Ulrich Kelber hat zu erkennen gegeben, dass er sich grundsätzlich eine weitere Amtszeit als BfDI vorstellen könnte. Doch es gibt Gegenwind, auch und nicht zuletzt aus dem Ministerium seines Parteifreunds Karl Lauterbach. Es sieht deswegen im Moment danach aus, dass Kelber im Sommer abgelöst werden könnte, ganz klar ist das aber noch nicht. Dem Tätigkeitsbericht merkt man diese Diskussionen nicht an.
Weiterhin ein Fan der ePA
Neben den üblichen Gremienberichten gibt es in diesem Jahr vier inhaltliche Schwerpunkte, nämlich die Digitalisierung im Gesundheitsbereich, die KI, die Gesetzgebung im Sicherheitsbereich und die digitalen Identitäten. Zum Gesundheitswesen merkt Kelber in seiner Einleitung an, dass er ein großer Befürworter einer elektronischen Patientenakte (ePA) sei, wenn diese „sicher und nutzerfreundlich umgesetzt wird“. Das unterschreibt wahrscheinlich jede und jeder, der Teufel liegt da bekanntlich im Detail.
Auch die Nutzung von Gesundheitsdaten für die Forschung sei wichtig, so Kelber. Hier müsse – auch das in dieser allgemeinen Form problemlos konsensfähig – entweder die Einwilligung der Patientinnen und Patienten eingeholt werden oder die Daten „müssen so anonymisiert oder zumindest pseudonymisiert werden, dass keine Rückverfolgung möglich ist.“ Die Pseudonymisierung wird also neben der Anonymisierung prominent erwähnt und kommt vergleichsweise positiv weg. Auch hier: Auf dieser Abstraktionsebene wird es da wenig Widerspruch geben.
EHDS: „Weiterhin eine Herausforderung“
Tatsächlich fällt das Schwerpunktkapitel Gesundheitswesen dann im weiteren Verlauf des Berichts mit fünf Seiten nicht übermäßig lang aus. Kelber geht zunächst auf den EHDS ein. Dieser sei im Hinblick auf das informationelle Selbstbestimmungsrecht „weiterhin eine Herausforderung“.
Der aktuelle Kompromisstext, so Kelber, enthalte im Vergleich zum ursprünglichen Kommissionsentwurf diverse Verbesserungen. Ein Widerspruchsrecht sowohl bei Primär- als auch Sekundärnutzung der Daten sei jetzt vorgesehen. Nachschärfungen seien dagegen weiterhin im Bereich der Governance und bei Verhältnismäßigkeit und Datenminimierung nötig.
GDNG: Immer noch „not amused“
Mit dem Gesundheitsdatennutzungsgesetz ist Kelber in Teilen unzufrieden. Einige Regelungen griffen zu weit in die Grundrechte ein, insbesondere in das Recht auf informationelle Selbstbestimmung. Im Detail begrüßt Kelber die Strafbewehrung des Forschungsgeheimnisses, vermisst hier aber noch flankierende Regelungen zu Beschlagnahmeverboten und Zeugnisverweigerungsrechten. Diese waren in den Entwürfen teilweise enthalten gewesen, wurden dann aber wieder entfernt. Sie seien aber nicht vom Tisch, hieß es dazu kürzlich aus dem Bundesgesundheitsministerium.
Klar abgelehnt wird die Befugnis der Krankenkassen, Daten versichertenbezogen auszuwerten und darauf basierend Empfehlungen zu geben. Dies „verstößt gegen datenschutzrechtliche Grundsätze“, so Kelber. Verletzt werde u.a. das sozialdatenschutzrechtliche Trennungsgebot. Auch werde eine Profilbildung möglich, die mit erheblichem Diskriminierungspotenzial einhergehe.
Kelber bewegt sich im Gefolge dann auf ihm eher fremdem Eis, wenn er räsoniert, ob die vorliegenden Daten nach Struktur und Validität für die geplanten Analysen überhaupt geeignet seien und konstatiert, dass in ärztliche Kompetenzen eingegriffen werde. Das sind in der Ärzteschaft anschlussfähige Kritikpunkte, allerdings könnte man auf die Idee kommen, dass Kelber hier die eigenen Kompetenzen zumindest recht weit auslegt. Seine Forderung, der im Gesetzgebungsprozess bekanntlich nicht nachgegeben wurde, bleibt in jedem Fall eindeutig: „Streichen.“ Ebenfalls weitgehend erfolglos waren Kelbers Interventionen für Änderungen beim Modellvorhaben Genomsequenzierung.
Digital-Gesetz: „Einige Bedenken“
Erneut dokumentiert Kelber im Tätigkeitsbericht auch seine Bedenken gegen einige Vorschriften des Digital-Gesetzes. Der Schritt in Richtung Opt-out-ePA sei ein „Paradigmenwechsel“, der „erheblich“ in das Grundrecht auf informationelle Selbstbestimmung eingreife:
„Durch die Zusammenführung von bislang bei den Behandlern liegenden Daten entsteht neben der Primärdokumentation bei diesen ein umfassender zusätzlicher Datenbestand, der die Informationen über den Gesundheitszustand der Versicherten in bisher nicht bekannten Ausmaß erschließt und mit den weiteren Planungen die Erstellung eines nahezu vollständigen Gesundheitsprofils ermöglicht, ein Profil mit besonders schutzwürdigen Daten aus der informationellen Intimsphäre der Versicherten.“
Im Detail kritisiert Kelber im Gefolge, dass – außer bei Gen-Daten - keine Einwilligungsvorbehalte für die Befüllung vorgesehen seien. Die Einwilligungsvorbehalte müssten aber mindestens auf andere sensible bzw. intime Daten ausgeweitet werden. Die – im Detail noch gar nicht geregelte – Pflichtbefüllung der ePA durch die Behandelnden müsse auf ein Minimum reduziert werden, und die Befüllung dürfe auch nicht ins Belieben der Behandler gestellt werden.
Dass es für die Ausübung der Patientenrechte durch Menschen ohne Smartphone Ombudsstellen geben soll, rechnet sich Kelber als Verdienst an. Dass diese bei den Krankenkassen angesiedelt werden sollen, lehnt er aber ab. Kritisiert wird auch erneut, dass „niedrigschwellige Sicherheitsniveaus im Regelfall und nicht nur in absoluten Ausnahmefällen“ zugelassen werden sollen. Das war und ist einer der wichtigsten Konfliktpunkte mit dem Bundesgesundheitsministerium, und einer von mehreren Gründen dafür, dass es möglicherweise keine weitere Amtszeit geben wird.
Dass es daneben auch prozedurale Kritik an der Umwandlung der Einvernehmens-Regelung bei der Telematikinfrastruktur (TI) in eine Benehmens-Regelung gibt, überrascht nicht. Kelber sieht darin den Versuch, „berechtigte Einwände von ausgewiesenen Experten für IT-Sicherheit und Datenschutz“ bei der TI nicht mehr zwingend berücksichtigen zu müssen. Dies sei insbesondere angesichts der verstärkten Nutzung digitaler Identitäten problematisch. Dringenden Regulierungsbedarf gebe es darüber hinaus bei der sicheren Zustellung bzw. Nachidentifizierung der eGKs „bevor sie als Teilzugangsmittel auch ohne Nutzung einer PIN genutzt werden.“
Weitere Informationen:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. 32. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit.