Im Vorfeld möchte ich klarstellen, dass alles was ich nachfolgend schreibe meiner persönlichen Meinung entspricht und nicht als Stellungnahme Dritter anzusehen ist:

Stell Dir vor in Deutschland bestünden in jedem einzelnen Bundesland eigene Führerscheine einschließlich eigene Prüfungsverfahren und Vorgaben. Und stell Dir weiterhin vor, dass jeder Bürger:in nur dann mit ihrem Führerschein im anderen Bundesland auf den Straßen fahren dürfte, wenn ihr Führerschein vorab formell geprüft und zugelassen werden würde. Jedes Bundesland hat eigene Vorstellungen hinsichtlich der Verkehrsregeln, Fahrprüfungen und Voraussetzungen. Dass die Motivation unter diesen Voraussetzungen sich überhaupt in einer Fahrschule in Deutschland anzumelden nahezu Null wäre, würde kaum überraschen. So absurd dieses Phantasie-Szenario von mir sein mag, im Hinblick auf datenschutzrechtliche Prüfungen ist diese Vorgabe für IT-Dienstleister und für öffentliche Forschungseinrichtungen heute nackte Realität.

In den Medien der Gegenwart liest man immer häufiger, dass Forschende in Deutschland einer Reihe von bürokratisch zu überwindenden Hürden gegenüber. Die formellen Barrieren sind inzwischen so weit ausgewachsen, dass Forschende nicht mehr zu forschen kommen, weil sie damit beschäftigt sind diverse Anträge auszufüllen. Das bekannteste Beispiel aus den aktuellen Medien ist Ankündigung von BioNTech Anfang des Jahres. Das Unternehmen, das den Corona-Impfstoff entwickelt hat, verlagert ein Forschungszentrum nach Großbritannien. Zwar hat BioNTech öffentlich dementiert, sich als Unternehmen aus Deutschland zurückzuziehen, jedoch sollte dies ein alarmierendes Signal für unser Gesundheitswesen sein. Bislang dürfen in Deutschland lediglich Abrechnungsdaten der gesetzlichen Krankenkassen für die medizinische Forschung genutzt werden. Diese Daten bilden jedoch ein sehr unvollständiges Bild über Bürger:innen ab.

Deutschland: eine Datenoase … besonders im Gesundheitswesen

Ähnlich wie manche Länder der Welt als Steueroasen oder Steuerparadiese beschrieben werden, könnte man Deutschland als eine Datenoase beschreiben. Datensparsamkeit steht hier scheinbar an erster Stelle. Selbst, wenn hierdurch neue Erkenntnisse zur Heilung von Krebs oder seltenen Erkrankungen möglicherweise erlangt werden könnten, hat die Datensparsamkeit höchste Priorität. Wobei, na ja! Wir schauen schon ganz gerne auf wissenschaftliche Erkenntnisse anderer Länder, wie beispielsweise Israel und machen sie uns dann selbst zu nutze. Aber wir selbst möchten hierzu bitte keine Daten beisteuern. Deutschland ist quasi ein Daten(loses)paradies.

Erlauben können wir uns einen solch extremen Datenschutz aus ähnlichen Motiven, weshalb sich Steueroase-Länder die Gewinne aus dort angelegtem Vermögen verzichten können. Es gibt noch ausreichend andere Datenquellen in der Welt, die diese Informationen veröffentlichen. Dann drücken wir alle mal die Daumen, dass dies möglichst noch eine lange Zeit so bleibt.

18 Datenschutzbeauftragte gegen 1 Datenanfrage

Gelegentlich tritt der eine oder andere mutige Optimist auf die Bühne, der eine Idee oder ein Forschungsprojekt in Deutschland anstoßen möchte. Erst sobald dieser Utopist offenbart, dass er für sein Vorhaben Daten benötigt, wird klar wie tollkühn sein Ziel in einer so datenschutzbewussten Gesellschaft, wie in Deutschland ist. Schon jetzt dürfte eine solche Person als Held:in anzusehen sein, die eine schwere langwierige Reise vor sich hat. Mir persönlich kommen Bilder aus den berühmten Filmen von Tolkies „Herr der Ringe“-Buchtrilogie in den Sinn, bei denen Frodo sich auf den Weg macht und eine Reise quer durch Mittelerde bis hin zum Schicksalsberg macht. Dabei begegnet er bösartige Orks, Monstern und geisterhaften Wesen aus der Unterwelt die sein Vorhaben zum Scheitern bringen möchten.

In Deutschland sieht man sich zum einen 16 Bundesländer gegenüber, die jeweils eigene Datenschutzgesetze haben. Darüber hinaus gibt es in bundesweit insgesamt 18 Datenschutzbeauftragte. Wie ich auf diese Zahl komme? Mitgezählt habe einerseits den Bundesdatenschutzbeauftragten und andererseits gibt es in Bayern tatsächlich zwei Landesdatenschutzbeauftragte (1 für Privatpersonen, 1 für Organisationen). Damit gibt es 18 staatlich beauftragte Datenschutzbeauftragte in der Bundesrepublik. Addiert man die Landesgesetze hinzu, kommt man auf insgesamt 34 Faktoren, die für eine Datenanfrage berücksichtigt werden müssten, vorausgesetzt man beabsichtigt seine Idee beziehungsweise sein Forschungsprojekt deutschlandweit durchzuführen. Diese Vielfältigkeit an Landesgesetzen und Auslegungen seitens der Datenschutzbeauftragten führt zu einem Flickenteppich der Widersprüchlichkeiten, die letztlich darin mündet, dass das ganze System dysfunktional ist. Und das ist meiner Auffassung nach noch wohlwollend ausgedrückt.

Komplexe Datenschutzregularien treffen auf ein komplexes Gesundheitssystem

Nach gängiger Expert:innenmeinungen gehört gerade das komplex regulierte deutsche Gesundheitswesen zu einem der undurchsichtigsten Bereiche im Datenschutzrecht. Übrigens fordern Anwälte aufgrund der zunehmenden rechtlichen Komplexität – gerade in Deutschland – die Einführung eines neuen Fachanwalts für Datenschutzrecht. Überraschenderweise gibt es einen solchen bis heute offiziell (noch) nicht. Medizinische Forschungsvorhaben sind oftmals bundeslandübergreifend vorgesehen. Hier stellen die Vielzahl der zuständigen Behörden und landesspezifischen Rechtsvorgaben ein Höchstmaß an bürokratischem Aufwand und Rechtsunsicherheit dar. Hier muss man erstmal den Mut haben sich diesen Barrieren zu stellen.

Die bisherigen Regularien haben in den vergangenen 20 Jahren aufgezeigt, dass sie nicht zu einem digitalisierungstauglichen Gesundheitswesen geführt haben. Die bestehenden rechtlichen Vorgaben sowie die Auslegung des Datenschutzes in Deutschland haben zu einer Überregulierung geführt, die kaum noch Durschau- und beherrschbar ist. Anstatt dieses Dickicht aufzulösen, wird mit immer weiteren Gesetzen versucht eine klarere Linie zu erwirken. Ich kriege meinen Keller auch nicht entrümpelt, indem ich noch mehr Krempel dort hineinpacke.

Dieses alte Denkmuster muss durchbrochen werden und durch agilere Methoden in das Gesundheitswesen getragen werden. Digitale-, technische- und juristische Expertise aus dem Gesundheitswesen muss bei der Erarbeitung neuer Gesetzesentwürfe am Tisch sitzen. Gesetzgebungen aus der Vergangenheit erwecken den Eindruck, dass bestimmte Fachgruppen nicht beteiligt waren.

Hilft mehr Datenschutz mehr?

Zusätzlich zu der allgemein geltenden Datenschutz-Grundverordnung (DSGVO) ist ein andauernder Trend zu beobachten, dass gerade im Gesundheitswesen immer weitere bereichsspezifische Datenschutzregelungen im SGB V als Ergänzung eingefügt werden. Gelinde gesagt, macht es überhaupt keinen Sinn solche Gesetzesvorgaben im SGB V zu verankern, denn das SGB V reguliert die Gesundheitsversorgung ausschließlich für gesetzlich Krankenversicherte. Letztlich vernachlässigt man an dieser Stelle die etwa 7 Millionen Privatversicherten in Deutschland. Sollte die Politik nicht in gleicher Weise den Schutz der Gesundheitsdaten von Privatversicherten berücksichtigen?

Und mit jedem neuen Gesetz, dass die Digitalisierung unseres deutschen Gesundheitswesens berührt, neigt die Politik (versehentlich?) dazu weitere komplexe Paragrafen hinsichtlich des Datenschutzes einzufügen, womit die beteiligten Akteure weiter verunsichert werden. Vielleicht besteht in der Politik ein unerschütterlicher Optimismus darin, dass dieses neue Gesetz –  jetzt aber wirklich – alles eindeutig für alle Betroffenen klären wird?

Die meisten von uns wissen, dass „Mehr“ nicht immer mehr hilft. Manchmal ist „Weniger“ die bessere Lösung. In diesem Kontext ist natürlich keineswegs weniger Datenschutz gemeint. Vielmehr würde ich einen „einheitlichen Datenschutz“ für Gesundheitsdaten in ganz Deutschland favorisieren. Weniger spezifische Regelungen könnten erheblich dabei helfen ein gemeinsames Verständnis für den Schutz von Gesundheitsdaten zu entwickeln und dieselbe Sprache zu sprechen, wenn es darum geht, die Forschung und innovative Medizin in diesem Land digital zu unterstützen.

Ideen? Forschungsprojekte? Ja, gerne! Aber bitte ohne Daten!

Vermutlich müssen anderen Staaten unsere Debatten- und Regulierungsfetischismus karnevalistisch erscheinen. Hier kann ich nur meine Bewunderung für den Mut der Entrepreneure zum Ausdruck bringen, die sich trotz dieser vielen Herausforderungen dazu aufraffen können, um sich durch dieses Dickicht an Hindernissen durchzuschlagen. Der Weg ist sehr steinig und vermient und es bedarf einen langen Atem unter Beweis zu stellen. Dabei sind Informationen, bestehend aus Daten, für die Schaffung von neuen Produkten (zum Beispiel: Medikamente, Therapien etc.) oder für die Erschließung neuer bisher unerkannter Zusammenhänge in der medizinischen Forschung (beispielsweise bei Krebspatienten) unvermeidbar, ja sogar logisch. Wie kann man schnellen Fortschritt in der Medizin erwarten, wenn man diese vorhandenen Informationen ignoriert? Ohne Daten geht es nicht!

Mehr Ressourcen in die Harmonisierung der Datenschutzregularien stecken

Digitaler Föderalismus mit unterschiedlichen Technologien, Gesetzen, Organisationsstrukturen und Ziele funktioniert im Gesundheitswesen (und wahrscheinlich in vielen anderen Branchen) nicht. Das haben uns die letzten 20 Jahren gezeigt! Standardisierung und Plattformen sind ein wesentlicher Treiber für die weltweite sich verbreitende Nutzung des Internet. Will man einen ähnlichen Effekt in Deutschland für ein digitales Gesundheitswesen erreichen, müssten die unterschiedlichen „Spielregeln“ der 16 Bundesländer so weit harmonisiert werden, dass IT-Hersteller, Selbstverwaltungen und Politik endlich dieselbe Sprache sprechen! Man könnte quasi ein „Telematikinfrastruktur-Plattform-Gesetz“ für die Digitalisierung des Gesundheitswesens in ganz Deutschland entwickeln!

Verbleibende rechtliche Fragen, die im einem bundesweit einheitlichen Gesetz offengeblieben sind, sollten durch eine einzige Institution auf Bundesebene geklärt werden können. Wir sollten von den ewigen Differenzierungen von Behörde zu Behörde oder von Landesgesetz zu Landesgesetz in Sachen Digitalisierung verabschieden. Innovatoren und Forscher können kaum mit unterschiedlichen Bewertungen von 18 Datenschutzbeauftragen für ein und denselben Sachverhalt arbeiten. Im Gegenteil, dieser Fakt verschärft sogar neben den unterschiedlichen Landesgesetzen zusätzliche die Rechtsunsicherheit. Zwar hat man hinsichtlich seines Anliegens von der Behörde A die Rückmeldung erhalten, dass keine Bedenken bestehen, aber Behörde B hat wiederum erhebliche datenschutzrechtliche Bedenken, während Behörde C nur unter Vorbehalt zustimmt, sofern noch die Nachweise X und Y zu dem Projekt nachgereicht werden und so weiter…. Wir müssen aufhören diese Fachleute immer mehr Steine in den Weg zu legen. Dürfen wir an dieser Stelle wirklich empört diese Fachleute dafür verurteilen, dass sie ihre Ideen in der Forschung und Innovation in anderen Staaten realisieren möchten?

Ob es uns gefällt oder nicht: Der Forschungsstandort Deutschland steht im Wettbewerb mit anderen Ländern

Bekanntermaßen sieht es derzeit nicht so gut aus für die Zukunft der deutschen Forschung im Allgemeinen. Dabei findet durchaus ein kontinuierlicher länderübergreifender Austausch von Wissenschaftlern zwischen Deutschland und Ländern, wie die USA, Großbritannien und der Schweiz statt. Tendenziell ist die Bilanz der in Deutschland verbleibendenden Wissenschaftler jedoch eher negativ. Das bedeutet forschende Wissenschaftler werden für uns zunehmend zu einer raren Ressource. Zu diesem Schluss kommt die Datenbank „Scopus“, die rund 25.000 wissenschaftliche Publikationen aus dem Zeitraum von 1996 bis 2020 ausgewertet hat. Daneben sind die allgemeinen Geldausgaben für Forschung und Entwicklung in Deutschland rückläufig.

Datenschutz oder Datenschatz – Das ist hier die Frage!

Der Datenschutz in Deutschland wird nahezu einseitig interpretiert und der Fokus auf Datensparsamkeit gelegt. Diese Auslegung hemmt die Motivation für neue Ideen und schafft Unsicherheit für die Forschung und Entwicklung. Dabei möchte Datenschutz keine Daten schützen! Vielmehr soll mit der DSGVO die individuellen Grundrechte und -freiheiten von Bürger:innen gestärkt werden. So wird der Bevölkerung in der EU das Grundrecht auf informationelle Selbstbestimmung eingeräumt, was konkret bedeutet, dass jede:r eigenständig entscheiden kann, welche personenbezogenen Daten wann von wem genutzt werden dürfen. Datenschutz bedeutet an keiner Stelle, dass mit personenbezogenen Daten prinzipiell niemals gearbeitet werden darf! Bei Daten ohne jeglichen Personenbezog ist es ohnehin einfacher, denn diese unterliegen noch nicht einmal einem Datenschutzrecht.

Nun wäre ein Gesundheitswesen ohne personenbezogene Daten nicht möglich, deshalb müssen hier datenschutzrechtliche Vorgaben als Spielregeln eingehalten werden. Daher regelt die DSGVO gesetzliche Erlaubnistatbestände, wie zum Beispiel für die Gesundheitsversorgung durch medizinisches Personal, die ohnehin per Gesetz Berufsgeheimnisträger sind. Das bedeutet, dass Ärzte, Zahnärzte oder Psychologische Psychotherapeuten personenbezogenen Daten durchaus berechtigt sind diese Daten zu nutzen. Ja, meistens sind die Daten sogar zwingend notwendig, damit eine Behandlung überhaupt durchgeführt werden kann.

IT-Unternehmen, Medizinprodukte-Hersteller oder Pharmaunternehmen sind selbstverständlich keine Berufsgeheimnisträger und zählen auch nicht direkt zur Gesundheitsversorgung, die in der Behandlung von Patienten geschieht. Diese Akteure sind für die Verarbeitung personenbezogener Daten stets auf eine Einwilligung von Bürger:innen angewiesen. Und selbst diese Einwilligung steht immer auf wackeligen Füßen, da sie gemäß der DSGVO jederzeit widerrufen werden kann.

Wir brauchen einen menschenzentrierten Datenschutz!

Natürlich existieren da draußen böse Menschen, die mit illegal abgegriffenen Gesundheitsdaten Geld verdienen möchten, indem sie beispielsweise umfassende Gesundheitsprofile erstellen, die wiederum in der Privatwirtschaft dazu genutzt werden können um uns gewisse Dinge zu verkaufen oder Versicherungsschutz zu verweigern. Diese Risiken bestanden und bestehen bis heute noch immer und werden auf in Zukunft weiterhin bestehen. Die digitale Verfügbarkeit von Gesundheitsdaten kann diese Chancen und Risiken in beide Richtungen erheblich verstärken. Deshalb ist ein wirksamer Datenschutz notwendig, aber auch technische Vorkehrungen im Sinne von Datensicherheit soll einen missbräuchlichen Zugriff vermeiden. Sollten Unbefugte das Datenschutzrecht missachten und sich trotz der technischen Barrieren Daten stellen und für fragwürdige Zwecke nutzen, müssen hierfür angemessene finanzielle aber auch strafrechtliche Konsequenzen folgen. Dieses Risiko werden wir trotz aller rechtlichen, organisatorischen und technischem Maßnahmen niemals komplett eliminieren können. Das sollte jedem klar sein.

Angst ist kein guter Ratgeber! Auch beim Datenschutz!

Ein Sprichwort, was auch an dieser Stelle seine zeitlose Gültigkeit beweist. Wir sollten und dürfen uns nicht von Ängsten und Bedenken abhalten lassen den Weg des medizinischen Fortschritts durch die Verarbeitung von Gesundheitsdaten weiterzugehen. Es darf nicht sein, dass die Nutzer:innen, die mit diesen Gesundheitsdaten einen gesellschaftlichen Mehrwert generieren können, aufgrund unserer Ängste von ihrer Arbeit abgehalten werden. Und noch viel unmoralischer wäre es, dass aufgrund unseres Zögerns Menschen, die evtl. durch neue Erkenntnisse aus diesen Daten mit einer neuen Therapie besser behandelt hätten werden können, oder sogar das Leben gerettet werden können. In unseren Überlegungen muss das menschliche Recht auf Unversehrtheit mehr Gewichtung eingeräumt werden, als die Risiken. Für einen „echt“ kranken Menschen, der mit den aktuellen medizinischen Mitteln keine Aussicht auf Heilung hat, ist der Datenschutz mit hoher Wahrscheinlichkeit weniger von Bedeutung.

Datenschutzbehörden sollten weniger Mahnen und mehr helfen

Sofern keine offensichtlich unzulässige oder missbräuchliche Datenverarbeitung erkennbar ist, sondern Unternehmen schlichtweg Fehler machen, sollten Datenschutzbehörden ihre Unterstützung anbieten, wie das Vorhaben datenschutzkonform umgesetzt werden kann. Datenschutzbehörden werden öffentlich noch viel zu sehr als mahnende Disziplinarbehörde wahrgenommen, mit der man am besten so wenig Kontakt wie möglich hat. Sie sollten vielmehr als unterstützende „Datenschutz-Lotsen“ wahrgenommen werden und nicht als Hürde, die man gezwungenermaßen überwinden muss. Ich bin davon überzeugt, dass dies der Zusammenarbeit zwischen Wissenschaftlern, Unternehmern und Datenschutzbehörden guttun würde.

Selbstverständlich gilt es dabei nicht naiv gegenüber den eigenen Interessen der anfragenden Akteure aus der Privatwirtschaft oder der Forschung gegenüberzutreten. Doch das pauschale unsichtbar über Forschungsinstitute und Entwicklung von neuen Produkten schwebende Narrativ „Ihr möchtet personenbezogenen Daten auswerten, also Ihr euch daran definitiv bereichern oder habt irgendetwas schrecklich Diskriminierendes vor“ ist aus meiner Sicht unangemessen. So wird konstruktive Zusammenarbeit und gesellschaftlicher Fortschritt ausgebremst.

Fazit:

Eine wesentlich bessere Voraussetzung für die Digitalisierung des Gesundheitswesens wären bereits stark digitalisierte öffentliche Verwaltungen. Hier muss Deutschland erheblich mehr Tempo machen, damit das stark regulierte deutsche Gesundheitssystem darauf sicher aufsetzen kann. Dies haben die Erfahrungen aus anderen Ländern gezeigt. Erst digitalisiere ich die öffentliche Verwaltung, dann das Gesundheitswesen.

Zwar werden Verbände und Selbstverwaltungen routinemäßig um Stellungnahme zu den Gesetzen gebeten, allerdings scheint dies aufgrund der starken (und legitimen) interessengeleiteten Rückmeldungen nicht der ideale Weg zu sein. Vielleicht wäre hier ein Gremium aus Bundesvertretern der Selbstverwaltungen in der Sache zielführender?

Datenschutz ist gut und essenziell für unsere Gesellschaft. Doch er darf nicht von Schlüsselakteuren dazu missbraucht werden, um alte Regularien unverändert aufrecht zu erhalten und Chancen auf Fortschritt hemmen. Selbst, wenn wir in Deutschland unser anstrengendes Verständnis von Datenschutz weiter ausleben, sollte uns eine Sache klar sein: Schlimme verwerfliche Dinge mit Daten passieren sowieso, egal wie viel wir uns um Datenschutz bemühen.

Wenn wir unser zu Hause durch Spezialschlösser, Videokameras, Alarmanlagen oder strengere Strafgesetze zusätzlich absichern, kann es hilfreich sein, es wird jedoch niemals dazu führen, dass keine Einbrüche mehr geschehen. „Die große Kunst“ ist vielmehr, dass es uns trotz dieser Sicherungsmaßnahmen gelingt immer noch ein für uns schönes und gemütliches Heim zu bewahren. Vielleicht sollten wir uns für die Digitalisierung des deutschen Gesundheitswesens mehr auf „die große Kunst“ der Schaffung von Mehrwerten konzentrieren, als uns vor lauter Bange vor dem Datenschutz selbst im Wege zu stehen.

Einzelnachweise

• ZEW – Leibniz-Zentrum für Europäische Wirtschaftsforschung GmbH Mannheim: Pressemitteilung „Bürokratie und Datenschutz gefährden Innovationsstandort Deutschland“
• Bundesbericht Forschung und Innovation: Interaktive Diagramme für Forschung und Entwicklung
• Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.: Infoletter Demografische Forschung – Seite 3 – Ab- und Zuwanderung von Forschenden: Negative Bilanz für Deutschland 
• 2019 Anwaltsblatt: Kommt der Fachanwalt für Datenschutz?