(1) § 3 FDZGesV (Art und Umfang der zu übermittelnden Daten im Datentransparenzverfahren)
Überschreitung der Ermächtigungsgrundlage durch den Entwurf
Es sollte aus Sicht der BAG SELBSTHILFE noch einmal genau geprüft werden, welche Daten gesetzlich festgelegt zur Weiterleitung vorgesehen sind. Seitens der BAG SELBSTHILFE wird davon ausgegangen, dass beispielsweise „das Entbindungsdatum und das voraussichtliche Entbindungsdatum“ (Nr. 3 a) ff ) nicht unter die vom Gesetzgeber genannten Daten fällt.
Einer Weiterleitung von Daten, die nicht gesetzlich vorgesehen sind, widerspricht die BAG SELBSTHILFE entschieden, da dies nicht im Kompetenzbereich des Verordnungsgebers liegt. Derartige rechtliche Risiken gefährden auch die Akzeptanz des Forschungsdatenzentrums insgesamt.
Fehlende Datenvalidierung
Auch wenn der Gesetzgeber bislang keine Vorkehrungen für eine Überprüfung der inhaltliche Datenqualität getroffen hat, sei an dieser Stelle noch einmal auf Folgendes hingewiesen:
Der Entwurf sieht in keiner Weise eine Abklärung der aufgeführten Daten mit der Realität vor. Weder wird übermittelt, ob Versicherte abgegebene Medikationen überhaupt erhalten haben, noch werden Daten aus den Medikationen von Kliniken übermittelt, schon gar nicht, ob lange Jahre übernommene Diagnosen überhaupt noch stimmen.
Kodierungen im ambulanten und stationären Bereich (die für mindestens 10 Jahre noch die einzigen Datenquellen sein werden) werden immer wieder geändert, sodass die Zusammenführung der Daten zumindest derzeit bei sehr vielen Forschungsfragen kaum sinnvolle Ergebnisse im Sinne des Wohles der Versicherten bringen kann.
Daher ist auch unklar, auf welcher Basis die Plausibilitätsprüfung nach § 4 Abs. 2 FDZGesV erfolgen soll. Auch hierin ist letztlich ein rechtliches Risiko und ein Risiko für die Akzeptanz des Forschungsdatenzentrums zu sehen.
Die fehlende Datenvalidierung wird unweigerlich dazu führen, dass Forschende, die mit diesen Daten forschen werden, zu Ergebnissen kommen müssen, die ein massives Verzerrungspotential aufweisen.
Fehlende Kooperationsverpflichtungen
Der vorliegende Entwurf führt auch nicht aus, dass die gesetzlichen Krankenkassen, die ihrerseits inzwischen über ein erhebliches Wissen darüber verfügen, mit welchen Daten überhaupt zu welchem Forschungsthema eine sinnvolle Aussage getroffen werden kann, diese Erkenntnisse dem FDZ zur Verfügung stellen müssen.
Durch das gesetzlich leider vorgesehene Konkurrenz-Modell der Eigennutzung der Kassendaten über § 25b SGB V ist auch nicht zu erwarten, dass die Kassen insoweit freiwillig kooperativ sein werden. Es bedarf daher aus Sicht der BAG SELBSTHILFE einer entsprechenden Verpflichtung in der Verordnung.
(2) § 5 FDZGesV (Verfahren zur Pseudonymisierung)
Es werden im vorliegenden Entwurf in § 5 Absatz 1 Verfahren zur Pseudonymisierung der Daten zu den Leistungserbringern beschrieben.
Im Fokus der Datenmissbrauchsabwehr muss jedoch auch und vor allem die Pseudonymisierung der Versichertendaten stehen. Hierzu erhält der vorliegende Entwurf in § 5 Abs. 2 keine ausreichenden Vorkehrungen.
Die Pseudonymisierung muss so gesichert werden, dass Versicherte nicht fürchten müssen, re-identifiziert zu werden. Eine andere Gesetzesauslegung, die die Re-Identifizierung der Versicherten im Kauf nimmt, ist weder mit Art. 1 GG noch mit Art. 2 GG vereinbar.
Gerade bei seltenen Erkrankungen sind Re-Identifikationen jedoch sehr schnell und bei sehr wenigen vorhandenen Daten (auch ohne konkreten Personenbezug) möglich. Dem widmet sich die Verordnung bislang nur in Ansätzen bei den Daten, die direkt aus der ePA kommen. Aber auch dort ist der Punkt der Re-Identifikation nicht als entscheidendes Kriterium aufgenommen.
Insbesondere in § 20 Absatz 2 FDZGesV sind Vorgaben erforderlich, wie bei Anträgen vorzugehen ist, die kleine Entitäten betreffen.
(3) § 7 FDZGesV (Ausleitung von Daten aus der elektronischen Patientenakte
Im § 7 Absatz 1 Nr. 2 FDZGesV ist die Formulierung „und bei deren Benutzung kein Re-Identifizierungsrisiko besteht“ anzufügen.
(4) § 14 FDZGesV (Zusammensetzung der AG Pseudonymisierung)
In § 14 Abs. 2 Punkt 5 der Verordnung muss auch auf § 140f SGB V verwiesen werden, um die dort angesprochenen Kostenerstattungs- und Aufwandsentschädigungsregelung mit einzubeziehen (§ 140f Abs 5 SGB V). Die BAG SELBSTHILFE bittet dringend darum, dies zu ergänzen.
(5) § 15 FDZGesV (Aufgaben der AG Pseudonymisierung)
Die großen Mengen an personenbezogenen Einzeldaten, die nach § 3 FDZGesV an die Datensammelstelle übermittelt werden, führen zwangsläufig dazu, dass im Verlauf einer Vielzahl von Datennutzungen letztlich jeder einzelne Versicherte relativ leicht re-identifiziert werden kann.
Bei Menschen mit seltenen Erkrankungen gilt das in besonderem Maße. Die AG Pseudonymisierung muss daher Vorkehrungen entwickeln, wie die Pseudonymisierung ausgestaltet werden muss, damit eine Re-Identifikation möglichst weitreichend verhindert wird. Dafür darf nicht der Fokus allein auf Pseudonymisierung liegen. Die AG sollte folglich auch in „AG Pseudonymisierung und Re-Identifikations-Gefahrenabwehr“ benannt werden. Die Entwicklung von Vorkehrungen zum Ausschluss von Re-Identifizierungen muss auch explizit in den Ausgabenkanon der AG aufgenommen werden.
Hierbei ist zu berücksichtigen, dass die Nutzung der Daten des FDZ nicht nur den Forschungseinrichtungen der Universitäten zur Verfügung stehen, sondern jeder natürlichen und juristischen Person; das heißt beispielsweise auch Wirtschaftsunternehmen, die Risikobewertungen für Dritte vornehmen.
Zwar wird durch das FDZ auch der Zweck der Datenforschung abgefragt, ob allerdings der benannte Zweck und der tatsächliche Zweck auch im Nachgang übereinstimmt, wird weder (strukturiert) überprüft noch angemessen sanktioniert, sofern es Abweichungen gibt. Es muss daher davon ausgegangen werden, dass die Datenforschungsergebnisse unter Umständen auch gegen die Interessen der Versicherten eingesetzt werden, zu deren Wohl sie eigentlich verwendet werden sollen.
Der Zeitraum für eine gut überlegte und ausgewogene Arbeit der AG bis zum 31.01.2025 ist viel zu knapp bemessen. Die Patientenvertretung benötigt für eine sinnvolle Mitarbeit in der AG dringend umfassende Ressourcen, um die Interessen der 73 Mio Versicherten angemessen vertreten zu können. Daher sollen bei der Geschäftsstelle eine Stabsstelle analog § 140f Absatz 6 SGB V eingerichtet werden.
(6) § 18 FDZGesV (Antrag)
In § 18 Absatz 1 Nr. 5 der Verordnung sollte vor dem Wort „und“ folgender Satz eingefügt werden: „Sollen laut Antrag nicht nur anonymisierte Daten genutzt werden, dann ist schlüssig dazulegen, wie das Re-Identifizierungsrisiko bei der Nutzung pseudonymisierter Daten ausgeschlossen werden kann.“
(7) § 20 FDZGesV (Datenbereitstellung)
Korrespondierend zur Darlegung in § 18 bei der Antragsstellung muss auch bei der Entscheidung über die Datenbereitstellung sichergestellt werden.
Das FDZ hat sicherzustellen, dass eine Re-Identifizierbarkeit der anonymisierten oder pseudonymisierten (ggf. aggregierten) Daten nicht möglich ist.
Zu Absatz 2: Eine Weitergabe von pseudonymisierten Daten auch an solche Personen, die lediglich eine Verschwiegenheitsverpflichtung abgegeben haben, lehnt die BAG SELBSTHILFE ab, denn es gibt bislang keine ausreichenden Sanktionsmöglichkeiten bei einer Verletzung der Verschwiegenheitsverpflichtung allein bei Verletzung eines Vertrages.
(8) § 21 FDZGesV (Kostenregelung)
Die im Rahmen der Ausführung dieser Verordnung entstehenden Kosten sind für die GKV versicherungsfremde Leistungen, die nicht von der GKV zu übernehmen sind. Die Datentransparenz wird bereits über die Datensammelstelle des GKV-SV hergestellt. Diese Kosten trägt der GKV-SV bereits selbst.
Das FDZ dient der Forschung, der Wirtschaft und bislang unbekannten Dritten, die entsprechende Anträge an das FDZ stellen können und hat nach der aktuellen Ausgestaltung nichts mit den Aufgaben der GKV zu tun.
(9) § 23 FDZGesV (Evaluation)
Die Evaluation muss auch die Erfahrungen mit der Re-Identifikation von Versicherten und den Datenmissbrauch umfassen, um auch insoweit Transparenz schaffen und ggf. gegensteuern zu können.
In die Vorgaben zur Evaluation nach § 23 sollte daher insbesondere auch die Mitwirkung der AG nach § 14 mit aufgenommen werden.
Düsseldorf/Berlin, 29.11.2024