Als „Leitfaden für Forschende in der Medizin“ haben Prof. Alexander Rossnagel, hessischer Datenschutzbeauftragter und Prof. Dr. med. Georg Ertl, Generalsekretär der Deutschen Gesellschaft für Innere Medizin (DGIM) ihre Stellungnahme im Oktober 2025 veröffentlicht.

Für Patient*innen bzw. medizinische Laien dürfte insbesondere der Abschnitt 6 (Datenschutzrechtliche Grundlagen in der Verarbeitung von Gesundheitsdaten) von Interesse sein. Er gliedert sich in die Punkte

• „Forschung ohne Einwilligung,
• Anonymisierte Daten,
• Anwendungsbereich medizinische Forschung“ und
• „Sonderfall: Pseudonymisierung“

Unter „Forschung ohne Einwilligung“ wird festgestellt: „Es ist wichtig, dass sich Forschende im Vorfeld eines Forschungsvorhabens die Frage stellen, ob die Forschung mit anonymisierten – und in diesem Sinne beschränkten Daten – zur Erreichung des Forschungszieles geeignet ist. Wenn dem nicht so ist, sollten Alternativen angedacht werden. Hierzu gehört neben der Forschung mit Einwilligung die Forschung ohne Einwilligung… Der hier vorzunehmende Abwägungsprozess zwischen den Interessen der Betroffenen und dem Forschungsinteresse sollte bei Investigator initiierten Studien (IIT) in vielen Fällen zugunsten der Forschung ausfallen. Mit dem Gesundheitsdatennutzungsgesetz (GDNG) ist außerdem eine bundeseinheitliche Rechtgrundlage zur Forschung mit dem im Versorgungskontext erhobenen Behandlungsdaten hinzugekommen…“

Im Bezug auf Regelungen im Gesundheitsdatennutzungsgesetz (GDNG) wird hier vom hessischen Datenschutzbeauftragten eine Position vertreten, die vor und nach Inkrafttreten der gesetzlichen Neuregelungen von (Datenschutz-)Expert*innen kritisiert wurde.

Fragwürdig wird es insbesondere im Punkt „Anonymisierte Daten“. Die dort festgehaltenen Definitionen und empfohlenen Verfahrensweisen weichen die Unterschiede zwischen Pseudonymisierung und Anonymisierung von personenbezogenen Daten zugunsten von Forschungsinteressen auf.

In der DSGVO, „Erwägungsgrund 26 Keine Anwendung auf anonymisierte Daten“, wird Anonymisierung von Daten definiert: ^„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

Anders im „Leitfaden für Forschende in der Medizin“. Dort ist zu lesen: „Ein absoluter Ausschluss einer Personenbeziehbarkeit von Gesundheitsdaten, die für Forschung und Versorgung verarbeitet werden sollen, ist weder gefordert, noch dürfte ein solcher stets möglich sein. Also kann es nur darum gehen, ein ausreichendes Maß an Risikoreduktion zu begründen. Für die Feststellung, ob die zu verarbeitenden Daten personenbeziehbar sind, werden alle Mittel berücksichtigt, die eine Personenbezug herstellen können. Andererseits soll der Aufwand Berücksichtigung finden, mit dem eine Personenbeziehbarkeit herzustellen wäre. Die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen sollen ebenfalls berücksichtigt werden… Eine Wiederherstellung der Personenbeziehbarkeit kann für anonymisierte Daten in der Regel nicht vollständig ausgeschlossen werden. Prinzipiell besteht ein Risiko einer Re-Identifizierbarkeit… Ein hundertprozentiger Nachweis der Anonymität muss durch den Anwender nicht erbracht werden…“

Im Punkt „Sonderfall: Pseudonymisierung“ wird es spekulativ: „Sollte ein Forschungsvorhaben erfolgreich sein und beispielsweise ein neues Heilverfahren für eine Erkrankung entwickelt werden, so könnte dieses auch Patienten zugutekommen, deren Daten in anonymisierter Form Eingang in die Forschung gefunden haben…“

Was bleibt als Gesamteindruck? Ähnlich wie beim Umgang mit der Schufa  und mit Microsoft lässt der hessische Datenschutzbeauftragte zu, dass die Interessen an einer Datennutzung gegenüber dem Grundrecht auf informationelle Selbstbestimmung Vorrang haben. In diesem Fall unterstützt er die Bemühungen der Pharma-Industrie, den Versicherten personalisierte „Angebote“ zu machen, die diese „nicht ablehnen können“.  Dazu wollen die Pharma-Konzerne an Informationen über die Krankheiten der Versicherten kommen. In der europäischen Rechtsnorm EHDS ist bereits vorgesehen, dass PatientInnen von den Forschenden Informationen über über angebliche Gesundheitsrisiken und Therapiemöglichkeiten erhalten.

Die Berliner Datenschutzbeauftragte Meike Kamp hat in dieser Pressemitteilung entsprechende Pläne der EU-Kommission kritisiert und die Bedeutung von „Anonymisierung“ und „Pseudonymisierung“ nach der DSGVO (im Gegensatz zu ihrem hessischen Kollegen) klargestellt. Die EU-Kommission will die Datenschutz-Grundverordnung DSGVO nämlich so ändern, dass der bestehende Widerspruch zwischen der DSGVO und dem hessischen Datenschutzbeauftragten aufgeweicht  wird. Wir wünschen Meike Kamp einen vollen Erfolg.

Dieser Artikel ist zunächst bei „Die Datenschützer Rhein-Main“ erschienen und wurde für unsere Website angepasst.

In den letzten Tagen erschienen viele Berichte über elektronische Patientenakten mit „falschen oder übertriebenen Diagnosen“, ein gutes Beispiel dafür ist dieser Bericht des WDR.  Diagnosen, von denen die Patient:innen nichts wussten, über die sie mit ihrer Ärzt:in nie geredet hatten, stehen vor allem in ihren  sogenannten Abrechnungsdaten. Die Abrechnungsdaten sind Kopien der Abrechnungen, die Ärzt:innen einmal im Quartal an die Krankenkasse schicken. Sie werden normalerweise in die elektronische Patientenakte (ePA) aufgenommen.

Diese Abrechnungen sind Grundlage für die Bezahlung der einzelnen Ärzt:innen; sie sind auch eine Grundlage für die Verteilung der Versicherungsbeiträge zwischen den Krankenkassen mit dem Risiko-Strukturausgleich.  Kurz gefasst: Je schlimmer eine Diagnose, desto mehr Geld gibt es unter Umständen für die Ärzt:in und für die Krankenkasse. Ausserdem: bestimmte Medikamente, oder das Verordnen von Physiotherapie muss mit „schlimmen“ Diagnosen gerechtfertigt werden, sonst drohen Regress-Forderungen. Es gibt also Anreize zum sog. „upcoding“, d.h. dazu, einen Behandlungsfall höher einzustufen. Zum Beispiel riefen Krankenkassen Ärzt:innen manchmal systematisch an, um sie zum upcoding zu veranlassen. Oder die Ärztesoftware, in der die Ärzt:nnen ihre Daten eingeben, weist automatisch auf notwendiges oder mögliches upcoding hin.  Eine Möglichkeit des upcoding ist zum Beispiel, ein psychisches Problem mit zu erfassen, das ja die Grundlage einer körperlichen Krankheit sein kann.

Warum das upcoding für Patient:innen zum Problem werden  kann

Wenn jemand eine Berunfsunfähigkeits-Versicherung abschließen möchte, oder von der gesetzlichen in die private Krankenversicherung wechseln möchte, muss diese Person alle Krankheiten und Behandlungen der letzten 5 Jahre angeben. Ausserdem muss sie ihre behandelnden Ärzt:innen angeben und sie von ihrer Schweigepflicht entbinden (gegenüber der Privaten Krankenversicherung). Wenn diese Person nun eine elektronische Patientenakte (ePA) hat, werden die von der Versicherung befragten Ärzt:innen genötigt, dort nachzusehen, und die Inhalte an die Versicherung weiter zu geben. Bei Nicht-Weitergabe könnte die Versicherung später Leistungen verweigern. Die ePA, die bekanntlich von 80 % der Versicherten gar nicht genutzt wird, wird dadurch plötzlich zum Problem, zum „Beweis“ für Krankheiten, von denen die Patient:in gar nichts wusste.

Das ist ein Beispiel für eine Kritik an der ePA, nämlich: dass damit Diagnosen und Symptome aus dem Kontext gerissen werden,  in dem die Informationen entstanden sind, und sie dadurch eine völlig andere und falsche Bedeutung bekommen. Das gilt besonders für die Abrechnungsdaten. Diese dienen im System bisher ausschließlich zur Abrechnung und haben mit medizinischer Tätigkeit ansonsten nichts zu tun.

Was man tun kann

Das Einfachste, was jede Bürger:in machen kann, ist, mit einem Widerspruch gegenüber der Krankenkasse zu verhindern, dass man eine ePA bekommt, und die bestehende ePA löschen zu lassen. Man kann auch nur die Abrechnungsdaten aus der ePA löschen lassen. Bevor man eine Berufsunfähigkeits-Versicherung abschließt, oder bevor man zu den Privaten wechselt, sollte man das vorsichtshalber tun. Oder zumindest rechtzeitig nachsehen, was da drin steht. Damit keine Widersprüche auftauchen zwischen den eigenen Angaben im Versicherungs-Antrag, und der Auskunft der Ärzt:in, die von der  Versicherung eingeholt wird. Man kann ggf. auch die Ärzt:in bitten, die „falschen“ Diagnosen zu ändern.

Politisch wäre es wünschenswert, die Abrechnungsdaten aus der ePA heraus zu nehmen. Das müsste auch für ePA Befürworter:innen akzeptabel sein, denn die Abrechnungsdaten werden ja über einen anderen Weg – direkt von den Krankenkassen – ohnehin an das Forschungsdatenzentrum geliefert. Sie stehen also der Forschung zur Verfügung, egal ob sie in der ePA stehen, oder nicht. Die Abrechnungsdaten in der ePA verhindern eine sinnvolle Zugriffsverwaltung für medizinische Informationen in der ePA. Aus technischen Gründen könnte, innerhalb der Abrechnungsdaten, nur äußerst schwierig eine Möglichkeit der Teil-Sperrung eingeführt werden. Jede Person, die überhaupt Zugriff darauf hat, sieht alles! Damit wird das ganze Konzept der ePA-Berechtigungsverwaltung ausgehebelt.

Unserer Meinung nach ist auch das Vergütungssystem krank, das für das upcoding so viele Anreize enthält. Das zu ändern, wird schwierig. Etliche Interessenvertretungen von Patient:innen und Ärzt:innen, wie attac oder der Verein demokratischer Ärztinnen und Ärzte sind schon seit langem dafür.

Derzeit wird in der EU eine neue Verordnung diskutiert „zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“. Wobei man wissen sollte, dass schon seit vielen Jahren in der EU der Kinderschutz als Vorwand für die Einschränkung von Bürgerrechten dient. In diesem Fall: Chatkontrolle! Die ursprüngliche Fassung dieses Vorschlags stammt aus dem Mai 2022. Im Juli 2025 gab es eine Aktualisierung. In der nächsten Woche, vermutlich schon Dienstag, wird die Bundesregierung eine Haltung zur vorgeschlagenen Gesetzgebung auf EU-Ebene entwickeln, eine Abstimmung im Rat der Europäischen Union ist bislang für den 14. Oktober geplant.

Teil der Verordnung ist eine Maßnahme zur Einführung der sogenannten Chatkontrolle auf Basis von Client-Side-Scanning. Dabei sollen auf jeglichen privaten Endgeräten alle Nachrichten, Fotos oder Videos vor der Verschlüsselung und dem Versand gegen eine Datenbank abgeglichen werden und bei Verdacht an Strafverfolgungsbehörden gemeldet werden.

Wissenschaftler*innen und Organisationen der digitalen Zivilgesellschaft weisen auf die daraus resultierende Schwächung von Ende-zu-Ende-Verschlüsselung hin, auf die Unwirksamkeit der Maßnahmen zur Reduzierung von Kindesmissbrauch sowie auf eine zu erwartende Erweiterung des Scannens auf andere Straftatbestände oder politische Ziele.

Nach der elektronischen Patientenakte ist das ein weiterer Angriff auf die Vertraulichkeit der Kommunikation, auch im Verhältnis zwischen behandelnen Personen und Patientinnen.  Denn man muss davon ausgehen, dass auch in diesem Verhältnis elektronische Anwendungen genutzt werden. Man kann sich immer weniger darauf verlassen, dass ein therapeutisches Gespräch vertraulich bleibt. Dadurch wird es dazu kommen, dass dieses Gespräch seltener gesucht wird. Die Betroffenen von psychischen Störungen werden sich allein gelassen sehen. Der Schutz der Opfer verschiebt sich, von der Prävention zur Repression. Dieser Schutz ist aber weniger wirksam. Man erreicht also das Gegenteil von dem, was  beabsichtigt ist.