Datentransparenzverfahren Patientendatenbank: Chaos Computer Club bestätigt Sicherheitsrisiken

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Chaos Computer Club: Patientendaten im Datentransparenzverfahren unzureichend vor Re-Identifizierung geschützt (Agenturbild) Chaos Computer Club: Patientendaten im Datentransparenzverfahren unzureichend vor Re-Identifizierung geschützt (Agenturbild) © realstock1 – stock.adobe.com

Ab 1. Oktober sollen die Gesundheitsdaten aller 73 Millionen GKV-Versicherten zu Forschungszwecken zur Verfügung stehen. Eilanträgen gegen die Datensammlung wurde stattgegeben. Anlässlich des Hauptsacheverfahrens äußert sich auch der Chaos Computer Club mit einer Stellungnahme, die Medical Tribune vorab vorliegt.

Im Mai dieses Jahres hatte Constanze Kurz ihren Eilantrag beim Sozialgericht in Berlin eingereicht. Sie wollte verhindern, dass ihre Krankenkasse im Rahmen des „Datentransparenzverfahrens“ Daten, die ihre Person betreffen, an den Spitzenverband Bund der Krankenkassen übermittelt. Kurz ist promovierte Informatikerin und eine Sprecherin des Chaos Computer Clubs (CCC), ein Zusammenschluss von Computerexperten, Hackern und Digitalaktivisten. 

Die Übermittlung der Daten, gegen die Kurz sich wendet, betrifft nicht nur ihre Person. Sie betrifft alle 73 Millionen gesetzlich Versicherte, von denen in Zukunft die Abrechnungsdaten ihrer Diagnosen, Krankenhausaufenthalte und Medikamentationen zentral gesammelt und gespeichert werden sollen.

Grundlage der Datensammlung ist das 2019 unter Gesundheitsminis­ter Jens Spahn verabschiedete und in Kraft getretene Digitale-Versorgung-Gesetz (DVG). Es sieht vor, dass die gesetzlichen Krankenkassen in Deutschland erstmalig zwischen dem 1. August und dem 1. Oktober 2022 die Abrechnungsdaten all ihrer Versicherten zu Forschungszwecken in eine Datenbank einspeisen. Die Datensammlung soll jährlich aufgestockt werden und bis zu 30 Jahre gespeichert bleiben. 

Wozu dient das Verfahren der Datentransparenz? 

Zu den Zugriffsberechtigten auf die Patientendatenbank gehören Krankenkassen und ihre Verbände, die ärztlichen Kammern, KBV und KVen, weitere Spitzenorganisationen der Leistungserbringer, zuständige Bundesbehörden, Hochschulen, Hochschulkliniken und unabhängige Forschungseinrichtungen. Der GKV-Spitzenverband informiert, Ziel des Verfahrens sei, auf Basis von Datenanalysen und der dabei gewonnenen Erkenntnisse die gesundheitliche Versorgung der Bevölkerung zu verbessern. Forschungsgegenstand seien zum Beispiel die Qualität der Versorgung mit diagnostischen und therapeutischen Methoden oder die Verordnung von Arznei-, Heil- und Hilfsmitteln. 

Zum Stichtag 1. Oktober werden also zum ersten Mal für jeden gesetzlich Versicherten Angaben zur Person (Geburtsjahr, Geschlecht und Postleitzahl) mit den Informationen zur Krankengeschichte und zur Versicherung (einschl. strukturierte Behandlungsprogramme) pseudonymisiert an die zentrale Datensammelstelle beim Spitzenverband Bund der Krankenkassen übermittelt. Dort wird geprüft, ob die Informationen vollständig, plausibel und konsistent sind. Dann werden sie an das Forschungsdatenzentrum des Bundes übersandt – angesiedelt beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) –, an welches dann die Anträge auf Erschließung gestellt werden können. Die sogenannte Vertrauensstelle beim Robert Koch-Institut hat die Funktion, über die Zuteilung von periodenübergreifenden Pseudonymen Datenanalysen z.B. über längere Zeiträume technisch möglich zu machen. Die Einrichtung dieser Stellen wie auch das gesamte Verfahren wird durch Beitragsmittel der Versicherten finanziert.

Klarnamen enthält die Datensammlung keine. Sind einzelne Personen damit vor einer Identifizierung geschützt? Nicht wirklich, sagt Kurz. Die technischen Vorkehrungen gegen eine Rückführbarkeit der Daten seien nicht ausreichend. So könne man die Daten z.B. mit einem geeigneten zweiten Datensatz, in dem die vollen Namen enthalten sind, abgleichen. Dann ließen sich die gesammelten Daten relativ leicht konkreten Personen zuordnen. 

Kryptographie-Experten: Daten kaum vor Re-Identifizierung geschützt

In dieser Aussage wird Kurz u.a. durch ein Gutachten des Kryptografie-Experten Prof. Dr. Dominique Schröder  der Friedrich-Alexander-Universität Nürnberg-Erlangen gestützt. Er hat neben dieser als recht einfach beschriebenen Angriffsmöglichkeit weitere identifiziert.

Und der Chaos Computer Club (CCC) kündigt zum Hauptsacheverfahren, das für den 18. Oktober angesetzt ist, eine weitere technische Stellungnahme zu der Datensammlung an. Darin bestätigen die CCC-Sicherheitsexperten die Aussagen von Prof. Schröder. Darüber hinaus bemängeln sie nachdrücklich die Risiken der zentralen Speicherung. Eine dezentrale Speicherung dagegen würde die Auswirkungen eines Angriffes mindern: Einerseits wären bei Angriffen eben nur Teilmengen betroffen und andererseits wäre das Wissen über den Angriff auf den einen Teil beim Schutz anderer Teile hilfreich. Der Verlust von großen Datenmengen erzeuge dagegen neben dem Schaden für die vielen Betroffenen auch hohe Kosten durch juristische Verfahren, Schadensersatzforderungen und andere Folgekosten. 

Pseudonymisierung im Widerspruch zum Ziel der Datensammlung

Gleichzeitig melden die Experten grundsätzlich Zweifel an, ob Pseudonymisierung hier überhaupt ein sinnvoller Schutzmechanismus gegen Re-Identifizierung sein kann. Denn ein Gesundheitsdatensatz sei in der Regel nur nützlich, wenn Geburtsjahr, Geschlecht, Krankengeschichte usw. des Falles zugeordnet sind. Es seien aber genau diese medizinisch notwendigen Zusatzdaten, die eine Re-Identifizierung des Datensatzes verhältnismäßig einfach möglich machen. Ergo: Die vorgesehene simple Pseudonymisierung mit Arbeitsnummern und Lieferpseudonymen bei gänzlich intaktem Datensatz sei in keiner Weise der Aufgabe gewachsen, die zentralisiert gespeicherten Daten von Millionen von Menschen adäquat zu schützen.

In ihrer Klagebegründung unterstreicht Kurz, dass es ihr nicht darum ginge, das Verfahren ersatzlos zu beseitigen. Sie stelle nicht infrage, dass es legitimen und gewichtigen Zielen dient. Die gesetzliche Ausgestaltung des „Datentransparenzverfahrens“ würde jedoch gravierende Mängel aufweisen. Neben den Sicherheitsmängeln, die durch die gesetzliche und verordnungsrechtliche Gestaltung des Verfahrens angelegt würden, beanstandet Kurz die Unverhältnismäßigkeit: Das Verfahren räumt den Versicherten kein Recht zum Widerspruch gegen die Datenverarbeitung ein.

Gesundheitsdaten einer Person im Schnitt 250 US-Dollar wert

Auch die Gesellschaft für Freiheitsrechte e.V. (GFF), die Kurz in der Klage unterstützt, sieht Verstöße gegen das Grundrecht, selbst über die eigenen Daten zu bestimmen, wie auch gegen das Datenschutzrecht der Europäischen Union. Der Wert der Gesundheitsdaten einer Person werde auf durchschnittlich 250 US-Dollar geschätzt. Die Gefahr, dass Daten über direkte Hackerangriffe entwendet würden, steht also im Raum, so die GFF. Es sei auch nicht ausgeschlossen, dass Daten durch Personen in den zugriffsberechtigten Institutionen weitergegeben werden. Als schützende Maßnahme müsse ein Widerspruchsrecht eingeräumt werden.

Die Möglichkeit, der Datenverarbeitung zu widersprechen, sei hierbei erst recht für Personen mit seltenen oder stigmatisierenden Krankheiten wichtig. Ihnen kann nicht nur ein direkter Schaden entstehen, wenn ihre Krankengeschichte entwendet oder veröffentlicht wird, sie laufen außerdem auch ein höheres Risiko, aus der Menge identifiziert zu werden. 

Vor diesem Hintergrund unterstützt die GFF ein weiteres Verfahren. Der klagende Patient, der unter einer schweren Hämophilie sowie einer rezidivierenden depressiven Störung mit kombinierter Persönlicheitsstörung leidet, fürchtet, dass ihm u.a. berufliche Nachteile entstehen, wenn seine Krankheitsdaten öffentlich werden.   

Datenbank geht an den Start - merken wird das zunächst keiner der Versicherten

Sowohl das Eilverfahren des Hämophilie-Patienten wie auch das von Kurz wurden gewonnen, ihre Daten werden zunächst nicht eingespeist. Das Verfahren läuft weiter, es zielt auf eine Klärung der Rechtslage durch das Bundesverfassungsgericht bzw. den Europäischen Gerichtshof.

Zum Start des Hauptverfahrens von Kurz sind die Datensätze aller anderen gesetzlich Versicherten bereits ein erstes Mal zusammengeführt. Merken wird das keiner der 73 Millionen – wo kein Widerspruchsrecht eingeräumt wird, gibt es auch keine Pflicht, darüber zu informieren. 

Medical-Tribune-Bericht