POLITIK: Das Interview
Interview mit Prof. Ulrich Kelber (SPD), Bundesbeauftragter f�r Datenschutz und Informationsfreiheit: �Ein digitaler Impfnachweis kann besser sein als der analoge�
;
Der Datenschutz im Gesundheitswesen ist immer wieder ein Konfliktpunkt. Der Bundesdatenschutzbeauftragte Ulrich Kelber wehrt sich gegen Anschuldigungen, wirbt f�r mehr Dialog mit Datensch�tzern und erkl�rt, ab wann er selbst eine elektronische Patientenakte nutzen werde.
Aktuell wird wieder �ber den Datenschutz bei mehreren Projekten zur Bek�mpfung der Pandemie gestritten: das digitale Impfzertifikat oder auch die Datenspeicherung von Schnelltests. Wie sehr �rgert Sie der Vorwurf, �Problem mit dem Datenschutz� verhindere Pandemiebek�mpfung?
Das ist anstrengend, besonders wenn drei Dinge passieren: Erstens werden teilweise mehrfach widerlegte Storys wieder aufgew�rmt. Das zweite: Leute, die noch nicht den kompletten �berblick haben, geben �der Datenschutz ist Schuld� als schnelle Antwort. Damit sie nicht sagen m�ssen, sie wissen etwas nicht. Und dann gibt es eine dritte Gruppe, die lenkt gerne vom Thema beziehungsweise Vers�umnissen an anderer Stelle ab. Und das ist nicht in Ordnung. Man sollte die Debatte um den Datenschutz auf das konzentrieren, was sie ist: Welche Daten sind f�r einen legitimen Zweck notwendig und d�rfen verarbeit werden? Und welche sind daf�r nicht notwendig und d�rfen nicht verarbeitet werden?
Beim Impfzertifikat und bei den Schnelltests: Welche Daten sind notwendig und d�rfen verarbeitet werden?
Beim digitalen Impfzertifikat sind wir noch mitten in der Beratung. Ein gut gemachter digitaler Impfnachweis ist auch aus Datenschutzsicht besser als jeder analoge Nachweis. Daher bin ich optimistisch. Was die Europ�ische Union f�r die Interoperabilit�t f�r das Reisen �ber Grenzen vorgelegt hat, das ist gut. Jetzt m�ssen wir das in Deutschland mit einem Verfahren zusammenbringen, damit es auch bei neuen Impfungen sofort funktioniert sowie bei den Impfungen, die in der Vergangenheit vorgenommen wurden. Auf EU-Ebene ist f�r die Interoperabilit�t ein vern�nftig bemessener Datensatz festgelegt worden. Dabei werden die Daten aufgenommen, die f�r den Nachweis n�tig sind, bis hin zu den Chargennummern der Impfstoffe.
Wenn man die Ver�ffentlichungen in den vergangenen Wochen sieht � wie gut ist Ihr Verh�ltnis zum Bundesgesundheitsministerium?
Das ist erst mal ein enges Verh�ltnis, da wir sehr viel gemeinsam zu tun haben. Das ist ein zum Teil pandemiebedingt hektisches Miteinander, weil nat�rlich immer wieder neue Herausforderungen kommen. Ich w�nsche mir, dass man bei allen Vorhaben zu einem noch fr�heren Zeitpunkt den ersten Kontakt mit uns aufnimmt. Zur agilen Arbeit an Gesetzen und Projekten geh�rt eben auch die agile Einbindung der Datenschutzbeh�rde, also zu einem fr�hen Zeitpunkt �ber Weichenstellungen zu informieren und sich beraten zu lassen. Das macht Vorhaben billiger und schneller und am Ende vertrauensw�rdiger f�r die Nutzenden.
Auch bei Forschungsdaten, besonders bei der internationalen Zusammenarbeit, wird immer wieder der Datenschutz beklagt, dass beispielsweise Alter oder Geschlecht nicht verkn�pft werden k�nnen. Ist das auch nur vorgeschoben?
Ich empfehle den Forschenden nicht die Grundhaltung �darf ich sowieso nicht, deshalb versuche ich es gar nicht�. Wenn sie etwas f�r erforderlich halten und es ein hohes �ffentliches Interesse gibt, wie beispielsweise an der aktuellen Pandemie, sollten sie das Gespr�ch suchen. Dann wird man schon an vielen Stellen zu der Erkenntnis kommen, dass es mit vorhandenem Datenrecht geht. Bei dem Tempo, bei dem wir momentan Rechtssetzung betreiben, k�nnte sogar an der einen oder anderen Stelle die rechtliche Grundlage f�r bestimmte notwendige Datentransfers und Datenverarbeitungen geschaffen werden. Wir sagen da oft: �Schreibt es doch eindeutig in eine Verordnung oder in ein Gesetz hinein.�
Wenn man die Debatte um Datenschutz im Gesundheitswesen betrachtet, dann kann man den Eindruck gewinnen, dass es eine gewisse �Angst� gibt, den Datenschutz einzubeziehen.
Ich hoffe, dass niemand Angst vor dem Gespr�ch mit meinen Mitarbeiterinnen und Mitarbeitern oder auch mit mir hat. Es w�re schade, wenn sich die Einstellung durchsetzt, dass man nicht fragt aus Angst, es k�nnte nein gesagt werden. Denn wir k�nnen auch ohne vorheriges Fragen sp�ter Nein sagen. Man kommt in seinem Projekt viel weiter und schneller voran, wenn man uns Datenschutzbeh�rden in Bund und L�ndern fr�h einbindet.
Die Datenschutz-Grundverordnung der EU wird oft als Hemmnis f�r eine umfassendere Datennutzung im Gesundheitswesen genannt. Allerdings werden in Art. 9 der DSGVO auch f�r diesen sensiblen Bereich Optionen er�ffnet. Wird aus Ihrer Sicht die DSGVO zu Unrecht als zu hohe H�rde kommuniziert?
Die DSGVO soll ja auf der einen Seite auch ein Schutzschirm der Grundrechte sein. Sie soll bestimmte Datenverarbeitung ganz verhindern, bei anderen Daten soll sie grunds�tzlich eine Rechtsgrundlage einfordern und an bestimmten Stellen soll sie ohne eine informierte, freiwillige, konkrete Einwilligung des Betroffenen nicht stattfinden. Dass die DSGVO insbesondere in Art. 9 besondere Schutzma�nahmen dieser sensiblen Daten vorgesehen hat, dass muss die Gesundheitsbranche insgesamt akzeptieren. Viele tun das auch und die Medizin hat sich dazu l�ngst auch eigene ethische Grunds�tze gegeben. Ich bin manchmal �ber den ein oder anderen erstaunt, der glaubt, er k�nne mit Gesundheitsdaten tun, was er will. Ohne rechtliche Notwendigkeit, ohne Einwilligung. Das ist schon heftig. Und es gibt nach wie vor ein mangelndes Bewusstsein, was man an Datensicherheit anbieten muss. Da geht es um den Schutz von Daten sowie die technische Umsetzung davon, wie Daten gespeichert werden. Das geht schon bei der Kommunikation �ber Patientendaten los: Ich bin immer wieder erstaunt, wenn ich h�re, dass kritisiert wird, dass Patientendaten nur mit verschl�sselten E-Mails versendet werden d�rfen. Was wurde denn da fr�her gemacht? Wurden da Daten auf Postkarten geschrieben?
Wie k�nnen sich denn �rztinnen und �rzten beim Datenschutz besser aufstellen?
Als allererstes sollte man den Datenschutz aus Sicht der Patientinnen und Patienten sehen. Also keine Digitalisierung mit Tunnelblick. Es geht nicht darum, bei neuen Herausforderungen die erstbesten Daten und L�sungen zu fordern. Und dann auf diese erstbeste L�sung zu bestehen und keine anderen Anforderungen zu akzeptieren. Das geht nat�rlich nicht. Da sollte man sich eher fragen: �Was m�chte eigentlich die Patientin oder der Patient, den ich behandle?
Zweitens: Es geh�rt heute dazu, dass man Datensicherheit und Cyber Security gemeinsam denkt. Da sind unsere Infrastrukturen in einer vernetzen Welt zu anf�llig. Drittens fordere ich sichere Alternativen ein, wie zum Beispiel einen sicheren Messengerdienst f�r den Gesundheitsbereich, vielleicht sogar in der TI-Umgebung. Und viertens brauchen wir gerade auch f�r den Gesundheitsbereich ein Forschungsdatengesetz, dass Rechtssicherheit auch f�r die Datennutzung schafft.
Auch bei der elektronischen Patientenakte (ePa) gibt es Diskussionen in den vergangenen Monaten. Ihre Kritik daran kommt auch bei �rztinnen und �rzte an. Ab dem 1. Juli sind auch Vertrags�rzte an die ePa angeschlossen. Wie geht es aus Ihrer Sicht mit der Diskussion beispielsweise um das feingranulare Datenmanagement f�r Patienten weiter?
F�r uns ist die Situation derzeit viel unaufgeregter. Wir beobachten den aktuellen Testversuch. Es hat nichts mit uns zu tun, dass die ePa nicht am 1. Januar 2021 gestartet ist, sowie auch die Verz�gerung zwischen 2010 und 2021 nichts mit dem Datenschutz zu tun hatte. Die datenschutzrechtlichen Anforderungen sind seit �ber zehn Jahren bekannt. Wir haben gesagt, dass wir erstens keine Minderung bei der Sicherheit der Authentifizierung wollen. Zweitens: Es muss die M�glichkeit zur feingranularen Steuerung geben, welcher Arzt welche vertraulichen Unterlagen sehen darf. Das sieht das Gesetz vor, allerdings nicht f�r alle Versicherten. Und da haben wir einen zus�tzlichen Schritt gemacht: Denn es kann nicht sein, dass f�r Menschen, die nicht �ber geeignete Endger�te verf�gen, die nicht �ber das allgemeine Internet arbeiten wollen, dass es f�r die keine M�glichkeit der dokumentengenauen Steuerung gibt. Das muss ge�ndert werden. Das stand auch im urspr�nglichen Gesetzentwurf drin.
Noch mal gefragt: Es geht Ihnen bei Ihrer Kritik um die kommenden sechs Monate, denn ab 2022 soll es ja das feingranulare Management geben. Richtig?
Bisher gibt es kein feingranulares Management. Wir beabsichtigen anzuweisen, dass es ab dem 1. Januar 2022 gesichert das feingranulare Management gibt. Das steht auch im Gesetz, wenn man es ernst nimmt. Wo wir uns in unserer Forderung vom Gesetz unterscheiden: Wir sind der Meinung, dass das Recht f�r alle Patientinnen und Patienten gelten muss. Ich bin nach wie vor optimistisch, dass eine andere Bundesbeh�rde den Krankenkassen nicht empfehlen wird, dagegen zu klagen, dass alle Versicherten die gleichen Rechte haben.
Wann werden Sie Ihre elektronische Patientenakte freischalten und nutzen?
Ich verf�ge �ber ein geeignetes Endger�t und halte es angesichts der gew�hlten M�glichkeiten zur Authentifizierung f�r sicher. Das hei�t, wenn ich eine M�glichkeit zur feingranularen Steuerung bekomme, werde ich ein begeisterter Nutzer der ePa sein. Den Nutzwert der ePa und den kommenden Anwendungen darauf sehe ich sehr deutlich. Daher werde ich sie mir vermutlich Anfang 2022 privat zulegen.
Das Interview f�hrten Rebecca Beerheide und Andr� Haser�ck.
