Vor seiner politischen Karriere war Jens Spahn Pharmalobbyist. Als Bundesminister bleibt er seinen Wurzeln treu und legt sich mit Vehemenz für die Interessen der kommerziellen Gesundheitswirtschaft ins Zeug. Dafür schickt er Gesetze in Serie auf die Reise, die einen großen gemeinsamen Nenner haben – die Verwertung von Patienten- und Versichertendaten zu Profitzwecken. Beispielhaft dafür ist das Digitale-Versorgung-Gesetz, das der Chef des Bundesgesundheitsministeriums (BMG) gerade per Verordnung konkretisiert hat. Mit dem Ergebnis: Die informationelle Selbstbestimmung gerät noch heftiger unter Beschuss. Eine Luxusvilla ist das allemal wert. Von Ralf Wurzbacher.

Dieser Beitrag ist auch als Audio-Podcast verfügbar.

Podcast: Play in new window | Download

Jens Spahn ergreift die Flucht. Raus aus dem weltoffen-bunten Schöneberg, rein ins spießig-hermetische Dahlem, wo sich in Berlin die Wohlbegüterten vom gemeinen Volk distinguieren. Im Kiez waren die Nachbarn zuletzt aber auch wirklich gemein, wie RTL aus seinem Umfeld erfuhr. Von „ständigen Kontaktaufnahmen“ fühlten sich der CDU-Promi und sein Ehemann Daniel Funke „gestört und eingeengt“. Mehrmals sogar habe man sie in den vergangenen Wochen vor der Haustür angesprochen und dabei „seien nicht immer positive Worte gefallen“. Was liegt da näher, als auf Abstand zu gehen, gerade in Zeiten von Corona.

Den Schutz seiner Privatsphäre lässt sich der Bundesgesundheitsminister dabei einiges kosten. 4,125 Millionen Euro sollen laut Kaufvertrag für die Nobelvilla aus den 1920er Jahren fällig werden, dazu könnte noch ein stattliches Sümmchen für die Renovierung kommen. Fernab der Berliner Trubelmeilen, inmitten von viel Grün und bei 300 Quadratmetern Wohnfläche winken demnächst aber allerhand Platz und Ruhe, um für und unter sich zu sein. Und wenn doch mal Gäste da sind und lästig werden, kann sich das Paar immer noch in den vorhandenen Tresorraum zurückziehen.

Luxus im Corona-Notstand?

Warum der Zynismus? Nein, es geht nicht darum, in eine Neiddebatte einzustimmen. Zumindest solange sich die nicht ums liebe Geld dreht. Die Frage, wie Spahn bei monatlichen Bezügen von 25.000 Euro und Burda-Cheflobbyist Funke die Immobilie finanzieren, soll nicht weiter interessieren. Nur so viel: Für ihrer beider Lebensabend wird vorgesorgt sein, solange sie selbst mit ihrem Tun weiter dafür sorgen, dass es bestimmten Interessengruppen gut und immer besser gehen wird.

Eine Randnotiz soll auch bleiben, dass der Vorgang just in eine Zeit fällt, in denen zahllose von Spahns „lieben Mitbürgern“ pandemiebedingt Not leiden und er als Wegbereiter eines monatelangen Lockdowns dafür eine Mitverantwortung trägt. In dieser Situation würde es dem Minister gut zu Gesicht stehen, die ein oder andere Wutbekundung aus der Nachbarschaft auszuhalten, statt gleich das Weite zu suchen und sich in einer Trutzburg zu verschanzen. Auch deshalb geschieht ihm ein bisschen schlechte Presse durchaus recht.

Vollends verdient hätte er die aus einem anderen Grund: Während Spahn seinen Anspruch auf Privatheit gegen die Zudringlichkeiten von außen unter Einsatz von Geld und Einfluss demonstrativ behauptet, lässt er mit Blick auf die Persönlichkeitsrechte seiner Wähler und Nichtwähler alle Rücksichten sausen. Seit er dem Bundesgesundheitsministerium (BMG) vorsteht, hat der 40-Jährige eine regelrechte Kanonade an Gesetzesinitiativen gezündet, die allesamt darauf zielen, die Daten von Millionen Patienten und Versicherten interessierten Dritten, insbesondere aus der kommerziellen Gesundheitswirtschaft, zuzuführen.

Der Dammbrecher

Um nur ein paar Etappen seines Feldzuges zu nennen: Das „Implantateregister-Errichtungsgesetz“ (EIRD), das Digitale-Versorgung-Gesetz (DVG), das Terminservice- und Versorgungsgesetz (TSVG), das Patientendaten-Schutz-Gesetz (PDSG) mit seinen Regelungen zur sogenannten elektronischen Patientenakte (ePA), das Patientendaten-Schutz-Gesetz (PDSG), nicht zuletzt das zweite Pandemieschutzgesetz, mit dem allein 18 weitere Gesetze eine Neufassung erhielten. Ausnahmslos werden mit all diesen Neubestimmungen unter dem Label „Innovation“, „Sicherheit“ und „Qualität“ Zugriffe auf massenhaft sensible Daten argloser Menschen legalisiert.

Allein im Falle des im November 2019 vom Bundestag verabschiedeten und zum 1. Januar 2020 in Kraft getretenen DVG betrifft dies: Alter, Geschlecht, Wohnort, sozioökonomische Faktoren zur Analyse (…) von Nutzerpräferenzen bestimmter Versicherungsgruppen, Informationen und Abrechnungsdaten zu ambulanten und klinischen Behandlungen, durch Hebammen oder andere Leistungserbringer, Anzahl der Versichertentage, die Krankengeldtage, Angaben zu Diagnosen und ärztlichen Zweitmeinungen und noch manches mehr.

Wie das Onlinemagazin Telepolis im Vorfeld der Beschlussfassung berichtete, ist das Gesetz in vielerlei Hinsicht bahn- beziehungsweise dammbrechend, weshalb es hier schwerpunktmäßig behandelt wird. Das ganze Paket umfasst mehrere neue Bestimmungen, etwa zu Gesundheitsapps auf Rezept, zu Videosprechstunden oder zum Ausbau der Telematikinfrastruktur. Die gravierenden Punkte sind aber andere: Zum Beispiel sieht es vor, dass die gesetzlichen Krankenkassen mit gewinnorientierten Unternehmen kooperieren und sich durch Erwerb von Anteilen an Investmentfonds direkt an der Entwicklung und Erprobung von digitalen Medizinprodukten beteiligen können. Außerdem sollen Digitalprodukte ohne Nachweis eines medizinischen Nutzens und ohne ärztliche Indikationsstellung von den Krankenkassen selbst verordnet und in einer Erprobungsphase an Versicherten getestet werden dürfen – das immerhin nur mit deren Einwilligung.

Keine Widerrede beim Datenklau

Wo privat und öffentlich so verschwimmen, ist es um die (informationelle) Selbstbestimmung des Einzelnen schlecht bestellt. Deshalb ist dann auch Schluss mit Freiwilligkeit, wo es um die Daten der Versicherten geht. Die Kassen können diese ohne Rücksprache sowohl für eine versichertenbezogene zielgerichtete Bedarfsanalyse auswerten als auch an ein neues staatliches Forschungszentrum weitergeben, das für die endgültige Zulassung der fraglichen „Innovationen“ zuständig ist. Hier können die Daten wiederum ohne Widerspruchsrecht zu vielfältigen Zwecken verarbeitet und auf Antrag einer ganzen Reihe von Interessengruppen, sogenannten Nutzungsberechtigten, zugänglich gemacht werden. Dazu zählen Hochschulen, außeruniversitäre Forschungsinstitute, die Kassenärztlichen Vereinigungen, Ärztekammern, die Krankenkassen selbst, Organisationen für Gesundheitsberichterstattung und sämtliche anderen öffentlichen Einrichtungen, die im Gesundheitssektor tätig sind. Die Zahl der zugriffsfähigen Stellen summiert sich so auf mehrere Dutzend.

Natürlich beteuern die Verantwortlichen, dass es bei all dem sicher zugeht und sich keiner sorgen müsse, anhand der Daten „enttarnt“ zu werden. Bei der Verarbeitung und Weiterleitung setzen die Macher allerdings auch auf die von Kritikern beargwöhnte Methode der Pseudonymisierung. Wie etwa Netzpolitik.org schrieb, genügten schon wenige Merkmale, um die Informationen einer Einzelperson zuzuordnen und den Betroffenen so zu re-identifizieren. Das gelte insbesondere bei niedrigen Fallzahlen wie etwa seltenen Krankheiten. Zudem verwies das Portal auf Beispiele, bei denen das Verfahren bereits überlistet werden konnte, sei es bei Kreditkarten oder der Browserhistorie beim Surfen im Internet.

In einer Anhörung zur Gesetzesvorlage empfahl seinerzeit der Kryptografieexperte Dominique Schröder von der Universität Erlangen-Nürnberg, einzig mit verschlüsselten Daten nach dem Verfahren der Anonymisierung zu arbeiten. Daraus wurde nichts. Inzwischen hat Spahn die Regelungen des DVG durch Erlass der sogenannten Datentransparenzverordnung (DaTraV) vom 19. Juni konkretisiert. Nach deren Wortlaut kann das Forschungsdatenzentrum Dritten durchaus „pseudonymisierte Einzeldaten“ zugänglich machen, wenn dies für einen „zulässigen Nutzungszweck“ erforderlich sei. Formuliert ist dies als einer von drei Regelfällen, und nicht mehr als Ausnahmefall, wie die ursprüngliche Sprachregelung lautete. Vor allem straft sich Spahn damit selbst Lügen. Am Tag der Beschlussfassung des Gesetzes im Parlament am 7. November bekräftigte er in seiner Rede, die Daten würden „gegenüber denen, die damit forschen, immer anonymisiert zur Verfügung“ gestellt.

Gegen alle Kritik

Außerdem ordnete der Minister an, dass der Umfang der zu verarbeitenden und weiterzureichenden Daten noch einmal massiv erweitert wurde, in einem Maße, dass ein Re-Identifizierungsrisiko nicht mal mehr in Abrede gestellt wird. Die Gefahr solle lediglich „minimiert“ werden und dies auch nur „unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens“, liest man in der Verordnung. Dabei hatte im Vorfeld eine Vielzahl an Verbänden vor einem Daten-Overflow gewarnt, darunter die Kassenärztliche Bundesvereinigung, die Bundesarbeitsgemeinschaft der Patientenstellen und -Initiativen (bagp) oder der Deutsche Gewerkschaftsbund (DGB).

Selbst der Bundesrat äußerte im Gesetzgebungsprozess zum DVG schwerste Bedenken angesichts „erheblicher Risiken für die Persönlichkeitsrechte der Versicherten“ und von Gefahren der „Diskriminierung“ durch „individuelle Gesundheitsprofile“. Das half nichts, weil die Länderkammer nicht zustimmungspflichtig war. Zuletzt hatte im Juni auch die Gesellschaft für Informatik (GI), als die DaTraV noch als Entwurf vorlag, eindringlich gemahnt:

„Der Zugriff auf die Datenbestände der Versicherten ohne jegliche Beschränkung und Kontrolle stellt eine enorme Bedrohung für alle persönlichen und personenbezogenen Gesundheitsdaten dar.“ Auch konstatierte man, „dass das BMG an einem Dialog mit der Fachöffentlichkeit nicht ernsthaft interessiert ist“.

Wie Telepolis in der Vorwoche im siebten Teil seiner lesenswerten Serie „Mit Vollgas gegen den Datenschutz“ enthüllte, hat sich die Gefahrenlage für die bundesweit 73 Millionen gesetzlich Versicherten inzwischen noch einmal drastisch verschärft. Wie oben beschrieben, soll das zu schaffende zentrale Datenforschungszentrum die Daten etlichen öffentliche Stellen zur Verfügung stellen können. Diese Nutzungsberechtigten selbst sollen die Daten nur nach Genehmigung eines gesonderten Antrags weitergeben dürfen. Gleichwohl bestimmt das DVG vom Grundsatz, „die Nutzungsberechtigten dürfen die (…) zugänglich gemachten Daten nicht an Dritte weitergeben.“

Schlupflöcher und Einfallstore

Dieser Passus findet sich in Spahns Verordnung nicht mehr. Vielmehr heißt es dort jetzt, eine Datenverarbeitung durch Dritte „für andere Zwecke als die der Beratung (ist) ausgeschlossen“. Damit könnte aus einem kleinen Schlupfloch ein Einfallstor für Fremdinteressen werden, abhängig von den Maßstäben, nach denen das Forschungszentrum eine Genehmigung ausspricht oder nicht. Allein der Begriff „Beratung“ verspricht große Auslegungsspielräume. Wie man beispielsweise aus dem Verteidigungs- und dem Verkehrsministerium weiß, haben dort „Berater“ schon allerlei Gesetze geschrieben. Und wenn sich neuerdings Krankenkassen mit Startups zusammentun dürfen: Was könnte da nicht alles unter „Beratung“ subsumiert werden?

Auch der DGB „sieht in diesem Erfordernis keinen ausreichenden Schutz vor einer Verwendung der Daten zu anderen als den angegebenen Zwecken“, wie er in einem Positionspapier vom Mai festhielt. In diesem Zusammenhang monierte der Gewerkschaftsdachverband ferner, dass eine „bloße Selbstverpflichtung“ des Antragsstellers nicht genüge, die Richtigkeit und Angemessenheit der Datenverwendung sicherzustellen. So nämlich steht es in Spahns Verordnung. Getoppt wird das noch durch den Sanktionsmechanismus im Falle von Zuwiderhandlungen. Dann nämlich droht ein Klaps mit dem Wattebausch, in Form eines „bis zu“ zweijährigen Datenentzugs. Danach darf der Missetäter wieder ran an den Futtertrog.

„Dritte“ können mitunter alle sein, die auf dem Gesundheitsmarkt forschen und Geschäfte machen, die Pharmabranche, die Medizintechnikindustrie, Startups mit ihren Digitalverheißungen, Onlineapotheken, Privatversicherer et cetera. Dem DGB schwant deshalb Schlimmes, weshalb er in seiner Stellungnahme forderte, „den Kreis der zur Datenverwendung in Frage kommenden Dritten im Voraus auf öffentliche, den Sozialversicherungsträgern angehörende oder nicht gewinnorientierte Akteure und Institutionen zu begrenzen“. Freilich folgte Spahn dem guten Rat nicht, um statt dessen exakt die Richtung einzuschlagen, den die CDU-CSU-Fraktion im Dezember 2019 in einem Konzeptpapier aufgezeigt hatte.

Angriff auf Selbstbestimmung

Darin wird eine Debattenkultur bejammert, „die hierzulande selten chancengetrieben, gern und oft aber risikobeschwert geführt wird“. Gegen die vermeintliche Misere verschreiben die Autoren: Daten, Daten, Daten. Und versprechen kaum weniger als die Befreiung der Menschheit von Krankheit, Kummer und Leid. Zitat: „Daten können Leben retten.“ Als Antreiber soll selbstredend die kommerzielle Wirtschaft vorangehen:

„Zum einen, um Erkenntnisse, die aus dem Datenschatz gewonnen werden, zügig zum Patienten und in die Anwendung zu befördern; zum anderen wegen des Standortpotenzials für die Gesundheits- und Gesamtwirtschaft.“

Das Credo der Unions-Fraktion: Qualitativ hochwertige Daten „made in Germany“ müssten „zu einem Alleinstellungsmerkmal unseres Gesundheitswirtschafts- und Forschungsstandortes werden“. Ein Lob findet sich in dem Text auch: „Gesetzgeberisch wurden Digitalisierung, Versorgung und Forschung zuletzt in immer höherer Taktung zusammengedacht.“ So soll es weitergehen, was in der Ansage mündet: „Für das Digitale-Versorgung-Gesetz II fordern wir, in Deutschland ansässige forschende Unternehmen der Gesundheitswirtschaft in den Kreis der Antragsberechtigten für das Forschungsdatenzentrum nach § 303e SGB V aufzunehmen.“

Ganz so klar steht es zwar nicht in Gesetz und Verordnung. Gleichwohl erhalten die in der Gesundheitswirtschaft tätigen Unternehmen und Konzerne damit wenigstens schon einmal mittelbaren Zugriff auf die Daten von Millionen ahnungslosen Bürgern, um daraus Profit zu schlagen. Und was noch nicht ist, kann ja noch werden auf dem Weg zu einer umfassenden – totalitären – Digitalisierung des Gesundheitswesens – alles zum Wohle der Menschheit, versteht sich. Ein Garant dafür ist Spahn selbst, seit dessen Inthronisierung der Frontalangriff gegen die Selbstbestimmung von Patienten und Versicherten mit einer überfallartigen Intensität als gewaltiges PR-Manöver und zuletzt noch befeuert durch die Triebkräfte der Corona-Pandemie geführt wird.

Vom Lobbyisten zum Erfüller

Das alles folgt einem großen Plan und einer perfiden Kommunikationsstrategie. Telepolis diagnostizierte eine „gezielte Überforderung der Medien durch einen täglichen Tsunami an neuen einzelnen Informationsschnipseln aus dem Gesundheitsministerium mit dem Ergebnis, dass selbst für kritische Journalisten die dahinter liegenden Zusammenhänge kaum noch erkennbar sind“. Dazu komme ein Frame-Setting, das „Fortschritt“ und „Zukunft“ in den schillerndsten Farben zeichnet und das „Unsichtbarmachen von Datenschutzabbau“ mit Gesetzesnamen, die deren Stoßrichtung verschleiern.

Obwohl: „Datentransparenzverordnung“ ist fast schon einen Beitrag zur Wahrheit. Sofern man anstelle von „Daten“ den „Menschen“ setzt, ist es zum „gläsernen Patienten“ nur noch ein kleiner Denkschritt. Spahns Werdegang vom Pharmalobbyisten bis an die Spitze des BMG haben die NachDenkSeiten schon kurz vor seiner Ernennung skizziert. So gesehen waren und sind auch er und seine Politik leicht durchschaubar. Nur leider machen die „Qualitätsmedien“ lieber ein Geheimnis darum und arbeiten sich dafür an Boulevardeskem wie einer „Luxusvilla“ ab. Spahn wird die Schlagzeilen überstehen. Der Mann wird noch für Höheres gebraucht.

Titelbild: Matthias Wehnert / Shutterstock