Benutzerspezifische Werkzeuge
Sie sind hier: Startseite Publikationen Broschüren FIfF eGK-Broschüre II 3 Die elektronische Gesundheitskarte – Erfolg oder Niederlage für den Datenschutz?
 

3 Die elektronische Gesundheitskarte – Erfolg oder Niederlage für den Datenschutz?

Wolfgang Linder

Kapitel 2 Datenschutz

Der neue § 291a SGB V, die rechtliche Grundlage für die elektronische Gesundheitskarte (eGK), trat zum 01.01.2004 in Kraft. Die Datenschutzbeauftragten des Bundes und der Länder hatten sich zuvor über einen längeren Zeitraum kritisch mit den Vorläufern der eGK auseinandergesetzt. Dies trug dazu bei, dass es ihnen gelang, den Inhalt des § 291a maßgeblich zu beeinflussen. Es wurde ein nahezu kompletter Katalog von Patientenrechten, insbesondere bei den freiwilligen Anwendungen, eingefügt:

  1. Die Krankenkassen müssen die Versicherten spätestens bei Versendung der Karte umfassend über deren Funk­tionen informieren (Absatz 3 Satz 2).
  2. Vor der Verarbeitung ihrer Daten für eine der freiwilligen Anwendungen muss die Einwilligung der Versicherten eingeholt werden, diese ist auf der Karte zu dokumentieren, die Einwilligung kann jederzeit widerrufen werden (Absatz 3 Sätze 3, 4).
  3. Jeder einzelne Verarbeitungsvorgang im Rahmen einer der freiwilligen Anwendungen bedarf des Einverständnisses der Versicherten (Absatz 5 Satz 1).
  4. Die Versicherten haben das Recht, auf die zum Zwecke des elektronischen Rezepts (eRezept) und der freiwilligen Anwendungen gespeicherten Daten zuzugreifen (Absatz 4 Satz 2). Die hierfür erforderlichen Geräte sind ihnen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung zu stellen (Absatz 2 Satz 5, § 6c Abs. 2 BDSG).
  5. Die für die eRezepte oder freiwillige Anwendungen gespeicherten Daten müssen auf Verlangen der Versicherten gelöscht werden. Ausnahme: Daten der eRezepte zum Zwecke der Abrechnung (Absatz 6 Satz 1).
  6. Mindestens die jeweils letzten 50 Zugriffe müssen protokolliert werden (Absatz 6 Sätze 2-4). 
  7. Zugriffe auf die für eRezepte und für die freiwilligen Anwendungen gespeicherten Daten dürfen nur, und zwar nur, soweit für die Versorgung des Versicherten erforderlich, Angehörigen von Heilberufen mithilfe des Heilberufsausweises möglich sein, auf das eRezept auch mithilfe eines Berufsausweises (Absatz 4 Satz 1 und Absatz 5 Sätze 2-5). Darüber hinausgehende Zugriffe sind nach Maßgabe des § 307a SGB V strafbar.
  8. Durch technische Vorkehrungen ist sicherzustellen, dass Zugriffe auf für die eRezepte und die freiwilligen Anwendungen abgesehen vom Notfalldatensatz gespeicherten Daten nur mit Autorisierung der Versicherten möglich sind (Absatz 5 Satz 2). 
  9. Von den Versicherten darf nicht verlangt werden, den Zugriff auf Daten für das eRezept und die freiwilligen Anwendungen anderen als den durch Heilberufsausweis bzw. Berufsausweis nach Absatz 4 Satz 2 autorisierten Personen oder zu anderen Zwecken als denen der Versorgung einschließlich der Abrechnung der erbrachten Leistungen zu gestatten. Dem widersprechende Vereinbarungen sind unzulässig. Versicherte dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff bewirkt oder verweigert haben (Absatz 7).

Dies ist ein eindrucksvoller Katalog von Rechten der Versicherten und Einschränkungen der Herausgeber und Nutzer der eGK. Und vor allem: Soweit überhaupt möglich, sind sie technisch zu implementieren. Und dies wurde vor Entwicklung der eGK bestimmt mit der Wirkung, dass es nicht galt, erst im Nachhinein mühsam und mit lückenhaftem Erfolg die genannten Rechte und Einschränkungen in ein bereits fertiges Produkt einzubauen. Welch ein Unterschied zu Vorgängerprojekten wie etwa der Lkw-Maut oder dem digitalen Personalausweis, schloss daraus Thilo Weichert, schleswig-holsteinischer Datenschutzbeauftragter und engagierter Wahrer von Bürgerrechten. Und sprach die Hoffnung aus, die eGK könne ein Pilotprojekt dafür werden, wie Technik, Politik und Bürger im Interesse des Gemeinwohls einen gemeinsamen Weg in die Informationsgesellschaft suchen.

Trägt diese Einschätzung? Warum engagieren sich neben Ärzten, denen man – ob zu recht oder zu unrecht – eigene materielle Interessen unterstellen könnte, auch Datenschützer, Informatiker, Verbraucherschützer, Patientenberater, Bürgerrechtler und Angehörige von Patientenselbsthilfegruppen so vehement gegen die eGK? Alles nur blindes Misstrauen gegen Technik, blankes Unwissen und engstirnige Ideologie?
Wohl nicht. Selbst wenn die gesetzlichen Anforderungen technisch umgesetzt werden, ist die eGK aus der Sicht des Datenschutzes nicht unbedenklich:

  1. Die Krankenkassen wollen mithilfe der Eingabe der eGK beim Arzt den sog. Stammdatenabgleich durchführen. Bei jedem Arztbesuch soll der Arzt erfragen, ob etwa Name und Anschrift noch zutreffen, Änderungen auf der eGK eintragen und online der Krankenkasse melden bzw. bei dieser abfragen, ob der Patient leistungsberechtigt ist. Auf diese Weise würde jeder Arztbesuch eine Datenspur bei der Krankenkasse erzeugen. Diese wüssten noch mehr als ohnehin über ihre Versicherten. Viele Ärzte wehren sich gegen diese neue ihrem Heilauftrag fremde Arbeitsbelastung. In § 291a SGB V ist dieser Abgleich überhaupt nicht vorgesehen. Die Krankenkassen versuchen, ihn über Verträge mit den Ärzteverbänden durchzusetzen: ein rechtlich fragwürdiges Geschäft zulasten Dritter, d.h. der Versicherten, deren Daten verarbeitet würden.
  2. Für diesen Abgleich sollen die Ärzte anhand des auf die eGK aufgebrachten Lichtbilds die Identität des Patienten überprüfen. Dies wirft verschieden Rechtsfragen auf:
    • Ist das Lichtbild überhaupt dafür geeignet? Die Versicherten sollen es ihrer Krankenkasse einschicken. Ob es für den Zweck der Identitätsfeststellung geeignet ist oder ob es überhaupt den Versicherten abbildet, wird anders als etwa beim Personalausweis vor der Anbringung auf der Karte überhaupt nicht überprüft.
    • Sind die Versicherten überhaupt verpflichtet, ihr Lichtbild einzusenden? Auch hierzu schweigt das Gesetz. Die Versicherten könnten auf das Verlangen, ihr Lichtbild einzuschicken, einfach nicht reagieren. Die Kasse würde aber – vielleicht auch unter Androhung künftiger Leistungsverweigerung – ihr Verlangen unterstreichen. Die Versicherten wiederum können sich dagegen per Widerspruch bei ihrer Krankenkasse und – falls erforderlich – auch mit einer Klage vor dem Sozialgericht zur Wehr setzen. Die Krankenkassen scheinen angesichts dieser wohlbegründeten Zweifel zunehmend dazu überzugehen, bei Nichteinsendung einfach auf den Aufdruck eines Fotos zu verzichten.
  3. Immer wieder ist die Rede von "Mehrwertdiensten", durch die das Projekt eGK erst den rechten Nutzen tragen solle. Sofern damit gesetzlich vorgesehene Anwendungen wie der elektronische Arztbrief gemeint sind, ist dies ein missverständlicher und unnötiger Begriff. Dahinter verbirgt sich allerdings die Strategie, die eGK mit vergleichsweise harmlos anmutenden Anwendungen einzuführen, anschließend aber unter Hinweis auf die bereits getätigten Investitionen darauf zu dringen, dass weitergehende bislang den Versicherten weitgehend unbekannte, aber durchaus zu hinterfragende Anwendungen wie die elektronische Patientenakte umgesetzt werden. Wären unter "Mehrwertdiensten" aber über den Katalog des § 291a SGB V hinausgehende Anwendungen – etwa kommerzieller Art – zu verstehen, so wäre die Nutzung der eGK insoweit eindeutig rechtswidrig – jedenfalls nach geltendem Recht. Über die Gefahr einer Gesetzesanpassung an finanzielle Erfordernisse und wirtschaftliche Interessen siehe S. 44 und auch den Bei­trag von Kuhlmann.
  4. Das Bundesministerium für Gesundheit hat durch administrativen Zwang dem Projekt eGK eine zentralistische Telematikinfrastruktur verordnet. Nur die Stammdaten der Versicherten und der Notfalldatensatz sollen auf der eGK selbst gespeichert werden. Für die übrigen Anwendungen soll die eGK lediglich das Vehikel sein, mithilfe dessen ihr jeweiliger Inhaber die Verarbeitung seiner Daten autorisieren kann. So weit so gut. Aber: die Daten der eRezepte, der elektronischen Arztbriefe und der elektronischen Patientenakte sollen nicht wie bisher nur in den Dateien der Ärzte und Kliniken, also nicht dezentral im durch die ärztliche Schweigepflicht geschützten Bereich, sondern zentral auf durch gewerbliche Unternehmen oder die Krankenkassen betriebenen Großrechnern gespeichert werden. D.h.: Alle Übermittlungen und Abrufe gehen über zentrale Server. Die Alternative eines Systems der Punkt-zu-Punkt-Kommunikation z. B. von Arzt zu Arzt wird nicht ernsthaft in Erwägung gezogen, geschweige denn entwickelt und getestet.

Das Projekt eGK in seiner derzeitigen Ausgestaltung wirft weitere Fragen auf:

1. Wird die IT-Industrie das ungeheuer komplexe technische Instrumentarium für die Realisierung der differenzierten Rechte der Versicherten bereitstellen können und wenn ja, zu welchem Preis und in welchem Zeitraum? Können die Versicherten ihre Rechte konkret gegenüber den Ärzten wahrnehmen?

Legt man die Ergebnisse der bisherigen Tests, etwa in Flensburg, Heilbronn oder Nordrhein, zugrunde, dürfte ein derart differenziertes System von Patientenrechten wie das oben unter 2. bis 8. für die freiwilligen Anwendungen vorgesehene, nur schwer zu realisieren sein. Dort ist man bereits an wesentlich einfacheren Funktionen gescheitert. Die eGK konnte erfolgreich nur mit den Funktionen der bisherigen Krankenversichertenkarte (KVK) eingesetzt werden. Bereits die Nutzungen für das eRezept und als Speichermedium für den Notfalldatensatz scheiterten.
Man stelle sich vor:

  • eine überfüllte Hausarztpraxis, ein fiebernder Patient, gestresste Arzthelferinnen, ein durch die Auseinandersetzung mit den gesundheitlichen Problemen seiner Patienten mehr als ausgelasteter Arzt,
  • eine Krankenhausaufnahme, ein Patient in Lebensgefahr, Eile ist geboten,

Welcher Patient, welcher Arzt wird Zeit dafür haben und die gebotene Aufmerksamkeit aufbringen können und wollen, die gesetzlich versprochene Patientenautonomie umzusetzen? Entweder werden die vom Gesetz vorausgesetzten Entscheidungen überhaupt nicht oder im Sinne des medizinischen Personals getroffen werden – so oder so. Die tatsächliche Situation, in der die Patienten Entscheidungen über die Freischaltung eines Nutzungszwecks für die eGK oder die Speicherung und Übermittlung ihrer Gesundheitsdaten treffen sollen, wird völlig außer Acht gelassen.

2. Ist das Verfahren in Arztpraxen und Krankenhäusern praktikabel? Wird es funktionieren (PINs)? Nimmt es zu viel Zeit in Anspruch?
Die Tests haben gezeigt, dass das Verfahren auch praktisch nicht funktioniert. Bemerkenswert viele Patienten und sogar Ärzte hatten ihre PIN vergessen, das Autorisieren der Ärzte und Patienten durch das Einlesen ihrer Karten nimmt zu viel Zeit in Anspruch. Gleiches gilt für die Eingabe der Notfalldaten und der Daten für das eRezept sowie für das Auslesen der letztgenannten Daten in den Apotheken. Dabei sind bislang nur die relativ einfachen Anwendungen, nämlich die der bisherigen KVK, die für den Notfalldatensatz und die für das e-Rezept, getestet worden. Der durch den Arzt zu begleitende Prozess der Entscheidung des Patienten über die Eingabe oder Übermittlung seiner Daten mittels der eGK dürfte das knappe Zeitbudget in der ärztlichen Praxis vollends überfordern.

Die Nutzung der eGK für elektronische Arztbriefe und Patientenakten mit den hierfür erforderlichen Vernetzungen, geschweige denn die zentrale Speicherung auf Großrechnern sind denn auch noch gar nicht erprobt worden. Gleiches gilt für die Nutzung der eGK in Kliniken. Hier werden sich doch noch ganz andere, womöglich noch schwierigere Probleme ergeben. Dennoch: Es ist bislang nicht bekannt geworden, dass die eGK dort getestet worden wäre, erst recht nicht, mit welchen Ergebnissen. Die Lesegeräte wurden bislang nur – und dies etwa in der Pilotregion Nordrhein mit für die Betreiber enttäuschenden Erfolg – den niedergelassenen Ärzten angeboten.

eGK Patientenkiosk NCR

Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen eGK Patientenkiosk NCR,
Foto: Detlef Borchers


3. Wenn die gesetzlichen Vorgaben nicht umsetzbar sind, wird man a) die eGK bzw. einzelne Anwendungen aufgeben oder wird man b) die Rechte der Patienten beschneiden?
Die Alternative a) scheint schon deshalb unrealistisch, weil – wie die Kosten-Nutzen-Analyse des durch die gematik beauftragten Beratungsunternehmens Booz-Hamilton ergeben hat – die gegenüber den offiziellen Aussagen deutlich höheren tatsächlich zu erwartenden Kosten des Projekts sich erst nach Installierung der Infrastruktur für die Vernetzung und deren möglichst umfassende Nutzung vor allem für die elektronische Patientenakte bzw. für andere noch nicht spezifizierte "Mehrwertdienste" sich amortisieren werden.

Das Projekt eGK mit seinen verschiedenen Funktionen soll Schritt für Schritt umgesetzt werden. Die ersten Schritte bereits verursachen aber so hohe Kosten, dass der Fortgang mit den versprochenen finanziellen Nutzeffekten als zwingende Notwendigkeit erscheinen wird. Die IT-Industrie wird für den Fall des Abbruchs vor Realisierung aller möglichen Nutzungen den Wegfall von Arbeitsplätzen und von Exportchancen an die Wand malen. Alle Beteiligten müssen um ihr politisches oder berufliches Prestige fürchten. Deshalb wird die Alternative b) die wesentlich realistischere sein. Geht es dabei doch "nur" um die Rechte der Betroffenen, denen angeblich alles zugutekommen soll, die aber an der Entwicklung des Projekts gar nicht beteiligt sind.

Ohnehin wurden in den vergangenen zwanzig Jahren durch immer neue Gesetze die Möglichkeiten für die eine immer umfassendere Speicherung und Auswertung von Gesundheitsdaten gesetzlich Krankenversicherter geschaffen. Warum sollte man zur Rettung des Projekts eGK davor zurückschrecken, die obligatorische elektronische Patientenakte einzuführen, wenn man sich von ihr doch so eminenten Nutzen, d.h. vor allem Spareffekte, verspricht? Die klientelorientierte Ausgaben- und Steuerkürzungspolitik der schwarzgelben Koalition mit den daraus folgenden defizitbedingten Sparzwängen dürfte für diesen Weg wichtige Weichen stellen.

Thilo Weichert (s.o.) hat für ein komplexes elektronisches Projekt wie die eGK einen "modularen" und transparenten Entwicklungsprozess empfohlen. Zunächst sollten die Basisfunktionen der KVK und des eRezepts getestet, stabil praktiziert und evaluiert werden, bevor anspruchsvollere Anwendungen angegangen würden. Transparenz soll der Öffentlichkeit erlauben, jedes Bauteil des Projekts zu hinterfragen und ggf. – so ist das wohl zu verstehen – auch einzelne Anwendungen aufzugeben bzw. die Telematikinfrastruktur zu ändern. Dies hat sehr wohl etwas mit Datenschutz zu tun, ist dieser doch nicht – nur – als die Erfüllung bestimmter gesetzlich festgelegter Formalitäten zu verstehen, sondern als Grundrechtsschutz. Deshalb bedarf es öffentlicher Auseinandersetzung. Diese wiederum setzt voraus, dass die Betreiber des Projekts und ihre öffentlichen Auftraggeber mit offenen Karten spielen. Dies jedoch ist nicht der Fall.

Im Gegenteil: Man beschwört immer wieder Sachzwänge, die die Fortsetzung des eingeschlagenen Weges erfordern, und verschweigt geflissentlich die Gesamtdimension des Projekts. Man beruft sich z. B. auf die der IT-Industrie bereits entstandenen Kosten – sogar von Regressansprüchen ist bereits die Rede. Auch wird – und dem hat sich sogar der Bundesdatenschutzbeauftragte angeschlossen – suggeriert, als gehe es nur um eine sichere Nachfolge der KVK samt Lichtbild zwecks Verhinderung der Nutzung der KVK durch nicht Leistungsberechtigte. Vor allem wird verschwiegen:

Freie Ärzteschaft e.V.

Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen Foto: Freie Ärzteschaft e.V.


4. Die zentrale Speicherung von Gesundheits- bzw. Behandlungsdaten
Ärzte und Therapeuten müssen in ihren Praxen oder in Krankenhäusern die Behandlung ihrer Patienten dokumentieren – heute überwiegend per EDV. Es ließe sich sehr wohl vorstellen, dass dies so bleibt. Die Daten würden im durch die berufliche Schweigepflicht geschützten Bereich verbleiben. Die eGK ihrerseits könnte dazu beitragen, dass die Daten unter den Ärzten, Therapeuten und Kliniken zu Behandlungszwecken ausgetauscht werden. Die Patienten könnten sie hierzu per eGK autorisieren. Der elektronische Arztbrief wäre damit wie gesetzlich vorgesehen realisiert – eine sicher sinnvolle Funktion der eGK. Geht man einen Schritt weiter, könnte die Initiative hierfür nicht zwingend von dem Arzt/Therapeuten ausgehen, der seine Behandlung dokumentiert hat, sondern auch von dem Arzt/Therapeuten, der die Dokumentation für seine Mit- oder Nachbehandlung benötigt, wiederum, sofern der Patient ihn hierzu autorisiert hat. Dies wäre eine dezentrale Telematikinfrastruktur, die sehr wohl Grundlage einer elektronischen Patientenakte sein könnte, sicher ein ebenso anspruchsvolles Unterfangen wie der Aufbau der derzeit vorangetriebenen zentralen Struktur. Aber: Man könnte ausgehen von bereits bestehenden – interessanterweise in den Vorschriften der §§ 140a-d SGB V zur integrierten Versorgung vorgesehenen – regionalen bzw. fachbezogenen Vernetzungen und dies System kontinuierlich ausbauen, soweit es fachlich sinnvoll, technisch machbar, finanziell darstellbar und von den Beteiligten einschließlich der Patienten gewollt ist. Dies wäre ein modularer und transparenter Aufbau von Vernetzung.

Aber nein: Das Bundesministerium für Gesundheit hat von vornherein die zentrale Variante dekretiert. Anderes wird nicht in Erwägung gezogen. Es ist zu befürchten, dass auch nur getestet werden wird, ob das funktioniert, worauf man sich einseitig festgelegt hat, aber keine Alternativen.
Überhaupt stellt man sich ungern der Debatte, ob die Patienten ein Interesse daran haben können und damit einverstanden sein können, dass ihre Gesundheitsdaten nicht mehr bei den Ärzten/Therapeuten ihres Vertrauens, sondern auf zentralen Servern gespeichert werden. Es ist eine merkwürdige Debatte:

  1. Von Betreiberseite aus einschließlich der Krankenkassen wird das Problem möglichst nicht angesprochen. Erst recht werden die Versicherten nicht darüber informiert. Dazu aber sind die Krankenkassen nach § 291a Abs. 2 Satz 2 SGB V verpflichtet. In Nordrhein läuft die Erstausgabe der Karten an die Versicherten. Zwar ist man noch weit davon entfernt, die Online-Anbindung zu den zentralen Servern zu schalten, um die eGK für elektronische Arztbriefe oder für die elektronische Gesundheitsakte zu nutzen. Alle Experten aber sind sich doch darin einig, dass erst dadurch die aufwendige Einführung der eGK Sinn macht und sie daher der erste Schritt ist, die die anderen per Sachzwang nach sich ziehen soll.
  2. Im Gegenteil: Man wirbt damit, dass die eGK sicherer sei als die alte KVK, dass sie durch das Lichtbild Missbräuche ausschließe. Erwähnt man die elektronische Patientenakte, dann mit dem Versprechen, dass die Versicherten mit ihrer Hilfe ihre Gesundheitsdaten selbst verwalten könnten. Verschwiegen wird gern, welch gewaltige zentralistische Telematikinfrastruktur man dafür aufbauen will.
  3. Stellt man sich gezwungenermaßen der Debatte, behauptet man, die Daten sollten ja gar nicht zentral, sondern auf mehreren verteilten Servern gespeichert werden. Dem ist entgegen zu halten, dass diese Server miteinander vernetzt werden sollen. Damit aber wächst die Gefahr, dass nach Depseudonymsierung die gesamten Gesundheitsdaten einzelner Patienten ausgewertet werden, sei es von Befugten oder von Unbefugten.
  4. Zudem wird damit argumentiert, bei einer Vernetzung der Beteiligten sei es gleichgültig, ob die Behandlungsdaten dezentral bei den Behandelnden gespeichert blieben oder von dort auf die zentralen Server übermittelt würden. Entscheidend für den Schutz der Daten sei die Netzarchitektur. Es macht aber doch einen Unterschied, ob alle einen Patienten betreffenden Daten an einer Stelle oder verteilt auf viele Stellen gespeichert sind. Es kommt hinzu, dass die Vernetzung der Behandelnden untereinander bei einer dezentralen Infrastruktur Schritt für Schritt ausgehend von regionalen Versorgungsnetzen, soweit für die Kooperation sinnvoll und von der Technik her funktional, aufgebaut werden kann. Nutzen, Kosten und Risiken könnten bei jedem Schritt neu gegeneinander abgewogen werden, ggf. könnte dies auch zum Verzicht auf die eine oder andere Funktion führen.

 

Demo "Freiheit statt Angst" (2008, Berlin)

Creative Commons Namensnennung Demo "Freiheit statt Angst" (2008, Berlin) – Foto: AK Vorrat
http://wiki.vorratsdatenspeicherung.de/Aktuelle_Fotos


5. Verschlüsselung/Pseudonymisierung
Die Verfechter der eGK argumentieren damit, dass die auf den Servern gespeicherten Daten verschlüsselt – wohl genauer: pseudonymisiert – werden müssten und nur per eGK (die Karteninhaber selbst) und die per Heilberufsausweis dazu autorisierten Personen darauf zugreifen dürften. Daher sei jeder Datenmissbrauch technisch sicher ausgeschlossen. Dagegen spricht:

  • In Absatz 5 Sätze 2 und 3 des § 291a SGB V ist zwar vorgeschrieben, dass der Zugriff grundsätzlich nur für Inhaber eines Heilberufsausweises mit Autorisierung des Versicherten möglich sein dürfe. Daneben aber sollen auch von den Ausweisinhabern autorisierte Personen – gemeint sind wohl Arzthelferinnen und Pflege- und Laborpersonal – Zugriff erhalten. Damit dürfte sich die Zahl der Zugriffsberechtigten um ein vielfaches erhöhen. Die Rede ist von weit über 2 Millionen potenziell Zugriffsberechtigten.
  • Dass die Daten verschlüsselt sind, ist eine banale Selbstverständlichkeit. Sonst könnte sie jedermann, der in das System eindringt, ohne Umschweife im Klartext lesen. Schon interessanter ist es, sie zu pseudonymisieren: Der Personenbezug wird gesperrt und kann nur für den autorisierten Zugriff wieder hergestellt werden. Soweit so gut. Nur: in § 291a SGB V ist dies merkwürdigerweise gar nicht vorgeschrieben. Überdies handelt es sich hier – soll es "wasserdicht" sein – um ein aufwendiges Verfahren: Die speichernde Stelle und die Stelle, die pseudonymisiert und das Pseudonym aufhebt (üblicherweise Vertrauensstelle genannt) müssen technisch und organisatorisch voneinander getrennt, die letztere darüber hinaus unabhängig sein. In 303a-f SGB V ist dies ausführlich festgeschrieben, und dort geht es nicht einmal um Behandlungsdokumentationen, sondern nur um Abrechnungsdaten. Im Rahmen der Planungen für die elektronische Patientenakte war von vergleichbarem Aufwand bislang nicht die Rede.
  • Übrigens: Verschlüsselt und pseudo­nymisiert werden die Daten nur so lange sein, wie sie nicht genutzt werden. Vor jeglicher Nutzung müssen sie deanonymisiert und depseudonymisiert werden, damit sie im Klartext und patientenbezogen vorliegen.
  • Die zentrale Speicherung aller Gesundheitsdaten eines Versicherten wird Begehrlichkeiten wecken – bei Arbeitgebern, Versicherungen und Datenhändlern aller Art, aber auch bei Kriminellen. Nun gibt es hier eindeutige strafrechtlich sanktionierte Verbote. Aber: Der Anreiz zu deren Übertretung wird immens sein. Besser wäre es doch, ohne Not derartige Anreize gar nicht zu schaffen.
  • Keine Verschlüsselung ist technisch perfekt, vor allem nicht für die Zukunft. Bei entsprechendem technischen Aufwand und Einfallsreichtum kann sie "geknackt" werden. Gegenteilige Versicherungen sind immer aufs Neue widerlegt worden. Es ist und bleibt besonders riskant, die Gesamtheit der Gesundheitsdaten möglichst vieler Personen zentral zu speichern. Selbstverständlich können auch dezentral gespeicherte Daten Angriffen ausgesetzt sein. Nur: Anreiz und Wirkung sind unvergleichlich geringer.
  • Die derzeitigen strengen gesetzlichen Zugriffsbeschränkungen und –verbote können durch den Gesetzgeber aufgeweicht werden, etwa für "Mehrwertdienste", wie für die Nutzung der personenbezogener Gesundheitsdaten für wirtschaftliche Zwecke, für Sicherheits- und Kontrollzwecke, für Planung und Forschung. Angesichts der seit zwanzig Jahren zu beobachtenden stetigen Ausweitung der legalisierten Verarbeitung von Gesundheitsdaten für Kontrollzwecke, ausgehend von der Kontrolle der Leistungsberechnung auf sachliche und rechnerische Richtigkeit über die Kontrolle der Fachlichkeit der ärztlichen Berufsausübung bis hin zur Mitwirkung der Patienten (Compliance) an der Behandlung etwa im Rahmen der Disease Management Programme bei chronischen Krankheiten, hat diese Befürchtung einen durchaus realistischen Hintergrund. Warum sollte sich dies in Zukunft ändern, zumal nach der vollständigen Digitalisierung der Behandlungsdokumentation und der Schaffung umfassender zentraler Daten­pools?

6. Gouvernementalität
Warum hat die Politik bei der Entwicklung der eGK von vornherein derart ausschließlich auf die zentrale Telematikinfrastruktur gesetzt? Eine mögliche, durchaus plausible Erklärung:

Die zentrale Speicherung ihrer Daten möglichst im Einvernehmen mit den davon Betroffenen ist ein modernes Herrschaftsinstrument. Die Bürger stellen für Zwecke der Regierung über sie freiwillig ihre Daten zur Verfügung, und dies in elektronischer Form zwecks elektronischen Regierens (electronic governement). Diese elegante und effektive Form des Regierens setzt die Bereitschaft der Regierten voraus, die Voraussetzung dafür – die Datenbasis – selbst bereitzustellen. Die Regierten müssen also davon überzeugt worden sein, dass dies zu ihrem Vorteil gereicht. Das Mittel hierfür wird Akzeptanzmanagement genannt. Und dieses Mittels bedient man sich auch beim Projekt eGK. Die gesetzlich Krankenversicherten – die Privatversicherer sind bezeichnenderweise aus dem Projekt ausgestiegen – werden nicht etwa über die vollständige Dimension des Projekts informiert, sondern lediglich insoweit, als es für die erste Stufe, die Ausgabe einer Nachfolgekarte zur gewohnten KVK nötig ist. Für die bislang freiwilligen Anwendungen, insbesondere für die elektronische Patientenakte wird es darauf ankommen, die Versicherten davon zu überzeugen, dass sie für sie von Vorteil ist. Das Versprechen soll sein, sie instand zu setzen, ihre Gesundheit selbst zu managen (Empowerment ist das Zauberwort). Setzt man dies wiederum in Relation mit Tendenzen im Gesundheitswesen wie Effektivierung, Validierung, Normierung und Einsparungen, so fragt sich, ob hier wirklich Selbstbestimmung oder nicht vielmehr Mitwirkung an Fremdbestimmung intendiert ist.

Die Versicherten werden dazu angehalten einzuwilligen, dass ihre sämtlichen bisher bei verschiedenen Ärzten, Kliniken etc. dokumentierten Gesundheitsdaten zentral gespeichert werden. Dies wird verbunden mit der Zusage, dass sie nur in ihrem Sinne, d.h. zu ihrer gesundheitlichen Versorgung, genutzt werden. Hierfür wird eine aufwendige und teure Infrastruktur aufgebaut. Je nach Entwicklung der finanziellen Zwänge und der politischen Prioritäten ist es jederzeit möglich, auf das Einverständnis der Versicherten – so ein relevanter Anteil sich widersetzen sollte – zu verzichten oder die Nutzungen zwecks Kontrolle der Versicherten oder kommerzieller Auswertungen zu erweitern.
Die Versicherten werden dann entweder bereits konditioniert sein oder diszipliniert werden müssen. Jedenfalls wird ihnen bewusst sein, dass ihre Gesundheit nicht länger ihre Privatsache ist, sondern anonymer Überwachung unterliegt. Dies wird über kurz oder lang auf ihr Verhalten abfärben. Sie werden sich konformer verhalten als zuvor. Ob dies in ihrem wohlverstandenen Interesse liegen wird, darüber kann man streiten. Es könnte davon abhängen, ob man ihnen unterstellt, sich bislang unvernünftig verhalten zu haben und davon, ob man den Kontrollinstanzen darin vertraut, dass sie Maßstäbe zu ihrem Wohle anlegen.

Jedenfalls wird eine Regierungsform installiert sein, die gekennzeichnet ist durch das Zusammenwirken von äußerer Fremdführung und Disziplinierung einerseits und innerer Selbstführung, Selbstdisziplin und Selbstmanagement der Individuen andererseits. Die auf die Betroffenen ausgeübte Wirkung hat Michel Foucault als "gouvernementalité" (Gouvernementalität) bezeichnet.

Was hat all das mit Datenschutz zu tun? Vor Beantwortung dieser Frage könnte es hilfreich sein, das Urteil des Bundesverfassungsgerichts von 1983 zum Volkszählungsgesetz neu zu lesen: Datenschutz solle es, so das Gericht, den Einzelnen ermöglichen, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung sei es nicht vereinbar, wenn die Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher sei, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, werde versuchen, nicht durch solche Verhaltensweisen aufzufallen.

Wird die zentrale Telematikinfrastruktur im Gesundheitswesen wie geplant realisiert, werden die Betroffenen sehr wohl wissen, dass ihre Gesundheitsdaten zentral und dauerhaft gespeichert werden. Zu welchem Zweck für wen, dies wird für sie schon nicht mehr so eindeutig sein. Jedenfalls wird Druck ausgeübt werden, möglichst nicht durch Verhaltensweisen aufzufallen, die von einer von oben eingesetzten Verhaltensnorm abweichen. Es ist doch so, dass gerade auch das Wissen über Kontrollmöglichkeiten anonymer Instanzen, nicht nur das Nichtwissen davon, Anpassungsdruck erzeugt. Vielleicht ist es an der Zeit, das vor über einem Vierteljahrhundert gesprochene Urteil des Verfassungsgerichts angesichts neuer elektronischer Herrschaftsmethoden fortzuschreiben.

Jedenfalls sollte sich eine datenschutzrechtliche Beurteilung des Projekts eGK nicht damit zufriedengeben,

  • das den Rahmen setzende Gesetz, hier den § 291a SGB V darauf abzuklopfen, ob das hergekommene Instrumentarium des Datenschutzes festgeschrieben ist und
  • das Projekt selbst darauf abzuklopfen, ob dieses Instrumentarium technisch und organisatorisch umgesetzt ist,

sondern sie sollte auch eine Einschätzung einschließen, inwieweit es die gesellschaftlichen Rahmenbedingungen für das Recht auf informationelle Selbstbestimmung der Bürger tangiert.

Diese Einschätzung aber fällt eindeutig negativ aus. Die positive Einschätzung durch Thilo Weichert bestätigt sich nicht. Das Projekt eGK ist ganz abgesehen von seinen negativen Folgen für die ärztliche Praxis, von seinen immensen Kosten und den weitgehend gescheiterten Testläufen eine Gefahr für die Selbstbestimmung der Bürger.

 

 Wolfgang Linder

Das FIfF unterstützt die weitere Verbreitung der in dieser Broschüre veröffentlichten Artikel. Aus diesem Grund nutzen die Autor_innen eine Creative Commons Attribution-ShareAlike 3.0 Lizenz (CC BY-SA) für ihre Inhalte.

Wenn nicht anders angegeben dürfen Sie:
  • Artikel vervielfältigen, verbreiten und öffentlich zugänglich machen
  • Abwandlungen und Bearbeitungen der Artikel anfertigen
Zu den folgenden Bedingungen:
  • Die Urheberrechtsinformationen müssen erhalten bleiben.
  • Namensnennung – Sie müssen den Namen der Autor_innen und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (FIfF) als Herausgeber nennen (aber nicht so, dass es so aussieht, als würde sie/es/er Sie oder Ihre Verwendung des Werks unterstützen).
  • Weitergabe unter gleichen Bedingungen – Wenn Sie das lizenzierte Werk bzw. den lizenzierten Inhalt bearbeiten oder in anderer Weise erkennbar als Grundlage für eigenes Schaffen verwenden, dürfen Sie die daraufhin neu entstandenen Werke bzw. Inhalte nur unter Verwendung von Lizenzbedingungen weitergeben, die mit denen dieses Lizenzvertrages identisch oder vergleichbar sind. Im Falle einer Abwandlung ist es notwendig, dass Sie einen Hinweis darauf geben, dass es sich um eine Abwandlung handelt.
  • Der Artikeltitel und die URL müssen angegeben werden (e.g. http://fiff.de/egk).
Eine vereinfachte Zusammenfassung der Lizenz finden Sie auf der Webseite von Creative Commons:
http://creativecommons.org/licenses/by-sa/3.0/de/
Im Zweifel orientieren Sie sich bitte an dem rechtsverbindlichen Lizenzvertrag:
http://creativecommons.org/licenses/by-sa/3.0/de/legalcode

Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.
Spendenkonto-Nr: 800 927 929 Sparda Bank Hannover eG (BLZ: 250 905 00)
Mit Ihrer Unterstützung tragen Sie dazu bei, dass auch in Zukunft Artikel unter einer freien Lizenz veröffentlicht werden. Flattr this