Die Große Koalition hat 2019 das Digitale-Versorgungs-Gesetz (DVG) beschlossen. Es sieht vor, dass gesetzliche Krankenkassen bis Oktober 2022 die Daten ihrer Versicherten zu Forschungszwecken in eine Datenbank einzuspeisen. Betroffen sind 73 Millionen gesetzlich Versicherte – Privatversicherte sind von dieser Regelung ausgenommen. Verbraucher:innen können der Datenweitergabe nicht widersprechen.

Die Informationen der Versicherten sollen dabei pseudonymisiert an das Forschungszentrum des Bundes übermittelt werden. Das bedeutet, dass die persönlichen Daten durch einen Code ersetzt werden, um die Identität der Personen nicht mehr zurückverfolgen zu können. Ein betroffener Versicherter sowie Constanze Kurz vom Chaos Computer Club (CCC) und die Gesellschaft für Freiheitsrechte (GfF) befürchten jedoch, dass Versicherte trotzdem identifizierbar bleiben, nicht zuletzt infolge eines potenziellen Hacker-Angriffs. Sie klagen deshalb gegen die Datenweitergabe.

Warum werden Versichertendaten weitergegeben?

Das im Gesetz festgeschriebene Vorhaben soll den medizinischen Fortschritt vorantreiben. Die Abrechnungsdaten der Krankenkassen werden an ein Forschungszentrum übermittelt. Forschungsteams können dann auf die pseudonymisierten Gesundheitsdaten zugreifen, um sie für ihre Studien zu nutzen.

Laut dem damaligen Gesundheitsminister Jens Spahn (CDU) soll die Datenweitergabe der „Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens“ dienen. Behörden, Forschungseinrichtungen und Universitätskliniken sollen auf die Daten zugreifen können. Industrie und Wirtschaft werden im Gesetz nicht genannt.

Wie sieht die Datenweitergabe konkret aus?

Laut Gesetz sieht die Datenweitergabe wie folgt aus:

  1. Die Krankenkassen geben die persönlichen Versichertendaten (unter anderem Alter, Geschlecht, Leistungsbezug, Gesundheitsstatus) an den GKV-Spitzenverband weiter. Das ist die Interessenvertretung aller gesetzlichen Kranken- und Pflegekassen.
  2. Dort werden die Daten auf ihre Vollständigkeit geprüft und pseudonymisiert an das Forschungszentrum des Bundes geschickt.
  3. Das Forschungszentrum ersetzt das Versichertenpseudonym dann durch eine Arbeitsnummer.
  4. Eine sogenannte Vertrauensstelle erzeugt darüber hinaus ein Einweg-Pseudonym, das sich Arbeitsnummern zuordnen lässt. Dadurch soll sichergestellt werden, dass die Daten keine Rückschlüsse mehr auf einzelne Personen zulassen.

Darum kritisieren die Kläger die Weitergabe der Daten

Eine Privatperson will nun zusammen mit dem Chaos Computer Club und der Gesellschaft für Freiheitsrechte per Klage gegen das geplante Datenregister vorgehen. Im Wesentlichen kritisieren die Kläger drei Punkte:

  1. Sie befürchten, dass die Pseudonymisierung der Daten nicht ausreicht, um Rückschlüsse auf einzelne Personen zu verhindern.
  2. Die zentrale Datenbank könne laut CCC-Sprecherin Constanze Kurz gehackt und Einzelpersonen auf diese Weise identifizierbar werden.
  3. Die Versicherten können der Datenweitergabe nicht widersprechen. Auch das möchten die Kläger ändern, um Verbraucher:innen in ihrer Entscheidungsfreiheit zu stärken.

Kryptografie-Experte Dominique Schröder kritisiert in einem Gutachten ebenfalls die geplante Datenweitergabe über eine Sammelstelle. Er empfiehlt eine dezentrale Datenspeicherung – das ist aus seiner Sicht sicherer und entspreche dem tatsächlichen Stand der Technik und der Wissenschaft. 

Gegenüber dem „Spiegel“ haben die Kläger deutlich gemacht, dass es ihnen nicht darum geht, die Forschung auf Basis der Daten zu verhindern. Ziel sei vielmehr, das Verschlüsselungsniveau zu erhöhen und dafür zu sorgen, dass die Daten besser gegen Missbrauch abgesichert werden. Dazu gehen sie nun mit Unterlassungsklagen und Eilanträgen vor den Sozialgerichten in Frankfurt und Berlin vor.

In der DiFü-Lernzentrale herausfinden, wie man seine Daten schützen kann.