– 186 –
Anlage 13 (zu Nr. 24.1.1)
Beschluss der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom
8. bis 9. März 2001 zum Arbeitsentwurf des Bundesministeriums für Gesundheit für ein Gesetz zur
Verbesserung der Datentransparenz und des Datenschutzes in der gesetzlichen Krankenversicherung
(Transparenzgesetz – GKV – TG)
Die Datenschutzkonferenz begrüßt es, dass mit dem Arbeitsentwurf die Forderung der Konferenz wieder aufgegriffen wird, durch Pseudonymisierung des Abrechnungsverfahrens die Belange des Patientengeheimnisses und des
Datenschutzes zu wahren. Ziel muss sein, den „gläsernen Patienten“ bei den gesetzlichen Krankenkassen zu vermeiden.
Mit Pseudonymisierungsverfahren lässt sich dieses Ziel erreichen, ohne dass beispielsweise die Kostenkontrolle oder
Qualitätssicherung durch eine Krankenkasse beeinträchtigt
wäre. Der Deutsche Bundestag hat die Realisierbarkeit dieses Ansatzes mit seinem Beschluss eines Gesundheitsreformgesetzes vom 4. November 1999, der nach einem Vermittlungsverfahren aus anderen als datenschutzrechtlichen
Gründen nicht in vollem Umfang in Kraft getreten ist, bereits bejaht.
jüngsten Pressemeldungen berichtete Absichten, im
Rahmen des Risikostrukturausgleichs einen so genannten Risikopool einzuführen, über den Kassen mit so genannten schlechten Risiken verstärkte Ausgleichsmittel
erhalten sollen. Die Feststellung derartiger „schlechter
Risiken“ kann auch über Pseudonyme und die ihnen zugeordneten Leistungszahlen erfolgen. Im Falle der Unterstützung der Versicherten bei Verdacht auf Behandlungsfehler sollte die Einwilligung der Versicherten in
die Reidentifikation, die durch die Vertrauensstelle eingeholt werden könnte, angestrebt werden. Auch weitere
Katalogfälle von Reidentifikationen sind kritisch zu hinterfragen, so insbesondere die Reidentifikation von Versicherten unter Bekanntgabe des Pseudonyms gegenüber
den Kassen(zahn)ärztlichen Vereinigungen.
Die Datenschutzkonferenz begrüßt es weiterhin, dass in
dem Arbeitsentwurf im Rahmen einer Klausel „Modellvorhaben Telematik“ die Weiterentwicklung des Datenschutzes
als Ziel vorgegeben und dazu gefordert wird, die Modellvorhaben im Benehmen mit den Datenschutzbehörden
durchzuführen. Die Konferenz geht dabei davon aus, dass
unter „Weiterentwicklung“ die Sicherung der Patientenrechte auf Wahrung des Arztgeheimnisses und des Datenschutzes auch unter den Randbedingungen der Telematikanwendungen im medizinischen Bereich zu verstehen ist. Sie
weist dazu besonders auf ihre Beschlüsse von der 47. und
der 50. Konferenz zu Chipkarten im Gesundheitswesen hin,
mit denen die Sicherung von Patientenautonomie und
Transparenz sowie die Sicherheit der Datenverarbeitung gefordert wurde.
Es muss verhindert werden, dass über einen zu weit gefassten Katalog von Reidentifikationsfällen ohne Zustimmung der Versicherten das Ziel der Pseudonymisierung praktisch verfehlt wird. Es ist zu gewährleisten,
dass keine personenbezogenen Krankheitsdatenkonten
bei den gesetzlichen Krankenversicherungen, oder kurz
gesagt, dass keine gläsernen Patienten entstehen.
Die Konferenz nimmt auch zustimmend zur Kenntnis, dass
durch die Begrenzung auf die Verarbeitung von höchstens
20 % der Versichertendaten in den Datenannahme- und -weiterleitungsstellen der Gefahr der Bildung mehr oder weniger
bundesweiter Dateien mit sensiblen medizinischen Daten der
Krankenversicherten begegnet werden soll.
Die Konferenz hält zu nachstehenden Punkten ergänzende
Regelungen bzw. nähere Darlegungen für erforderlich:
– Die Effektivität eines Pseudonymisierungsverfahrens
zum Schutz der sensiblen Versichertendaten steht und
fällt mit sicheren Pseudonymen, mit der klaren Begrenzung von Reidentifikationen auf im überwiegenden öffentlichen Interesse absolut notwendige Fälle und der
Vermeidung des Abgleichs mit identifizierenden Klardaten.
Unter diesen Aspekten hält die Datenschutzkonferenz
den Katalog der Reidentifikationsfälle für bedenklich:
So ist nicht ersichtlich, in wieweit die Krankenkassen
zur Durchführung des Risikostrukturausgleichs versichertenbezogene Detailangaben über Diagnosen und
Leistungen benötigen. Das gilt auch im Hinblick auf in
BfD 19. Tätigkeitsbericht 2001–2002
In gleicher Weise ist zuverlässig zu vermeiden, dass
durch Abgleich mit zeitweilig vorhandenen Klardaten
Pseudonyme aufgelöst werden. Hierfür ist eine gesetzliche Sicherstellung erforderlich.
Schließlich ist die Begrenzung der Speicherung und die
Zweckbindung aufgelöster Pseudonyme nicht ausreichend klar. Über eine Verweisung in § 284 SGB V würden die dortigen erweiterten Zweckänderungs- und Verarbeitungsregelungen auch auf die Speicherungen von
aufgelösten Pseudonymen angewandt und damit die anscheinend strengen Speicherungs- und Zweckbindungsregelungen des Arbeitsentwurfs für die genannten Daten
ausgehöhlt. Es müsste klargestellt werden, dass die speziellen Speicher- und Zweckbindungsregelungen der allgemeinen Regel des § 284 SGB V vorgehen.
– Die oben erwähnte, nicht in Kraft getretene Fassung der
GKV-Gesundheitsreform 2000 sah die alsbaldige
Pseudonymisierung der Versichertendaten in allen Abrechnungen der Leistungserbringer vor, und zwar vor
Kenntnisnahme durch die Krankenkassen. Der jetzige
Arbeitsentwurf sieht die Pseudonymisierung der Versichertendaten in den Abrechnungen aller nichtvertragsärztlichen Leistungserbringer erst nach Überprüfung
durch die Krankenkassen vor. Dies wäre ein datenschutzrechtlicher Rückschritt gegenüber dem Gesetzesbeschluss vom 4. November 1999. Die fachliche Erforderlichkeit dieses Rückschritts sollte, nicht zuletzt auch
angesichts des o. g. Bundestagsbeschlusses, näher begründet werden. Zumindest sollte über eine Weiterent-