Entschließung der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 08./09. März 2001 in Düsseldorf
Überlegungen des BMG für ein Gesetz zur Verbesserung der Datentransparenz
Beschluss der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum Arbeitsentwurf aus dem BMG für ein Gesetz zur Verbesserung der Datentransparenz und des Datenschutzes in der gesetzlichen Krankenversicherung (Transparenzgesetz - GKV-TG)
Die Datenschutzkonferenz begrüßt es, dass mit dem Arbeitsentwurf die Forderung der Konferenz wieder aufgegriffen wird, durch Pseudonymisierung des Abrechnungsverfahrens die Belange des Patientengeheimnisses und des Datenschutzes zu wahren. Ziel muss sein den "gläsernen Patienten" bei den gesetzlichen Krankenkassen zu vermeiden. Mit Pseudonymisierungsverfahren lässt sich dieses Ziel erreichen, ohne dass beispielsweise die Kostenkontrolle oder Qualitätssicherung durch eine Krankenkasse beeinträchtigt wäre. Der Deutsche Bundestag hat die Realisierbarkeit dieses Ansatzes mit seinem Beschluss eines Gesundheitsreformgesetzes vom 4. November 1999, der nach einem Vermittlungsverfahren aus anderen als datenschutzrechtlichen Gründen nicht in vollem Umfang in Kraft getreten ist, bereits bejaht.
Die Datenschutzkonferenz begrüßt es weiterhin, dass in dem Arbeitsentwurf im Rahmen einer Klausel "Modellvorhaben Telematik" die Weiterentwicklung des Datenschutzes als Ziel vorgegeben und dazu gefordert wird, die Modellvorhaben im Benehmen mit den Datenschutzbehörden durchzuführen. Die Konferenz geht dabei davon aus, dass unter "Weiterentwicklung" die Sicherung der Patientenrechte auf Wahrung des Arztgeheimnisses und des Datenschutzes auch unter den Randbedingungen der Telematikanwendungen im medizinischen Bereich zu verstehen ist. Sie weist dazu besonders auf ihre Beschlüsse von der 47. und der 50. Konferenz zu Chipkarten im Gesundheitswesen hin, mit denen die Sicherung von Patientenautonomie und Transparenz sowie die Sicherheit der Datenverarbeitung gefordert wurde.
Die Konferenz nimmt auch zustimmend zur Kenntnis, dass durch die Begrenzung auf die Verarbeitung von höchstens 20% der Versichertendaten in den Datenannahme- und -weiterleitungsstellen der Gefahr der Bildung mehr oder weniger bundesweiter Dateien mit sensiblen medizinischen Daten der Krankenversicherten begegnet werden soll.
Die Konferenz hält zu nachstehenden Punkten ergänzende Regelungen bzw. nähere Darlegungen für erforderlich:
Die Effektivität eines Pseudonymisierungsverfahrens zum Schutz der sensiblen Versichertendaten steht und fällt mit sicheren Pseudonymen, mit der klaren Begrenzung von Reidentifikationen auf im überwiegenden öffentlichen Interesse absolut notwendige Fälle und der Vermeidung des Abgleichs mit identifizierenden Klardaten.
Unter diesen Aspekten hält die Datenschutzkonferenz den Katalog der Reidentifikationsfälle für bedenklich: So ist nicht ersichtlich, in wieweit die Krankenkassen zur Durchführung des Risikostrukturausgleichs versichertenbezogene Detailangaben über Diagnosen und Leistungen benötigen. Das gilt auch im Hinblick auf in jüngsten Pressemeldungen berichtete Absichten, im Rahmen des Risikostrukturausgleichs einen sogenannten Risikopool einzuführen, über den Kassen mit sog. schlechten Risiken verstärkte Ausgleichsmittel erhalten sollen. Die Feststellung derartiger "schlechter Risiken" kann auch über Pseudonyme und die ihnen zugeordneten Leistungszahlen erfolgen. Im Falle der Unterstützung der Versicherten bei Verdacht auf Behandlungsfehler sollte die Einwilligung der Versicherten in die Reidentifikation, die durch die Vertrauensstelle eingeholt werden könnte, angestrebt werden. Auch weitere Katalogfälle von Reidentifikationen sind kritisch zu hinterfragen, so insbesondere die Reidentifikation von Versicherten unter Bekanntgabe des Pseudonyms gegenüber den Kassen(zahn)ärztlichen Vereinigungen.
Es muss verhindert werden, dass über einen zu weit gefassten Katalog von Reidentifikationsfällen ohne Zustimmung der Versicherten das Ziel der Pseudonymisierung praktisch verfehlt wird. Es ist zu gewährleisten, dass keine personenbezogenen Krankheitsdatenkonten bei den gesetzlichen Krankenversicherungen, oder kurz gesagt, dass keine gläsernen Patienten entstehen.
In gleicher Weise ist zuverlässig zu vermeiden, dass durch Abgleich mit zeitweilig vorhandenen Klardaten Pseudonyme aufgelöst werden. Hierfür ist eine gesetzliche Sicherstellung erforderlich.
Schließlich ist die Begrenzung der Speicherung und die Zweckbindung aufgelöster Pseudonyme nicht ausreichend klar. Über eine Verweisung in § 284 SGB V würden die dortigen erweiterten Zweckänderungs- und Verarbeitungsregelungen auch auf die Speicherungen von aufgelösten Pseudonymen angewandt und damit die anscheinend strengen Speicherungs- und Zweckbindungsregelungen des Arbeitsentwurfs für die genannten Daten ausgehöhlt. Es müsste klargestellt werden, dass die speziellen Speicher- und Zweckbindungsregelungen der allgemeinen Regel des § 284 SGB V vorgehen.
Die oben erwähnte, nicht in Kraft getretene Fassung der GKV-Gesundheitsreform 2000 sah die alsbaldige Pseudonymisierung der Versichertendaten in allen Abrechnungen der Leistungserbringer vor, und zwar vor Kenntnisnahme durch die Krankenkassen. Der jetzige Arbeitsentwurf sieht die Pseudonymisierung der Versichertendaten in den Abrechnungen aller nicht-vertragsärztlichen Leistungserbringer erst nach Überprüfung durch die Krankenkassen vor. Dies wäre ein datenschutzrechtlicher Rückschritt gegenüber dem Gesetzesbeschluss vom 04.11.1999. Die fachliche Erforderlichkeit dieses Rückschritts sollte, nicht zuletzt auch angesichts des o.g. Bundestagsbeschlusses, näher begründet werden. Zumindest sollte über eine Weiterentwicklungsklausel die Nutzung von Pseudonymen auch für diese Leistungsabrechnungen angestrebt werden. Dazu sollte auch geprüft werden, in wieweit die Krankenversichertenkarte als Mittel zur Pseudonymisierung verwendet werden kann.
Die Konferenz fordert im Sinn von Lösungen, die dem Datensparsamkeitsprinzip genügen, auch eine Pseudonymisierung der Daten der Vertragsärztinnen und -ärzte. Angesichts der Deckelung der vertragsärztlichen Leistungen und der Verordnungen ist nicht ersichtlich, inwiefern für die GKV personenbezogene Daten dieser Leistungserbringer erforderlich sind. Es müsste ausreichen, wie bei den Versicherten die Reidentifikation nur in gesetzlich festgelegten Ausnahmefällen vorzusehen. Die regionalen Datenauswertungsstellen sollen die Daten auch der sonstigen Leistungserbringer nur pseudonymisiert erhalten.
Die Konferenz würde es generell begrüßen, wenn im Rahmen der Reformüberlegungen zur Gesundheitsversorgung nach Systemen gesucht würde, die mit möglichst wenig personenbezogenen Daten auskommen. Dies würde dem Gebot der Datensparsamkeit entsprechen.
Wesentliche Grundlage eines sicheren Pseudonymisierungskonzepts ist die Trennung der die Pseudonymisierung durchführenden Vertrauensstellen von den übrigen Datenverarbeitungsstellen des Systems. Für die Trennung von Datenaufbereitungs- und Vertrauensstellen ist das explizit im Arbeitsentwurf festgelegt, es fehlt aber eine entsprechende Regelung für das Verhältnis Vertrauensstellen zu den übrigen Verarbeitungsstellen. Ungeachtet, dass diese Trennung selbstverständlich sein sollte, wird angeregt, das auch gesetzlich sicherzustellen. Das gleiche gilt für die Trennung der übrigen Stellen voneinander. Für die datenverarbeitenden Stellen ist der Schutz des Sozialgeheimnisses zu gewährleisten.
Die vorgesehene "Arbeitsgemeinschaft auf Bundesebene", deren Mitglieder und das BMG dürfen keine personenbezogenen Versicherten- und Leistungserbringerdaten erhalten. Es ist kein zureichender Grund ersichtlich, warum diese auf Bundesebene angesiedelte Arbeitsgemeinschaft, deren Aufgabe die Festlegung einheitlicher Standards für die Datenverarbeitung bei den Datenaufbereitungsstellen sein soll, derartige Daten benötigt. Das gleiche gilt für die Vertragspartner auf Bundesebene und das Bundesministerium für Gesundheit. Die Datenschutzkonferenz geht davon aus, dass die Übermittlung personenbezogener Daten an diese Stellen nicht beabsichtigt ist. Die Entwurfsformulierung ist insoweit aber unklar. Ebenso ist sicherzustellen, dass die Arbeitsgemeinschaften auf Landesebene über ihren Sicherstellungsauftrag für die Vertrauensstellen keine Pseudonymisierungsparameter erhalten.
Die Konferenz sieht keinen zureichenden Grund dafür, dass das datenschutzrechtlich begründete Verbot einer personenbezogenen Datei beim MDK mit medizinischen Daten aufgehoben wird. Die dann entstehende landesweite, einzelne Versicherte aller GKV umfassende Datei mit medizinischen Angaben birgt wegen der einfachen Auswertbarkeit in Bezug auf einzelne Personen ein hohes datenschutzrechtliches Risiko, dessen Eingehung damals wie heute nicht durch die "Medienbruchfreiheit" zu rechtfertigen ist.
Die Konferenz hat Bedenken gegen weitgehende Richtlinienermächtigungen zu Gunsten der Spitzenverbände der Krankenkassen. Der Gesetzgeber müsste die wesentlichen Inhalte eingreifender Regelungen selbst bestimmen.
Die Konferenz begrüßt nochmals die in dem Arbeitsentwurf zum Ausdruck kommende Bereitschaft zur Zusammenarbeit mit den Datenschutzstellen und bietet ihrerseits eine enge Zusammenarbeit für die zukünftigen Verhandlungen an, in denen diverse weitere Unklarheiten und Widersprüchlichkeiten des Entwurf auszuräumen sein werden.
Sie richtet zu diesem Zweck eine ad-hoc-Arbeitsgruppe des AK Gesundheit und Soziales ein, die auch vom BfD jeweils für die Verhandlungen einberufen werden kann.