Archiv der Kategorie: Wissen

Hintergrund-Informationen zu unseren Themen und Kampagnen.

Stiftung Datenschutz: Nützliche Hinweise zum Thema besonders schützenswerte Daten i. S.d. Art. 9 DSGVO – dazu zählen auch Gesundheitsdaten

Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) normiert in Abs. 1, welche Kategorien von Daten grundsätzlich untersagt ist:

  • Rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten,
  • biometrische Daten,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Dieses grundsätzliche Verbot der Verarbeitung der genannten Datenkategorien wird in Art. 9 Abs. 2 ergänzt um Fallkonstellationen, in denen die Verarbeitung der genannten Daten zulässig sein kann und welche Voraussetzungen dafür vorliegen müssen.Die Stiftung Datenschutz hat dieser Thematik zwei gut verständliche Beiträge gewidmet:

Datenschutz in der Arztpraxis – oder: Welche Rechte haben Patient*innen?

Mit dieser Fragestellung beschäftigt sich der Landesdatenschutzbeauftragte in Baden-Württemberg in einem Beitrag auf seiner Homepage. der sich zwar in erster Linie an Ärzt*innen richtet, aber auch für Patient*innen von Interesse ist. Informationen gibt es u. a. zu folgenden Fragestellungen:

  • Müssen zum Zwecke der ärztlichen Behandlung von Patienten Einwilligungserklärungen eingeholt werden?
  • Darf die ärztliche Behandlung verweigert werden, wenn der Patient nicht in die Verarbeitung personenbezogener Daten einwilligt?
  • Wie wirkt sich der Grundsatz der Datenminimierung im Verhältnis von Arzt zu Patient bei der Erstellung einer Anamnese aus? Dürfen hierbei nur noch wenige Daten erhoben werden?
  • Dürfen Ärzte sich unter Wahrung des Berufsgeheimnisses über medizinisch problematische Fälle austauschen und im Rahmen der Behandlung die Fachexpertise von anderen Kollegen einholen?
  • Dürfen Gesundheitsdaten von Patienten per Fax oder per E-Mail verschickt werden?

Datenschutz in der Arztpraxis – oder: Welche Rechte haben Patient*innen? weiterlesen

Die EU-Kommission möchte ab 2025 den Handel mit Gesundheitsdaten für mehr Wirtschaftswachstum nutzen

Das stellt der Kölner Arzt Dr. Stefan Streit in einer Stellungnahme zu der Mitteilung der EU-Kommission an das Europaparlament und den Rat der EU fest, die unter dem Titel Ein europäischer Raum für Gesundheitsdaten: Das Potenzial von Gesundheitsdaten für die Allgemeinheit, für Patientinnen und Patienten und für Innovation erschließen am 03.05.2022 veröffentlicht wurde (Langfassung = 141 Seiten / Kurzfassung = 24 Seiten).

Dr. Streit macht in seiner Stellungnahme auf zwei wesentliche Ziele dieser Initiative der EU-Kommission aufmerksam:

„Der Gesundheitsdatenraum soll aus zwei getrennten Infrastruktruren bestehen.

  • Primardatennutzung = Krankenbehandlung Die derzeitige Telematikinfrastruktur entspricht in etwa dem, was sich die EU-Kommission, unter MyHealth@eu, für die Primärdatennutzung von Gesundheitsdaten ausgedacht hat. Das betrifft die Datennutzung von Gesundheitsdaten zur Krankenbehandlung in Krankenhaus und Arztpraxis, die natürlich nicht anonym vorliegen. Personenbezogene Daten in der primären Arztakte sind von der DSGVO geschützt. Es wird davon ausgegangen, dass eine Vielzahl von (kommerziellen und institutionellen) Anbietern von Elektronic Health Records (EHR), also elektronische Patientenakten, die der Patient selbst verwaltet, entstehen werden. Bemerkenswerterweise reicht für kommerziellen EHR-Betreiber eine Selbstzertifizierung und das aus dem Konsumerbereich bekannte CE-Zeichen als Qualitätsmerkmal. Wollte man EHR-Daten für die Patientenversorgung nutzbar machen, dann bedarf es Instrumente zum Umgang mit der Unvollständigkeit der EHR einerseits und Strategien um die gesuchten Daten in den vielen verschiedenen EHR zu finden und nutzbar zu machen.
  • Sekundardatennutzung = Datenhandel Die Pläne für die zweite Infrastrukur HealthData@eu betreffen die Sekundärdatennutzung im Gesundheitsdatenraum zum Handel mit Gesundheitsdaten.

Die Datenökonomie im Gesundheitsdatenraum beruht auf folgenden Annahmen:

Nach der Entfernung des Namens unterliegt die – nun als anonymisiert geltende Patientenakte – nicht mehr dem Schutz der DSGVO. Den politischen Akteuren dürfte seit der Plagiatsaffären bekannt geworden sein, mit wie wenig Textmaterial man nicht gekennzeichnete Textstellen automatisiert reidentifizieren kann. Krankenakten enthalten viele hundert bis tausend Datenpunkte, die mit der aktuellen Rechnerkraft problemlos einer Person zugeordnet werden können.

Obwohl der Kryptograph Prof. Dominique Schröder das Problem der Anonymisierung laienverständlich und fundiert dargestellt hat, basiert die Legitimation von HealthData@eu allein auf der Anonymisierung…“

Dr. Streit macht auf den vier Seiten seiner Stellungname auf die großen Probleme aufmerksam, die für die sensiblen Gesundheits- und Behandlungsdaten aller Menschen in den 27 EU-Staaten drohen, wenn die Pläne der EU-Kommission wie von ihr geplant nahtlos und ohne Widerstand umgesetzt würden. Lesenswert!

Am Ende seiner Stellungnahme schließt Dr. Streit mit: „Ich lade Sie ein darüber nachzudenken, wie wir als Deutsche und als Europäer die anstehenden sozialen Entwicklungsaufgaben bewältigen können und freue mich über jede Rückmeldung.“

Umfang der Auskunftserteilung nach Art. 15 DSGVO – ein Problem auch bei vielen Krankenkassen

Art. 15 der Europ. Datenschutz-Grundverordnung (DSGVO) enthält grundlegende Regelung zum Auskunftsrecht betroffener Personen bei Stellen, die Daten von ihnen verarbeiten und speichern.

Ihre Krankenkasse hat mehr kritische Daten über Sie, als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften. Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten.

Ein Anfrage-Generator, der vom Verein Patientenrechte und Datenschutz e. V. bereitgestellt wird, hilft dabei, solch eine Anfrage zu erstellen. Mehr als 1.300 Versicherte haben dieses Angebot bisher genutzt und Auskünfte beantragt. Nach Rückmeldungen, die beim Verein Patientenrechte und Datenschutz e. V. eingingen, sind die Auskünfte in einer nennenswerten Zahl von Fällen unzureichend.

In seinem 17. Tätigkeitsbericht zum Datenschutz hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zu dieser Problematik im Abschnitt 5.5.2 (ab S. 42) zu diesem Problem Stellung genommen: Umfang der Auskunftserteilung nach Art. 15 DSGVO – ein Problem auch bei vielen Krankenkassen weiterlesen

Implantateregister – Entzug von Grundrechten 

Am 26.09.2019 hat der Bundestag die Errichtung eines Implantateregisters beschlossen , der Gesetzestext ist hier.

 Neben den bei einem Implantateregister zu erwartenden Meldepflichten für die Hersteller von Implantaten wurden in diesem Gesetz auch die Behandler (im Gesetz als “Gesundheitseinrichtungen bezeichnet) zur Meldung umfangreicher personenbezogener Patientendaten an das Register verpflichtet..
 
Wesentlich ist, dass betroffene Patienten keinerlei Widerspruchsrechte gegen die Weitergabe ihrer Daten haben. Erhält ein Patient einen Implantattyp, der in einer ergänzenden Rechtsverordnung benannt ist, müssen die Behandelnden die Patientenbehandlungsdaten an das Implantatregister melden, wollen sie nicht ihren Vergütungsanspruch verlieren.
Die Rechtsverordnung, die die meldepflichtigen Implantattypen benennt, wurde noch nicht verabschiedet (Stand Mai 2021)
 
Die Behandler melden die Gesundheits- und Behandlungsdaten an die Registerstelle beim Bundesgesundheitsministerium und die patientenidentifizierenden Daten (Name, Geburtsdatum, Krankenversicherungsnummer usw.) an eine Vertrauensstelle beim Robert-Koch-Institut. Diese pseudonymisiert die Identifikationsdaten und gibt sie in dieser Form an die Registerstelle weiter. Durch Umkehrung der Pseudonymisierung sind Patienten also eindeutig re-identifizierbar.
 
Betroffene dieses Gesetzes können nicht nur „neue Implantatträger“ sein.  Wesentlich ist, dass auch jede Behandlung (Explantation) an einem bereits vor Inkrafttreten dieses Gesetzes implantierten Implantat, welches zu den im Gesetz aufgeführten Implantattypen gehört, an das Implantatregister gemeldet werden muss
 
Wesentlich ist, dass jede weitere Behandlung am oder aufgrund des Implantats ebenfalls an das Implantatregister zu melden ist genauso wie Nachsorgeergebnisse, etc. Die Krankenkassen sind verpflichtet, fortlaufend das Überleben bzw. Versterben (“Vitalstatus“) der Implantatträger sowie etwaige Kassenwechsel an die Vertrauensstelle zu melden
 
Sämtliche Daten werden dauerhaft gespeichert. Nach der Gesetzesbegründung ist ein Löschungsrecht der Betroffenen nicht vorgesehen. Die Implantatträger werden so  „dauerüberwacht“ bis zum Tod.
Sollten künftig andere Belange (Forschungs-, wirtschaftliche Interessen) als wichtiger eingestuft werden als der Datenschutz der Betroffenen, so ist eine Umkehrung der Pseudonymisierung und die Verknüpfung der Registerdatensätze mit anderen Datenbeständen (z.B. der Forschungsdatenbank nach dem Digitale-Versorgung-Gesetz) möglich. 
 
Die Registerdaten werden regelmäßig ausgewertet. Die Weitergabe der Auswertungen und der teilweise nur pseudonymisierten Daten erfolgt ebenfalls in regelmäßigen Abständen an Behandler, medizinische Fachgesellschaften, Implantathersteller, Krankenkassen, Bundesinstitut für Arzneimittel und Medizinprodukte und andere.
 
Diese regelmäßigen Auswertungen sowie die Weitergabe der Ergebnisse (und teilweise auch der Daten) aller Implantatträger bis zum Tod kommen der Zwangsteilnahme aller Implantatträger an einer Massenstudie gleich. Somit wird den Implantatträgern das Recht genommen, nicht an einer Studie teilzunehmen
 
Dieser Vereinnahmung können Bürger*innen nur noch entgehen, indem sie entweder nach implantatbezogenen Maßnahmen beim Register nachträglich die Löschung ihrer Daten verlangen (§ 9 Abs. 5 Nr. 3 a ImpG), sich felsenfest auf eine grundrechtsfreundliche Gesetzesauslegung verlassen und bereit sind, dazu einen langwierigen Rechtsstreit zu führen, dessen Chancen zweifelhaft sind – oder – indem sie auf das Implantat verzichten. 
 
Mit diesem Gesetz wurde ein neuer Preis für medizinische Versorgung geschaffen: Medizinische Versorgung gegen Lieferung eigener Gesundheitsdaten 

Abschaffung des informationellen Selbstbestimmungsrechts für Implantatträger

             
Einer Zustimmung des Patienten zur Datenweitergabe bedarf es nicht. Das gesetzlich vorgesehene datenschutzrechtliche Widerspruchsrecht und das Recht auf Einschränkung der Verarbeitung wurden für Implantatträger abgeschafft. 
 
Die weitergegebenen Daten werden dauerhaft gespeichert und ausgewertet und dürfen auch mit anderen Datenbeständen (bisher: bestehende Implantateregister, Daten von den Krankenkassen) verknüpft werden. 
 
Die Daten werden regelmäßig an einen weiten Empfängerkreis (§ 29, 30 IRegG) weitergegeben, wozu auch Medizinproduktehersteller gehören. 
 
Weiter werden auf Antrag Daten für Zwecke der Forschung und Statistik weitergegeben (§31 IRegG). 

Wer ist betroffen / kann betroffen sein ?

 
Im Gesetz sind der Anlage die Implantattypen aufgeführt, für die Daten gemeldet werden müssen: 
  • Gelenkendoprothesen (für Hüfte, Knie, Schulter, Ellenbogen und Sprunggelenk),
  • Brustimplantate,
  • Herzklappen und andere kardiale Implantate,
  • implantierbare Defibrillatoren und Herzschrittmacher,
  • Neurostimulatoren,
  • Cochlea-Implantate,
  •  Wirbelkörperersatzsysteme und Bandscheibenprothesen
  • Stents.
Das Gesetz ist zum 01.01.2020 in Kraft getreten. Jedoch wird erst durch Erlass einer Rechtsverordnung durch das BMG bestimmt, ab welchem Zeitpunkt für welchen Implantattyp Daten an das Implantatregister zu melden sind. Insofern hat der Gesetzgeber hier dem BMG die Ermächtigung erteilt (§37 IRegG), selbst frei (ohne das Parlament) zu bestimmen, ab wann für welchen Implantattyp Daten an das Implantatregister zu melden sind. Ebenfalls auf Grundlage dieser Ermächtigung kann das BMG die Liste der Implantattpen, die durch das Register zu überwachen sind, erweitern.
Nicht geregelt (aber dem Gesetzeswortlaut nach auch nicht eindeutig ausgeschlossen) ist, ob die im Gesetz enthaltene Ermächtigung (§37 IRegG) auch eine Verpflichtung zur rückwirkenden Erfassung und Meldung der Implantate seit dem 01.01.2020 zulässt. In diesem Fall können Implantatträger auch noch nachträglich betroffen sein, nämlich wenn eine Implantatbehandlung der aufgezählten Implantattypen seit dem 01.01.2020 erfolgte und per Rechtsverordnung das BMG die Nacherfassung seit dem 01.01.2020 anordnet.
Definitiv nachträglich betroffen sind jedoch Patienten, die bereits vor dem 01.01.2020 ein Implantat hatten, wenn sie im Zusammenhang mit dem Implantat medizinisch behandelt werden (z.B. Explantation) – auch diese Behandlungdaten werden an das Register gemeldet.
 

Was wird gemeldet / im Implantatregister gespeichert

 
Welche Patientendaten zu melden sind, ist dem Grunde nach in §§ 16 und 17 IRegG angegeben, nämlich:
Der Registerstelle sind zu melden gemäß § 16 Abs. 1 Nr. 2
technisch-organisatorische, klinische und zeitliche Daten zum Versorgungsprozess, wie insbesondere 
  • Daten zur Anamnese
  • implantatrelevante Befunde
  • die Indikationen, 
  • die relevanten Voroperationen, 
  • die Größe, 
  • das Gewicht,
  • die Befunde der Patientin oder des Patienten, 
  • das Aufnahmedatum, 
  • das Datum der Operation,
  • das Datum der Entlassung,
§ 16 Abs. 2 Nr. 4:
  • technisch-organisatorische, klinische, zeitliche und ergebnisbezogene Daten zur Nachsorge und Ergebnismessung.
Durch die Meldepflicht der Anamnesedaten, der „implantatrelevanten“ Befunde und der „übrigen“ Befunde erhalten behandelnde Personen die Möglichkeit, nahezu unbegrenzte Behandlungshistorien zu übermitteln. 
 
Der Vertrauensstelle sind zu melden gemäß § 17 Abs. 1 nach jeder implantatbezogenen Maßnahme diejenigen patienten- und fallidentifizierenden Daten, die für die Zwecke des Implantateregisters nach § 1 erforderlich sind. Zu den erforderlichen patienten- und fallidentifizierenden Daten gehören insbesondere
1.      die einheitliche Krankenversichertennummer
im Sinne des § 290 des Fünften Buches Sozialgesetzbuch oder die andere eindeutige und unveränderbare Identifikationsnummer nach Absatz 3,
2.      das Geburtsdatum der betroffenen Patientin oder des betroffenen Patienten,
3.      das interne Kennzeichen für die Behandlung der betroffenen Patientin oder des betroffenen Patienten,
4.      das bundeseinheitliche Kennzeichen der verantwortlichen Gesundheitseinrichtung nach § 293 des Fünften Buches Sozialgesetzbuch oder ein anderes eindeutiges Kennzeichen und
5.      das Institutionskennzeichen der betroffenen Krankenkasse nach § 293 des Fünften Buches Sozialgesetzbuch, eine vergleichbare Kennzeichnung des betroffenen privaten Krankenversicherungsunternehmens oder eine vergleichbare Kennzeichnung des betroffenen sonstigen Kostenträgers, die eine eindeutige Identifizierung ermöglicht.
 
Der Gesetzgeber hat das BMG weiter dazu ermächtigt, ohne das Parlament durch bloße Rechtsverordnung Art, Umfang und die Anforderung an die zu übermittelnden Datenfestzulegen (§37).
 
Insoweit können hier noch weitere Daten hinzukommen, die zu melden sind. Die Formulierungen in §16 „wie insbesondere“ und in §17 „insbesondere“ zeigen, dass die Aufzählung nicht abschließend und eine Erweiterung durch bloße Rechtsverordnung zulässig sein soll. 
 
Weiter ist von den Krankenkassen fortlaufend der Vitalstatus bzw. Sterbedatum von Implantatträgern der Vertrauensstelle zu melden. Diese Pflicht beinhaltet, dass zukünftig auch bei Krankenkassen Implantatträger gesondert geführt und ausgewertet werden, ansonsten können Krankenkassen dieser gesetzlichen Verpflichtung nicht nachkommen. 

Wo bzw. bei wem wird gespeichert? Wie sicher sind die Daten?

 
Das Implantatregister ist ein Register unter staatlicher Aufsicht. Der Staat hat also Zugriff auf sensibelste Daten der Implantatträger.
Die Implantatträger*innen können im günstigsten Fall, den die Interpretation des IRegG zulässt, vielleicht durch ihr Recht, die Löschung ihrer Daten zu verlangen, ihr Recht auf informationelle Selbstbestimmung in Bezug auf diese Daten wiederherstellen. Auf jeden Fall ist hier der Grundsatz der DSGVO, “Privacy by Design und by Default” (Art. 25 DSGVO) in sein Gegenteil verkehrt. 
 
Gemäß § 9 IRegG ist es Aufgabe der Vertrauensstelle, die gemeldeten Daten anhand der Krankenversicherungsnummer zu pseudonymisieren. Die Vertrauensstelle hat gemäß § 9(4) IRegG eine Wiederherstellung des Personenbezugs der Daten nur gegenüber der Registerstelle und gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte auszuschließen.
Die pseudonymisierten Daten können von der Registerstelle mit den Daten aus der Versorgung der Versicherten durch die Krankenkassen zusammengeführt werden (siehe § 23) . Sie werden diversen Behörden (Krankenkassen, Kassenärztlichen Vereinigungen, Fachgesellschaften) sowie auf Antrag Universitäten für Forschungszwecke anonymisiert zur Verfügung gestellt. Wenn der Zweck ihrer Forschung nur durch pseudonymisierte Daten errreicht werden kann, dürfen auch pseudonyme Daten übermittelt werden. Bei pseudonymisierter Übermittlung muss gewährleistet werden, dass die Patient*innen nicht identifiziert werden können. Behörden dürfen die Daten aber mit eigenen Beständen zusammenführen. Da Gesundheitsdatensätze so individuell sind wie Fingerabdrücke, erlauben oft schon wenige personenbezogene Vergleichsdaten die Re-Identifizierung der Betroffenen. Es bleibt das Geheimnis des Gesetzgebers, wie es möglich sein soll, die Wiederherstellung des Personenbezugs auszuschließen. 
 

Wie oft werden Daten gemeldet

 
Nach Erhalt eines Implantats ist jede gesundheitliche Veränderung dem Implantatregister zu melden sowie nach jeder Kontrolluntersuchung, etc. (§ 16 Abs. 1 Nr. 4) „klinische, zeitliche und ergebnisbezogene Daten zur Nachsorge und Ergebnismessung“.
 
Der „Vitalstatus/Sterbedatum“ muss von den Krankenkassen fortlaufend an die Vertrauensstelle gemeldet werden.
 
Datenmeldungen erfolgen somit dauerhaft bis zum Tod. 

Wie lange werden die Daten gespeichert und verarbeitet

 
Die Daten werden bis zum Tod (und darüber hinaus) gespeichert und verarbeitet.  

Was passiert mit den gemeldeten Daten

 
Die Daten sollen regelmäßig ausgewertet werden, die Daten werden weiter sowohl anonymisiert als auch nur pseudonymisiert einem weiten Empfängerkreis regelmäßig und auf Antrag zur Verfügung gestellt (§§ 4, 11, 29, 30, 31 IRegG).
 
Auch pseudonymisierte Daten sind immer noch personenbezogene Daten, weil diese durch Re-Identifizierung der Ursprungsperson zugeordnet werden können; eine Re-Identifizierung ist im IRegG für bestimmte Fälle zum Schutz der Patient*innen auch ausdrücklich vorgesehen s. § 9 (5).
 
Es genügen nur wenige Daten, die jemand über eine Person hat, um diese Person in einem pseudonymisierten Datenbestand zu finden, z.B. Alter und Wohnorte dieser Person. 
 
Grundsätzlich sollen gemäß IRegG pseudonymisierte Daten nur Personen erhalten, die einer Geheimhaltungspflicht nach § 203 StGB unterliegen. Dieser begrenzte Personenkreis wird im IRegG beliebig ausgeweitet, indem auch Personen, die nicht einer Geheimhaltungspflicht nach § 203 StGB unterliegen, Zugang zu pseudonymisierten Daten erhalten sollen, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet werden, s. §29 (3) und §31 (3).
 
Durch diese Regelung im IRegG kann der Zugang zu pseudonymisierten Daten auf einen beliebig großen Personenkreis ausgeweitet werden 

Staatliche Zwangsmassenstudien?

 
Für alle Implantatträger werden dauerhaft bis zum Lebensende Daten an das Implantateregister gemeldet. Diese diese Daten werden regelmäßig ausgewertet und zur weiteren Verarbeitung weitergegeben, sowohl anonymisiert als auch nur pseudonymisiert. 
 
Die Implantatträger können sich dieser Verwendung als Studienobjekt nicht entziehen.
 
Dies ist besonders für die Medizinproduktehersteller von Vorteil, bekommen sie doch so Daten „frei Haus“, die sie sonst aufwändig und teuer in klinischen Langzeitstudien erheben müssten. 

Gäbe es Alternativen ?

 Auf der Seite des Bundestages[3] heißt es zu den Zielen des IRegG: 
„Mit der Einrichtung eines zentralen Implantateregisters soll die Sicherheit für Patienten verbessert werden. In dem Register sollen künftig Angaben zur Haltbarkeit und Qualität des implantierten Hilfsmittels gespeichert werden. So soll bei Komplikationen oder Rückrufen schneller reagiert werden können. Hersteller müssen ihre Produkte in der Datenbank registrieren.“
 
Um dieses Ziels zu erreichen, ist die Offenlegung von personenbezogenen Daten der Patienten nicht notwendig. Eine datenschutzgerechte Alternative wäre folgendes Verfahren:
 
Die im IRegG enthaltenen Registrierungspflichten der Hersteller bleiben bestehen. Jedes Implantat erhält vom Hersteller eine eindeutige Produktnummer. Der Behandler meldet an das Implantateregister jeweils lediglich die eindeutige Produktnummer nebst einer eindeutigen „Verkaufsnummer“ des Herstellers. So ist die eindeutige Identifizierung jedes implantierten Implantats im Register ohne Offenlegung von Personendaten möglich.
 
Bei Problemen mit Implantaten eines bestimmten Typs, Modells oder Charge werden alle Behandler, die ein solches Implantat als Behandler gemeldet haben, vom Implantateregister informiert so wie es auch jetzt vom IRegG vorgesehen ist (§ 9 Abs. 5 Nr. 1). Dieser wiederum informiert die betroffenen Patienten.
 
Die ganze Zeit bleiben die personenbezogenen Daten, wo sie hingehören, nämlich beim Behandler (Arztpraxis, Krankenhaus). Für die Sicherheit und schnelle Information der Patienten, sind personenbezogene Daten im Implantateregister überhaupt nicht erforderlich. 
Ohnehin ist eine direkte Benachrichtigung der Implantatträger durch das Implantateregister im IRegG überhaupt nicht vorgesehen. Auch dafür sind personenbezogene Daten im Implantateregister also nicht notwendig.
 
Auch für Auswertungen über Implantatprodukte und deren Auffälligkeiten (wie gehäufte Explantationen, etc.) genügen implantat-identifizierende Nummern, personenbezogene Patientendaten braucht man dazu nicht.
 
Dass eine solche (datensparende) Variante eines Implantatregisters zum Schutz der Bürger überhaupt nicht erwogen wurde, zeigt, dass den Verfassern des Gesetzes die Verwendbarkeit der gesammelten Daten von vorneherein wichtiger war als der Grundrechtsschutz der Betroffenen.