versetzt sie in die Lage, ihre Rechte effektiv nutzen zu
können. Auch die Daten, die bei den Behörden gespeichert sind, sollten leicht und unkompliziert abrufbar
sein. Die einzelnen Personen müssten zudem vor Beginn
des Datenaustauschs beteiligt werden.
Ich empfehle, bei der Registermodernisierung, statt
auf eine einheitliche Personenkennziffer auf mehrere
bereichsspezifische Identifikatoren zurückzugreifen.
5.6 Gesetzgebung im Gesundheits
und Sozialwesen
Im Berichtszeitraum war das Bundesministerium für
Gesundheit (BMG) bei der Erarbeitung von Gesetzentwürfen besonders aktiv. Die vorgelegten 23 Gesetzentwürfe waren zum Teil sehr umfangreich und damit
beratungsintensiv.
Eine Vorbemerkung: Wie auch andere Ressorts missachtet das BMG zunehmend die Vorgaben der Gemeinsamen Geschäftsordnung der Bundesministerien (GGO),
in der die Zusammenarbeit unter anderem mit mir bei
der Erstellung von Gesetzentwürfen geregelt ist. Dies
ist angesichts der Vielzahl von Gesetzentwürfen und
der besonderen datenschutzrechtlichen Fragestellungen
besonders misslich.
Von besonderer Bedeutung waren im Berichtszeitraum
die Gesetzgebung zum Digitale-Versorgung-Gesetz, zum
Implantateregistergesetz und zum Masernschutzgesetz.
GesundheitsApps auf Rezept und Novellierung von
Forschungsregelungen durch das DigitaleVersorgung
Gesetz (DVG)
Öffentliche Aufmerksamkeit erregte insbesondere die
mit dem DVG vorgenommene Novellierung der Regelung
über das sogenannte Datentransparenzregister, dessen
ursprüngliche Regelungen bereits durch das GKVModernisierungsgesetz vom 30.11.2003 (BGBl. I S. 2190)
geschaffen und durch das GKV-Versorgungsstrukturgesetz
vom 22.12.2011 (BGBl. I S. 2983) erstmals grundlegend
überarbeitet worden waren. Nach Erlass der Datentransparenzverordnung vom 10.9.2012 (BGBl. I S. 1895)
war beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) in der Folgezeit bereits
die entsprechende Datenbank unter der Bezeichnung
Informationssystem Versorgungsdaten aufgebaut worden (vgl. meinen 24. TB, Tz. 11.1.3 S. 141 f.). Mit dem
DVG wurde der Meldeweg geändert und die Anzahl der
Daten, die für Forschungszwecke in der Datenbank
gespeichert werden, erhöht. Erfreulich ist, dass die
Daten nunmehr nicht, wie ursprünglich geplant, mit dem
unveränderbaren Teil der Krankenkassennummer übermittelt werden sollen. Vielmehr werden die Datensätze
nunmehr vor der Absendung bei der gesetzlichen Krankenkasse mit einem sog. Lieferpseudonym versehen, das
in der Vertrauensstelle dann noch einmal in ein endgültiges Pseudonym umgewandelt wird. Hierdurch soll die
Re-Identifizierung der sensiblen Daten erschwert werden. Aufgrund der neuen Regelungen werden die Daten
nunmehr parallel sowohl an das Bundesversicherungsamt (seit dem 1. Januar 2020: Bundesamt für soziale
Sicherung) für Zwecke des Risikostrukturausgleiches als
auch an das Forschungsdatenzentrum übermittelt. Dies
wird dazu führen, dass die Daten deutlich aktueller sein
werden. Bisher waren die Daten, die einem unveränderten Kreis an Zugangsberechtigten zur Verfügung gestellt
werden können, in der Regel vier Jahre alt. Auch wenn
sich die gesetzliche Regelung insoweit nicht geändert
hat, gehe ich davon aus, dass aufgrund des gesetzlich
vorgesehenen Ausbaus zu einem Forschungsdatenzentrum das BMG nunmehr eine gesonderte Vertrauensstelle bestimmt. Die bisherige Sonderregelung, wonach
die Vertrauensstelle sowie die datenhaltende Stelle das
DIMDI waren, war aufgrund der besonderen Umstände als absolute Ausnahmeregelung mit meinem Haus
abgestimmt. Durch das DVG wurden zwar die Möglichkeiten zur Datennutzung durch die Forschung erweitert.
Zusätzliche datenschutzrechtliche Sicherheiten wurden
im Gegenzug durch weitere Zugangsvoraussetzungen
und eine ausdrückliche Strafbewehrung in § 307b SGB
V sowie die Möglichkeit des Ausschlusses vom Datenzugang in § 303e Absatz 6 SGB V geschaffen.
Geschäftsgrundlage während der Gesetzgebung zum
DVG war die bisherige Datenhaltung durch das DIMDI,
das künftig als Forschungsdatenzentrum die Daten auch
über Gastwissenschaftsarbeitsplätze für die Forschung
bereitstellen sollte. Derartige Forschungsdatenzentren
sind im Wissenschaftsbereich durchaus üblich und in
aller Regel datenschutzgerecht ausgerichtet. Umso
überraschender war, dass das BMG nur zwei Wochen
nach dem Gesetzesbeschluss zum DVG mit Wirkung zum
2. Januar 2020 durch Erlass verfügte, dass das DIMDI
aufzulösen und dessen Aufgaben, und damit auch die
Datenbank, an das Bundesinstitut für Arzneimittel und
Medizinprodukte (BfArM) zu übertragen. Nicht nur
dieses Vorgehen begegnet erheblichen verfahrensrechtlichen Bedenken. Aus datenschutzrechtlicher Sicht ist
besonders kritisch, dass die Datenbank mit hochsensiblen Daten auf das BfArM übertragen werden soll, das
nach § 303e Absatz 1 Nr. 16 SGB V selbst Nutzungsberechtigter der Datenbank ist und nach § 303e Absatz 3 SGB V
nur über einen Antrag Zugang zu den sensiblen Gesundheitsdaten erhält, den es nun selbst zu prüfen hätte.
Im Rahmen der Ausübung meiner Aufsichtsbefugnisse
habe ich daraufhin gegenüber dem DIMDI und dem
BfArM angekündigt, nach § 16 Absatz 1 BDSG i. V. m.
Art. 58 Absatz 2 lit. d) DSGVO die Nutzung der
Tätigkeitsbericht zum Datenschutz für 2019
45