Als „Leitfaden für Forschende in der Medizin“ haben Prof. Alexander Rossnagel, hessischer Datenschutzbeauftragter und Prof. Dr. med. Georg Ertl, Generalsekretär der Deutschen Gesellschaft für Innere Medizin (DGIM) ihre Stellungnahme im Oktober 2025 veröffentlicht.

Für Patient*innen bzw. medizinische Laien dürfte insbesondere der Abschnitt 6 (Datenschutzrechtliche Grundlagen in der Verarbeitung von Gesundheitsdaten) von Interesse sein. Er gliedert sich in die Punkte

• „Forschung ohne Einwilligung,
• Anonymisierte Daten,
• Anwendungsbereich medizinische Forschung“ und
• „Sonderfall: Pseudonymisierung“

Unter „Forschung ohne Einwilligung“ wird festgestellt: „Es ist wichtig, dass sich Forschende im Vorfeld eines Forschungsvorhabens die Frage stellen, ob die Forschung mit anonymisierten – und in diesem Sinne beschränkten Daten – zur Erreichung des Forschungszieles geeignet ist. Wenn dem nicht so ist, sollten Alternativen angedacht werden. Hierzu gehört neben der Forschung mit Einwilligung die Forschung ohne Einwilligung… Der hier vorzunehmende Abwägungsprozess zwischen den Interessen der Betroffenen und dem Forschungsinteresse sollte bei Investigator initiierten Studien (IIT) in vielen Fällen zugunsten der Forschung ausfallen. Mit dem Gesundheitsdatennutzungsgesetz (GDNG) ist außerdem eine bundeseinheitliche Rechtgrundlage zur Forschung mit dem im Versorgungskontext erhobenen Behandlungsdaten hinzugekommen…“

Im Bezug auf Regelungen im Gesundheitsdatennutzungsgesetz (GDNG) wird hier vom hessischen Datenschutzbeauftragten eine Position vertreten, die vor und nach Inkrafttreten der gesetzlichen Neuregelungen von (Datenschutz-)Expert*innen kritisiert wurde.

Fragwürdig wird es insbesondere im Punkt „Anonymisierte Daten“. Die dort festgehaltenen Definitionen und empfohlenen Verfahrensweisen weichen die Unterschiede zwischen Pseudonymisierung und Anonymisierung von personenbezogenen Daten zugunsten von Forschungsinteressen auf.

In der DSGVO, „Erwägungsgrund 26 Keine Anwendung auf anonymisierte Daten“, wird Anonymisierung von Daten definiert: ^„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

Anders im „Leitfaden für Forschende in der Medizin“. Dort ist zu lesen: „Ein absoluter Ausschluss einer Personenbeziehbarkeit von Gesundheitsdaten, die für Forschung und Versorgung verarbeitet werden sollen, ist weder gefordert, noch dürfte ein solcher stets möglich sein. Also kann es nur darum gehen, ein ausreichendes Maß an Risikoreduktion zu begründen. Für die Feststellung, ob die zu verarbeitenden Daten personenbeziehbar sind, werden alle Mittel berücksichtigt, die eine Personenbezug herstellen können. Andererseits soll der Aufwand Berücksichtigung finden, mit dem eine Personenbeziehbarkeit herzustellen wäre. Die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen sollen ebenfalls berücksichtigt werden… Eine Wiederherstellung der Personenbeziehbarkeit kann für anonymisierte Daten in der Regel nicht vollständig ausgeschlossen werden. Prinzipiell besteht ein Risiko einer Re-Identifizierbarkeit… Ein hundertprozentiger Nachweis der Anonymität muss durch den Anwender nicht erbracht werden…“

Im Punkt „Sonderfall: Pseudonymisierung“ wird es spekulativ: „Sollte ein Forschungsvorhaben erfolgreich sein und beispielsweise ein neues Heilverfahren für eine Erkrankung entwickelt werden, so könnte dieses auch Patienten zugutekommen, deren Daten in anonymisierter Form Eingang in die Forschung gefunden haben…“

Was bleibt als Gesamteindruck? Ähnlich wie beim Umgang mit der Schufa  und mit Microsoft lässt der hessische Datenschutzbeauftragte zu, dass die Interessen an einer Datennutzung gegenüber dem Grundrecht auf informationelle Selbstbestimmung Vorrang haben. In diesem Fall unterstützt er die Bemühungen der Pharma-Industrie, den Versicherten personalisierte „Angebote“ zu machen, die diese „nicht ablehnen können“.  Dazu wollen die Pharma-Konzerne an Informationen über die Krankheiten der Versicherten kommen. In der europäischen Rechtsnorm EHDS ist bereits vorgesehen, dass PatientInnen von den Forschenden Informationen über über angebliche Gesundheitsrisiken und Therapiemöglichkeiten erhalten.

Die Berliner Datenschutzbeauftragte Meike Kamp hat in dieser Pressemitteilung entsprechende Pläne der EU-Kommission kritisiert und die Bedeutung von „Anonymisierung“ und „Pseudonymisierung“ nach der DSGVO (im Gegensatz zu ihrem hessischen Kollegen) klargestellt. Die EU-Kommission will die Datenschutz-Grundverordnung DSGVO nämlich so ändern, dass der bestehende Widerspruch zwischen der DSGVO und dem hessischen Datenschutzbeauftragten aufgeweicht  wird. Wir wünschen Meike Kamp einen vollen Erfolg.

Dieser Artikel ist zunächst bei „Die Datenschützer Rhein-Main“ erschienen und wurde für unsere Website angepasst.

In den letzten Tagen erschienen viele Berichte über elektronische Patientenakten mit „falschen oder übertriebenen Diagnosen“, ein gutes Beispiel dafür ist dieser Bericht des WDR.  Diagnosen, von denen die Patient:innen nichts wussten, über die sie mit ihrer Ärzt:in nie geredet hatten, stehen vor allem in ihren  sogenannten Abrechnungsdaten. Die Abrechnungsdaten sind Kopien der Abrechnungen, die Ärzt:innen einmal im Quartal an die Krankenkasse schicken. Sie werden normalerweise in die elektronische Patientenakte (ePA) aufgenommen.

Diese Abrechnungen sind Grundlage für die Bezahlung der einzelnen Ärzt:innen; sie sind auch eine Grundlage für die Verteilung der Versicherungsbeiträge zwischen den Krankenkassen mit dem Risiko-Strukturausgleich.  Kurz gefasst: Je schlimmer eine Diagnose, desto mehr Geld gibt es unter Umständen für die Ärzt:in und für die Krankenkasse. Ausserdem: bestimmte Medikamente, oder das Verordnen von Physiotherapie muss mit „schlimmen“ Diagnosen gerechtfertigt werden, sonst drohen Regress-Forderungen. Es gibt also Anreize zum sog. „upcoding“, d.h. dazu, einen Behandlungsfall höher einzustufen. Zum Beispiel riefen Krankenkassen Ärzt:innen manchmal systematisch an, um sie zum upcoding zu veranlassen. Oder die Ärztesoftware, in der die Ärzt:nnen ihre Daten eingeben, weist automatisch auf notwendiges oder mögliches upcoding hin.  Eine Möglichkeit des upcoding ist zum Beispiel, ein psychisches Problem mit zu erfassen, das ja die Grundlage einer körperlichen Krankheit sein kann.

Warum das upcoding für Patient:innen zum Problem werden  kann

Wenn jemand eine Berunfsunfähigkeits-Versicherung abschließen möchte, oder von der gesetzlichen in die private Krankenversicherung wechseln möchte, muss diese Person alle Krankheiten und Behandlungen der letzten 5 Jahre angeben. Ausserdem muss sie ihre behandelnden Ärzt:innen angeben und sie von ihrer Schweigepflicht entbinden (gegenüber der Privaten Krankenversicherung). Wenn diese Person nun eine elektronische Patientenakte (ePA) hat, werden die von der Versicherung befragten Ärzt:innen genötigt, dort nachzusehen, und die Inhalte an die Versicherung weiter zu geben. Bei Nicht-Weitergabe könnte die Versicherung später Leistungen verweigern. Die ePA, die bekanntlich von 80 % der Versicherten gar nicht genutzt wird, wird dadurch plötzlich zum Problem, zum „Beweis“ für Krankheiten, von denen die Patient:in gar nichts wusste.

Das ist ein Beispiel für eine Kritik an der ePA, nämlich: dass damit Diagnosen und Symptome aus dem Kontext gerissen werden,  in dem die Informationen entstanden sind, und sie dadurch eine völlig andere und falsche Bedeutung bekommen. Das gilt besonders für die Abrechnungsdaten. Diese dienen im System bisher ausschließlich zur Abrechnung und haben mit medizinischer Tätigkeit ansonsten nichts zu tun.

Was man tun kann

Das Einfachste, was jede Bürger:in machen kann, ist, mit einem Widerspruch gegenüber der Krankenkasse zu verhindern, dass man eine ePA bekommt, und die bestehende ePA löschen zu lassen. Man kann auch nur die Abrechnungsdaten aus der ePA löschen lassen. Bevor man eine Berufsunfähigkeits-Versicherung abschließt, oder bevor man zu den Privaten wechselt, sollte man das vorsichtshalber tun. Oder zumindest rechtzeitig nachsehen, was da drin steht. Damit keine Widersprüche auftauchen zwischen den eigenen Angaben im Versicherungs-Antrag, und der Auskunft der Ärzt:in, die von der  Versicherung eingeholt wird. Man kann ggf. auch die Ärzt:in bitten, die „falschen“ Diagnosen zu ändern.

Politisch wäre es wünschenswert, die Abrechnungsdaten aus der ePA heraus zu nehmen. Das müsste auch für ePA Befürworter:innen akzeptabel sein, denn die Abrechnungsdaten werden ja über einen anderen Weg – direkt von den Krankenkassen – ohnehin an das Forschungsdatenzentrum geliefert. Sie stehen also der Forschung zur Verfügung, egal ob sie in der ePA stehen, oder nicht. Die Abrechnungsdaten in der ePA verhindern eine sinnvolle Zugriffsverwaltung für medizinische Informationen in der ePA. Aus technischen Gründen könnte, innerhalb der Abrechnungsdaten, nur äußerst schwierig eine Möglichkeit der Teil-Sperrung eingeführt werden. Jede Person, die überhaupt Zugriff darauf hat, sieht alles! Damit wird das ganze Konzept der ePA-Berechtigungsverwaltung ausgehebelt.

Unserer Meinung nach ist auch das Vergütungssystem krank, das für das upcoding so viele Anreize enthält. Das zu ändern, wird schwierig. Etliche Interessenvertretungen von Patient:innen und Ärzt:innen, wie attac oder der Verein demokratischer Ärztinnen und Ärzte sind schon seit langem dafür.

Derzeit wird in der EU eine neue Verordnung diskutiert „zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“. Wobei man wissen sollte, dass schon seit vielen Jahren in der EU der Kinderschutz als Vorwand für die Einschränkung von Bürgerrechten dient. In diesem Fall: Chatkontrolle! Die ursprüngliche Fassung dieses Vorschlags stammt aus dem Mai 2022. Im Juli 2025 gab es eine Aktualisierung. In der nächsten Woche, vermutlich schon Dienstag, wird die Bundesregierung eine Haltung zur vorgeschlagenen Gesetzgebung auf EU-Ebene entwickeln, eine Abstimmung im Rat der Europäischen Union ist bislang für den 14. Oktober geplant.

Teil der Verordnung ist eine Maßnahme zur Einführung der sogenannten Chatkontrolle auf Basis von Client-Side-Scanning. Dabei sollen auf jeglichen privaten Endgeräten alle Nachrichten, Fotos oder Videos vor der Verschlüsselung und dem Versand gegen eine Datenbank abgeglichen werden und bei Verdacht an Strafverfolgungsbehörden gemeldet werden.

Wissenschaftler*innen und Organisationen der digitalen Zivilgesellschaft weisen auf die daraus resultierende Schwächung von Ende-zu-Ende-Verschlüsselung hin, auf die Unwirksamkeit der Maßnahmen zur Reduzierung von Kindesmissbrauch sowie auf eine zu erwartende Erweiterung des Scannens auf andere Straftatbestände oder politische Ziele.

Nach der elektronischen Patientenakte ist das ein weiterer Angriff auf die Vertraulichkeit der Kommunikation, auch im Verhältnis zwischen behandelnen Personen und Patientinnen.  Denn man muss davon ausgehen, dass auch in diesem Verhältnis elektronische Anwendungen genutzt werden. Man kann sich immer weniger darauf verlassen, dass ein therapeutisches Gespräch vertraulich bleibt. Dadurch wird es dazu kommen, dass dieses Gespräch seltener gesucht wird. Die Betroffenen von psychischen Störungen werden sich allein gelassen sehen. Der Schutz der Opfer verschiebt sich, von der Prävention zur Repression. Dieser Schutz ist aber weniger wirksam. Man erreicht also das Gegenteil von dem, was  beabsichtigt ist.

Man muss unterrscheiden zwischen der legendären Figur „Fürst Potemkin“, dem Erbauer der Potemkinschen Dörfer. Mit dieser legendären Figur ist nur noch unser Gesundheitsminister zu vergleichen. (Mit dem realen Grigori Alexandrowitsch Potjomkin hat Lauterbach selbstverständlich keinerlei Gemeinsamkeiten!) Das Potemkinsche Dorf besteht aus lauter Kulissen, um jemanden zu beeindrucken. Die elektronische Patientenakte (ePA) ist bis auf Weiteres ein Potemkinsches Dorf.

Mythos und Realität der ePA

Der Gesundheitsminister behauptet hier, die „ePA für alle“ würde ab 15. Januar 2024 zur Verfügung stehen. Was diese ePA alles können soll, ist bemerkenswert. Der Minister hat den ePA- Leistungsumfang im „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz — DigiG)“ in die jetzt gültigen §§ 341 und 342 des Sozialgesetzbuches, 5. Buch (SGB V.) hinein schreiben lassen. Vor allem sollen

Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen

seit 15.01.25 für alle 70 Millionen Versicherten in der ePA verfügbar sein. Karl Lauterbach – der Potemkin des 21. Jahrhunderts weiterlesen →

Der 15.01.2025 ist der gesetzlich vorgesehene Tag für die  Deutschland-weite „Elektronische Patientenakte (ePA) für alle“. Derzeit geplant ist an diesem Tag der Start in den Test-Regionen Hamburg und Franken. Vor einigen Tagen haben Bianca Kastl und Martin Tschirsich in diesem Beitrag (ab Minute 17:30) gezeigt, dass die ePA mit ziemlich einfachen Mitteln gehackt werden kann. (Wir berichteten). Zum Beispiel ist es Außenstehenden möglich, sich eine Leistungserbringer-Karte eines beliebigen Arztes zu besorgen und mit einem gefälschten Terminal auf alle ePA zuzugreifen, auf die dieser Arzt gerade Zugriff hat. Es ist möglich, von aussen auf die Praxis-Verwaltungs-Systeme von vielen Arztpraxen zuzugreifen. Es ist auch möglich, mit einer gefälschten Gesundheitskarte auf die ePA eines beliebigen Versicherten zuzugreifen.  Die Gematik räumt das ein und sagt, das sei aber alles strafbar. Patientenakte (ePA) – Vertrauensverlust im deutschen Gesundheitswesen droht weiterlesen →

Gesundheitsminister Karl Lauterbach erhielt am 11.10.24 den „Big Brother Award“ der Datenschutz-Organisation digitalcourage.

Mit diesem Negativ-Preis („Oscars für Datenkraken“) werden alljährlich Personen oder Institutionen ausgezeichnet, die an vorderster Front digitale Bürgerrechte eingeschränkt haben. Er erhielt ihn „für den Europäischen Gesundheitsdatenraum – neudeutsch European Health Data Space oder kurz EHDS –, den er mitverantwortet hat. Und für dessen nationale Umsetzung mit dem Gesundheitsdatennutzungsgesetz. Diese beiden Gesetze erlauben die Verarbeitung all unserer hochsensiblen Gesundheitsdaten, etwa von Hausarztbesuchen oder Krankenhausbehandlungen, nach einem weitgehend unbestimmten Verfahren und ohne die nötigen Schutzvorkehrungen.“

Die „Preisrede“ auf Lauterbach hielt der bekannte Datenschützer Dr. Thilo Weichert, früher Datenschutzbeauftragter von Schleswig-Holstein, jetzt einer der Co-Vorsitzenden von digitalcourage. Es lohnt sich, sie zu lesen, denn Weichert hat Detailkenntnisse, die selten geworden sind. Zitat:

Jens Spahn hat dafür beste Vorarbeit geleistet. Schon unter ihm wurde ein Forschungsdatenzentrum Gesundheit – das FDZ – beschlossen, angesiedelt unter dem Dach des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM). Es soll die zentrale Datensammel‑ und ‑verteilstelle für Gesundheitsdaten sein. Hier werden sämtliche Abrechnungsdaten der Krankenkassen unter Pseudonym gespeichert, ebenso künftig die Daten der elektronischen Patientenakte – der ePA. Dieses FDZ soll noch im Herbst 2024 den Vollbetrieb aufnehmen. Geplant ist unter anderem, dass die pseudonymen Datensätze der Krebsregister mit denen des FDZ verknüpft werden. Weitere Verknüpfungen sind mit dem bundesweiten Implantateregister und mit vielen weiteren Gesundheitsdatenquellen vorgesehen.

All das erfolgt, wie gesagt, pseudonym. Allerdings sind pro Datensatz so viele sensitive Merkmale über die körperliche und seelische Gesundheit hinterlegt, dass mit ein wenig Zusatzwissen leicht herauszufinden ist, wer da mit welcher Therapie behandelt wurde – das können Daten über Erbanlagen, psychische Störungen oder über seltene Krankheiten sein. Diese Reidentifizierung würde das Ende der Vertrauensbeziehung zwischen Arzt und Patienten bedeuten.

Die geplante Verordnung der EU zum Europäischen Gesundheitsdatenraum (EHDS, European Health Data Space) wurde am 24. April 2024 vom EU-Parlament verabschiedet. Die Details zum Inhalt der verabschiedeten Einigung findet man hier. Der verabschiedete Text ist auf deutsch hier und auf Englisch hier veröffentlicht. Die Bürgerrechtsorganisation EDRI (European Digital Rights) hatte die Abgeordneten aufgefordert, der Einigung nicht zuzustimmen, in einer Petition, die u.A. auch unser Verein Patientenrechte und Datenschutz e.V. unterstützt hatte: weil der Vorschlag darauf hinaus läuft, PatientInnendaten zu kommerzialisieren und das Arztgeheimnis abzuschaffen.

Die Zustimmung zu EHDS kam vor allem von den größten Fraktionen im EU-Parlament, der Europäischen Volkspartei (Christdemokraten), S&P (Sozialdemokraten) und Renew (Liberale). Die Fraktionen der Linken und der Grünen stimmten mehrheitlich dagegen. In allen Fraktionen gab es viele Abgeordnete, die anders stimmten als ihre Fraktionsmehrheit. Die namentlichen Ergebnisse der Abstimmung sind hier zu finden. Gegen EHDS stimmten u.a. der Pirat und Datenschützer Patrick Breyer, der PARTEI-Vorsitzende Martin Sonneborn, und der in Spanien mit Haftbefehl gesuchte ehemalige katalanische Präsident Carles Puigdemont.

In einem Interview für die Neue Osnabrücker Zeitung fordert Gesundheitsminister Lauterbach, das Gesundheitswesen müsste kriegstüchtig werden. Es müsste sich auf „große Krisen“ vorbereiten. Im Sommer soll ein entsprechender Gesetzentwurf vorgelegt werden. Worum kann es gehen?

• Die Prioritäten, wer wo behandelt werden kann und darf, werden nicht medizinisch, sondern politisch-militärisch vorgegeben,
• Gesundheitseinrichtungen werden in eine zentrale Kommando-Struktur eingeordnet,
• Beschäftigte werden genötigt, dort zu arbeiten, wo ein nach politischen Kriterien festgelegter Bedarf besteht.

Der Verein demokratischer Ärzt*innen hat sich gegen diese „Militarisierung des Gesundheitswesens“ ausgesprochen. Tatsächlich sind solche Ansätze besorgniserregend und müssen kritisch beobachtet werden.

• Möglichkeiten des Gesundheitssystems müssen nach medizinischen und sozialen Gesichtspunkten verteilt und gesteuert werden. Eine Unterordnung unter eine militärisch-politische Kampf-Logik ist abzulehnen.
• Insbesondere dürfen die Rechte der Mediziner*innen und Pflegekräfte im Fall von Krisen nicht (noch weiter) eingeschänkt werden. Das macht diese Berufe noch unattraktiver und gefährdet unsere Gesundheitsversorgung.