Den Auftrag, ein solches Verfahren für die psychotherapeutische Versorgung von gesetzlich versicherten Menschen zu etablieren, hat der Bundestag mit dem am 01.09.2020 in Kraft getretenen Gesetz zur Reform der Psychotherapeutenausbildung erteilt. Bevor das Verfahren möglicherweise bundesweit eingeführt wird, soll es ab 01.01. 2025 in Nordrhein-Westfalen für sechs Jahre erprobt werden. An dem Testlauf müssen alle Psychotherapeut*innen in Nordrhein-Westfalen teilnehmen, die im Rahmen der gesetzlichen Krankenversicherung erwachsene Patientinnen und Patienten behandeln. Eine entsprechende Richtlinie hat der G-BA bereits am 18.01.2024 beschlossen.
Nicht nur den Psychotherapeut*innen, auch ihren Patient*innen werden vom Gesetzgeber Verpflichtungen aufgegeben, die datenschutzrechtlich zweifelhaft sind. Das geht aus einer „Patienteninformation zur Datenerhebung bei gesetzlich versicherten Patienten“ hervor, die der Gemeinsame Bundesausschuss (G-BA) am 27.11.2024 veröffentlicht hat:
- Zunächst wird versucht, eine „Beruhigungspille“ zu verabreichen: „Für die Qualitätssicherung ambulanter psychotherapeutischer Behandlungen – Verhaltenstherapie, Tiefenpsychologische Psychotherapie, Analytische Psychotherapie und Systemische Therapie – werden Daten zu Ihrer Therapie erhoben, zusammengeführt und ausgewertet. Hierbei werden strengste Datenschutz- und Datensicherheitsmaßnahmen beachtet. Diese gewährleisten, dass Ihre Daten so verwendet werden, dass keine Rückschlüsse auf Sie persönlich als Patientin/Patient gezogen werden können.“ (Seite 1)
- Um dann mitzuteilen, dass es für die Datenweitergabe in diesem hochsensiblen Bereich keiner Zustimmung der betroffenen Patient*innen bedarf: „Für die Qualitätssicherung ambulanter psychotherapeutischer Behandlungen werden ab dem 1. Januar 2025 Daten von den psychotherapeutischen Praxen zu den ab dann beendeten Behandlungen erfasst. Die Datenerhebung erfolgt auf Grundlage der Vorgaben des Fünften Buches Sozialgesetzbuch (SGB V), ohne dass eine Einwilligung der Patientin oder des Patienten erforderlich ist.“ (Seite 1)
- „Dabei handelt es sich um Informationen z. B. zur Art der Erkrankung und zu bestimmten wichtigen Schritten im Therapieverlauf… Da die Daten pseudonymisiert werden, sind der auswertenden Stelle… weder Patientinnen/Patienten noch Praxis namentlich bekannt.“ (Seite 2)
- Es folgt die Versicherung: „Rückschlüsse auf Ihre Person sind nicht möglich.“ (Seite 2) Dass dies ein – im Einzelfall – nicht bei der Pseudonymisierung von Daten nicht vollständig ausgeschlossen werden kann, lässt sich erkennen, wenn der Unterschiede der Begriffe Pseudonomisierung von personenbezogenen Daten bzw. deren Anonymisierung beachtet werden. Siehe dazu den Text am Ende dieses Beitrags.
- Auch die betroffenen Patient*innen sollen Auskünfte erteilen: „Für die Patientenbefragung werden Ihre Adressdaten von der Krankenversichertenkarte ausgelesen, um Ihnen einen Fragebogen zusenden zu können. Der Fragebogen wird erst an Sie versendet, wenn Sie Ihre Psychotherapie regulär abgeschlossen haben. Damit Ihre Antworten später ausgewertet werden können, werden einige behandlungsspezifische Daten von Ihrer Psychotherapeutin oder Ihrem Psychotherapeuten benötigt (zum Beispiel Diagnose und Therapieverfahren), die ebenfalls pseudonymisiert verwendet werden. Ihre behandelnde Psychotherapeutin/Ihr behandelnder Psychotherapeut ist gesetzlich dazu
verpflichtet, Ihre Adresse sowie die weiteren behandlungsspezifischen Daten an eine Stelle weiterzuleiten, die den Fragebogenversand durchführt…“ (Seite 2) - Und weiter: „Zudem werden… ab dem 1. Januar 2025 schriftliche Befragungen von Patientinnen und Patienten nach einer abgeschlossenen Psychotherapie durchgeführt und statistisch ausgewertet… Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen (IQTIG) führt die Befragung im Auftrag des Gemeinsamen Bundesausschusses (G-BA) durch. Der einzelnen Psychotherapeutin oder dem einzelnen Psychotherapeuten wird ausschließlich das Gesamtergebnis aus der Befragung ihrer bzw. seiner Patientinnen/Patienten mitgeteilt. Ob und wie einzelne Patientinnen/Patienten geantwortet haben, erfährt sie bzw. er nicht.“ (Seite 2)
- „…bei kleineren Praxen wird jede Patientin und jeder Patient in die Befragung eingeschlossen… Jeder Fragebogen wird mit einer individuellen ID versehen und postalisch an die Patientin bzw. den Patienten versendet, von dieser bzw. diesem beantwortet… Das IQTIG meldet der Versendestelle die Fragebogen-ID der eingegangenen Fragebögen, um das Versenden von Erinnerungsschreiben an die Patientinnen und Patienten zu steuern….“ (Seite 3) Die „Teilnahme an der Befragung ist freiwillig“ (Seite 5). Warum dann Erinnerungsschreiben, die weitere Kosten verursachen und den Druck auf die Betroffenen zur Abgabe des Fragebogens erhöhen.
So weit Anmerkungen zu dieser Datensammelaktion, die einen besonders sensiblen Bereich von Gesundheits- und Behandlungsdaten berühren.
Verwiesen sei ergänzend auf Stellungnahmen
- der Psychotherapeutenkammer NRW und
- des Deutsches Psychotherapeuten Netzwerks – Kollegennetzwerk
Psychotherapie – Berufs- und Interessenverband psychotherapeutisch Tätiger,
die aus fachlicher Sicht weitere Kritikpunkte an diesem Verfahren benennen.
Was bedeuten die Begriffe Anonymisierung und Pseudonymisierung?
Im Alltagsverständnis vieler Menschen wird Pseudonymisierung von personenbezogenen Daten mit deren Anonymisierung gleichgesetzt. Von Befürworter*innen der elektronischen Patientenakte (ePA), aber auch anderer Datensammelaktionen und der damit verbundenen Weitergabe personenbezogener medizinischer Daten an Dritte wird dies häufig vorsätzlich oder fahrlässig genutzt, um Des-Information zu betreiben. Nachfolgend daher Definitionen von Anonymisierung und Pseudonymisierung und die Klärung der wesentlichen Unterschiede beider Begriffe:
„Anonymisierung und Pseudonymisierung sind Maßnahmen des Datenschutzes.
Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Eine vollständige Anonymisierung ist sehr schwer zu erlangen.
Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist ein Code, bestehend aus einer Buchstaben- oder Zahlenkombination) ersetzt, um die Feststellung der Identität des Betroffenen auszuschließen oder wesentlich zu erschweren (für Deutschland siehe § 3 Abs. 6a BDSG bzw. entsprechendes Landesrecht).
Im Gegensatz zur Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, erhalten. Die Pseudonymisierung ermöglicht also – unter Zuhilfenahme eines Schlüssels – die Zuordnung von Daten zu einer Person, was ohne diesen Schlüssel nicht oder nur schwer möglich ist, da Daten und Identifikationsmerkmale getrennt sind. Entscheidend ist also, dass eine Zusammenführung von Person und Daten noch möglich ist. Je aussagekräftiger die Datenansammlung ist (z. B. Einkommen, Krankheitsgeschichte, Wohnort, Größe), desto größer ist die theoretische Möglichkeit, diese auch ohne Code einer bestimmten Person zuzuordnen und diese identifizieren zu können. Um die Anonymität zu wahren, müssten diese Daten gegebenenfalls getrennt oder verfälscht werden, um die Identitätsfeststellung zu erschweren.“ Zitat aus dem Wikipedia-Beitrag „Anonymisierung und Pseudonymisierung“ gemäß der Lizenz CC-by-SA-4.0.
Der Umgang mit pseudonymisierten Daten unterliegt aus den o. g. Gründen der DSGVO. Auf anonymisierte Daten findet die DSGVO keine Anwendung.