Der Schutz personenbezogener Daten ist gerade in der Welt der Krankenversicherungen, ganz gleich ob gesetzlich oder privat, nicht zuletzt vor dem Hintergrund der strikten Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie den flankierenden gesetzlichen Anforderungen verschiedener Sozialgesetzbücher (SGB) ein ständiges Thema. Die Verarbeitung sog. Sozialdaten stellt die Krankenversicherungen dabei noch einmal vor zusätzliche datenschutzbedingte Herausforderungen, was die Zusammenarbeit mit Dienstleistern, die ihre Anwendungen oftmals in Cloud-Umgebungen als Software-as-a-Service (SaaS) anbieten, erschwert oder in einigen Fällen sogar gänzlich unmöglich werden lässt.

Zugleich liegt jedoch gerade in diesem Bereich des Gesundheitswesens ein nicht unerhebliches Potential, um die Digitalisierung beziehungsweise das, was wir heute gerne Big Data oder auch Datenmedizin nennen, maßgebend voranzutreiben und auf einen Stand zu heben, welcher dem 21. Jahrhundert entspricht. Um eines direkt vorwegzunehmen: Die Krankenversicherungen treten in diesem Zusammenhang ausdrücklich nicht als “Verhinderer” auf – ganz im Gegenteil. Es zeichnet sich vielmehr das Bild einer durch ihre Selbstverwaltung geprägten Gruppierung, die von den neuen Möglichkeiten, welche die Digitalisierung bietet, unbedingt profitieren möchte. Der Hintergrund hierfür ist oftmals ganz praktischer Natur. So sollen beispielsweise tagtägliche Aufgaben, wie die Überprüfung von Abrechnungen mit Blick auf potenziellen Abrechnungsbetrug durch medizinische Leistungserbringer automatisiert und die zugehörigen Prozesse somit vereinfacht werden. Hierfür werden, zumindest von den größeren Krankenversicherungen, zum Teil ganze Teams von Datenanalysten beziehungsweise Data Scientists aufgebaut.

Immer wieder fällt in diesem Zusammenhang auch das Wort “Datenpooling”. Doch was ist Datenpooling eigentlich und was ist dabei zu beachten?

Was ist eigentlich Datenpooling?

Kurzum: Datenpooling ist dadurch gekennzeichnet, dass Daten aus verschiedenen Quellen zusammengetragen und beispielsweise in anonymisierter Form, aber auch in Form von Klardaten, für eine gemeinsame Nutzung bzw. Verarbeitung nutzbar gemacht werden. Als Anwendungsgebiet kommt hierbei unter anderem die bereits oben erwähnte Abrechnungsprüfung in Betracht. In der Praxis kann das Datenpooling dann wie folgt aussehen:

Zwei oder mehr (vor allem kleinere) Krankenversicherungen schließen sich zusammen, um einen gemeinsamen Datenpool anzulegen. In diesen Datenpool “fließen” dann unterschiedliche, zuvor selbstverständlich genau festgelegte, Daten von Versicherten beider Versicherungen ein. Beide Versicherungen haben damit eine Datenlage, die nach Art und Umfang für Auswertungen verschiedenster Art genutzt werden kann.

Der Wunsch nach der Möglichkeit zum Datenpooling resultiert dabei vor allem aus dem Umstand, dass nicht alle Krankenversicherungen über ausreichend große Versichertenbestände und damit über entsprechende Datenlagen verfügen, um diese sinnvoll entsprechenden Auswertungen zu unterziehen. So teilen sich beispielsweise die in Deutschland existierenden 68 Betriebskrankenkassen (BKK) einen Versichertenbestand von ca. 9 Millionen Versicherten untereinander auf, wobei diese Zahl der Versicherten je Kasse höchst ungleich verteilt ist. Eine “Fusion” von Datenbestände in Form des oben beschriebenen Datenpoolings bietet hier vor allem für kleinere Kassen eine maßgebende Chance, die in diesem Bereich bestehenden Nachteile gegenüber mitgliedsstarken Kassen auszugleichen und von den Möglichkeiten der Digitalisierung in gleichem Maße zu profitieren.

Probleme mit dem Datenschutz?

Die Vorteile des Datenpoolings erschließen sich sofort. Eine bessere Datenlage sorgt dafür, dass das Gesundheitssystem insgesamt effizienter und zielgerichteter agieren kann. Im besten Fall kann dies zur Folge haben, dass die zur Verfügung stehenden Budgets genau dort verstärkt eingesetzt werden, wo diese tatsächlich benötigt werden. Auch eine Senkung der Kosten im Gesundheitswesen insgesamt liegt durchaus im Bereich des Möglichen. Allerdings sieht sich das Konzept des Datenpoolings mit einer nicht unerheblichen Hürde konfrontiert: dem Datenschutz.

Als wesentlichstes Argument gegen die Möglichkeit zum Datenpooling wird dabei von Datenschützern regelmäßig das Konstrukt des “gläsernen Patienten” ins Feld geführt. Man wolle verhindern, dass die Krankenversicherung weiterreichende Möglichkeiten zur Auswertung des Zustandes sowie gegebenenfalls der Verhaltensweisen der Versicherten erhalten. Was bei dieser Argumentation jedoch stets übergangen wird, ist die Abwägung des für den Versicherten durch das Datenpooling entstehenden Nutzens gegenüber den tatsächlich bestehenden Risiken. Natürlich muss in diesem Zusammenhang berücksichtigt werden, dass das Zusammenführen großer Datenmengen aus unterschiedlichen Quellen aus Sicht des Datenschutzes ein begründetes Risiko darstellt, welchem mit geeigneten Maßnahmen zu begegnen ist. So sieht beispielsweise die “Muss”-Liste der Datenschutzkonferenz (DSK) in Abschnitt 5 vor, dass für das Zusammenführen von Daten aus unterschiedlichen Quellen zwingend eine Datenschutz-Folgenabschätzung (DSFA) vorgenommen werden muss. Als Beispiel ist hier explizit die Verwendung der Daten im Kontext von “Fraud-Prevention-Systemen”, also Systemen zur Vorbeugung von Betrug genannt.

Doch bedeutet der Umstand, dass dem Zusammenführen großer Datenmengen grundsätzlich ein hohes Risikolevel zugesprochen wird, dass dieser Form der Datenverarbeitung nun zwingend ein Riegel vorgeschoben werden muss? Dem ist mit einem klaren “Nein” zu begegnen.

Wie in allen Belangen des Datenschutzes gilt auch in diesem Fall, dass der Grundsatz der Verhältnismäßigkeit gewahrt bleiben muss. Bildlich drückt sich dies darin aus, dass Nutzen und Risiken der Datenverarbeitung jeweils “in die Waagschale geworfen” werden müssen. Nur dann, wenn die Risiken der Datenverarbeitung den Nutzen klar überwiegen, sollte von der Verarbeitung im Zweifel Abstand genommen werden. Eine solche Nutzen/Risiko-Abwägung hat im Falle des Datenpoolings jedoch nie wirklich stattgefunden. Vielmehr wurde sich auf eine pauschale Ablehnung zurückgezogen, die sich hinter dem Argument des “gläsernen Patienten” versteckt.

Israel macht es vor!

Das es auch anders gehen kann, zeigt sich am Beispiel von Israel. Erst kürzlich kehrte unser Gesundheitsminister Karl Lauterbach von einer vielberichteten Delegationsreise zurück und traf die zutreffende Feststellung, dass im Umgang mit personenbezogenen Daten im Kontext des Gesundheitswesens ein Umdenken erforderlich ist.

Der Austausch ebenso wie das Pooling von Daten, gehört im israelitischen Gesundheitssystem spätestens seit Beginn der Corona-Pandemie zur Tagesordnung. Längst ist es dort für den Patienten beziehungsweise den Versicherten möglich, seine gesundheitsbezogenen Daten, wie z.B. Röntgenbilder oder auch Laborergebnisse, an einem zentralen Ort zu speichern und medizinischen Leistungserbringern nach Bedarf Zugriff auf diese Daten zu gewähren. Im Hinblick auf die Corona-Pandemie wurde de facto ein Datenpool aller Bürgerinnen und Bürger des Landes aufgebaut und so ein umfassender Datensatz geschaffen, der Auskunft über Krankheitsverlauf, Impfquote und Co. geben konnte. Währenddessen haben wir in Deutschland eine Warn-App präsentiert bekommen, die uns die Eingrenzung möglicher Infektionspunkte mangels Angaben zu Ort und Zeitpunkt der Begegnung praktisch unmöglich macht. Dies natürlich alles im Namen des Datenschutzes.

Fazit

Wer Datenpooling verteufelt, hat schlicht die Notwendigkeiten der Digitalisierung nicht verstanden. Dabei ist es wichtig zu verstehen, dass das Problem nicht in der Anwendung der DSGVO liegt. Es ist vielmehr die enge Auslegung auf nationaler Ebene, die den Pioniergeist an den unterschiedlichsten Stellen des Gesundheitswesens mit dem “Hammer des Datenschutzes” erschlägt. Langfristig kann dies keine Lösung sein, werden wir doch bereits heute durch andere Länder – auch in unserem unmittelbaren europäischen Umfeld – in puncto Nutzbarkeit von Daten abgehängt.

Es verbleibt die Hoffnung, dass die Schaffung des European Health Data Space (EHDS) dem entgegenwirken kann. Doch auch bis dahin sollte man nichts unversucht lassen, um digitale Modelle und Lösungen im Gesundheitswesen voranzutreiben. Entsprechend fachkundige Vorbereitung und Begleitung, insbesondere auch auf rechtlicher Ebene, vorausgesetzt, kann und sollte man bereits heute Projekte in diesem Bereich anstoßen und im Zweifel gegenüber den einschlägigen Behörden “durchfechten”.