Ulrich Kelber: „So schafft man kein Vertrauen“
Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (SPD).
© IMAGO/photothek
Herr Prof. Kelber, wenn etwas im Bereich Digitalisierung in Deutschland schiefläuft, verweisen Verantwortliche gerne auf den Datenschutz: Der verhindere angeblich Fortschritte. Welcher Fall ist Ihnen besonders in Erinnerung geblieben?
Ulrich Kelber: Nach der Flutkatastrophe im Ahrtal 2021 ging es um die Frage, warum die Menschen nicht früher gewarnt wurden. Der damalige Verkehrsminister Andreas Scheuer hat sich hingestellt und gesagt, dass die Regierung gerne „Warn-SMS“ verschickt hätte – also Cell Broadcast nutzen wollte. Aber Datenschützer hätten das verhindert. Ich war ziemlich entsetzt, als ich das gelesen habe.
Warum?
Weil wir Datenschützerinnen und Datenschützer ihm und seinen Vorgängern über Jahre Briefe geschrieben haben, den Unsinn zu lassen, nur auf Warn-Apps wie NINA zu setzen. Die würden nicht zuverlässig genug funktionieren und nicht jeder hat solche Apps. Wir haben stattdessen immer Cell Broadcasting empfohlen. Und dann wird bei dem Thema dreist gelogen.
Vielleicht hatte er sich versprochen?
Nein, das war kein Live-Interview. Das wurde aufgezeichnet und die Textfassung dann durch die Pressestelle seines Ministeriums freigegeben, es war die zentrale Aussage des Interviews kurz nach der Flutkatastrophe. Da bin ich der festen Überzeugung: Das war Absicht und von seinem eigenen Totalversagen in dieser Frage abzulenken.
Im Gesundheitswesen wird auch immer wieder argumentiert, dass der Datenschutz Fortschritte verhindere. Ein Beispiel: das E-Rezept. Die Pilotregionen Westfalen-Lippe und Schleswig-Holstein stiegen mit dieser Begründung aus dem Projekt aus.
In Schleswig-Holstein ging es darum, dass der Kassenärztlichen Vereinigung die beim Start des Projektes vorhandenen Wege zur Einlösung des E-Rezepts – wie Rezeptausdruck mit QR-Code oder Abruf durch die E-Rezept-App – nicht reichten. Man wollte noch Rezepte per unverschlüsselter SMS oder E-Mail senden. Die Datenschutzbeauftragte von Schleswig-Holstein hat dann gesagt: Das ist so, als würde man die Daten per Postkarte schicken. Sie konnte nachweisen, dass Dritte an die Rezeptdaten von Patientinnen und Patienten gelangen könnten und hat darum den Versand per SMS und E-Mail untersagt. Alle anderen Bestandteile des E-Rezeptes hätten weiterlaufen können. Den Ausstieg der Kassenärztlichen Vereinigung daraufhin fand ich enttäuschend, man hat das Gefühl, der Datenschutz wird vorgeschoben.
In Westfalen-Lippe war es etwas anderes: Die Pilotregion wollte einen dritten Weg anbieten, um das E-Rezept einzulösen. Nämlich über die elektronische Gesundheitskarte (eGK). Die Gematik – die Gesellschaft, die für die Digitalisierung des Gesundheitswesens in Deutschland verantwortlich ist – wollte, dass Sie deren vorgeschlagene Lösung dulden. Warum haben Sie die Methode nicht zugelassen?
Wichtig bei so einer eGK-Lösung ist, dass nur die Apotheke Zugriff auf die Rezepte der Person hat, dessen Gesundheitskarte in dem Moment im Lesegerät einsteckt. Aber in der vorgelegten Gematik-Lösung gab es eine Lücke: Man hätte theoretisch mit Hilfe der Krankenkassennummer einer Patientin oder eines Patienten von mehr als 18 000 Stellen in Deutschland seine nicht eingelösten E-Rezepte einsehen können. Diese Lücke hätte alle gesetzlich versicherten Patientinnen und Patienten in Deutschland betroffen. Wir haben eine Absicherung der Lösung vorgeschlagen, bei der sich die Bedienung nicht verändert hätte. Die Kassenärztliche Vereinigung in Westfalen-Lippe war aber nicht bereit, kurze Zeit auf die abgesicherte Version zu warten, und wollte die lückenhafte Methode. Dafür konnten wir unser Einverständnis nicht geben.
Mit den 18.000 Stellen meinen Sie Apotheken. Glauben Sie wirklich, dass Apothekerinnen und Apotheker unsere Rezeptdaten abgreifen wollen?
Wir haben das neutral formuliert und gesagt, dass es 18.000 Stellen plus X für einen unberechtigten Zugriff gibt. Unsere Aufgabe ist, alle vermeidbaren Angriffsmöglichkeiten auch zu vermeiden. Da muss man sich keine Gedanken machen, wer sie ausnutzt oder nicht. In dem Fall gehen wir auch von Gefahren von Personen aus, die nichts mit Apotheken zu tun haben. Wie eine Angreiferin oder ein Angreifer von außen, die oder der in das System eindringt und Daten abgreift. Uns vorzuwerfen, dass wir alle Apothekerinnen und Apotheker in Deutschland kriminalisieren, wenn wir Sicherheitslücken schließen wollen, finde ich unterste Schublade.
Aber auch in Apotheken sehen Sie Gefahren?
Wir reden von einem Zugriffspunkt pro Apothekenbetrieb. Bei vielen Apotheken arbeiten nicht nur eine Apothekerin oder Apotheker, sondern noch weitere Angestellte, Dienstleisterinnen und Dienstleister und andere. Die alle sind mit der gleichen Kennung eingeloggt. In solchen Fällen würde man gar nicht herauskriegen, wer die Täterin oder der Täter ist. Es kann in jeder Berufsgruppe schwarze Schafe geben. Niemand, auch nicht Datenschützerinnen und Datenschützer, sind hundertprozentige Engel. Deswegen gibt es ja einen anerkannten Stand der Technik bei IT-Sicherheit und der sollte bei Gesundheitsdaten auch eingehalten werden.
Welche Gefahren erwarten Sie, wenn Dritte erfahren, welche Medikamente jemand bekommt?
Von vielen Medikamenten ist auf eine bestimmte Krankheit zurückzuschließen, wie psychische, somatische und vor allem chronische Erkrankungen. Hier besteht die Gefahr des Doxxing – also, dass persönliche Daten bewusst öffentlich gemacht werden. Solche Angriffe könnten Prominenten gelten.
Jemand könnte die Daten an Boulevardblätter geben. Aber inwiefern betrifft das nicht-prominente Menschen?
Stellen Sie sich vor, Sie haben eine chronische Krankheit, das wird bekannt und als Folge bekommen Sie keine Berufsunfähigkeitsversicherung, private Risikokapitalversicherung oder ähnliches mehr. Das ist ein konkreter Nachteil. Bei 84 Millionen Versicherten gibt es viele Menschen mit interessanten Gesundheitsdaten, die für andere Wert haben – und für Betroffene absolut schützenwert sind. Aber es gibt einfachste Softwareideen, mit denen man solche Angriffsmöglichkeiten ausschließen kann. Die sind Stand der Technik. Ich mache ja auch nicht nur Haustüren ohne Schlösser und sage: Einbrechen ist verboten und steht unter Strafe, deshalb macht das vermutlich niemand.
Wenn das Stand der Technik ist: Wie konnte es dazu kommen, dass die Gematik Ihnen eine unsichere Lösung präsentiert hat? Die Mehrheit der Gematik gehört dem Gesundheitsministerium. Von denen erwarte ich mehr Kompetenz in dem Bereich.
Wir bieten zumindest an, dass man sich auch über die Grundkonzeption einer Lösung schon mit uns austauschen und sich beraten lassen kann.
Warum wenden sich Verantwortliche nicht früher an Sie?
Da kann ich auch nur spekulieren. Bei Ministerien erkläre ich mir das mit der Arbeitsweise in der Politik: Man schirmt eine neue Idee erst gegenüber anderen ab, klärt das mit direkten Vorgesetzten und irgendwann wird es der Ministerin oder dem Minister präsentiert. So muss dort gearbeitet werden, damit die Idee nicht schon in der Planungsphase in den Medien kritisiert wird. Es ist bei vielen aber nicht angekommen, dass Software- und Projektentwicklung anders laufen. Da kann man nicht einfach sagen: Ich möchte morgen eine neue Lösung haben, die sicher und komfortabel sein soll. Das bekommt man eben nicht in vier Wochen für 84 Millionen Menschen ausgerollt, da braucht man mindestens ein halbes Jahr, oft noch länger.
Ein Projekt, das schon deutlich länger dauert, ist die elektronische Patientenakte: Viele Jahre warteten wir auf eine ePA. Seit 2021 gibt es sie, aber kaum jemand in Deutschland nutzt sie. Jetzt soll die ePA darum als Opt-out-Lösung kommen: Wer sie nicht haben will, muss ihr also aktiv widersprechen. Was halten Sie von diesem Weg?
Datenschutzrechtlich werden wir das Vorgehen noch bewerten müssen, da sind sicherlich eine Reihe der Überlegungen datenschutzkonform umsetzbar. Datenschutzpolitisch halte ich persönlich das nicht für den richtigen Weg.
Warum?
Anfangs hat die Politik den Bürgerinnen und Bürgern gesagt: Die ePA kommt und ihr könnt sie freiwillig nutzen. Nach sehr, sehr langer Verzögerung, die nichts mit IT-Fragen zu tun hatte, kam sie 2021. Allerdings fehlten anfangs Sicherheits- und Datenschutzfunktionen, die seit über zehn Jahre fest vereinbart waren. Es fehlten auch Dinge wie ein Medikationsplan oder eine Notfallakte. Zudem werden in der ePA PDF statt strukturierter Daten gespeichert. Also nutzen sie natürlich nur wenige. Und die Reaktion darauf ist nicht: Wir verbessern das. Sondern: Jetzt führen wir sie erst einmal automatisch für alle ein und ihr müsst Euch darum kümmern, einzuschränken, wer Eure Daten sehen kann. So schafft man kein Vertrauen.
Wer sie nicht will, kann aber widersprechen. Würden Sie den Leuten dazu raten?
Nein, ich habe mich immer für die ePA und für die Digitalisierung im Gesundheitsbereich ausgesprochen. Wichtig war uns Datenschützern, dass man darüber entscheiden kann, wer auf welche der eigenen Daten zugreifen kann. Das ist mit der jetzigen ePA möglich und darum empfehle ich sie. Es gibt aber noch einen Punkt, der mich bei der ePA stört.
Welcher?
Wer sie nutzen kann: Nämlich nur Menschen wie ich, die ein geeignetes Endgerät haben, wie ein Smartphone oder ein Tablet. Es gibt aber Leute ohne so ein Endgerät und Menschen mit besonderen Erkrankungen, die solche Gesundheitsdaten nicht über das offene Internet kommunizieren wollen. Die haben derzeit keine Möglichkeit, auf ihre ePA zuzugreifen, können die Daten nicht einsehen und nicht exakt steuern, wer was sehen darf. Das ist aus meiner Sicht eine Benachteiligung, und darüber streite ich mich mit den Krankenkassen – und vor allem mit dem Gesetzgeber, der das geregelt hat.
Worüber streiten Sie sich?
Darüber, dass diese Menschen andere Möglichkeiten haben müssen, auf ihre ePA zuzugreifen. Zum Beispiel über ein gesichertes Terminal bei ihrer Krankenkasse oder beim Gesundheitsamt, das direkt mit der Telematik-Infrastruktur verbunden ist. Denn auch diese Versicherten müssen prüfen können, ob die richtigen Daten eingetragen wurden und müssen einstellen können, wer auf ihre Daten zugreifen darf.
Zum Thema Forschungsdaten: Vor allem in der Pandemie wurde oft beklagt, dass Kliniken ihre selbst erhobenen Daten nicht verwenden konnten. Stattdessen mussten wir auf Daten aus Israel zurückgreifen. Wie kann das sein?
Das ist Unsinn: Krankenhäuser können natürlich auf alle Daten aus Patientinnen- und Patientenakten oder aus ärztlicher Dokumentation für ihre Zwecke zugreifen. Gerade am Beispiel der Corona-Pandemie möchte ich eine Ärztin, einen Arzt sehen, der nachweist, dass irgendwelche Daten, wie wir sie aus Israel bekommen haben, nach deutschen Datenschutzregeln hier nicht hätten erhoben und verwendet werden können. Das Problem ist ein anderes.
Und zwar?
Dass die Daten gar nicht erhoben und zusammengefasst wurden, anders als in Israel. Man ist noch nicht mal in der Lage gewesen, die Impfdaten zum Robert Koch-Institut zu übertragen, weil sie in gefaxten Excel-Sheets zwischen Gesundheitsämtern und Landesbehörden hängengeblieben sind.
Wie kann es sein, dass Deutschland hier versagt hat?
Es ist eine Besonderheit unseres Systems: mit niedergelassenen und nicht niedergelassenen Ärzten, privaten und staatlichen Kliniken sowie privaten und gesetzlichen Krankenversicherungen. Im Gegensatz dazu steht das System in Israel mit vier gesetzlichen Krankenversicherungen. Und es gibt noch andere Hindernisse.
Welche?
Keine einheitlichen Datenformate, fehlende Interoperabilität zwischen Systemen, fehlende digitale Meldeketten – eben zum Beispiel bei Corona. Außerdem haben wir 16 Landeskrankenhausgesetze mit sich zum Teil widersprechenden Regeln. Die sind vielleicht für jedes Bundesland an sich gut. Aber sobald zum Beispiel ein Bremer und ein niedersächsisches Forschungszentrum zusammenarbeiten sollen, haben sie eine Katastrophe: weil in jedem Bundesland andere Regeln zur Verwendung von Forschungsdaten gelten. Eine Zusammenarbeit mit Instituten und Kliniken außerhalb Deutschlands wird dann schnell unmöglich.
Was schlagen Sie als Lösung vor?
Wir Datenschutzbehörden schlugen schon 2004 vor, alles in einem Forschungsdatengesetz für Deutschland zu regeln. In dem Gesetz stehen nicht nur datenschutzfreundliche Regelungen wie ein Forschungsgeheimnis und ein Re-Personalisierungsverbot. Sondern auch: Diese Daten wollen wir aus Gemeinwohlgründen nutzen und sie werden daher flächendeckend erhoben und pseudonym beziehungsweise anonym zu Forschungszwecke zur Verfügung gestellt.
Warum haben wir dann noch nicht so ein Gesetz?
Ich weiß es nicht. Ob es am Föderalismus oder an anderen Sachen scheitert, kann ich nicht sagen. Zum Glück gibt es jetzt aber konkrete Ankündigungen für ein Forschungsdatengesetz und auch vorbereitende Arbeiten in den entsprechenden Ministerien. Vielleicht kommt man diesmal auch auf uns zu und lässt sich vorher dazu beraten. Nach meinem Wissenstand hat es aber noch keine Anfrage für einen Besprechungstermin gegeben.
Was würden Sie sich von der Politik allgemein zum Thema wünschen?
Eine gut gemachte Digitalisierung und mehr Offenheit für die Digitalisierung. Man sollte aber nicht immer den scheinbar einfachsten Weg nutzen, sondern Digitalisierung und Grundrechte zusammendenken, dabei auf gute Softwarequalität setzen. Das sollte Konsens sein in einer freiheitlichen Gesellschaft.
Herr Kelber, vielen Dank für das Gespräch!
