Versicherung

Des Weiteren konnten wir durchsetzen, dass der Umfang der Abrechnungsdaten, mit denen die Verordnungsdaten angereichert werden sollen, erheblich eingeschränkt wird. So werden Daten von Kostenträgern, die nicht Vertragspartner der vorzubereitenden Verträge sind, nunmehr anonymisiert und nur noch für die Überprüfung der Vollständigkeit der Datenlieferungen verwandt.

Schließlich darf das Zentralinstitut lediglich Auswertungen ausführen, die explizit von der beauftragenden Kassenärztlichen Vereinigung spezifiziert worden sind. Die Einhaltung dieser Vorgaben werden wir überprüfen, soweit Berliner Arztpraxen und deren Patientinnen und Patienten betroffen sind.

Dreh- und Angelpunkt für den Schutz der Versicherten in dem Datenbankprojekt ist die gesetzlich vorgeschriebene Pseudonymisierung der Daten. Jeder und jedem Versicherten wird auf der Basis der eigenen Versichertennummer, jeder Ärztin und jedem Arzt auf der Basis der eigenen Arztnummer eindeutig eine Zeichenfolge ­ ein Pseudonym ­ zugeordnet, mit dem alle Datensätze, die die Person betreffen, versehen werden. Es ist entscheidend, dass aus diesem Pseudonym keine Rückschlüsse auf die Identität der oder des Versicherten möglich sind. Dazu muss die Zuordnung geheim und darf ohne Kenntnis des Geheimnisses auch mit massivem Aufwand nicht ermittelbar sein. Berechnet werden die Pseudonyme in einer Vertrauensstelle. Angesichts der Sensitivität der zu schützenden Daten ist sie hoch sicher auszugestalten. Der Gesetzgeber schreibt zusätzlich die Trennung der Vertrauensstelle von den Nutzenden der Daten vor.

Auf unsere Empfehlung hin erfolgte eine professionelle Planung der notwendigen technischen Sicherungseinrichtungen. Die zur Berechnung der Pseudonyme notwendigen geheimen Daten werden in einem speziell geschützten Gerät, einem sog. Hardware Security Module, gespeichert und verlassen dieses nie. Mehrfach gestaffelte Schutzmechanismen bewahren die eingesetzten Computersysteme vor Manipulation und die Daten der Versicherten vor Einsichtnahme.

Gefahrenpotenziale bleiben. Von uns als unzulässig bewertete Rückübermittlungen an Kassenärztliche Vereinigungen stellen die Sicherheit der Pseudonymisierung in Frage. Die Nutzung der Datenbank bedarf der fortlaufenden Überwachung durch den internen Datenschutzbeauftragten. Die Protokollierung der Datenbankzugriffe und der Ausschluss von direkten oder mittelbaren Zugriffen Dritter, etwa der Kassenärztlichen Bundesvereinigung, auf die Datenbank ist noch nicht geklärt. Die örtliche Nähe zwischen Vertrauensstelle und Zentralinstitut erleichtert ein illegitimes Zusammenbringen einzelner Daten der beiden Institutionen. Die Zuverlässigkeit der eingesetzten kryptographischen Verfahren zum Schutz der Daten bei ihrem Transport über das Internet bedarf der ständigen Beobachtung im Zuge der Weiterentwicklung der Technik.

Jede reichhaltig gefüllte Datenbank weckt Begehrlichkeiten. Der Bundesgesetzgeber hat den Beteiligten der gesetzlichen Krankenversicherung vielfach Aufgaben zugewiesen, ohne die Verarbeitung der dafür erforderlichen Daten klar und abschließend zu regeln. Die unscharfe Linie zwischen zulässiger und unzulässiger Verarbeitung und Nutzung der bereits vorliegenden Daten ist schnell überschritten.

Der vom Gesetzgeber datenschutzrechtlich sorgfältig vorbereitete Datentransparenzpool106, der die erforderlichen Daten einheitlich und ohne Mehrfachspeicherungen mit ihrem zusätzlichen Risikopotenzial bereitstellen könnte, wird weder von der Selbstverwaltung der gesetzlichen Krankenversicherung noch von der Bundesverwaltung vorangetrieben.

FAZIT Aufbau und Betrieb großer Analysedatenbanken im Bereich der gesetzlichen Krankenversicherung bedürfen engmaschiger datenschutzrechtlicher und technischer Überwachung und Kontrolle, um Wildwüchse und fahrlässigen Umgang zu vermeiden.

Für eine datenschutzfreundliche Gestaltung des Verfahrens gilt: Das Datenaufkommen ist den Zwecken entsprechend zu minimieren. Die Daten sind sachgerecht zu pseudonymisieren, technisch und organisatorisch zu schützen sowie frühzeitig zu löschen.

Gemeinsames Krebsregister AUS DER PRAXIS

Das Gemeinsame Krebsregister der Länder Berlin, Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und Thüringen bat uns im Frühjahr darum, ein Softwareprodukt zu bewerten, welches zur Dateiverschlüsselung eingesetzt werden sollte. Mai 2008 i.V.m. dem Krebsregistergesetz vom 04. November 1994). Das GKR wird als Nachfolgeeinrichtung des Nationalen Krebsregisters der damaligen DDR teilweise völlig unzulängliche technische Verfahren. geführt.

Das Gemeinsame Krebsregister hat die Aufgabe, Daten über möglichst alle Diagnosen von Krebserkrankungen und auf solche Erkrankungen zurückführbare Todesfälle in den genannten Ländern zu registrieren, statistisch auszuwerten und der wissenschaftlichen Forschung für genehmigte Vorhaben zur Verfügung zu stellen. Es kann hierzu auf den größten Bestand an epidemiologischen Krebsregisterdaten der Bundesrepublik zurückgreifen.

In Berlin sind Ärztinnen und Ärzte sowie Gesundheitsämter verpflichtet, die genannten Daten dem Krebsregister zu melden.

Mit Inkrafttreten des Krebsregistergesetzes stand zunächst die Sicherung und Weiterführung des Datenbestandes sowie die Konsolidierung des GKR im Vordergrund. Der damals festgelegte Personalstamm, der bis dato nicht verändert wurde, wurde zur Erfüllung dieser Aufgaben eingerichtet. Mit viel Kraft und hohem persönlichem Engagement der Mitarbeiter und Mitarbeiterinnen des GKR konnte in den vergangenen 15 Jahren ein in Deutschland einzigartiges Krebsregister mit dem größten Datenbestand an Krebsmeldungen aufgebaut werden. Technische Entwicklungen, die in Krebsregistern bundesweit eingesetzt werden, wurden etabliert. Die Teilhabe an den neuesten, dem Stand der Technik entsprechenden Verfahren blieb aufgrund bestehender personeller und finanzieller Voraussetzungen unter den Möglichkeiten. Um diese Lücke zu schließen, sind zusätzliches Personal, insbesondere mit technischem und datenschutzrechtlichem Sachverstand, und finanzielle Mittel notwendig.

Zur Wahrung des Datenschutzes ist das Krebsregister in zwei getrennte Stellen eingeteilt: Die Vertrauensstelle erfasst und pseudonymisiert die eingehenden Meldungen der Ärztinnen und Ärzte, klinischen Tumorzentren und Gesundheitsämter. Die Registerstelle verwahrt die pseudonymisierten Daten, wertet sie statistisch aus und gibt sie für Forschungsvorhaben frei. Benötigen diese für genehmigte Zwecke den Zugriff auf die Identität der Betroffenen (z.B. um einen Abgleich mit Risikofaktoren zu ermöglichen, denen einzelne Betroffene ausgesetzt waren), so stellt die Vertrauensstelle den Bezug zu den Betroffenen wieder her. Hierzu sind den Registerdaten verschlüsselte Angaben über die Identität der Betroffenen beigegeben.

Mit der Verschlüsselung und Pseudonymisierung werden aus Sicht des Datenschutzes zwei Ziele erreicht. Zum einen beschränken sie die Verfügungsgewalt der Beschäftigten der Registerstelle. Sie haben zwar Zugriff auf einen immensen Bestand von Daten, die für die Betroffenen erhebliche Sensitivität besitzen, können aber weder ein gegebenes Datum einem einzelnen Betroffenen zuordnen noch für einen namentlich bekannten Betroffenen die medizinischen Daten auffinden. Zum anderen verringern sie die Folgen eines erfolgreichen Einbruchs in die Computersysteme des Registers.

Auch Datendiebe können die Daten nicht interpretieren.

Umso wichtiger ist es, die Daten beider Stellen sorgfältig voneinander zu trennen, Verschlüsselungsund Pseudonymisierungsverfahren entsprechend dem Stand der Technik auszuwählen und die einfließenden geheimen Parameter zu schützen. Der Gesetzgeber hat hierzu klare Normen erlassen. Das Krebsregister ignorierte jedoch teilweise diese Normen, setzte sich nicht mit dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) ins Benehmen und verzichtete ganz auf externe Expertise.