In dem diesjährigen Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert der BfDI, Ulrich Kelber, erneut, dass das Bundesministerium für Gesundheit (BMG) „wie auch andere Ressorts“ zunehmend die Vorgaben der Gemeinsamen Geschäftsordnung der Bundesministerien missachte. Dies, darauf hatte Kelber in der Vergangenheit wiederholt hingewiesen, führe dazu, dass der BfDI bei wichtigen Gesetzesvorhaben teilweise nicht optimal involviert bzw. zu spät informiert werde.
Was die gesundheits- und forschungspolitischen Themen angeht, ist das Digitale-Versorgung-Gesetz, das Ende 2019 in Kraft trat, ein Schwerpunkt des aktuellen Berichts. Hier geht Kelber noch einmal auf die im DVG gebahnte Novellierung des Datentransparenzregisters ein. Das Thema steht aktuell dank des Entwurfs der auf das DVG zurückgehenden Novelle der Datentransparenzverordnung (DaTraV) wieder weit vorne auf der politischen Agenda.
Kelber begrüßt hier ausdrücklich das ursprünglich nicht vorgesehene Lieferpseudonym, das in der Vertrauensstelle, die gemäß DaTraV-Entwurf beim RKI sein soll, in ein endgültiges Pseudonym umgewandelt werden soll. Kritisch sieht der BfDI weiterhin die Fusion von DIMDI und BfArM, weil dadurch eine Situation entstehe, in der das BfArM als Nutzungsberechtigter von Gesundheits- und Registerdaten aller Art gleichzeitig die Instanz sei, die über die entsprechenden Anträge entscheide. In dem derzeit zirkulierenden DaTraV-Referentenentwurf ist – auch als Reaktion auf die BfDI-Kritik – eine strikte räumliche und organisatorische Trennung von Forschungsdatenstelle im BfArM und sonstigen BfArM-Aktivitäten vorgesehen. Ob dem BfDI das ausreicht, ist noch unklar: Die Stellungnahme des BfDI zur DaTraV existiert, sie wurde aber noch nicht öffentlich gemacht.
Was die Telematikinfrastruktur angeht, legt der BfDI einen Schwerpunkt auf die elektronische Patientenakte, die Anfang 2021 eingeführt werden soll. Er empfiehlt, von Beginn an ein differenziertes Rollen- und Rechtemanagement zu implementieren, etwas, das das BMG mit Verweis auf dann weitere Verzögerungen mehrfach abgelehnt hat. Vorgesehen ist derzeit ein „Körbemodell“ mit unterschiedlichen Zugriffsrechten für den ersten ePA-Aufschlag, bevor dann mit der „ePA 2.0“ das differenzierte Rechtemanagement kommen soll.
Kritisiert werden von Kelber ebenfalls die gesetzlich vorgesehenen, alternativen Verfahren der Zugangsgewährung zur ePA, die es entbehrlich machen sollen, für jeden einzelnen Zugriff die elektronische Gesundheitskarte zu bemühen. Mit den alternativen Verfahren könne „man das erforderliche Sicherheitsniveau derzeit nicht erreichen, weil das für den Zugang erforderliche Schlüsselmaterial an einem Ort außerhalb der eigenen Kontrolle gespeichert“ wäre. Kelber rät deswegen von der Nutzung alternativer Zugangswege zur ePA explizit ab, betont aber, dass sich die Einschätzung durch neue Techniken wie „secure elements“ in Smartphones oder Tablets ändern könne.
Das dritte, größere Thema mit direktem Gesundheitsbezug im 28. BfDI-Bericht sind die „Apps auf Rezept“. Hier äußert sich der BfDI enttäuscht, dass „viele meiner Anregungen für eine datenschutzgerechte Ausgestaltung […] nicht aufgenommen“ wurden. Konkret wird die Bereitstellung über kommerzielle App-Stores abgelehnt. Auch dürfe kategorisch kein Tracking stattfinden. Danach folgt wieder ein wenig Eigenlob: „Wenigstens konnte ich erreichen, dass bei der Zulassung auch geprüft wird, ob die Anwendung den Anforderungen an den Datenschutz entspricht und die Datensicherheit nach dem Stand der Technik gewährleistet ist.“ Die DiGA-Rechtsverordnung ist noch nicht Bestandteil des aktuellen Berichts.
Ein großes, allgemeines Kapitel des diesjährigen Tätigkeitsberichts des BfDI ist das Gutachten der von der Bundesregierung einberufenen Datenethikkommission unter Vorsitz von Christiane Woopen und Christiane Wendehorst. Das Gutachten beschäftigt sich, wie wiederholt berichtet, mit der Regulierung algorithmischer Systeme und künstlicher Intelligenz. Kelber, der Co-Autor des Gutachtens ist, empfiehlt, die Vorschläge der Datenethikkommission gesetzlich zu verankern.
Weitere Informationen:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. 28. Tätigkeitsbericht zum Datenschutz 2019