dere Daten zur Anamnese, Implantat relevante Befunde, Indikationen, Voroperationen und Gewicht. Diese
Daten werden unter einem Pseudonym im Register
gespeichert, das zuvor durch eine Vertrauensstelle
gebildet wurde. Als Zweck des Gesetzes nennt das BMG
die Gewährleistung der Sicherheit der Medizinprodukte und der Versorgungsqualität mit Implantaten sowie
die Marktüberwachung (Vigilanz). So ermöglicht die
pseudonymisierte Speicherung bei Produktmängeln die
Warnung von betroffenen Patienten. Außerdem haben
verschiedene Stellen die Möglichkeit, mit diesen Daten
wissenschaftlich zu forschen.
In den Beratungen konnte ich bereits auf eine ordnungsgemäße Zuweisung der Vertrauensstelle an eine von der
Register- bzw. Geschäftsstelle unabhängige Institution
hinwirken. Bei den Ressortberatungen zum Gesetzentwurf monierte ich den geplanten Ausschluss aller
datenschutzrechtlichen Betroffenenrechte, konnte aber
lediglich erreichen, dass auch auf den zunächst vorgesehenen Ausschluss der Betroffenenrechte der Auskunft
nach Art. 15 DSGVO und der Berichtigung nach Art. 16
DSGVO verzichtet wurde.
Für die Forschung werden nach Möglichkeit anonymisierte Daten zur Verfügung gestellt, also meist zusammengefasste (aggregierte) Daten mehrerer Personen.
Hinsichtlich der Bereitstellung pseudonymisierter Daten
waren besondere Anforderungen vorgesehen. Wie das
Verfahren zur Prüfung dieser Anforderungen durchgeführt wird und wie die zuständige Geschäftsstelle
insbesondere die nötige Erforderlichkeit des Zugangs
zu den Daten für ein bestimmtes Forschungsvorhaben
bewertet, werde ich nach Aufnahme des Wirkbetriebes
des Registers beobachten. Die zunächst vorgesehene
Ansiedlung des Registers beim Deutschen Institut für
Medizinische Dokumentation und Information (DIMDI)
hielt ich für sachgerecht. Durch die vom BMG geplante Eingliederung des DIMDI in das Bundesinstitut für
Arzneimittel und Medizinprodukte (BfArM) ergab sich
aber eine neue Problematik, nämlich wie ein neutrales Verfahren für die Entscheidung über einen Antrag
auf Zugang zu den Registerdaten gewährleistet werden
könnte, wenn das BfArM selbst als Nutzungsberechtigter im Gesetz genannt ist und daher über die eigenen
Anträge zu entscheiden hätte. Hier habe ich wegen der
hohen Sensibilität nachdrücklich eingefordert, eine unabhängige Stelle mit den Registeraufgaben zu betrauen,
um einen datenschutzkonformen Registerbetrieb zu
ermöglichen.
Diese Notwendigkeit besteht auch für andere Register
im Gesundheitsbereich. Das BMG hat zur Klärung dieser
Frage die Fusion des DIMDI auf das BfArM zunächst
ausgesetzt.
Ich empfehle, statt einer Verlagerung von Registern ins
Bundesinstitut für Arzneimittel und Medizinprodukte
eine eigenständige unabhängige Registerbehörde im
Gesundheitsbereich zu schaffen.
Querverweis:
5.6 Gesetzgebung im Bereich Gesundheits- und Sozialwesen
4.3 Datenminimierung
Der Grundsatz der Datenminimierung ist ein datenschutzrechtlicher Dauerbrenner. Auch im vergangenen
Jahr erreichten mich zu dieser Thematik wieder zahlreiche Beschwerden.
Datenminimierung gehört zu den in Art. 5 DSGVO festgeschriebenen Grundprinzipien des europäischen
Datenschutzrechts. Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen sein und
sich auf das notwendige Maß beschränken. Es ist daher
immer Aufgabe der Verantwortlichen, sich genau zu
überlegen, welche Daten für die Erfüllung einer Aufgabe
tatsächlich benötigt werden und wie lange sie verarbeitet werden müssen.
Welche Auswirkung dieser Grundsatz auf die praktische
Arbeit der Behörden hat, veranschaulichen die folgenden Fälle:
Einkommensteuerbescheide für Beitragsberechnung
der gesetzlichen Krankenkassen
Zu Zwecken der Beitragsermittlung oder der Überprüfung der Zuzahlungsbefreiung sind die Krankenkassen
auf die Erhebung bestimmter Daten angewiesen. Die
Aufforderung zur Vorlage des Einkommensteuerbescheids betrifft zum einen die Selbstzahlenden in der
gesetzlichen Krankenversicherung, zum anderen Versicherte mit familienversicherten Partnern.
Da bei den Selbstzahlenden die Meldung der Daten zur
Berechnung der Beitragshöhe vom Arbeitgeber entfällt, sind die Krankenkassen gehalten, diese Daten auf
andere Weise zu erheben. Im Sozialverwaltungsverfahren darf die Behörde die Beweismittel heranziehen, die
sie nach pflichtgemäßem Ermessen zur Ermittlung des
Sachverhalts für erforderlich hält (§ 21 SGB X).
Um eine einheitliche Beitragsermittlung zu garantieren,
hat der Gesetzgeber den Spitzenverband Bund der Krankenkassen (GKV-Spitzenverband) mit der Regelung der
Beitragsbemessung beauftragt. So ist in den „Einheitlichen Grundsätze[n] zur Beitragsbemessung freiwilliger Mitglieder der gesetzlichen Krankenversicherung
[…] (Beitragsverfahrensgrundsätze Selbstzahler)“ des
GKV-Spitzenverbandes, ergänzt um den Katalog von EinTätigkeitsbericht zum Datenschutz für 2019
29