Krebsregistergesetz mit datenschutzrechtlichen Mängeln
Das Krebsfrüherkennungs- und -registergesetz ist am 09.04.2013 in Kraft getreten. Der Bundestag hat das Gesetz am 31.01.2013 verabschiedet, der Bundesrat am 01.03.2013 zugestimmt. Mit dem Gesetz werden alte gesetzliche Regelungen aus dem Krebsregistergesetz vom 04.11.1994 tw. verändert.
Es sollen Voraussetzungen dafür geschaffen werden, um mehr Menschen mit Früherkennungsangeboten zu erreichen. Insoweit ein durchaus begrüßenswerter Ansatz.
Das Gesetz regelt aber auch die Einführung bundesweit einheitlicher und elektronisch geführter Krebsregister. Es sieht dazu u. a. die Einrichtung flächendeckender klinischer Krebsregister durch die Länder vor. Die bisher regional unterschiedlich geführten klinischen Krebsregister sollen künftig nach möglichst bundesweit einheitlichen Maßstäben arbeiten. Erfasst werden sollen die Daten der Patienten zu Diagnose, Behandlung, Nachsorge und Rückfälle. Ein in medizinischen Fachkreisen erarbeiteter Datensatz für die Dokumentation von an Krebs erkrankten Menschen soll die Grundlage für die klinische Krebsregistrierung bilden und ihre Einheitlichkeit sichern. Qualitätsunterschiede der Behandlung in den Einrichtungen sollen durch die Auswertungen der klinischen Register sichtbar werden.
Datenschutzrechtliche Regelungen aus dem Gesetz von 1994 wurden weitgehend unverändert in das neue Gesetz aufgenommen. Dies stößt auf Kritik bei Datenschützern und Interessenvertretungen von Patienten. So stellte die Bremer Datenschutzbeauftragte Dr. Imke Sommer jüngst dazu fest: “Die gegenwärtige Pseudonymisierung von Krebsregisterdaten ist 20 Jahre alt“, die heute viel höheren Rechnerkapazitäten könnten die sogenannten „kryptografischen Hashfunktionen“ durchschauen, mit denen die Krebsregisterdaten unter anderem – heute unzureichend – gesichert sind.
Die 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 13. – 14.03.2013 in Bremerhaven hat in einer Entschließung mit dem Titel „Pseudonymisierung von Krebsregisterdaten verbessern“ Kritik an der bisherigen Verfahrensweise geübt und Änderungen eingefordert. Sie sind hier nachzulesen : http://www.sachsen-anhalt.de/index.php?id=58313
Passend zum Thema hat der Bundesdatenschutzbeauftragte Peter Schaar heute einen Beitrag veröffentlicht, der alle o. g. genannten Argumente bestätigt und verstärkt. Unter der Überschrift „Datenschutz bei der Krankenhaus-IT unterbelichtet?“ schreibt er u. a.: „Ein… Vertreter der IT-Wirtschaft führte unwidersprochen aus, das Niveau der IT-Sicherheit in Krankenhäusern liege im Allgemeinen ‚meilenweit‘ unter dem in anderen Industriebereichen, etwa in der Medienwirtschaft… Der Vertreter der Deutschen Krankenhausgesellschaft stellte infrage, ob die strengen von den Datenschutzbeauftragten geforderten Zugriffsschutzkonzepte realitätsnah seien…“. Beim letzten Satz sollten auch die hellhörig werden, für die der Schutz sensibler personenbezogener Daten nicht unbedingt im Focus ihrer Aufmerksamkeit steht. Was kann sensibler sein als Krankheits- bzw. Gesundheitsdaten einzelner Menschen? Der gesamte Beitrag von Peter Schaar kann hier nachgelesen werden: https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=4110