Die Versprechungen, die mit „Künstlicher Intelligenz“ („KI“) und mit Digitalisierung einhergehen, sind gewaltig. Das ist auch im „Update der Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“ nicht anders, die Bundesgesundheitsministerin Nina Warken (CDU) am 11. Februar vorstellte. Ein „gesünderes und längeres Leben für alle“ soll die Digitalisierung ermöglichen, sie soll die medizinische Versorgung und Pflege „besser und effizienter“ machen, heißt es darin zum Beispiel.

Die Strategie hatte der damalige Minister Karl Lauterbach ursprünglich im Jahr 2023 vorgelegt. Der Aufbau des Europäischen Gesundheitsdatenraums (EHDS), neue Erwartungen im Bereich der „Künstlichen Intelligenz“ sowie der Plan eines neuen Systems für die Erstversorgung machten das nun vorgelegte Update notwendig.

Die wichtigsten Elemente: Die ePA soll zur zentralen Anwendung für Gesundheitsthemen ausgebaut werden, Digitalisierung der Schlüssel zu einem erfolgreichen Primärärzt*innensystem sein und „KI“ soll „sicher, flächendeckend und wirksam“ eingesetzt werden.

Digitalisierung und „KI“ werden das Gesundheitswesen fraglos verändern. Doch es ist wichtig, jetzt die richtigen Fragen zu stellen.

Wie weit hilft „KI“ dem Gesundheitswesen?

Während Digitalisierung und „KI“ durchaus das Potenzial haben, Prozesse im Gesundheitswesen zu vereinfachen und die Versorgung zu verbessern, kommt es auf eine gewissenhafte Abwägung bei der Umsetzung an.

Dabei dürfen wir vor allem nicht vernachlässigen, wie weitreichend die Auswirkungen auf Menschen in Gesundheitsberufen, auf Patient*innen und auf das Verhältnis zwischen ihnen sein können. Dazu braucht es mehr strategische Auseinandersetzung und Debatten.

Den großen Hoffnungen, mit denen der Einsatz von „KI“ derzeit verbunden ist, müssen wir realistisch begegnen. Weder wird „KI“ alle strukturellen Probleme im Gesundheitswesen wie Personalmangel oder Kostenexplosion lösen können. Noch sind die großen Versprechungen medizinischer Spitzenleistungen und Effizienzgewinne bisher eingetreten – oder auch nur auf absehbare Zeit erwartbar.

Die technische Architektur der KI-Systeme gründet auf massenhaften Daten plus Stochastik, also der mathematischen „Kunst des Vermutens“. Das begrenzt diese Systeme dauerhaft. Es gibt keine Garantie dafür, dass Aussagen der „KI“ wahr und richtig sind.

Anders als bei einem Algorithmus, der nach festen Regeln funktioniert und bei gleichen Bedingungen wiederholbare Ergebnisse liefert, ist diese Wiederholbarkeit bei „KI“ gerade nicht gewährleistet. Auch ist es nicht nachvollziehbar, was genau den jeweiligen Antworten zugrunde liegt.

Welche Zwecke soll und kann Dokumentation erfüllen?

„KI“-gestützte Dokumentation soll in wenigen Jahren bei mehr als 70 Prozent der Einrichtungen der Standard sein, heißt es in der Strategie.

Sicherlich: Dokumentation ist oft lästig, aber sie kann auch dabei helfen, ein gemeinsames Verständnis zwischen Patient*in und Ärzt*in herzustellen, Angaben zu überprüfen oder eine wichtige abschließende Reflexion über einen Fall darstellen.

Was bewirkt Automatisierung mit „KI“?

Doch selbst wenn eine Entlastung durch Automatisierung in diesem Fall naheliegt: Schafft sie am Ende tatsächlich mehr qualitativ hochwertige Zeit für die Behandlung von Patient*innen? Oder wird sie am Ende die Arbeit von Menschen in Gesundheitsberufen noch weiter verdichten?

Das ist gerade angesichts des demografischen Wandels erwartbar. Er wird in den nächsten Jahren dazu führen, dass viele ältere Patient*innen größere Behandlungsbedarfe in die Praxen und Krankenhäuser bringen, während zugleich viele Menschen in Gesundheitsberufen in Rente gehen. Weniger Ärzt*innen müssen also künftig mehr Patient*innen behandeln – wenn nicht gegengesteuert wird.

Dabei entscheidet eine gute Beziehung zwischen Ärzt*innen und Patient*innen über den Heilungsverlauf mit, auch bei körperlichen Erkrankungen. Doch dafür braucht es vor allem eines: Zeit.

So umfassend will Warken die Gesundheitsdaten aller Versicherten verknüpfen

Wie wichtig ist uns digitale Souveränität?

Bei der Automatisierung der Dokumentation strebt die Ministerin ein hohes Tempo an. Mit Blick auf die bisher auf dem Markt dominierenden Anbieter könnte das dazu führen, dass schon bald OpenAI, Google Gemini und Co. regelmäßig ebenfalls im Sprechzimmer anwesend sind. Die Abhängigkeit von den US-amerikanischen Tech-Konzernen wächst bei verstärktem Einsatz dieser Dienste also weiter an.

Große Anbieter von Praxisverwaltungssystemen werben bereits mit „KI“-Tools zur Dokumentation und Automatisierung. Schaut man genauer in deren Datenschutzbestimmungen, bestätigt sich diese Vermutung.

Doctolib setzt Anthropic und Google Gemini als „KI“ ein und hostet bei Amazon Web Services. Konkurrent Jameda begrüßt die neue Strategie als „wichtiges Signal für die Branche“ und verweist auf das eigene Dokumentationstool Noa Notes, das ebenfalls auf Amazon Web Services sowie Microsoft Azure setzt und auch OpenAI in seiner Datenschutzerklärung stehen hat.

VIA Health verspricht als „erster virtueller Assistent speziell für die Psychotherapie“ besten Datenschutz. Gleichzeitig weist das Unternehmen in seiner Datenschutzerklärung darauf hin, zur „Transkribierung der Audiospur sowie […] Erstellung der Sitzungsprotokolle“ verschiedene Drittanbieter von „Large Language Models (LLMs)“ einzusetzen.

Das alles spiegelt die gegenwärtige Realität weiter Teile unserer digitalen Infrastruktur wider. Zugleich passt es nicht zusammen mit politischen Forderungen nach mehr digitaler Souveränität, die auch von der Bundesregierung selbst regelmäßig vorgetragen werden.

Wie verändern Sprachmodelle die Beziehung zwischen Ärzt*innen und Patient*innen?

Auch zu „KI“-gestützten Systemen der medizinischen Ersteinschätzung müssen wir uns Gedanken machen. Künftig sollen Symptome in ein Computersystem eingegeben werden, danach erfolgt eine technische Einschätzung.

Dieses Verfahren soll Teil des Erstversorgungssystems werden und so den Zugang ins Gesundheitswesen (mit)regeln. Noch ist nicht klar, ob regelbasierte Algorithmen oder „KI“ die technische Grundlage dafür bilden werden.

Es kann grundsätzlich sinnvoll sein, vor dem Besuch einer Praxis die Symptome in ein technisches System einzugeben und sich gegebenenfalls aufgrund einer besseren Steuerung Wartezeit zu ersparen.

Eines genaueren Blicks bedürfen allerdings Themen, die sensibler und oft schambesetzt sind. Einfühlsam und ohne Vorurteile über Sexualität zu reden, fällt Menschen oft schwer. Viele Patient*innen sprechen das Symptom einer Geschlechtskrankheit daher erst am Ende einer Sprechstunde an. Oder eine psychische Belastungssituation wird erst im Laufe eines Gesprächs deutlich.

Öffnen wir mit digitalen Angeboten also tatsächlich neue Wege für Patient*innen? Oder verlieren wir etwas, wenn wir auf standardisierte digitale Ersteinschätzungen setzen? Und wie können geschützte Räume entstehen für sensible Themen wie Sexualität, Geschlechtskrankheiten, Substanzkonsum oder psychische Störungen, wenn das vertrauliche Gespräch mit einer behandelnden Person von einem „KI“-Tool mitgeschnitten wird?

Wie gut sind Sprachmodelle als Gesundheitsassistenzen wirklich?

„KI“ soll zur ständigen Begleiterin für Patient*innen werden und perspektivisch „individualisierte Gesundheitsempfehlungen“ geben, heißt es in der Strategie. Das Bundesgesundheitsministerium möchte so die Eigenverantwortung der Versicherten stärken.

Dabei hat gerade erst eine in der wissenschaftlichen Zeitschrift „Nature“ veröffentlichte Studie gezeigt, dass „KI“-Systeme faktisch daran scheitern, richtige Ergebnisse hervorzubringen, sobald man sich von theoretischem Lehrbuchwissen verabschiedet und reale Patient*innen auf sie loslässt.

Hinzu kommt: Bei Sprachmodellen, der Grundlage von KI-Systemen, werden die Eingaben nicht über Standardfragen geleitet. Sondern das Verfahren hängt stark von den Eingaben der User*innen ab – und damit die Ausgaben der Systeme.

Weil aber die Anzahl möglicher Nutzer*inneneingaben unbegrenzt ist, lässt sich damit auch nicht verlässlich für alle Anwendungsfälle überprüfen, wie gut ChatGPT und Co. im Einzelfall reagieren. Die Erwartung an Verlässlichkeit von Software-Programmen, die sich aus Zeiten regelbasierter Programmierung speist, ist bei auf Stochastik gründenden Ansätzen nicht haltbar – denn da sind immer Wahrscheinlichkeiten oder sogar der Zufall im Spiel.

Zwar gibt es mittlerweile Beispiele, in denen Menschen sagen: „KI“ hat mir dabei geholfen, dass es mir gesundheitlich wieder besser geht. Gerade bei seltenen Erkrankungen, denen Ärzt*innen in ihrem Berufsalltag nur überaus selten begegnen, wird den Sprachmodellen ein solches Potenzial zugesprochen.

Gleichzeitig gibt es jedoch groteske Beispiele, in denen ChatGPT bei der Bewertung von Daten eines Gesundheitstrackers die Note „ungenügend“ – also kurz vor Herzinfarkt – „erraten“ hat, während zwei Ärzte keine Anhaltspunkte für eine Erkrankung finden konnten.

Menschen handeln als Menschen und sind damit – auch in der Interaktion mit Maschinen und bei der Interpretation „maschineller“ Antworten – oft unberechenbar.

Das wiederum kann weitreichende Auswirkungen für Interaktionen zwischen Mensch und Mensch im Behandlungszimmer haben. Fragen Ärzt*innen in der Sprechstunde künftig mit ab, ob Patient*innen bereits vorab mit „KI“ recherchiert haben? Wie gehen Versicherte damit um, wenn sich Empfehlungen von „KI“-Systemen von denen realer Mediziner*innen unterscheiden? Oder wenn die von der „KI“ vorgeschlagenen Behandlungen nicht von den Kassen gedeckt werden?

Wie bleibt das Gesundheitswesen menschlich?

Wenn sie gut gemacht sind, bieten Technologien die Chance, Medizin besser zu machen. Dafür müssen wir uns allerdings die richtigen Fragen stellen – jenseits von Heilsversprechen und Technikgläubigkeit sowie im Wissen um den hochkomplexen Faktor Mensch.

Der Mensch ist dabei kein „nerviges Beiwerk“. Am Ende sollen es ja wir alle sein, die von den neuen Technologien profitieren – und nicht nur die Tech-Milliardäre, die sie mit den größten Versprechungen bewerben.

Manuel Hofmann ist Referent für Digitalisierung der Deutschen Aidshilfe. Offenlegung: Der Autor hat im vergangenen Jahr auf Einladung der Gematik am Fachforum „Technologien und Anwendungen“ für die Weiterentwicklung der Digitalisierungsstrategie „Gemeinsam Digital“ teilgenommen.

Eine IT-Forschergemeinschaft mit dem Namen „Q Continuum“ hat automatisiert zigtausende der beliebtesten Chrome-Erweiterungen untersucht. Knapp 300 davon, teils mit je vielen Millionen Installationen, liefern den Browserverlauf von Nutzerinnen und Nutzern an ihre Hersteller aus. Den Usern ist meistens wohl nicht klar, dass sie ausspioniert werden.

Die Analyse und ihre Ergebnisse stellt „Q Continuum“ in einem Github-Projekt bereit. Beim Versuchsaufbau haben sie Chrome in einen Docker-Container verfrachtet und den Traffic durch einen Man-in-the-Middle-Proxy geschleust. Dabei beobachteten sie die ausgehenden Anfragen unter dem Aspekt, wie sie mit der Länge der URLs korrelieren, die dem Chrome-Browser vorgesetzt wurden. Dabei haben die IT-Forscher synthetische Browser-Daten eingesetzt, konkret konsistent geformte Anfragen an google.com, die jedoch nie den Docker-Container verlassen. Dann untersucht ein Skript die ausgehenden Daten darauf hin, wie umfangreich der abgehende Traffic ist.

Die Idee dahinter: Wenn eine Erweiterung lediglich den Seitentitel liest oder eigenes CSS in die Seite einbaut, sollte der Netzwerk-Fußabdruck niedrig bleiben, egal, wie lang die besuchte URL ist. Wenn der abgehende Traffic jedoch linear mit der URL-Länge ansteigt, liefert die Erweiterung mit hoher Wahrscheinlichkeit die URL oder die gesamte HTTP-Anfrage an einen Server ins Internet aus. Damit konnten sie Erweiterungen eingrenzen, die sehr wahrscheinlich sensible Daten ausspähen.

Hunderte teils populäre Erweiterungen spionieren

Insgesamt haben die Analysten die 32.000 populärsten Chrome-Erweiterungen von den 240.000 im Chrome-Webstore verfügbaren untersucht. Dabei haben sie 287 teils sehr populäre Kandidaten aufgespürt, die Daten exfiltrieren. Insgesamt 37,4 Millionen User haben diese Plug-ins in ihren Webbrowser installiert und werden davon ausgeforscht.

Diese Daten können zur Profilbildung und gezielter Werbung genutzt werden, aber auch zu Wirtschaftsspionage oder dem Abziehen von Zugangsdaten, erklärt das „Q Continuum“ die potenziellen Gefahren. Andererseits ist nicht jede Erweiterung automatisch auch mit bösartiger Absicht unterwegs. Auf Platz 1 findet sich etwa „Avast Online Security & Privacy“ mit sechs Millionen Installationen, ein Plug-in zur Reputationsprüfung von Webseiten. Offenbar nutzt es keine lokale Datenbank, sondern sendet die URLs zur Prüfung an die Herstellerserver. Allerdings hat gerade Avast da eine wenig rühmliche Vergangenheit: Wegen Datenweitergabe musste das Unternehmen 2024 16,5 Millionen US-Dollar Strafe in den USA zahlen, da die gesammelten Daten von mehr als 100 Millionen Nutzern über die Tochterfirma Jumpshot verkauft wurden. An zweiter Stelle folgen mit je 3 Millionen Nutzern die Erweiterungen „Ad Blocker: Stands AdBlocker“ sowie „Monica: ChatGPT AI Assistant | DeepSeek, GPT-4o, Claude 3.5, o1 &More“.

Die Webseite hält eine Liste der beim Ausspähen beobachteten Chrome-Erweiterungen vor. Detaillierte Einblicke gibt das rund 260-seitige PDF, wovon die letzten etwa 150 Seiten jedoch lediglich Details zu den betroffenen Erweiterungen wie IDs, Namen, Nutzerzahlen und Ähnliches umfassen. Wer nicht möchte, dass die eigenen Browser-Erweiterungen den eigenen Browser-Verlauf an die Anbieter senden, sollte die Erweiterungsliste prüfen und gegebenenfalls die Add-ons deinstallieren.

Browser-Erweiterungen sind oft nützliche Helferlein, sie können jedoch auch Datenschleudern sein, die die Privatsphäre verletzen. Einige Akteure nutzen das zur eigenen Bereicherung aus, indem sie die gewonnenen Daten monetarisieren. Das Phänomen selbst ist bereits älter. Etwa 2019 hat der IT-Sicherheitsforscher Sam Jadali 200 Chrome- und Firefox-Erweiterungen angeschaut und diese ebenfalls beim Datensammeln erwischt. Auf diese übertragenen Daten hatten zudem Dritte Zugriff. Bei dieser Späh-Masche mit dem Namen „DataSpii“ waren Surf-Daten von 4,1 Millionen Menschen betroffen.

(dmk)

Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).

Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.

Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.

Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.

Die ePA soll zur „Gesundheits(daten)plattform“ werden

Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.

Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.

Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.

„Künstliche Intelligenz“ soll Symptome auswerten

Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.

Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.

Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.

Forschungsdatenzentrum soll als „Innovationsmotor“ wirken

Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.

Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.

Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.

Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.

Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.

„Real-World-Überwachung“ ermöglichen

Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.

Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.

Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.

Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.

Warken will Medizinregister miteinander verknüpfen

Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.

Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.

Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.

Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.

Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.

Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.

Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an

Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.

Zu diesem Zweck sollen Betreiber von Medizinregistern und die meldenden Gesundheitseinrichtungen registerübergreifende Pseudonyme erstellen dürfen. Als Grundlage dafür soll der unveränderbare Teil der Krankenversichertennummer von Versicherten (KVNR) dienen.

Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.

Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.

Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.

Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.

Gesundheitsministerium schafft Schnittstellen in die EU

Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.

Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.

Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.