Experte zweifelt an ausreichender IT-Sicherheit

In einer Anhörung des Gesundheitsausschusses vom 16. Oktober 2019 verneinte der Informatikprofessor Dominique Schröder von der Uni Erlangen-Nürnberg die Frage, ob der Gesetzentwurf den Schutz der sensiblen Daten ausreichend berücksichtige. "Es wird immer von pseudonymisierten und anonymisierten Daten geredet und jeder ist der Meinung, wenn da anonymisiert steht, dass das auch so ist. Aber es gibt viele Beispiele aus der Kryptografie und der IT-Sicherheit, wo wir wunderbar zeigen konnten, wie wir die Daten de-anonymisieren können, das geht wirklich wunderbar", sagte Schröder laut Gesprächsprotokoll (PDF).

Zudem werde in dem Entwurf nicht erwähnt, wie die nicht-pseudonymisierten Daten in der Datensammelstelle geschützt werden sollen. Schröder stellte den Bundestagsabgeordneten die Frage, ob das schwierige Feld der IT-Sicherheit " vom Spitzenverband Bund der Krankenkassen wirklich abgedeckt werden kann". Schröder forderte: "Ich denke, dass die Patienten das Recht haben, über ihre Daten zu entscheiden. Sie sollten sagen, was passiert damit, wie passiert das und das sollte sich im Gesetzentwurf, meiner Meinung nach, auch wiederfinden."

Grüne kritisieren "Schweinsgalopp" der Beratungen

Auch der Bundesdatenschutzbeauftragte Ulrich Kelber sieht die Pläne kritisch. "Wir haben BMG [Bundesministerium für Gesundheit] Empfehlungen gegeben und werden gegenüber Bundestag Stellungnahme abgeben, die dann öffentlich ist. Spoiler: Wir haben Bedenken!", twitterte Kelber am 31. Oktober 2019. Der Bundesrat äußerte in seiner Stellungnahme Bedenken, ob bei dem Entwurf "die Grundsätze der Verhältnismäßigkeit, der Zweckbindung und der Erforderlichkeit sowie der Grundsatz der Normenklarheit hinreichend beachtet werden".

Die Gesundheitsexpertin der Grünen, Maria Klein-Schmeink, hält es für "hoch bedenklich", dass Gesundheitsminister Jens Spahn (CDU), "im Schweinsgalopp praktisch ohne gesellschaftliche Diskussion komplette Gesundheitsdaten der gesetzlich Versicherten für die Forschung zugänglich machen möchte". Es sei an keiner Stelle intensiver diskutiert worden, ob Datenschutz und Datensicherheit hinreichend gewährleistet seien, sagte sie den Zeitungen der Madsack-Gruppe. Laut Klein-Schmeink fehlen gesetzliche Regelungen zu Löschfristen und den Widerspruchsmöglichkeiten der Versicherten. Das solle erst in einer Rechtsverordnung des Gesundheitsministeriums festgelegt werden. "Damit entzieht Spahn dem Bundestag als Gesetzgeber wichtige Entscheidungs- und Einflussmöglichkeiten", sagte die Grünen-Gesundheitsexpertin.

Warnung vor zentraler Massenspeicherung

Die Digitale Gesellschaft warnt die Bundestagsabgeordneten davor, bei der geplanten Abstimmung am 7. November 2019 "der zentralen Massenspeicherung von sensiblen Gesundheitsdaten den Weg zu bereiten". Eine zentrale Datei von Gesundheitsdaten öffne "der Überwachung, der Kontrolle und der Sortierung von Menschen sowie der Diskriminierung bestimmter Risikogruppen Tür und Tor. Der politische und wirtschaftliche Missbrauch solcher Daten muss immer befürchtet und mitbedacht werden", heißt es in einem offenen Brief vom 1. November 2019.

Das Bundesgesundheitsministerium wies die Vorwürfe zurück. "Wir nehmen Datenschutz und -sicherheit immer sehr ernst. Gesundheitsdaten sind die sensibelsten Daten, die es gibt", sagte Ministeriumssprecher Hanno Kautz der Nachrichtenagentur dpa. Das beschriebene Verfahren bestehe bereits seit vielen Jahren. Abrechnungsdaten würden bereits heute für die Forschung in anonymisierter Form zur Verfügung gestellt. "Ein Problem bei Datenschutz und Datensicherheit hat es nie gegeben - und die Grünen haben bisher auch nie eines behauptet", sagte der Sprecher und fügte hinzu. "Es wäre unethisch, Versorgung nicht durch Nutzung anonymisierter Daten zu verbessern, obwohl man es könnte."