Transfer von Gesundheitsdaten Forschungsdatenzentrum soll Sicherheitskonzept vorlegen

Gesundheitspolitik Autor: Dr. Stefan Krempl

Bei der Datenauswertung kam es aus technischen Gründen zu Verzögerungen, ein Problem mit einem externen Dienstleister hatte dazu geführt. Bei der Datenauswertung kam es aus technischen Gründen zu Verzögerungen, ein Problem mit einem externen Dienstleister hatte dazu geführt. © fotomek – stock.adobe.com

Das Sozialgericht Berlin lässt die Verhandlung über den Transfer von Gesundheitsdaten der gesetzlichen Krankenkassen an ein Forschungszentrum vorerst ruhen. Grund ist, dass es dort technische Verzögerungen gab und die Randbedingungen für eine gesicherte Datenverarbeitung noch nicht bestehen.

Die Frage, ob die Gesundheitsdaten aller rund 73 Millionen gesetzlich Versicherten hierzulande zentral für Forschungszwecke zur Verfügung gestellt werden dürfen, bleibt zunächst weiter offen. Einen dazu anhängigen Rechtsstreit hat das Sozialgericht Berlin am Mittwoch beim zweiten Verhandlungstag nach einer ersten Marathonsitzung im Oktober nach einer mehrstündigen Anhörung auf ruhend gestellt. Der Vorsitzende Richter Michael Kanert betonte, das Verfahren „zu jeder Zeit wieder aufnehmen“ zu können. Es werde nicht formal ausgesetzt oder auf Nimmerwiedersehen vertagt.

Der Berliner Rechtsanwalt Cornelius Böllhoff, der die beklagte Krankenkasse Novitas BKK vertritt, bezeichnet den Fall zunächst zwar noch als entscheidungsreif. Beide Seiten hätten bereits viele Argumente mündlich und in schriftlichen Stellungnahmen ausgetauscht. Der Klägerin, der Informatikerin Dr. Constanze Kurz, sei es nicht gelungen, ihr Konzept einer dezentralen Datenverarbeitung für Forschungszwecke als das eindeutig bessere darzustellen. Zudem sei das Gericht wohl nicht in der Lage, das gesetzgeberische Ermessen zu ersetzen. Letztlich akzeptierte aber auch Böllhoff, dass Kanert daran gelegen sei, „in die hintersten Winkel“ zu schauen und es dabei auf ganz konkrete Konzepte ankomme.

Diese kann das Forschungsdatenzentrum (FDZ), das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt ist, noch nicht vorweisen. Dessen Leiter, Steffen Heß, räumte ein, dass es beim Aufbau der Infrastruktur für die Datenauswertung in abgesicherten virtuellen Räumen aus technischen Gründen einen „Rückschlag“ gegeben habe. Konkret habe ein Problem mit einem externen Dienstleister zu Verzögerungen geführt. Man sei gerade dabei, die Firma zu wechseln. Beim „Beladen“ der Datenspeicher hätten zunächst zwei SAP-Mitarbeiter geholfen. Diese sollen keine vollen Zugriffsrechte gehabt und auch nicht mit Echt-Daten von Patienten gearbeitet haben.

„Der Status quo ist sehr ähnlich wie beim letzten Mal“, ließ Heß durchblicken. Da „noch nicht alle technischen Randbedingungen feststehen“, existierten auch die finalen Sicherheitskonzepte bislang nicht, die für die künftige Arbeit von Forschenden auf abgeschirmten Datensegmenten und die Online-Verbindung dazu nötig seien. Die abschließende Evaluation, ob das angedachte Verfahren zum deutlichen Absenken des Re-Identifizierungspotenzials von Versicherten und Leistungserbringern wie Ärzten „geeignet ist und im Alltag eingesetzt werden kann“, sei ebenfalls noch nicht erfolgt.

Zumindest im ersten Halbjahr 2023 werde es so nichts mit dem Produktivbetrieb, sagte Heß. Für diesen gebe es aber „keine unüberwindbaren Probleme“. Die bisherigen „Meilensteine“ habe das FDZ zudem je mit einem eigenem Datenschutzkonzept erreicht. Auch weiterhin wolle man die IT-Sicherheit bereits in die Technik einbauen („Security by Design“) und verschiedene Bearbeitungszonen trennen. Nicht jedes Forschungsvorhaben brauche die gleiche Datentiefe. Selbst wenn ein Segment gehackt würde, wären nicht die Informationen über alle Versicherten betroffen und der Schaden daher „nicht so groß“.

Als Sammelstelle vor einem Transfer ans FDZ fungiert der Spitzenverband der gesetzlichen Krankenkassen (GKV). Dessen Abgesandter berichtete, die Gesundheitsdaten aus 2019 „vollständig übermittelt“ zu haben. Die aus 2021 stünden bereit, obwohl auch ihr Transfer gesetzlich bereits vorgesehen gewesen wäre.

„Das ganze Verfahren ist so gestaltet, dass es ein strukturelles Sicherheitsproblem aufweist“, gab dagegen der Mainzer Staatsrechtler Matthias Bäcker zu bedenken, der Kurz als Anwalt vertritt. Für eine Verarbeitung der Daten im FDZ gebe es keine adäquate Rechtsgrundlage. Der Transfer sei daher „nicht erforderlich“, denn die Informationen „dürften dann gar nicht benutzt werden“. Auch Sozialgerichte seien gehalten, rechtswidrige Gesetze zu kippen. Dies sei nicht erst Sache etwa des Bundesverfassungsgerichts.

Das Verfahren vor dem Sozialgericht Berlin dreht sich um die Frage, ob die Gesundheitsdaten aller rund 73 Millionen gesetzlich Versicherten in Deutschland für Forschungszwecke zur Verfügung gestellt werden dürfen. Das Digitale-Versorgung-Gesetz (DGV) sieht dies vor und verlangt eine zentrale Speicherung der entsprechenden Informationen beim Forschungsdatenzentrum. Gesammelt werden die Daten vom Spitzenverband der gesetzlichen Krankenkassen (GKV). Klägerin gegen diesen Ansatz ist die Informatikerin Constanze Kurz. Sie wird von der Gesellschaft für Freiheitsrechte (GFF) unterstützt und verlangt von ihrer Krankenkasse, der Novitas BKK, die Weitergabe ihrer Daten zu unterlassen, was diese in einem Eilverfahren zusicherte. Kurz will nun im Hauptverfahren die zentrale Speicherung insgesamt zu Fall bringen. Eine zweite, vergleichbare Klage ist in Frankfurt am Main anhängig.

Kanert ließ bereits wiederholt durchblicken, das „unvergleichlich komplexe Verfahren“ bis in Detailfragen hinein klären zu wollen. „Jede Datenverarbeitung – egal ob europa- oder verfassungsrechtlich – steht unter dem Vorbehalt der Erforderlichkeit“, betonte er. Wenn die Verwertung der Sammlung am FDZ rechtswidrig sei, wäre die Übermittlung durch die Krankenkassen nicht nötig. Dies müsse das Gericht mit prüfen. Zudem gelte es auszuloten, ob alternative Mittel die gleiche Wirksamkeit versprechen und die Grundrechte weniger belasten. Dies werde letztlich wohl nur über ein Sachverständigengutachten zu erschließen sein, wenn das finale Schutzkonzept des FDZ vorliege.

Neben verfahrensrechtlichen Aspekten stand im Mittelpunkt des Schlagabtauschs die Gretchenfrage, ob die Daten zentral oder dezentral für Forschungszwecke verarbeitet werden sollen. Als grundlegenden Einwand gegen das vom Gesetzgeber vorgesehene zentralisierte Modell führte Bäcker ins Feld, dass dieses „unvermeidlich zu einer Erhöhung des Sicherheitsrisikos“ führe. Der aktuellen Vorgabe nach seien die Daten einmal bei den Krankenkassen, würden dann aber zusätzlich „an weiterer Stelle zentral publiziert“. Dies führe zu einer „Addition“ der Gefahren von Cyberattacken.

Dass es vor letzteren keinen durchgreifenden Schutz gebe, zeigt laut dem Juristen der Fall des US-Geheimdiensts NSA: Selbst bei dieser an sich bestens abgeschirmten Instanz sei es Angreifern gelungen, Informationen über eine Sicherheitslücke zu stehlen, die später für das weltweit wütende Schadprogramm WannaCry ausgenutzt worden seien.

Forschungsaktivitäten auf dezentral nur bei den Kassen vorgehaltenen Daten haben Bäcker zufolge indes mehrere Vorteile. So könnten sich Forscher dabei Instrumente aus dem Werkzeugkasten der aktuellen Schutzverfahren wie Differential Privacy, wodurch die Daten minimal verrauscht werden, oder der durchgehenden Verschlüsselung für das jeweilige Projekt herausgreifen. Diese Methoden seien bei einem zentralen Bestand nicht individuell implementierbar. Das FDZ würde damit zum „Knotenpunkt statt zur Datenhalde“. Auch in Finnland gebe es mit Findata einen Aggregator, der Daten projektbezogen zusammenstelle. So lägen nicht alle Informationen doppelt für 30 Jahre lang für mögliche Forschungsaktivitäten vor.

Ein GAU bei einer einzelnen Krankenkasse wäre ferner nicht so groß wie einer beim FDZ, führte Bäcker aus. Ferner könnten Betroffene bei ihrer Kasse, die sie persönlich kenne, ihre Rechte etwa auf Auskunft oder Korrektur einfacher wahrnehmen als gegenüber dem Zentrum. Da dieses nur über pseudonymisierte Daten verfüge, müsste der Identitätsbezug erst aufwändig zusammengepuzzelt werden.

Heß verortete den potenziellen GAU derweil gleich bei den Krankenkassen, da die Daten dort vier bis sechs Jahre im Klartext lägen und für längerfristige Forschungsinitiativen gedoppelt werden müssten. Damit wären die Re-Identifizierungsmöglichkeiten dort viel größer. Zudem könnten sich Türen für Angreifer öffnen, wenn Wissenschaftler „hundertmal unabgestimmt Daten“ bei den Kassen erfragten.

Ein dezentrales System sei nicht per se sicherer, assistierte der Kölner IT-Berater Oliver Stiemerling. Die Verfahren würden beim verteilten Rechnen komplexer, Hacker könnten sich Eintrittspunkte schon zunutze machen, wenn eine Krankenkasse einmal ein Sicherheitsupdate vergessen habe. In Finnland gebe es nur eine einzige Gesundheitsversicherung, sodass alle Daten sowieso zentral und unpseudonymisiert gespeichert sowie für Forschungsprojekte nur noch mit anderen Beständen angereichert würden. Beim FDZ werde es auch zusätzliche Kontrollen geben, mit denen ein massiver Datenabfluss rasch verhindert werden könne.

Ein Techniker vom Bundesdatenschutzbeauftragten Ulrich Kelber wollte nicht das Zünglein an der Waage sein. Sowohl beim zentralen als auch beim dezentralen Modell sei eine „datenschutzrechtlich ausgewogene Lösung zu erreichen“, meinte er. Wenn es verschiedene kleinere Datensätze gebe, sei das Angriffs- und Verlustrisiko aber geringer. Die Pseudonymisierungskonzepte für die Anlieferung der Informationen habe die Behörde freigegeben. Die weiteren, noch nicht vorliegenden Ansätze müsse man dann im konkreten Einzelfall nachvollziehen. Ein weiterer Mitarbeiter Kelbers legte dar, dass beide Modelle etwas für sich hätten. Gravierend sei aber, dass der Gesetzgeber der Empfehlung nicht nachgekommen sei, ein Widerrufsrecht für Transfers einzuführen.

Kurz, die auch Sprecherin des Chaos Computer Clubs (CCC) ist, bezeichnete das von der Beklagtenseite gemalte Angriffsbild als „unterkomplex“. Die Liste an Sicherheitslücken wachse täglich, oft gebe es dafür noch keine Flicken. Es bleibe ein Hase-und-Igel-Spiel mit den Verteidigern, die oft nur dafür sorgen könnten, dass die Angriffsvektoren geringer werden.

Aus Sicht des Deutschen Netzwerk Versorgungsforschung (DNVF), das in diesem Fall auch die Interessen praktizierender Mediziner im Blick hat, scheidet der dezentrale Ansatz aus. Eine Einschränkung der gesetzlich definierten Datenmenge und der damit verknüpfte Ausschluss einzelner gesetzlich Versicherter „hätte für die medizinisch-wissenschaftliche Forschung und damit perspektivisch für das deutsche Gesundheitssystem und die medizinische Versorgung“ von derzeitigen und künftigen Patienten „erhebliche negative Auswirkungen“, warnt die Wissenschaftsvereinigung. Eine Verzögerung oder Unterlassung der Möglichkeiten der wissenschaftlichen Nutzung der gesetzlich definierten Datenmenge etwa „durch praxisferne Verschlüsselungstechnologien oder Dezentralisierung“ des FDZ-Bestandes wäre mit großen Nachteilen für die Bürger verknüpft.

Quelle: DNFV-Stellungnahme