordert. Vier Verfahren hat das Gericht bereits terminiert, am 25. September findet die erste Verhandlung statt. Für Gesundheitsminister Spahn könnte damit auf einen heißen Frühling ein ungemütlicher Herbst folgen.
Anmelden
Galerie
Music Charts
FAQ
Chat
Impressum
Suche
