Alle gesetzlich Versicherten betroffen Bürgerrechtler klagen gegen Weitergabe von Gesundheitsdaten

Medikamente, Diagnosen und mehr: Die Krankenkassen sollen der Forschung pseudonymisierte Daten von 73 Millionen Versicherten zur Verfügung stellen. Ein Kläger fürchtet, er könnte identifiziert werden.
Gesundheitskarten verschiedener Krankenkassen

Gesundheitskarten verschiedener Krankenkassen

Foto: Jens Kalaene/ dpa

Lars D., der eigentlich anders heißt, leidet an Hämophilie, der »Bluterkrankheit«. Sein Blut gerinnt langsamer als das gesunder Menschen. Es ist eine seltene Krankheit, die in Deutschland im Schnitt nur etwa zwei von 10.000 Männern haben, und sie ist bisher nicht heilbar. Dass D. einer der Betroffenen ist, geht niemanden etwas an, findet er. Ihm könnten dadurch Nachteile entstehen, fürchtet er, zum Beispiel durch Diskriminierung bei der Jobsuche. Deshalb will D. nun juristisch gegen das 2019 von der damaligen Großen Koalition beschlossene Digitale-Versorgungs-Gesetz (DVG) vorgehen, zusammen mit Constanze Kurz vom Chaos Computer Club (CCC) und der Gesellschaft für Freiheitsrechte (GFF).

Denn das Gesetz sieht vor, dass bis Oktober dieses Jahres die gesetzlichen Krankenkassen umfangreiche Gesundheitsdaten aller 73 Millionen Versicherten zu Forschungszwecken in eine Datenbank einspeisen. Eine Widerspruchsmöglichkeit ist nicht vorgesehen. Nur privat Versicherte sind nicht betroffen.

Dass die Daten pseudonymisiert werden müssen, reicht den Klägern nicht. D. befürchtet, dass jemand wie er trotzdem identifizierbar bleibt. Constanze Kurz glaubt, dass die Datenbank gehackt werden könnte.

»Es geht nicht darum, Forschung zu verhindern«, sagt D. in einem Telefonat mit dem SPIEGEL. Ziel der Klagen seien vielmehr Urteile, die dazu führen, dass die Daten durch ein höheres Verschlüsselungsniveau und eine datensparsame Sammlung besser gegen Missbrauch geschützt werden, und dass alle Versicherten der Sammlung widersprechen können.

Denn im DVG heißt es zwar, das »spezifische Reidentifikationsrisiko« sei zu »minimieren«, und zwar durch ein »schlüsselabhängiges Verfahren zur Pseudonymisierung, das dem jeweiligen Stand der Technik und Wissenschaft entspricht«. Doch einem Gutachten des Kryptografie-Professors Dominique Schröder  von der Friedrich-Alexander-Universität Nürnberg-Erlangen zufolge ist das vorgesehene System weit entfernt vom Optimum. Im Gegenteil, »grundlegende Pfeiler der IT-Sicherheit« würden »ignoriert«, schreibt Schröder.

Das ist der bisherige Plan

Die Konstruktion ist demnach wie folgt geplant: Die Krankenkassen sollen zunächst Daten zur Person, zur Versicherung und zur Krankengeschichte »für jeden Versicherten jeweils in Verbindung mit einem Versichertenpseudonym, das eine kassenübergreifende eindeutige Identifizierung (...) erlaubt«, an eine zentrale Datensammelstelle beim Spitzenverband Bund der Krankenkassen übermitteln. Dort sollen die Daten auf »Vollständigkeit, Plausibilität und Konsistenz« geprüft werden.

Die Datensammelstelle übermittelt die Daten an das Forschungsdatenzentrum des Bundes, das letztlich damit arbeiten soll, wobei das Versichertenpseudonym entfernt wird. Jeder Datensatz, der ans Forschungsdatenzentrum gesendet wird, erhält stattdessen eine Arbeitsnummer, um den Zusammenhang zwischen dem Patienten und seiner Behandlung zu verschleiern.

Diese Arbeitsnummern und wiederum die Versichertenpseudonyme werden zusammen, aber dafür ohne Gesundheitsdaten an eine dritte Stelle übermittelt, die sogenannte Vertrauensstelle. Die erzeugt aus den Versichertenpseudonymen sogenannte Einweg-Pseudonyme und schickt diese zusammen mit den Arbeitsnummern an das Forschungsdatenzentrum. Dieser Schritt wird als nötig erachtet, weil es zu jedem Patienten mehrere Arbeitsnummern geben kann, abhängig etwa von der Anzahl seiner Behandlungen. Damit das Forschungszentrum die Arbeitsnummern derselben Person zuordnen kann, ohne zu erfahren, wer diese Person ist, bekommt es die Einweg-Pseudonyme.

»Daten deanonymisieren – das geht wirklich wunderbar«

Schröders Kritik beginnt schon beim ersten Schritt, der zentralen Datensammlung beim Spitzenverband. Aus seiner Sicht ist die Schaffung dieses »single point of failure« überflüssig und gefährlich, die Krankenkassen könnten ihre jeweiligen Daten auch selbst bereinigen. Aus IT-Sicherheitsperspektive sei eine dezentrale Datenspeicherung sicherer und entspreche dem tatsächlichen Stand der Technik und Wissenschaft. Außerdem kommt Schröder zu dem Schluss, »dass das Forschungszentrum das spezifische Reidentifikationsrisiko nicht abschätzen kann«. Beispiele dafür, wie so etwas möglich ist, wenn man neben dem pseudonymisierten Datensatz weitere öffentlich zugängliche Quellen nutzt, gebe es innerhalb und außerhalb der Medizin .

So hatte Schröder bereits in einer Anhörung des Gesundheitsausschusses am 16. Oktober 2019 argumentiert : »Es wird immer von pseudonymisierten und anonymisierten Daten geredet, und jeder ist der Meinung, wenn da anonymisiert steht, dass das auch so ist. Aber es gibt viele Beispiele aus der Kryptografie und der IT-Sicherheit, wo wir wunderbar zeigen konnten, wie wir die Daten deanonymisieren können, das geht wirklich wunderbar.« Verhindert hat das die Verabschiedung des Gesetzes nicht.

Ab Anfang Mai wird sich zeigen, ob er mit seinem schriftlichen Gutachten mehr Erfolg hat. Dann wollen Lars D. und Constanze Kurz vor den Sozialgerichten in Frankfurt und Berlin mit Unterlassungsklagen beziehungsweise Eilanträgen gegen ihre jeweiligen Krankenkassen und gegen die Datenweitergabe vorgehen.