Zum Hauptinhalt springen
Blogbeitrag

Thema im Fokus: Implantatregister - Nutzen versus Freiheit

Zum 01.01.2020 ändert sich etwas für diejenigen Menschen in Deutschland, die auf ein Implantat angewiesen sind.

Zu Jahresbeginn ist das Implantateregister-Errichtungsgesetz, kurz EIRD, in Kraft getreten (bundesgesundheitsministerium.de). Das Gesetz war im September 2019 im Deutschen Bundestag beschlossen worden.

Von Seiten des Bundesministeriums für Gesundheit (BMG) erhofft man sich mit diesem neuen Gesetz eine Verbesserung hinsichtlich der Qualität und Sicherheit von Implantaten. Zum einen soll eine Beschleunigung der Evaluations- und Zulassungsverfahren dafür sorgen, dass neue Implantat-Methoden schneller genehmigt werden. Durch diese verkürzten Genehmigungszyklen sollen mehr Menschen von innovativen Implantaten profitieren können. Zum anderen soll es eine verbesserte Kommunikation im Fall von Fehlfunktionen und Problemen mit Implantat-Produkten geben. So sollen betroffene Patienten schneller über Mangelerscheinungen ihrer Implantate informiert und dadurch Gegenmaßnahmen ermöglicht werden.

Um dies zu gewährleisten, erfolgt im Zuge des Gesetzes die Errichtung eines staatlichen Registers für die Sammlung und Verarbeitung von Patienten- und produktspezifischen Herstellerdaten. Zuvor geschah dies im sogenannten Endoprothesenregister (EPRD), in dem sich Implantatspatienten freiwillig registrieren lassen konnten, wobei teilweise über 90 % der Patienten von diesem Angebot Gebrauch machten (eprd.de). Das durch das EIRD neu geschaffene Implantateregister geriet dabei in die Kritik, weil es über den freiwilligen Ansatz hinaus geht und eine verpflichtende Speicherung der Gesundheitsdaten eines jeden Implantatspatienten in Deutschland vorsieht, wodurch Grundprinzipien der DSGVO aushebelt werden. Konkret wird in § 26 EIRD geregelt, dass Implantatspatienten weder einen Anspruch auf die Einschränkung der Verarbeitung von Daten (Art. 18 DSGVO) noch auf Widerspruch der Datenverarbeitung (Art. 21 DSGVO) haben. Gesundheitsminister Jens Spahn versichert betroffenen Patienten in einem Video, dass „Datenschutz und Datensicherheit auf höchsten Niveau“ gewährleistet seien (YouTube).

Prof. Jansson, Wissenschaftlicher Direktor des EPRD begrüßt das neue Implantateregister. Das Endoprothesenregister als direkter Vorgänger des EIRD gehört zu den Registern mit den weltweit höchsten Erfassungszahlen. Seit neun Jahren werden darin auf freiwilliger Basis Daten zu künstlichen Gelenken erfasst, „um langfristig die Qualität der künstlichen Hüft- und Kniegelenke beurteilen zu können, das Ergebnis der medizinischen Behandlung zu sichern und die Zahl der unnötigen Wechseloperationen zu verringern“ (eprd.de). Hieran soll das EIRD anknüpfen. Durch die bundesweit verpflichtende Teilnahme von Patienten, Kliniken, Krankenkassen und Herstellern könne man umfassende Daten, die den Fortschritt der endoprothetischen Versorgung unterstützen, erhalten (eprd.de). Die EPRD GmbH soll nicht nur die zuverlässige Überführung der Daten vom alten in das neue Register übernehmen, sondern auf Wunsch des BMG auch beim Aufbau und der Umsetzung des EIRD mitwirken.

Bernhard Egger vom Spitzenverband der gesetzlichen Krankenkassen (GKV) spricht sich gegen das neue Gesetz aus: „Die geplante Änderung ersetzt den Nachweis des Nutzens von Krankenhausleistungen durch das Vertrauen darauf, dass sie hoffentlich nützen werden“ (sueddeutsche.de). Zudem ermögliche die Änderung dem BMG direkte Eingriffe in die Bewertungsmaßstäbe bei der Prüfung von Innovationen für die Versorgung. Dies stehe im direkten Gegensatz zu dem Prinzip des GKV, sich im Sinne der Patientensicherheit dafür einzusetzen, dass nur solche Leistungen bezahlt werden, deren medizinischer Nutzen auch nachgewiesen ist. Laut Doris Pfeiffer, Vorsitzende des Verbands, sinke damit die Qualität und Sicherheit neuer Leistungen (aerztezeitung.de).

Auch das Deutsche Netzwerk Evidenzbasierter Medizin und der Verein zur Förderung der Technologiebewertung im Gesundheitswesen warnen davor, dass „die Regelungen des Sozialgesetzbuches V, die vor allem dem Schutz der Patienten vor ungeprüften, schädlichen oder unnützen Methoden dienen, […] ausgehebelt [werden]“ (sueddeutsche.de). Das Ministerium signalisiere mit diesem Schritt eine Abkehr von den Prinzipien der evidenzbasierten Medizin. Denn diese prüfe methodisch, ob eine Therapie anschlägt oder nur den Herstellern nutzt. Laut Ingrid Mühlhauser vom Netzwerk Evidenzbasierter Medizin sei die Patientensicherheit aktiv gefährdet. Statt schnelleren Genehmigungszyklen seien bessere klinische Studien notwendig, die den Nutzen von Innovationen nach evidenzbasierten Kriterien bewerten und ihren Nutzen nachweisen.

Unserer Meinung nach ist der positive Grundgedanke des Registers und der entstehende Mehrwert anerkennenswert. Dennoch bleiben wichtige Fragen offen: Wie kann die von Jens Spahn versprochene Datensicherheit in der praktischen Umsetzung tatsächlich gewährleistet werden? Erst im September berichtete der Bayrische Rundfunk (br.de) darüber, wie weltweit etwa 16 Millionen Datensätze mit sensiblen medizinischen Informationen ungesichert ins Netz gelangten. Röntgen-, MRT- und CT-Bilder inklusive der zugehörigen Klarnamen waren öffentlich einsehbar. Alleine in Deutschland waren mehrere tausend Patienten betroffen. Die im EIRD ausführlich beschriebenen Maßnahmen zur Sicherung der Daten betreffen in erster Linie öffentliche Behörden. In puncto Datensicherheit ist jedoch häufig die unzureichende IT-Infrastruktur in Praxen und Krankenhäusern der limitierende Faktor. Der Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter e.V. gibt an, dass für den Zeitraum 2019–2023 schätzungsweise 11,6 Mrd. Euro in IT-Bereichen der Krankenhäuser fehlen. Diese Sorge um mangelnde IT-Sicherheit spiegelt sich auch in der Bevölkerung wider. Laut einer aktuellen Studie (pwc.de) sehen 45 % der Bundesbürger allgemeinmedizinische Praxen nur begrenzt auf potenzielle Cyber-Angriffe vorbereitet. Bei neuen Gesetzesvorhaben kann diese Alltagsrealität nicht außer Acht gelassen werden.

Des Weiteren ist fraglich, ob die Negierung der Art. 18 und § 21 DSGVO durch den § 26 EIRD gerechtfertigt ist. Die Aushebelung von Grundsätzen des Datenschutzes erfordert in der Regel ein überwiegendes Interesse oder einen größeren Nutzen für die Allgemeinheit. Klar ist, dass die erhobenen Daten von großer Wichtigkeit für Forschung und Qualitätssicherung sind. Allerdings stehen wir in Deutschland bei den registrierten Fallzahlen ohnehin schon sehr gut da, was schon im Jahresbericht 2015 des EPRD erwähnt wird (eprd.de). In größeren Krankenhäusern lag die Teilnahme bei über 90 %. Durch diese hohe freiwillige Teilnahmequote am bereits vorhandenen Register stehen also schon sehr viele Datensätze zur Verfügung. Die mit dem Gesetz verfolgten Ziele wären also vermutlich auch ohne verpflichtende Teilnahme umsetzbar. Darüber hinaus sollte ein mündiger Patient sich der etwaigen Folgen einer Nichtteilnahme, beispielsweise in Bezug auf Rückrufaktionen von Implantaten, bewusst sein, sodass eine Bevormundung durch den Staat hier nicht notwendig erscheint.

Hinsichtlich der Verabschiedung des Gesetzes sind Äußerungen von Jens Spahn (YouTube) auf der DMEA Gesundheitsmesse kritisch zu betrachten. Bezüglich der Einschränkung des Datenschutzes fiel dabei folgende Äußerung seinerseits: „Wir haben uns intensiv ausgetauscht und gefragt: Wieweit können wir gehen – beim Einwilligungserfordernis oder Nicht-Erfordernis? Aber wenn Sie genau schauen, was wir da geregelt haben, sieht man, dass auch mit heutigem Datenschutzrecht viel geht!“ Auch auf die verpflichtende Teilnahme geht er ein: „Mir war von Anfang an sehr wichtig, dass wir möglichst viel auch anonymisiert und pseudonymisiert […] an Daten dort hineinbringen, so verpflichtend wie möglich, mit so wenig Ausweichmöglichkeiten wie möglich – um es mal so zu formulieren.“ Bedenken hat er allem Anschein nach keine, so schwärmt er abschließend davon, dass „es geht! – Wir sind damit gut durchs Kabinett gekommen!“ Den Bundesdatenschutzbeauftragten Ulrich Kelber hatte man zur Anhörung des Gesetzesentwurfs im Juni 2019 allerdings gar nicht erst eingeladen. Das EIRD ist somit ein weiteres Beispiel für ein Gesetz, bei dessen Einführung Chancen und Risiken nicht überzeugend abgeklärt worden sind. Es liegt an uns als Informatikerinnen und Informatiker, zukünftige Initiativen kritisch zu hinterfragen und unsere Bedenken mit Nachdruck vorzutragen.

Dieser Beitrag wurde verfasst von Yasmina Adams, Marlon Gehlenborg und Johannes Korz aus unserer „Redaktion Sozioinformatik“. Vielen Dank! Kontakt zu den Autoren: redaktion.sozioinformatik@cs.uni-kl.de

Hinweis der Redaktion vom 3. März 2020: Aus juristischer Sicht ist zur Aushebelung der Art. 18 und 21 DSGVO entsprechend Art. 23 DSGVO eine gesetzlich legitime Grundlage vollkommen ausreichend, welche durch das EIRD geschaffen wurde. Des Weiteren ist ein Widerspruch gem. Art 21 Abs 1 auch nur dann rechtens, falls die entsprechenden Daten gem. Art. 6 Abs 1 e oder f erfasst wurden. Im vorliegenden Fall ist dies nicht gegeben; erhoben wurden die Daten im Kontext des Art. 6 Abs 1 d. Ein Widerspruch in diesem Sinne kann also nicht erfolgen. Nichtsdestotrotz bleiben Eingriffe in das Datenschutzrecht insbesondere aus der gesellschaftlichen Sicht im Auge zu behalten und kritisch zu reflektieren.