Es gibt zwei Mythen, die sich bislang hartnäckig in den Köpfen vieler
Deutschen halten: Erstens, daß die EU irgend etwas mit Demokratie zu tun
habe, zweitens, daß in der EU so etwas wie rechtsstaatliche Prinzipien
gelten würden. Auch wenn die EU noch nicht ein Staat ist und es hoffentlich
auch nie sein wird, geriert sie sich als solche und muß sich dann auch an
den entsprechenden Maßstäben messen lassen.
Ich bin in der Hinsicht schon lange geläutert. Ich habe mich hier im Blog
schon öfters darüber aufgeregt, daß irgendwelche Vertreter der EU oder der
Mitgliedsstaaten von »europäischen Werten« reden, sie aber nie erklären,
welche das denn genau sind und warum sie keine Rolle spielen, wenn sie der
EU – oder auch nur der lobbyierenden und bestechenden Industrie – irgendwie
im Wege stehen. Gerade die Grundrechte, Bürgerrechte, Menschenrechte – oder
wie immer man die Rechte, die die Menschen intrinsisch besitzen und nicht
von jemanden gnädigerweise zugestanden werden, nennt – sind hier gerne das
Ziel. Wir sehen, wie die EU die Meinungsfreiheit und Informationsfreiheit
einschränken, speziell im Internet, wir sehen, wie die EU das Recht auf
Eigentum einschränken durch eine provozierte Inflation.
Auch der Datenschutz ist Teil davon. Er ergibt sich aus dem Recht der
informationellen Selbstbestimmung, das unser Verfassungsgericht, als es
noch seine Aufgabe ernstgenommen hatte, als Grundrecht anerkannte. Es ist
auch in Artikel 8 der EU-Grundrechtecharta zu finden. Mit viel Aufwand
wurde die Datenschutzgrundverordnung (DSGVO bzw. GRPR im Englischen)
geschaffen. Man kann sie für gut oder schlecht halten, und viele halten sie
schon deshalb schlecht, weil sie sowohl in der Industrie als auch bei den
Bürgern – die prinzipiellen Nutznießer – zu Aufwand und Schwierigkeiten
geführt hat und auch manchmal zu skurrilen Effekten führt. Vielleicht ist
sie auch tatsächlich schlecht, aber ich finde, sie hat es zumindest
geschafft, daß durch sie ein deutlich größerer Teil der Bevölkerung ein
Bewußtsein für die Thematik entwickelt hat.
Ich hatte gerade nur die Industrie genannt. Tatsächlich gilt die DSGVO
prinzipiell auch für staatliche Institutionen und ihre Mitarbeiter. Das ist
wichtig, denn Grundrechte gelten als auch als Abwehrrechte gegenüber dem
Staat, sie schränken, zumindest in der Theorie, die Möglichkeiten des
Staates gegenüber dem Bürger ein. So könnte sie als
Erfüllungsgehilfe dienen. Ich schreibe das absichtlich im Konjunktiv, denn
sie tut es nicht. Die DSGVO gilt nur, wenn EU-Gesetze es nicht anderes
definieren. Und daran arbeiten sie gerade mal wieder, auch nicht zum ersten
Mal.
Diesmal geht es um Daten, die mit am schützenswertesten angesehen werden:
Die Daten über unseren Krankheiten, körperliche Defizite, Medikamentierung.
Schon im Altertum erkannte man schon die Sensibilität dieser Information,
und so ist die Geheimhaltung Teil eines medizinischen Eides,
das dem
griechischen Arzt Hippokrates zugeschrieben wird, geworden. Ich
bezeichne diesen Eid daher gerne als das älteste Datenschutzgesetz der
Welt.
Die Lobbyisten des Medizinsektors haben schon lange auf die Politiker
eingeredet, sie bräuchten dringendst die Daten für ihre Forschung.
Datenreichtum ist das Stichwort, das sie ihnen ins Hirn eingepflanzt
haben. Es sei das Erdöl des 21. Jahrhunderts. Selbst Merkel fing an,
ständig davon zu schwafeln. Und wenn die Bürger ihre Daten nicht freiwillig
hergeben wollen, dann müssen sie halt gezwungen werden. Das ist der
Plan.
In Deutschland hat dieser Plan schon Früchte getragen in Form des
Digitale-Versorgungs-Gesetz, das noch von der schwarz-roten großen
Koalition verabschiedet wurde. Dies verpflichtet alle gesetzlichen
Krankenkassen, die Daten ihrer Kunden pseudonymisiert weiterzugeben.
Tatsächlich findet die Übermittlung seit kurzem statt, auch wenn mindestens eine Klage dagegen noch anhängig ist.
Auch die EU plant ein solches Gesetz oder Verordnung, damit die Daten
EU-weit fließen können. Der Heise-Verlag hat ein Interview mit dem bayrischen Landesdatenschutzbeauftragten Thomas Petri
geführt, und dieses zeigt einige unschöne Details auf.
Noch ist nichts ausformuliert, aber das ganze geht wohl nicht nur um
pyeudonymisierte Daten wie bei uns. Während bei uns die Daten noch von den
Krankenkassen pseudonymisiert werden, sind Überlegungen da, daß die Daten
im Original an die entsprechende Verwaltungsbehörde weitergegeben werden
müssen, und diese dann erst über den Grad der Pseudonymisierung oder
Anonymisierung entscheidet. Das Problem sei, daß eine Möglichkeit, sich dem
als Patient dem zu entziehen, wie in Deutschland zur Zeit nicht vorgesehen
sei. Und das Schlimme sei, daß das Problem selbst im Europäischen
Datenschutzausschuß bislang noch nicht einmal thematisiert worden sei.
Ein weiterer Punkt ist die sogenannte Patientenakte. Von der Idee her ist
das nicht schlecht. um alle beteiligten Ärzte auf einem guten
Informationsstand zu halten. Nur bei der Umsetzung hapert es. Während es
heute kein Problem mehr wäre, jedem Patienten einen verschlüsselten
Speicherstick in die Hand zu drücken, der mit Kapazitäten im
Gigabyte-Bereich leicht auch viele Röntgen-Bilder speichern könnte, sollen
bei dem deutschen Ansatz die Daten natürlich in zentralen Rechenzentren
gespeichert werden. Hier wird zwar auch gerne von Verschlüsselung
gesprochen, aber wer sich ein bißchen mit Kryptographie auskennt, merkt
schnell, daß ein wesentliches Grundprinzip verletzt ist: Der Patient ist
nicht Inhaber des Schlüssels.
Man kann sich das vereinfacht (und nicht ganz korrekt) so vorstellen: Man
steckt die Befunde usw. in ein Schließfach, das tatsächlich sicher ist. Den
Schlüssel dazu gibt man aber nicht dem Patienten. Stattdessen legt man den
in so etwas wie einem Postfach bei der Post: Vorne ist eine Tür mit einem
weiteren Schlüssel, den dann der Patient bekommt. Er kann damit das Fach
aufmachen und den echten Schlüssel herausnehmen (bzw. digital eine Kopie
davon machen). Hinten in dem Fach ist aber eine weitere Tür eingebaut, und
die kann praktisch jeder Zeit von den Verwaltern geöffnet werden, zum
Beispiel, wenn der Patient seinen Schlüssel verloren hat. Wann sie aber
noch geöffnet wird, wird der Patient nie wissen. Vielleicht wenn es die
Polizei, die Staatsanwaltschaft oder ein Geheimdienst es will?
Nun, die deutsche Planung sieht vor, daß der Patient eine
Opt-Out-Möglichkeit besitzen soll. Das heißt, für ihn wird keine
Patientenakte angelegt, wenn er gegenüber der Krankenkasse diesen Willen
ausdrückt. Eine Opt-In-Lösung wäre natürlich besser, also, daß der Patient
explizit zustimmen muß, ähnlich, wie wir bei jedem neuen Vertrag dank DSGVO
unsere Einwilligung zur Datenspeicherung geben müssen.
Wie die technische Lösung der Patientenakte auf EU-Ebene aussehen soll,
wird in dem Interview leider nicht diskutiert. Ziel soll es aber wohl sein,
daß man seine Akte auch im EU-Ausland beim Besuch eines Arztes oder
Krankenhauses nutzen können soll. Interessant wäre die Frage, ob die Daten
weiterhin national gespeichert werden sollen.
Bei der EU schwirren aber wohl andere unschöne Ideen herum. Noch will man
den Patienten nicht dazu zwingen, aber man denkt wohl darüber nach,
künstlich irgendwelche Kosten, die angeblich dadurch entstehen (zum
Beispiel durch doppelte Untersuchungen) ihn auf's Auge zu drücken.
Summa summarum wird da nichts Gutes herauskommen. Denn wie in einem
weiteren Artikel bei Heise (Vorsicht: Gender-Gaga!) beschrieben wird, üben
»Forscher« (d.h. die Lobbyisten ihrer Unternehmen) schon Druck auf die EU
aus, um die Patientendaten im Klartext zu bekommen. Das heißt also: Tschüß,
guter alter Eid des Hippokrates, ruhe in Frieden!
Nachtrag: Langsam wachen die Datenschützer auf, sehen einen
Paradigmenwechsel/Ende der Schweigepflicht
