24. Tätigkeitsbericht (2002)

4.8

Schutz des Patientengeheimnisses

4.8.1

Für die Gesundheitsämter gilt ein neues Gesetz

Beim öffentlichen Gesundheitsdienst gibt es endlich gesetzliche Regeln für die Verarbeitung von Gesundheitsdaten. Nach jahrelangem Zögern verabschiedete der Landtag ein Gesundheitsdienstgesetz (GDG).

Das Gesetz verbessert den Schutz der Gesundheitsdaten der Bürgerinnen und Bürger. Sie dürfen nur zweckgebunden verwendet werden. Das Zweckbindungsprinzip gilt auch innerhalb der Gesundheitsämter und muss durch entsprechende Abschottungen gewährleistet werden. Die ”Kunden” des Gesundheitsamtes sollen darauf vertrauen können, dass das Beratungsgeheimnis beachtet wird. Eine zweckändernde Nutzung der Daten ist nur dann erlaubt, wenn es um schwere Gefahren für Leben, Gesundheit und Freiheit oder um die Verfolgung von Verbrechen geht.

Deshalb war ein Petent zu Recht erstaunt, als er in der Auseinandersetzung mit seinem Finanzamt über die Anerkennung von medizinisch angezeigten Thermalbadbesuchen als ”außergewöhnliche Belastung” erfahren musste, dass sich die Finanzbeamtin an ihm vorbei ein Bild über den Gesundheitszustand direkt beim Gesundheitsamt verschaffte. Neben dem GDG bleiben die Regelungen des LDSG anwendbar. Dies bedeutet, dass Auskünfte des Gesundheitsamtes an andere Stellen in der Regel der Einwilligung des Betroffenen bedürfen. Dies gilt auch gegenüber dem Finanzamt, wenn dieses beispielsweise Rückfragen zu einem mit der Steuererklärung eingereichten amtsärztlichen Attest hat.

Erstmals wird in dem Gesundheitsdienstgesetz auch die Gesundheitsberichterstattung als eine spezielle Form medizinischer Statistik vorgesehen. Vorrang hat dabei die Sammlung nicht personenbezogener gesundheitsrelevanter Daten. Auf unseren Vorschlag hin wird bei der Nutzung personenbezogener Patientendaten das Statistikrecht angewandt. Dessen Regelungen gewährleisten aufgrund des Statistikgeheimnisses die Vertraulichkeit der Daten und insbesondere die Abschottung der Statistikaktivitäten von den sonstigen Aufgaben in den Gesundheitsämtern. Die personenbezogenen Merkmale müssen so früh wie möglich von den epidemiologischen Daten getrennt werden. Eine Auskunftspflicht gegenüber Dritten ist ausdrücklich ausgeschlossen.

Was ist zu tun?
Die Regelungen des GDG zwingen nicht zu einer grundlegenden Revision der Datenverarbeitung in den Gesundheitsämtern. Das neue Gesetz sollte aber zum Anlass genommen werden, den Mitarbeitern dieser Ämter ihre besondere Verschwiegenheitspflicht in Erinnerung zu rufen.

4.8.2

Gesundheitschipkarten

Bei der Reformierung des Gesundheitssystems haben nur solche Pläne eine Chance auf Realisierung, die mit dem Patientengeheimnis vereinbar sind.

Die Kostenexplosion und die Vielzahl der ”Player” in unserem Gesundheitssystem mit teilweise diametral entgegengesetzten materiellen Interessen führt dazu, dass ein Patentrezept nach dem anderen öffentlich präsentiert wird und nach gehöriger Kritik wieder verschwindet. Viele dieser Rezepte zur Gesundung des Gesundheitswesens basieren auf der Idee der Datensammlung über Patientinnen und Patienten und der Hoffnung auf die Automation und Rationalisierung der sehr teuren administrativen Abläufe. Das Hausarztmodell und die integrierten Versorgungskonszepte wurden im Jahr 2000 eingeführt. Der zeitgleich gestartete Versuch der Schaffung von mehr Kostentransparenz scheiterte zunächst am Bundesrat und seitdem am Widerstand der Krankenkassen (vgl. 23. TB, Tz. 4.8.5). Das elektronische Rezept soll Abrechnungsabläufe beschleunigen und die Verschreibungspraxis durchsichtiger machen. Mithilfe einer elektronischen Patientenakte sollen Mehrfachuntersuchungen vermieden werden.

Was bei all diesen Plänen und den Diskussionen in der Regel zu kurz kommt, sind die Interessen der Patienten. Fast alle erörterten Maßnahmen greifen in deren informationelles Selbstbestimmungsrecht ein, in ihre Rechte auf freie Arztwahl und auf Wahrung ihres Patientengeheimnisses. Die Datenschutzbeauftragten verstehen sich als Vertreter dieser Patienteninteressen.

Eines der oben genannten Projekte ist die von der Bundesgesundheitsministerin geforderte obligatorische Gesundheitschipkarte. In die Diskussion eingeführt wurde diese Arzneimittelkarte als Antwort auf einen Medikamentenskandal, doch mutierte sie schnell zu einem umfassenden Pflichtpass, auf dem neben den Identifizierungsangaben und Medikationen auch Notfalldaten, Allergien, Impfungen und viele weitere medizinische Angaben gespeichert werden sollen. Wiederholt mussten wir darauf hinweisen, dass es das ureigene Recht der Patienten ist selbst zu entscheiden, wem sie welche ihrer sensibelsten Daten anvertrauen. Eine Ausgabe an alle Kassenmitglieder verbunden mit einer Vorlagepflicht wäre damit nicht vereinbar. Die Pläne sehen zudem die Schaffung eines zentralen Registers mit den Gesundheitsdaten von 90% der Bevölkerung vor - ein Datenbestand, der gewaltige Begehrlichkeiten auslösen würde. Wir lehnen einen Patientenausweis nicht grundsätzlich ab. Doch muss die Freiwilligkeit bei der Verwendung gesichert bleiben.

Was ist zu tun?
Es ist beides zu realisieren: Kosteneinsparungen im Gesundheitswesen und ein effizienter Schutz des Patientengeheimnisses.

4.8.3

Neues EDV-System für die Krankenkassen

Die Krankenkassen sind derzeit dabei, ihre elektronische Datenverarbeitung zu modernisieren. Soll es nicht zu einem Desaster kommen wie bei anderen großen Verwaltungsverfahren, so müssen Datenschutz und Datensicherheit von Anfang an eine zentrale Rolle spielen.

Von Kollegen anderer Bundesländer erfuhren wir von den Plänen der Allgemeinen Ortskrankenkassen, gemeinsam mit dem AOK-Bundesverband und einer ”outgesourcten” AOK-Systems GmbH das ca. 20 Jahre alte EDV-System IDVS II durch ein modernes Verfahren mit dem Kürzel SAM (SAP-AOK-Master) zu ersetzen. Aus Datenschutzsicht ist dies sehr zu begrüßen, da das alte Verfahren aktuellen Datenschutznotwendigkeiten, z. B. Protokollierungsanforderungen, nicht gerecht wird (vgl. 23. TB, Tz. 4.8.7). Auch im Hinblick auf die weitgehenden Pläne der Bundesregierung zur Verbesserung der Kostentransparenz im Gesundheitswesen sind neben neuen Auswertungs- auch neue Schutzmechanismen, z. B. die Etablierung einer pseudonymisierten Datenverarbeitung, ein absolutes Muss. Das AOK-Projekt erhält eine noch größere Bedeutung dadurch, dass offensichtlich auch andere Kassen erwägen, das EDV-Verfahren zu übernehmen.

Die Etablierung derart großer zentraler Gesundheitsdatenbanken mit vielfältigen Auswertungs- und Nutzungsmöglichkeiten kann nur dann erfolgreich sein, wenn von Anfang an deren Rechtmäßigkeit und hier insbesondere der Schutz des Patientengeheimnisses integrierter Verfahrensbestandteil ist. Welches - auch finanzielles - Desaster entstehen kann, wenn Aspekte des Datenschutzes und der Datensicherheit in der Projektphase ignoriert werden, haben wir bei den anderen beiden EDV-Großprojekten - im Bereich der Polizei und der Finanzverwaltung - gesehen. Daher haben die Datenschutzbeauftragten des Bundes und der Länder angeboten, die Planungen von Anfang an zu begleiten. Leider liegt hierzu bisher seitens der Krankenkassen keine positive Resonanz vor.

Was ist zu tun?
Die Projektplaner sollten sich dessen bewusst werden, dass eine ausreichende Integration des Datenschutzes in die neuen Krankenkassensysteme eine Voraussetzung für deren Einführung ist.

4.8.4

Outsourcingaktionen bei Krankenkassen - die nächste, bitte?

Sozialdaten sind keine normalen Daten, deren Verarbeitung so ohne weiteres an Dritte, eventuell gar Private, übertragen werden kann und darf. Diese Erkenntnis muss auch - bei allem Verständnis für Einsparungen - bei den Krankenkassen gelten. Letztlich geht es dabei um die Sicherung des Vertrauens der Kassenmitglieder.

Die Anfrage der AOK, ob die Rechnungsprüfung durch eine Kasse in einem anderen Land wahrgenommen werden kann, konnten wir im Hinblick auf die Regelungen zur Auftragsdatenverarbeitung von Leistungsträgern positiv bescheiden: Es können danach sogar ganze Bereiche der Sachbearbeitung an andere Sozialleistungsträger ausgelagert werden, was einer Funktionsübertragung gleichkommt und keine ”Datenverarbeitung im Auftrag” ist (vgl. 23. TB, Tz. 4.8.7). Werden Rechnungen auf ihre inhaltliche Begründetheit hin überprüft, ist dabei Schriftwechsel nötig und trifft die letztendliche Entscheidung der Auftragnehmer, so müssen aber ”Private” ausgeschlossen bleiben. Stehen bei der Prüfung von eingereichten Rechnungen dagegen rein manuelle oder technische Aktivitäten im Vordergrund wie z. B. Erfassung der Daten sowie Feststellung der Plausibilität, so kann dies als Auftragsdatenverarbeitung unter Umständen auch an Private übertragen werden; der Auftraggeber bleibt in diesem Fall voll verantwortlich.

Verwundert waren wir, als wir davon Kenntnis erhielten, dass die Durchsetzung von Schadensersatzansprüchen von Krankenkassen nach Ansicht der Aufsichtsbehörden des Bundes und der Länder auf private Firmen übertragen werden dürfe. Aus datenschutzrechtlichen Gründen können die Kassen natürlich nicht daran gehindert werden, ihnen zustehende finanzielle Forderungen durchzusetzen. Dies kann im Konfliktfall auch die Einschaltung eines Rechtsanwaltes - der selbst einer beruflichen Schweigepflicht unterworfen ist - notwendig machen. Die Übertragung des Inkasso an eine private Firma zum vorgerichtlichen Forderungseinzug und die damit zwangsläufig verbundene Mitteilung von Sozialdaten in zumeist heiklen Einzelfällen hat der Gesetzgeber aber nicht erlaubt. Diese einheitliche Rechtsauffassung der Datenschutzbeauftragten des Bundes und der Länder konnte auch gegenüber den Aufsichtsbehörden durchgesetzt werden.

Was ist zu tun?
Trotz des Kostendrucks muss das Sozialgeheimnis bundesweit nach einheitlichen Maßstäben gegen unzulässige Privatisierungen verteidigt werden.

4.8.5

Der Gutachtenauftrag eines schweizerischen Rentenversicherungsträgers

Wenn aus gesundheitlichen Gründen eine Sozialleistung beantragt wird, benötigt der Sozialleistungsträger in der Regel ärztliche Atteste als Nachweis der Bedürftigkeit. Werden externe Gutachter mit der Prüfung der vorgelegten Atteste beauftragt, so muss der Antragsteller in die Übermittlung seiner Sozialdaten schriftlich einwilligen.

Ein Bundesbürger, der seit Jahren eine kleine Rente aus der Schweiz erhielt, war nicht wenig erstaunt, als er Post von der Landesversicherungsanstalt Schleswig-Holstein (LVA) erhielt. Wegen eines ”Rentenantrages” solle er Atteste seines behandelnden Arztes an eine ihm nicht bekannte Hamburger Arztpraxis übersenden, damit diese eine umfassende medizinische Begutachtung durchführen könne. Auf seine telefonische Nachfrage bei der LVA, mit der er sonst nichts zu tun hatte, ob hier ein Büroversehen vorläge, erhielt er lapidar die Mitteilung, das werde schon seine Richtigkeit haben. Man wisse nur, dass der Begutachtungsauftrag von der LVA Baden-Württemberg käme. Von dort erfuhr er, dass die Schweizer Rentenanstalt die BfA und diese wiederum die LVA Baden-Württemberg um eine kardiologische Untersuchung gebeten hatte. Dies sei ein übliches Verfahren, wenn ein Bundesbürger aus der Schweiz eine Rente bezieht. So werde Bürgernähe sichergestellt. Es ging also nicht um einen neuen Rentenantrag, sondern um die Frage, ob die Rente unverändert weitergezahlt werden konnte.

Der Petent war zu Recht verärgert. Hatten doch vier Rentenversicherungsträger mit seinen Patientendaten ”Stille Post” gespielt. Aus einer kardiologischen Untersuchung war dabei eine vollständige medizinische Untersuchung geworden. Wie ein Detektiv musste er den wahren Grund des Schreibens bei diversen Stellen ermitteln. Ohne ihn vorher zu fragen, waren seine Daten an eine Hamburger Arztpraxis übermittelt worden. Besonders ärgerlich war, dass sein eigener Arzt gerade erst eine kardiologische Untersuchung durchgeführt hatte und diese Untersuchungsergebnisse ausreichten - wie sich im Verlaufe unserer Prüfung herausstellte - um die Fragen der Schweizer Rentenanstalt zu beantworten. Eine zusätzliche - schmerzhafte und belastende - Begutachtung war also gar nicht nötig. Hätte man doch nur einmal vorher gefragt!

Die Schuld lag nicht nur bei der LVA Schleswig-Holstein. Auch künftig werden ärztliche Gutachten notwendig sein und Rentenversicherungsträger sich gegenseitig unterstützen. Doch muss dem betroffenen Rentenempfänger genau erläutert werden, warum und auf wessen Ersuchen hin eine Begutachtung durchgeführt werden muss. Wird der Betroffene aktiv am Verfahren beteiligt, kann er bereits vorhandene Unterlagen vorlegen, um unnötige Untersuchungen und Kosten zu vermeiden. Die Übermittlung von Daten an einen externen Gutachter bedarf generell der Einwilligung des Betroffenen. In jedem Fall muss dieser über die beabsichtigte Übermittlung seiner Sozialdaten unterrichtet werden, sodass er Gelegenheit hat, der beabsichtigten Datenübermittlung zu widersprechen. Eine Reaktion der LVA Schleswig-Holstein auf unsere Vorschläge für ein praxisnahes und zugleich datenschutzgerechtes Verfahren liegt uns noch nicht vor.

Was ist zu tun?
Sozialverwaltungsverfahren sind bezüglich Zweck, Inhalt und Beteiligte transparent zu gestalten. Bei der Einschaltung externer Gutachter und der damit bedingten Übermittlung von Sozialdaten bedarf es der Einwilligung des Betroffenen, zumindest aber der vorherigen Unterrichtung mit Einräumung eines Widerspruchsmöglichkeit.

4.8.6

Die Arztrechnung von der Privatfirma - Variationen über ein Thema

Medizinische Daten über einen Patienten dürfen an Dienstleister nur übermittelt werden, wenn dieser hierüber zuvor unterrichtet wurde und seine Einwilligung schriftlich erklärt hat.

Im letzten Tätigkeitsbericht (vgl. 23. TB, Tz. 4.8.4) erläuterten wir die Notwendigkeit, dass sich die Ärzte um die Einwilligung ihrer Patienten bemühen, wenn sie eine privatärztliche Verrechnungsstelle bei der Abrechnung einschalten wollen. Eine neue Variante des gleichen Themas: Eine Frau erhielt die Rechnung eines Taxiunternehmens, das eine Gewebeprobe von ihr von einem öffentlichen Krankenhaus zu einem externen Labor chauffiert hatte. Die Taxifirma hatte vom Arzt ein Privatrezept mit den auf Rezepten üblichen personenbezogenen Angaben überreicht bekommen, auf dem der Transport an das externe Labor verordnet wurde. Unsere Petentin kannte weder den Auftrag noch das Taxiunternehmen.

Die ärztliche Schweigepflicht verbietet das Offenbaren von Patientengeheimnissen. Bereits die Tatsache, dass sich ein Patient in die Behandlung eines bestimmten Arztes begibt, unterliegt der ärztlichen Schweigepflicht. Die Übergabe eines anonymen verschnürten Päckchens mit der Gewebeprobe allein ist kein Problem. Mit dem Rezept wurden jedoch auch Behandlungsdaten unzulässig offenbart. Eine direkte Taxi-Abrechnung mit der Patientin wäre nur mit deren Einwilligung möglich gewesen. Einfacher ist es aber, wenn das Krankenhaus zunächst die Taxi-Kosten übernimmt, um sie danach mit der Patientin abzurechnen. Nach unserer Intervention gegen den Datenschutzverstoß ging das Krankenhaus genau diesen Weg.

Was ist zu tun?
Bevor ein Krankenhaus oder ein Arzt patientenbezogene Leistungen an Dritte vergibt, muss der Patient hierüber aufgeklärt werden und einwilligen. Unproblematisch ist es, wenn das Outsourcing anonym und die Abrechnung über den Auftraggeber erfolgt.

4.8.7

Missbrauch von Patientendaten in Apotheken

Die Überprüfung einer Apotheke führte zur Aufdeckung eines bundesweiten Patientendatenmissbrauchs durch Apotheken und deren Rechenzentren. Auch viele der schleswig-holsteinischen Apotheken waren beteiligt.

Die meisten Apotheken rechnen mit den Krankenkassen heute nicht mehr selbst ab, sondern nehmen hierfür die Angebote von Apothekenrechenzentren in Anspruch. Monatlich werden alle angefallenen Rezepte des Abrechnungszeitraumes gebündelt an ein solches Zentrum geschickt, das die Daten nach Krankenkassen sortiert und mit diesen die Kostenerstattung abwickelt. Der Apotheker bekommt direkt vom Rechenzentrum - abzüglich einer Bearbeitungsgebühr - einen Betrag überwiesen. So weit, so zulässig, so gut.

Weil die dabei anfallenden millionenfachen Patientendaten auch noch anderweitig Gewinn bringend genutzt werden könnten, haben die unterschiedlichen Rechenzentren Systeme ausgeklügelt, die sich nur wenig unterscheiden: Sämtliche Patientendaten einer Apotheke werden, versehen mit einem Anwenderprogramm, auf CD gebrannt und an die Apotheken zurückverkauft. Diese sind so in der Lage, die Daten ihrer Kundinnen und Kunden auf ihren Computern zu speichern und nach verschiedenen Kriterien zu ”katalogisieren”. So haben sie den Überblick, ob Frau Meier vor sechs Jahren das Medikament der einen oder der anderen Firma in welcher Menge und von wem verordnet bekam. Sie können ”gute Kunden” durch Aufmerksamkeiten an sich binden. Sie können erkennen, welche Ärzte für welchen Umsatz in ihrer Apotheke sorgen und welche Patienten sie behandeln. Sie können feststellen, welche Patienten eines Straßenteiles zu dem einen oder zu dem anderen Arzt gehen. Eine Auswertung nach speziellen Medikamenten - z. B. Antidepressiva - eröffnet interessante weitere Einsichten. Die am Jahresende auszustellenden kundenbezogenen Zuzahlungsquittungen für Kassenpatienten sind im Anwenderpaket inbegriffen. Und von alledem ahnt der Patient gar nichts.

Verblüfft hat uns, dass zunächst weder vonseiten der Apotheker noch von den Rechenzentren Problembewusstsein gezeigt wurde. Die Letzteren verwiesen darauf, sie hätten doch die Einwilligung der Ersteren. Dass hier Patienten betroffen sind und diese Praxis keine rechtliche Grundlage hat, musste erst in zähen Verhandlungen klar gemacht werden. Gemeinsam mit dem Bremer Datenschutzbeauftragten erreichten wir schließlich beim Norddeutschen Apothekenrechenzentrum (NARZ) in Bremen, das den größten Teil der Apotheken im Land Schleswig-Holstein unter Vertrag hat, dass die CDs in der bisherigen Fassung nicht mehr vertrieben und die alten Datenscheiben von den Apotheken zurückverlangt werden. Die meisten Apotheken des Landes haben dieser Rückrufaktion auch Folge geleistet.

In Schleswig-Holstein wird es beim NARZ wenigstens nur noch mit der Versichertennummer pseudonymisierte CDs zu kaufen geben. Nach unserer Rechtsauffassung kann die personenbezogene Übermittlung der Patientendaten durch die Apotheken an das Rechenzentrum zwecks Aufbereitung und Rückgabe an sie zur weiteren Nutzung wegen der abschließenden gesetzlichen Regelung im SGB auch nicht durch Patienteneinwilligungen legitimiert werden. Die Rechenzentren dürfen danach die Patientendaten nur zur Abrechnung mit den Krankenkassen nutzen.

Was ist zu tun?
Unser Ziel wird es sein, auch bei den anderen für Apotheken in Schleswig-Holstein agierenden Rechenzentren auf die Herausgabe einer datenschutzgerechten CD hinzuwirken.

4.8.8

Aktion ”Datenschutz in meiner Arztpraxis”

Einzelanfragen und Beschwerden zum Patientengeheimnis, zur Einsicht in Patientenunterlagen und zur Datensicherheit im medizinischen Bereich veranlassten uns, gemeinsam mit der Ärzte- und der Zahnärztekammer eine breit und langfristig angelegte Aufklärungskampagne mit dem Titel ”Datenschutz in meiner Arztpraxis” zu initiieren.

In einer ersten Phase wurden sämtliche Zahnärzte und Ärzte im Land angeschrieben, über die Aktion unterrichtet und zur aktiven Teilnahme eingeladen. Unter Zuhilfenahme eines mitversandten Leitfadens sollen in einem Selbstcheck etwaige Problempunkte in der Praxis ausfindig gemacht werden. Tauchen dabei rechtliche oder technische Fragen auf, so werden diese in einem ausführlichen Text, der im Internet abrufbar ist, beantwortet. Für individuelle Rückfragen stehen unsere Mitarbeiterinnen und Mitarbeiter und die der Kammern zur Verfügung. Über die DATENSCHUTZAKADEMIE werden Weiterbildungskurse angeboten.

In einer zweiten Phase werden die Patientinnen und Patienten sowie die Öffentlichkeit angesprochen. Über ein Informationsfaltblatt sowie ein Plakat können die Ärztinnen und Ärzte den Datenschutz in ihrer Praxis gegenüber ihren Patienten positiv herausstellen. Die Patienten werden über ihre Rechte informiert und eingeladen, sich selbst aktiv an der Aktion zu beteiligen. Dies kann auch darin bestehen, dass sie ihre Arztpraxen unter Datenschutzgesichtspunkten in Augenschein zu nehmen. Weitere Module der Kampagne sind geplant.

Die Gesundheitsministerin hat die Schirmherrschaft übernommen. Die Aktion mit den Kammern unter dem Logo ”SICHER” wird vom Patientenombutsmann e. V. begleitet.

Sämtliche Informationen zu der Aktion werden im Internet zum Abruf bereitgestellt. Und wer keinen Internet-Zugang hat, kann sich ein Skript sowie sonstige Aktionsunterlagen gegen einen Unkostenbeitrag vom ULD zusenden lassen.


www.datenschutzzentrum.de/medizin/

Was ist zu tun?
Die Zahnärzte und Ärzte wie die Patientinnen und Patienten sind eingeladen, sich an der Aktion zu beteiligen. So besteht die Chance, dass im Land möglichst viele datenschutzrechtliche Musterpraxen entstehen.

4.8.9

Vorschläge zur Regelung der Genomanalyse

Die Schwerpunkte der Diskussion über die Gentechnik lagen im vergangenen Jahr zweifellos bei der Frage der Stammzellenforschung und der Präimplantationsdiagnostik. Doch wurden auch hinsichtlich der Zulässigkeit von Genanalysen zu medizinischen, wissenschaftlichen oder privaten Zwecken die ersten Weichen gestellt.

Waren vor wenigen Jahren Datenschutzfragen in Bezug auf die Gentechnik eher akademischer Natur, so hat sich dies in jüngster Zeit dramatisch geändert (vgl. 23. TB, Tz. 4.8.2). An den Universitätskrankenhäusern des Landes laufen nicht nur immer mehr genetische Forschungsprojekte, sondern es entstehen auch projektübergreifende Genproben-Datenbanken. Auch im rein kommerziellen Sektor gibt es aus Datenschutzsicht Einiges zu tun (Tz. 4.8.10).

Die besondere Qualität genetischer Daten ergibt sich aus ihrer weitgehenden Unveränderbarkeit von der Zeugung an. Die informationelle Selbstbestimmung kann nur dadurch wahrgenommen werden, dass über die Befugnis zum Wissen oder über das Nichtwissen entschieden wird. Aus jeder auch noch so geringen Probe von Speichel, Blut, Haut, Haarwurzel oder Sperma lässt sich mit fortschreitendem Wissensstand immer mehr über jeden einzelnen Menschen ableiten. Bekannt werden nicht nur akute, sondern auch latente Eigenschaften, die unter Umständen erst in Jahren und nur mit einer gewissen Wahrscheinlichkeit zum Tragen kommen. Zudem kommt den Daten Aussagekraft auch in Bezug auf nahe Verwandte zu. Eine Verifikation der Richtigkeit der Daten ist dem Betroffenen nicht selbst möglich; vielmehr muss er sich auf wissenschaftliche Untersuchungen verlassen, deren Aussagekraft äußerst umstritten sein kann. Zwar besteht die Sensibilität in besonderem Maße bei Analyseergebnissen aus dem codierenden Bereich des Genoms. Angesichts des Umstands, dass auch aus dem ”nichtcodierenden Teil” Wahrscheinlichkeiten abgeleitet werden können, müssen diese Daten grundsätzlich ebenso behandelt werden.

Das Risiko des Verlustes des informationellen Selbstbestimmungsrechts wird dadurch erhöht, dass von uns bei vielen täglichen Verrichtungen unbemerkt Substanzen zurücklassen werden, die mithilfe einer neuen Genchip-Technik immer einfacher untersucht werden können. Derartige Chips, mit denen zigtausend Sequenzabgleiche auf einmal vorgenommen werden, können in absehbarer Zeit in Massenproduktion für Kosten im zweistelligen Euro-Bereich hergestellt werden.

Die Notwendigkeit einer gesetzlichen Regelung auf Bundesebene ist inzwischen unter sämtlichen Beteiligten unstreitig. Sowohl eine Enquetekommission des Bundestags wie auch der Ethikbeirat der Bundesregierung haben sich dieser Fragen angenommen. Die Konferenz der Datenschutzbeauftragten hat eine Stellungnahme für die Bundestagsenquetekommission erarbeitet. Mit einem gesetzesähnlich ausformulierten Text, soll die Diskussion zielstrebig vorangebracht werden:

www.datenschutzzentrum.de/medizin/genom/

www.datenschutz-berlin.de/doc/de/konf/62/genuntersuchungen.htm

Derzeit dürfen außerhalb der strafprozessualen Befugnisse von staatlichen Stellen genetische Untersuchungen nur ausdrücklich mit Einwilligung der Betroffenen vorgenommen werden. Auch nach einer gesetzlichen Regelung kommt der Einwilligung (informed consent) die zentrale Funktion für die Zulassung der Verarbeitung von Gendaten zu. Während bei der datenschutzrechtlichen Einwilligungserklärung generell eine Aussage zu Zweck, verarbeitender Stelle und Datensatz für eine hinreichende Bestimmtheit genügt, sind bei gentechnischen Einwilligungen zusätzliche Anforderungen zu beachten.

Einer einwilligungsbasierten gentechnischen Untersuchung muss eine Beratung vorangehen. Diese muss Informationen über die Fragestellung und die Aussagekraft der Untersuchung enthalten sowie Angaben, inwieweit im Fall einer untersuchten Krankheit dieser vorgebeugt oder diese bekämpft werden kann. Der Ablauf der Untersuchung mit Angaben über die beteiligten Stellen über die Aufbewahrung, den Zeitpunkt einer Anonymisierung bzw. Pseudonymisierung sowie die Löschung der Daten bzw. Vernichtung der Proben muss verständlich dargelegt werden. Sowohl unerwartete Ergebnisse wie auch mögliche familiäre, psychische oder auch körperliche Belastungen müssen, so weit dies möglich ist, bekannt gegeben werden. Auf das Recht zu Wissen, den Auskunftsanspruch und auf das Recht auf Nichtwissen ist hinzuweisen. Die Beratung muss entscheidungsoffen erfolgen. Schließlich muss auf die Freiwilligkeit und die Widerrufbarkeit der Einwilligung hingewiesen werden.

Nach einer erfolgten Untersuchung muss durch ein gestuftes Verfahren der Informierung sichergestellt werden, dass die betroffene Person von ihrem Recht auf Wissen bzw. Nichtwissen in differenzierter Form Gebrauch machen kann. Bei der Interpretation des Ergebnisses ist dessen Komplexität und die Wechselwirkung mit Umweltfaktoren und Verhaltensgewohnheiten offen zu legen.

Werden personenbezogene Daten von nahen Verwandten gemeinsam mit der zu analysierenden Gewebeprobe erhoben oder werden sie mit der Probe bzw. dem Analyseergebnis zusammengeführt, so muss die Einwilligung auch dieser Personen vorliegen.

Was ist zu tun?
Unter Einbeziehung des Vorschlages der Datenschutzbeauftragten sollte so bald wie möglich ein Gesetz zur gen-informationellen Selbstbestimmung erarbeitet und nach angemessener öffentlicher Diskussion verabschiedet werden.

4.8.10

Heimlicher Gentest: Ganz der Papi?

Die über Internet und nun auch in Apotheken Schleswig-Holsteins erhältlichen genetischen Vaterschaftstests sind nach unserer Auffassung datenschutzrechtlich unzulässig. Es wird Zeit, dass der Gesetzgeber eingreift.

Ein kanadischer Datenschutzkollege wies uns darauf hin, dass ”Papachecks” im Internet auch von einer Firma in Schleswig-Holstein angeboten werden. Angegeben sind dort nur Handynummer und Postfach, aber kein Verantwortlicher oder eine Adresse. Diese konnten wir erst nach beharrlichen Recherchen feststellen. Die Unzulässigkeit des Verfahrens liegt für uns auf der Hand.

Das Verfahren läuft so ab: Der vermeintliche Vater sendet eine Materialprobe von sich und seinem ”Kuckuckskind” bei der Firma ein. Dabei kann es sich um eine Speichel-, Blut- oder Haarprobe handeln oder um aus der Windel ”entwendeten” Kot des Babys. Obwohl der Einsender versichert, dass das Material mit Zustimmung der (mit) sorgeberechtigten Mutter entnommen wurde, muss der Firma klar sein, dass dem nur in wenigen Ausnahmefällen so ist. Das ist aus unserer Sicht der Haken an dem ganzen Verfahren. Solange die Firma keine schriftliche Einwilligung vorliegen hat, muss sie davon ausgehen, dass mit dem Test eine Persönlichkeitsverletzung des Kindes erfolgt.

Zweifellos hat ein Mann das Recht zu wissen, ob er zu Recht Unterhalt für ein Kind bezahlt. Hierfür ist ein in der Zivilprozessordnung geregeltes Verfahren vorgesehen. Nicht akzeptabel ist aber ein heimliches Vorgehen. Damit können massive seelische und familiäre Konsequenzen verbunden sein. Wegen der unzulässigen Probenbeschaffung ist der Gentest datenschutzrechtlich unzulässig. Die Durchsetzung dieses Verbots ist uns als Aufsichtsbehörde aber mangels gesetzlicher Befugnisse nicht möglich.

Weitere Informationen zu diesem Thema unter:

www.datenschutzzentrum.de/material/themen/divers/vatertes.htm

Was ist zu tun?
Der Bundesgesetzgeber ist aufgefordert, durch eine klare Strafnorm sowohl die Auftragserteilung als auch die Durchführung von heimlichen Gentests zu untersagen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel