Die vom Gesundheitsministerium vorgesehene zentrale Sammlung der Daten sämtlicher gesetzlich Versicherter ohne Widerspruchsmöglichkeit trifft auf scharfe Kritik des Präsidiumsarbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI).
Die Weitergabe von Daten zu „Forschungszwecken“ aller 73 Millionen Pflichtversicherten in Deutschland soll die Datentransparenzverordnung (DaTraV) des Bundesgesundheitsministeriums regeln. Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) kritisiert den vorliegenden Entwurf scharf, weil elementare Sicherheitsbedürfnisse zum Schutz der privaten, hochsensiblen Gesundheitsdaten aller Versicherten nicht oder nur unzureichend berücksichtigt würden. Für den aktuellen Referentenentwurf setzte das Bundesgesundheitsministerium zudem eine Frist von nur neun Kalendertagen für Stellungnahmen.
„Im vorliegenden Referentenentwurf werden keinerlei Sicherheitsvorgaben oder Sorgfaltspflichten der Krankenkassen und des Spitzenverbands formuliert, mit denen Datenschutz und Sicherheit der Daten gewährleistet werden könnten. Aus der offiziellen Kommentierungsfrist von nur neun Tagen kann ich nur schließen, dass das BMG an einem Dialog mit der Fachöffentlichkeit nicht ernsthaft interessiert ist“, erklärte Prof. Dr. Hartmut Pohl, Sprecher des Präsidiumsarbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik.
Trotz der vorgesehenen Verwendung von Pseudonymen sei eine eindeutige Identifizierung von Versicherten möglich. Auch würde durch die zentrale Datensammlung ein attraktiver, schlecht abgesicherter Angriffspunkt installiert: Bereits ein einziger Sicherheitsvorfall könne ausreichen, um persönliche Daten aller Versicherten in der Bundesrepublik unberechtigt offen zu legen.
Es würden ferner keine Sicherheitsvorgaben oder Sorgfaltspflichten der Krankenkassen und des Spitzenverbands formuliert, mit denen Datenschutz und Sicherheit der Daten gewährleistet werden könnten. Der Entwurf beinhalte keine Vorgaben, um den unberechtigten Zugriff als auch das Speichern verfälschter Daten zu verhindern oder angemessen zu erschweren, resümiert der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit.