Inhaltsverzeichnis
Datentransparenzverfahren
Bereits heute dürfen Krankenkassen und KBV die Datenbestände gem. § 287 SGB V „mit Erlaubnis der Aufsichtsbehörde die Datenbestände leistungserbringer- oder fallbeziehbar für zeitlich befristete und im Umfang begrenzte Forschungsvorhaben, insbesondere zur Gewinnung epidemiologischer Erkenntnisse, von Erkenntnissen über Zusammenhänge zwischen Erkrankungen und Arbeitsbedingungen oder von Erkenntnissen über örtliche Krankheitsschwerpunkte, selbst auswerten“.
Aktuelles Verfahren vor dem Sozialgericht Berlin: https://www.heise.de/news/Richter-zweifelt-an-zentraler-Massenspeicherung-von-Gesundheitsdaten-7312977.html. Parallel auch Sozialgericht Frankfurt: https://www.sozialgerichtsbarkeit.de/node/172282
UPDATE 15.02.2023: Verfahren ruhend gestellt, weil noch kein Sicherheitskonzept vorliegt. Verfahren startet frühestens Mitte 20231)
Gesetzliche Grundlagen
- 10. Kapitel, 2. Abschnitt SGB V (§§ 294-303f SGB V)
- Datentransparenzverordnung (DaTraV)
Verfahren
Früheres Verfahren (vor dem DVG)
- Meldung der Daten von den Krankenkassen an das Bundesversicherungsamt (BVA) für den Morbi-RSA
- Weiterleitung der Daten an das DIMDI, das heute in das BfArM integriert ist
- Auswertungsvarianten
- Kontrollierte Ferndatenverarbeitung (Einsendung von Analyseskripten)
- direkter Zugriff auf Volldatensatz
- Auswertung an Gastwissenschaftlerarbeitsplätzen in den FZD
Im Rahmen der Krankenkassendaten nach § 303a ff. SGB V beim DIMDI fehlen bisher bestimmte Informationen, die nicht von den Krankenkassen an das BVA gemeldet werden. Dies sind zum einen Kennziffern für die stationären und ambulanten Leistungserbringer. Dies sind zum einen Kennziffern für die stationären und ambulanten Leistungserbringer. Das bedeutet, man kann keine leistungsbezogenen Fragestellungen mit diesen Daten bearbeiten. Beispielsweise können so grundlegende Fragen nach der Versorgungsqualität, wie Unterschiede in der poststationären Mortalität oder Wiedereinweisung von Patienten zwischen Krankenhausträgern oder Größenklassen, nicht beantwortet werden. Weiterhin fehlten Angaben zu OPS-Kodes, also zu durchgeführten Operationen und Prozeduren im stationären Bereich. Diese und weitere Defizite wurden durch das Digitale-Versorgungsgesetz (DVG) behoben, indem nun die Daten direkt von den Kassen abgefragt und zusammengeführt werden.2)
Rollen/Organisationen
- GKV-SV = Datensammelstelle
- BfArM = Forschungsdatenzentrum („Datentreuhänder“)3)
- RKI = Vertrauensstelle
Ablauf
Abb. 1: Datentransparenzverfahren Ablauf gem. § 303b Abs. 1 S.1 SGB V
Die Krankenkassen übermitteln für jeden Versicherten - jeweils in Verbindung mit einem Lieferpseudonym - die folgenden Daten an den GKV-SV4) :
- Angaben zu Alter, Geschlecht und Wohnort
- Angaben zum Versicherungsverhältnis,
- Kosten- und Leistungsdaten
- Angaben zum Vitalstatus und Sterbedatum
- Angaben zum abrechnenden Leistungserbringer.
Das Lieferpseudonym ermöglicht eine kassenübergreifende eindeutige Identifizierung des Versicherten im Berichtszeitraum.5)
Der GKV-SV führt die Daten zusammen, prüft auf Vollständigkeit, Plausibilität und Konsistenz und klärt Auffälligkeiten mit der liefernden Stelle.6) Anschließend erfolgt die Übermittlung
Die Vertrauensstelle überführt die ihr übermittelten Lieferpseudonyme in periodenübergreifende Pseudonyme.9) Das dazu verwendete Verfahren muss dem Stand der Technik und Wissenschaft entsprechen und im Einvernehmen mit dem BSI festgelegt werden.10) Zudem darf nicht vom periodenübergreifenden Pseudonym auf das Lieferpseudonym bzw. die Identität des Versicherten geschlossen werden können.11) Die Liste der periodenübergreifenden Pseudonyme übermittelt die Vertrauensstelle anschließend an das FDZ.12) Nach Übermittlung muss die Vertrauensstelle die Lieferpseudonyme und Arbeitsnummern löschen.13)
Das FZD macht Daten Nutzungsberechtigten nach § 303e Abs. 1 SGB V für die in § 303e Abs. 2 SGB V definierten Zwecke auf Antrag zugänglich.14) Die Daten werden in der Regel anonymisiert und aggregiert übermittelt.15) Daten mit kleinen Fallzahlen können übermittelt werden, wenn der antragstellende Nutzungsberechtigte „nachvollziehbar darlegt, dass ein […] zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens , die Übermittlung dieser Daten erfordert“.16) Gleiches gilt für die Übermittlung pseudonymisierter Einzeldatensätze17), wobei zusätzlich gewährleistet sein muss, dass die Daten nur Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 StGB unterliegen18) bzw. zur Geheimhaltung verpflichtet wurden19) und zusätzlich geeignete technische und organisatorische Maßnahmen sicherstellen, dass „die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann20).
Datenschutzkritik
Es liegt auch keine Klage vor beim Sozialgericht in Berlin vom CCC und der Gesellschaft für Freiheitsrechte. Hier die Stellungnahme des CCC: https://www.ccc.de/de/updates/2022/zentral-gespeicherte-patientendaten?s=09
Zudem gibt es ein Sachverständigengutachten von Dominique Schröder (Lehrstuhl für Angewandte Kryptographie der FAU) zum Schutz medizinischer Daten.
2)
REPSCHLAGER, Uwe, Claudia SCHULTE und Nicole OSTERKAMP, Hrsg., 2022. Gesundheitswesen aktuell 2022: Beiträge und Analysen. o. O.: BARMER Institut für Gesundheitssystemforschung. ISBN 978-3-9818809-5-3, S. 17.
3)
gutes Interview mit dem Leiter: https://www.healthcare-digital.de/gesundheitsdaten-fuer-die-forschung-nutzen-a-c70ea8a0db022bdf1c97115fae7989a4/.