Krankenkassen wie die DAK sprechen ganz offen von einer ganz neuen Transparenz. Sie wissen viel über ihre Patienten und die Kundenberater haben diese Information blitzschnell zur Verfügung. Wie weit darf eine Kasse mit ihren Daten gehen?
Die Frage ist: Transparenz von wem für wen. Eine verstärkte Transparenz der Datenverarbeitung der Krankenkassen für die Mitglieder ist dringend nötig. Die Transparenz der Patienten für die Kassen ist dagegen hochproblematisch, da dies deren informationelle und medizinische Selbstbestimmung beeinträchtigen kann. Gegen Markt- und Kostentransparenz für die Kassen ist wenig zu einzuwenden, wenn als Grundlage anonymisierte Daten verwendet werden. Wird aber, wie geplant, jedem Patienten, ein "Morbiditätsindex" als Gesundheits-Score zugeordnet, dann droht diesen hierüber gesundheitliche Diskriminierung. Bei allem Verständnis für Kostenbewusstsein: Eine ausreichende individuelle medizinische Versorgung und der Respekt vor der Privatsphäre und der Wahlfreiheit des Patienten müssen gesetzlich wie faktisch gewährleistet bleiben.
Eine IT-Holding für DAK, IKKn und BKKn zentralisiert die IT von 220 Krankenkassen. Welche datenschutzrechtlichen Bedenken gibt es hier?
Gegen Standardisierung auf einem hohen Datenschutzniveau wäre nichts einzuwenden. Natürlich geht es bei der Zentralisierung aber weniger um mehr Datenschutz als um Kosteneinsparung sowie um die Schaffung einer IT-Infrastruktur, die das Zusammenlegen von Daten bei Fusionen und die stellenübergreifende Auswertung erleichtert. Zugleich wird damit die Verfügbarkeit der Patientendaten erhöht und damit wiederum die Begehrlichkeit nach diesen Daten. Durch technische und organisatorische Sicherungen sowie rigide Kontrollen muss zweckwidrigen Datennutzungen ein Riegel vorgeschoben werden.
Können Krankenkassen mit ihren Daten machen, was sie wollen? Welche Kontrollen von öffentlichen Stellen gibt es?
Informationelle Selbstbestimmung bedeutet, dass die Krankenkassendaten den Patienten "gehören", nicht den Kassen, die damit "treuhänderisch", also besonnen, transparent und vertraulich umgehen müssen. Das SGB V setzt den rechtlichen Rahmen; dessen Einhaltung muss durch Kontrollen der Sozialdatenschutzbeauftragten vor Ort wie durch die unabhängigen Datenschutzbeauftragten kontrolliert werden. Leider haben Letztere nicht ansatzweise die hierfür nötigen personellen Ressourcen.
Welche Hausaufgaben muss ein CIO im Krankenhaus und in Krankenkassen in Hinsicht auf den Datenschutz machen?
Das Zauberwort heißt "Datenschutz-Management" - die Organisation der IT muss von Anfang an nicht nur an Funktionalität, sondern auch an Compliance, also die Vereinbarkeit mit dem Datenschutzrecht und der Datensicherheit ausgerichtet sein. Zu einem solchen Management gehören eine saubere IT-Dokumentation, Tests im Rahmen der Vorabkontrolle vor Systemeinführung, dauernde Mitarbeiterschulungen, ein ausreichend ausgestatteter interner Datenschutzbeauftragter, der regelmäßig Kontrollen und File-Auswertungen vornimmt, ein Änderungs-Management, ein geordneter Umgang mit Betroffenenanfragen und natürlich mit Störfällen. Also: das ist keine triviale Aufgabe.
Die große Vision ist, durch die Gesundheitskarte in ferner Zukunft Zugriff auf persönliche Gesundheitsdaten des Patienten zu haben. Welche rechtlichen Dinge sind geklärt? Welche Bedenken sehen Sie derzeit?
Abgesehen von der reinen Ausweis- und der Rezeptfunktion sind alle weiteren Kartenanwendungen bei der künftigen eGK freiwillig. Dies bedeutet, dass in jedem Fall die Speicherung im Hintergrundsystem oder auf der Karte sowie der Zugriff vom Patienten autorisiert werden müssen. Dies ist so auch vom Gesetz klar geregelt. Es muss technisch umgesetzt werden, was keine einfache, aber eine lösbare Aufgabe ist. Ebenso wichtig ist, die Patientinnen und Patienten mit dem Umgang mit der Karte vertraut zu machen, so dass sie nicht aus Unkenntnis, Nachlässigkeit oder Furcht vor Nachteilen ihre viel weitergehend verfügbaren Medizindaten preisgeben.