Eine Replik auf den Beitrag von Prof. Dr. Ferdinand Gerlach im Observer Gesundheit

Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

„Mit der jetzt geplanten ePA werden Gesundheitsdaten in Deutschland, zugespitzt formuliert, zu Tode geschützt, während zugleich viele Menschen hier ihre Daten im Rest der Welt ungeschützt zu Markte tragen.“ So die Aussage von Prof. Dr. Ferdinand Gerlach, Direktor des Instituts für Allgemeinmedizin an der Frankfurter Goethe-Universität und Vorsitzender des SVR, in seinem Kommentar über die ePA im Observer Gesundheit am 20. Juli 2021 unter dem Titel „Gute Behandlung mit schlechten Daten?“. Der Bundesdatenschutzbeauftragte Prof. Ulrich Kleber hält in seinem Kommentar dagegen: „Eine gut gemachte, datenschutzkonforme ePA hat gegenüber der Papierlösung erhebliche Vorteile“. Sie sei, wie Gerlach behauptet, kein „Datensieb mit mehr oder weniger großen Löchern, durch die viele lebenswichtige Informationen verloren gehen werden“. Das könne sie nicht sein, da jeder Arzt eigenen Dokumentationspflichten unterliege.

„Datenschutz kostet Menschenleben!“ Diese absurde Behauptung wurde in der Pandemie mit bestürzender Häufigkeit, aber immer von den gleichen Leuten vorgebracht. Nun ist es die elektronische Patientenakte – kurz ePA – die Menschen in Gefahr bringen soll bzw. ihre Freiwilligkeit. Zunächst einmal ist ihr Name irreführend: Eine Patientenakte führen die Heilbehandelnden, sei es in Papierform oder elektronisch, wie seit nunmehr 25 Jahren möglich. Bei der ePA handelt es sich um eine elektronische Gesundheitsakte, die zusätzlich zu den bestehenden ärztlichen Dokumentationspflichten eingeführt wird, an diesen nichts ändert und nicht von den Ärzten, sondern vom Versicherten selbst verwaltet wird.

Informationelle Selbstbestimmung und ärztliche Dokumentation

Ein ähnlicher oft missverstandener Begriff ist Datenschutz. Er schützt in erster Linie die Privatsphäre der Bürgerinnen und Bürger und nur deshalb die zugehörigen Informationen. Dieser Schutz ist seit dem Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983 ein Grundrecht, nämlich das Recht auf informationelle Selbstbestimmung. Jahrhunderte älter ist die im Hippokratischen Eid enthaltene ärztliche Schweigepflicht. Sie ist die erste schriftlich fixierte Datenschutznorm überhaupt und wurde im Genfer Gelöbnis, das vom Weltärztebund 2017 neugefasst wurde, weiterentwickelt.

Wir Datenschützer sind Befürworter, ja Einfordernde einer klugen und datenschutzgerechten Digitalisierung. Denn als Datenschützer weiß ich, dass gut gemachte digitale Lösungen oft analogen überlegen sind. Konkret bedeutet das: Eine gut gemachte, datenschutzkonforme ePA hat gegenüber der Papierlösung erhebliche Vorteile. Anders, als von Professor Gerlach behauptet, ist die ePA kein „Datensieb mit mehr oder weniger großen Löchern, durch die viele lebenswichtige Informationen verloren gehen werden“. Das kann sie gar nicht sein, da ja jeder Arzt und jede Ärztin eigenen Dokumentationspflichten unterliegen. Zwar kann jede versicherte Person in der eigenen ePA Informationen löschen oder verschieben, doch ist beides reversibel.

Ich würde mir wünschen, dass Professor Gerlach nicht die Behauptung aufstellt, die ePA würde „Gesundheitsdaten des oder der Einzelnen nicht wirklich schützen“, ohne einen Beleg dafür zu liefern. Wer falsche Informationen über die ePA verbreitet, der gefährdet ihre Akzeptanz und damit ihren Erfolg mehr als jeder Programmierfehler, jedes Datenleck oder jedes Datenschutzbedenken. Die Einrichtung einer elektronischen Patientenakte ist freiwillig. Und das sollte auch so bleiben. Wer einen Zwang zur Einrichtung oder zur Datenfreigabe fordert, wird viele davon abhalten, die ePA zu nutzen und Daten zu teilen.

Die europäische Datenschutzgrundverordnung (DSGVO) ist fortschrittsorientiert und privilegiert bestimmte Zwecke, allen voran die wissenschaftliche Forschung. Forschungsdatenzentren, von denen es in Deutschland bereits etliche gibt, sind eine Möglichkeit, der Wissenschaft datenschutzgerecht – nämlich in anonymisierter oder pseudonymisierter Form – Daten zur Verfügung zu stellen. Dazu zählt beispielsweise das Forschungsdatenzentrum beim Bundesinstitut für Arzneimittel und Medizinprodukte. In dieses Forschungsdatenzentrum sollen neben den Sozialdaten der gesetzlichen Krankenkassen auch – auf freiwilliger Basis – Daten aus den elektronischen Patientenakten gespeichert werden.

Verstoß gegen europäisches Recht

Weil es sich bei Gesundheitsdaten um besonders sensible und deshalb besonders schützenswerte Daten der Bürgerinnen und Bürger handelt, hat die DSGVO hier eine eigene Systematik gewählt. Die automatisierte Verarbeitung von Gesundheitsdaten ist grundsätzlich verboten und nur in besonderen, klar definierten Ausnahmefällen erlaubt. Die von Professor Gerlach erhobene Forderung nach einem „doppelten opt out“ statt eines „opt in“ des Patienten bezüglich der Daten aus seiner ePA ist deshalb die Forderung nach einem Verstoß gegen europaweit geltendes Recht. Alternativ würde Deutschland sich die nächsten Jahre an einer Änderung des europäischen Rechts abarbeiten, statt endlich die lange verschlafene Digitalisierung im Gesundheitswesen in Angriff zu nehmen.

Bleibt die Frage, weshalb Professor Gerlach den Patienten Inkompetenz unterstellt. Die Möglichkeit der Versicherten, in der ePA gezielt zu steuern, wer welche Dokumente sehen darf, gibt ihnen beispielsweise die Chance, Zweitmeinungen einzuholen, um sich vor möglichen ärztlichen Fehlern zu schützen. Warum gesteht er es den Patienten nicht zu, alle Daten in der ePA haben zu wollen, aber nicht jeden Arzt alles sehen lassen zu wollen? So werde ich es machen: Alle Daten drin, in der Regel offen für alle Ärzte meines Vertrauens, bei Bedarf aber steuern. Ist es nicht Aufgabe der Ärzte, gezielt nachzufragen – sei es nach Befunden oder einer Medikamentierung –, so wie sie das bisher auch getan haben? Die Forderung, ein Arzt müsse alles wissen, führt in eine Bevormundung, wenn nicht gar in eine Entmündigung der zu behandelnden Personen.

Professor Gerlach schreibt: „Eine Löschoption verbietet sich im Interesse des Patienten“. Als Bundesbeauftragter für den Datenschutz sage ich: Aus der Verfassung ergibt sich zwingend das Recht des Individuums auf die Löschung von persönlichen Informationen. Sein Vergleich mit dem Bankkonto hinkt: Die ePA ist kein Kontoauszug. Sie wäre vergleichbar mit einer übergreifenden Sammlung aller Konten und Investitionen bei der jedes Bankinstitut sehen könnte, welche Werte bei einem anderen Institut verwaltet werden, wohingegen das Girokonto der Patientenakte beim Arzt entspräche.

Wir Datenschützer suchen den Dialog und sehen und als Digitalisierungsberater. Schwarze-Peter-Spiele schaden ausschließlich den Versicherten, die auf eine gut gemachte digitale Akte warten.