Jubel in den Chefetagen der Pharma-Industrie und im Gesundheitsministerium – Trübsal bei DatenschützerInnen und KonzernkritikerInnen: Anfang 2025 kommt die elektronische PatientInnen-Akte, und die Konzerne können darin nach Herzenslust blättern. Wer das nicht will, muss ausdrücklich widersprechen.
Von Max Meurer
Im September 2024 setzten die ersten Krankenkassen ihre Mitglieder über die Einführung der elektronischen Patienten-Akte (ePA) Mitte Januar nächsten Jahres in Kenntnis. „Sie ist ein digitales Angebot und bietet Ihnen viele Vorteile. Mit der ePA haben Sie immer alle wichtigen gespeicherten Informationen zu Ihrer Gesundheit griffbereit dabei – ob beim Besuch einer Arzt-Praxis oder bei einem plötzlichen Klinik-Aufenthalt“, schrieb etwa die DAK. Über die Nachteile verlor sie kein Wort. So haben zum Beispiel die Pillen-Riesen Akten-Einblick. „Wir haben den größten Datenschatz der Welt für die Forschung von Pharma-Unternehmen geöffnet. Das ist etwas, was alle anderen Länder jetzt neidisch betrachten“, lobte sich Bundeskanzler Olaf Scholz auf dem „Pharma & Chemie Summit“ des „Verbandes der Chemischen Industrie“ selbst.
Der BAYER-Konzern wollte diesen Tresor schon lange knacken. „In Krankenhäusern und Arzt-Praxen entstehen täglich enorme Daten-Mengen, die für die medizinische Forschung von unschätzbarem Wert sind“, lechzte er und bezeichnete diese Informationen als „Rohstoff“. Bereits 2018 schreibt dazu Kathrin Langguth von BAYER Pharmaceuticals: „Durch die Kombination von Daten aus klinischen Studien, Krankheitsregistern, elektronischen Gesundheitsakten und mobilen Gesundheits-Apps werden Forscher Zugang zu einer Fülle von Erkenntnissen haben, die zu einem besseren Verständnis von Erkrankungen beitragen.“
Auch bei Gesundheitsminister Karl Lauterbach schlägt im Vorwort der Erklär-Broschüre des Gesundheitsministeriums der alte Gesundheitsökonom durch. Ihm zufolge hilft seine Digitalisierungsstrategie „uns als Gesellschaft, die mehrwertstiftende Nutzung von Gesundheits- und Pflegedaten sowie Anforderungen an Datenschutz beziehungsweise -sicherheit in eine angemessene Balance zu bringen.“ Um Forschung geht es also bei der elektronischen Patientenakte schon, aber halt vor allem um die „mehrwertstiftende Nutzung von Gesundheits- und Pflegedaten“. Dabei hatte der DGB bereits vor vier Jahren mit Bezug auf die Digitalisierungsvorhaben gefordert, „den Kreis der zur Datenverwendung in Frage kommenden Dritten im Voraus auf öffentliche, den Sozialversicherungsträgern angehörende oder nicht gewinnorientierte Akteure und Institutionen zu begrenzen.“
EU-weiter Datenschatz
Dies wurde gekonnt ignoriert. Nach mehreren Jahren Diskussion tritt nun ab Januar 2025 die elektronische Patientenakte auf den Plan. Darüber hinaus geht es um die Schaffung eines „europäischen Datenraums“. Der Prozess der Datenkonzentration soll also nicht auf nationalstaatliche Rahmen beschränkt bleiben. Während bisher ohne analoge PatientInnen-Daten wenig ging, stehen nun Änderungen an. BefürworterInnen sehen in der neuen Regelung die Möglichkeit der besseren Koordination von Gesundheitsinformationen zum Nutzen der PatientInnen und sprechen von einer „freiwillige(n) Datenspende zu gemeinwohl-orientierten Zwecken“. DatenschützerInnen indes kritisieren die sehr laxen Bestimmungen zum Datenschutz. Doch einmal von vorne: Worum geht es eigentlich?
Sekundärnutzung für wen?
Im Dezember 2023 verabschiedete der Bundestag mit der Zustimmung von SPD, Grünen und FDP zwei neue Gesetze mit den eingängigen Namen: „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ und „Gesetz zur verbesserten Nutzung von Gesundheitsdaten“. Auf der Website des Bundesgesundheitsministeriums heißt es, die „Krankenkassen stellen ihren Versicherten (…) ohne deren Zutun eine ePA zur Verfügung“. Das klingt nobel, doch de facto wird die ePA verpflichtend. Es ist zwar möglich, innerhalb von sechs Wochen nach Ausstellung Widerspruch einzulegen, doch wer diese Frist versäumt, dessen Daten werden nicht nur digital gespeichert, nein, auch die Sekundärnutzung der Daten „für Zwecke des öffentlichen Interesses, Politikgestaltungs- und Forschungszwecke sowie statistische Zwecke“ (EU-Rat) ist geplant. Ab dem 15. Juli 2025 dürfen BAYER & Co. hier zugreifen, ein Widerspruch ist auch erst ab diesem Datum möglich. Die Datenschutz-Grundverordnung (DSGVO) wurde für die ePA ganz einfach durch ein neues Paragrafen-Werk passend gemacht: das Patientendaten-Schutzgesetz (PDSG), das wiederum die Verstöße gegen bestehende Datenschutz-Regeln einfach legalisieren sollte.
Die undurchsichtige Widerspruchsregelung ebenso wie die zahlreichen Bedenken in Bezug auf die Verwendung der Daten ruft DatenschützerInnen auf den Plan. So merkt der im Sommer 2024 aus dem EU-Parlament ausgeschiedene Piraten-Abgeordnete Patrick Breyer an, dass „nur eine Minderheit der Patienten einen europaweiten Zugriff auf ihre Daten wünsche.“. Martin Tschirsich vom Chaos Computer Club kritisiert: „Herr Lauterbach vernachlässigt den Datenschutz.“ Und auch Carmela Troncoso von der „Ecole Polytechnique Lausanne“, wo sie den Bereich „Security and Privacy Engineering Laboratory“ leitet, merkt an: „Das Problem fängt an, wenn wir diese Daten mit anderen Zwecken verbinden.“ Der Leverkusener Multi hat damit natürlich kein Problem. Was DatenschützerInnen aufschreckt, heißt für ihn einfach „den Datenschutz an die innovativen Möglichkeiten anpassen“.
Doch weshalb wird überhaupt diese Sekundärnutzung gefordert? Ganz einfach: Für die Pharmaindustrie ergibt sich daraus die Gelegenheit, Millionen von PatientInnen-Daten aus dem gesamten EU-Raum auszuwerten und für ihre Forschung zu nutzen. Der EU-Rat findet das gut und sieht darin, ebenso wie die Bundesregierung, die Möglichkeit, die Forschung näher an den PatientInnen auszurichten. Was sie jedoch verschweigen, ist dies: Pharmakonzerne wie BAYER und Co. sind keine Wohltätigkeitsanstaltungen, sondern profit-orientierte Unternehmen, woraus logisch folgt, dass sie kein Interesse daran haben, zum Wohle der PatientInnen zu forschen. Das ist maximal eine Nebenwirkung, doch die Forschungsschwerpunkte orientieren sich in allererster Linie daran, womit am meisten Geld zu machen ist. Die Verwertung der Gesundheitsdaten hilft dabei insofern, als dass eine Menge von Daten, die vorher nur mit spezifischen Studien erfragbar waren, was teuer ist und von der Pharmaindustrie bezahlt werden musste, nun ganz einfach frei Haus zu den Laboratorien der Pharmamultis kommt. Das bedeutet geradeheraus: Mit den bestehenden Regelungen sorgt das neue Gesetz vor allem dafür, dass Großkonzerne von persönlichen Daten der PatientInnen profitieren können, während selbige kaum Möglichkeiten haben, sich aus diesem Netz auszuklinken. So kritisierte der DGB in seinem Positionspapier vom Mai 2020 zum Thema, es sei kein „ausreichende[r] Schutz vor einer Verwendung der Daten zu anderen als den angegebenen Zwecken“ in den Plänen zur Gesundheitsdigitalisierung angelegt. Um derartige Kritik zu beschwichtigen, hat der Bundestag am 15.12.23 in seiner Sitzung nochmal „nachgebessert“. Das sieht dann wie folgt aus: Die bisherigen Deckelungen für die Anwendung von Telemedizin und digitalen Gesundheitsanwendungen sollen zwar entfallen, aber dafür übernimmt der Digitalbeirat bei der „Gematik“ (Gesellschaft für Telematikanwendungen) die Aufgabe, darüber zu wachen, dass die Datenschutz-Regelungen eingehalten werden. Das tröstet nur wenig, da das Gesundheitsministerium nur 51 Prozent der Gematik-Anteile hält. Der Rest verteilt sich auf verschiedene Interessensgruppen, zu denen eben auch der „Bundesverband der Deutschen Industrie“ (BDI), die Krankenkassen, der „Deutsche Apothekerverband“ und viele andere gehören. Auch hier spielen also privatwirtschaftliche Interessen eine nicht zu unterschätzende Rolle, was die Frage aufwirft, wie der Vorrang von Datenschutz und PatientInnen-Wohl wirklich garantiert werden soll. Darüber hinaus kritisieren „dieDatenschützer Rhein-Main“, dass die Verantwortlichkeiten innerhalb der Gematik unübersichtlich bleiben, weil letztlich keine/r für alles geradestehen wollte. Als Behelfslösung musste dann die in § 307 (5) SGB V festgelegte „Auffangverantwortlichkeit“ dienen. Diese widerspricht den DatenschützerInnen zufolge aber dem Europa-Recht und erfüllt darüber hinaus ihren Zweck nicht: „Eine ‚lückenlose Verantwortlichkeit‘ kann durch eine Auffangverantwortlichkeit gerade nicht erreicht werden.“
Wir können festhalten: Noch mehr Intransparenz für PatientInnen, noch mehr Schlupflöcher für DatenschutzdekonstruiererInnen.
Innovationsvorsprung?
BefürworterInnen der neuen Gesetze stellen demgegenüber vor allem die angebliche Notwendigkeit in den Mittelpunkt, jetzt in Sachen „Innovation und Digitalisierung“ aufzuholen, ehe man als Bundesrepublik von allen anderen Staaten abgehängt werde. So erklärte Karl Lauterbach: „Deutschlands Gesundheitswesen hängt in der Digitalisierung um Jahrzehnte zurück. Das können wir nicht länger verantworten. Deshalb machen wir einen Neustart – erschließen die elektronische Patientenakte für alle, machen das elektronische Rezept alltagstauglich und erleichtern die Forschung auf Grundlage von Gesundheitsdaten.“ Und die berüchtigte US-Beraterfirma McKinsey sieht in der ePA ein Einspar-Potenzial von sieben Milliarden Euro, da Doppeluntersuchungen und Ähnliches wegfielen.
Der Rechtsanwältin Silvia Woskowski und der CDU-Abgeordnete Erwin Rüddel (seines Zeichens ehemaliger Vorsitzender des Gesundheitsausschusses) war das nicht genug. Die beiden machten den Vorschlag, den Krankenkassen den Verkauf von PatientInnen-Daten zur Stabilisierung ihrer Finanz-Lage zu erlauben. Aber einstweilen konnten die beiden damit noch nicht durchdringen.
Deine Daten bei HackerInnen?
Doch selbst wenn mensch die Profit-Interessen hinter dem neuen Gesetz mal rechts liegen lässt, offenbaren sich doch noch einige weitere, sehr grundsätzliche Probleme: Die Digitalisierung der Daten eröffnet auch neue Angriffsflächen für HackerInnen und andere Gestalten, die möglicherweise Zugriff auf Leidensgeschichten, die sexuelle Orientierung, medizinische Nacktbilder und so weiter erhalten und damit PatientInnen erpressen können. Der Grünen-Abgeordnete Janosch Dahmen sieht dennoch in der Neuerung einen Fortschritt, spricht von „Empowerment“ durch die neuen Gesetzgrundlagen für Datenschutz und Patientenrechte, von „Datensolidarität“ und einem Ende der Fragmentierung der PatientInnen-Daten. Dem entgegnet Troncoso: „Menschen sind gewissermaßen einzigartig (…), die Kombination unserer Attribute macht uns identifizierbar.“
Und trotz all dieser Punkte soll der Patient-Innen-Aktenraum der EU kommen, ist die Nutzung von Abermillionen von PatientInnen-Daten nunmehr gesetzlich legitimiert, und für die Betroffenen besteht aufgrund der extrem nebulösen Datenschutzregelungen kaum eine Möglichkeit zu durchblicken, was da eigentlich genau mit ihren Daten angestellt wird. Und während DatenschützerInnen, KonzernkritikerInnen und PatientInnenvertreterInnen im strömenden Regen stehengelassen werden, dürfen sich BAYER und Co. freuen, denn Daten sind bares Geld wert – und um bares Geld geht es der Pharmaindustrie unterm Strich immer. ⎜
