Eine neue EU-Verordnung fordert die Herausgabe sensibler Gesundheitsdaten an ausländische Kläger. Ärzte sehen dadurch ihre Integrität in Gefahr und fordern Änderungen.

Gabriela ist todunglücklich. Von ihrem Freund Ignacy hat sie sich kürzlich getrennt, als sie merkte, dass er seine Gewaltausbrüche nicht in den Griff bekam. Aus einer seiner Beinah-Vergewaltigungen ist sie schwanger geworden. Und Abtreibungen sind in Polen strengstens verboten. Selbst unheilbar kranke Kinder sollen zur Welt kommen, damit sie "getauft und beerdigt" werden können. "Nicht mit mir", denkt Gabriela. Mit geliehenem Geld macht sie eine Reise nach Berlin. Hier findet sie Beratung und die Möglichkeit zum Schwangerschaftsabbruch – und sie vertraut auf den Datenschutz.

Doch der Arm der polnischen Justiz wird bald länger sein als gedacht: Gemäß der geplanten E-Evidence-Verordnung der EU wird es ihr möglich sein, Gabrielas Gesundheitsdaten aus der Cloud ihrer Abtreibungsklinik abzufragen. Ob die sich nach deutschem Recht strafbar gemacht hat, ist dabei ohne Belang – die deutsche Polizei ist nicht involviert, muss aber im Fall einer Verweigerung durch den Provider Amtshilfe leisten. Und da dies vollumfänglich erst ab einem Strafmaß von drei Jahren Gefängnis gilt, hat der polnische Staat einen Anreiz, das Delikt entsprechend hoch anzusetzen.

Gut gemeint

Was wir hier erleben ist kein Ausnahmefall, sondern eine Überlappung zweier gut gemeinter Systeme, die zu einem fatalen Resultat führt: Einerseits ist da die E-Evidence-Verordnung, die eine zügige und unbürokratische Fahndung nach Straftätern in Europa gewährleisten soll. Und zum anderen gibt es das deutsche Gesundheitssystem, das seine Diagnosen und Leistungen in einer vereinheitlichten elektronischen Patientenakte dokumentiert.

Beides sind zunächst ehrenwerte Anliegen – aber sie passen nicht zusammen. Denn die ärztliche Schweigepflicht verbietet eine Herausgabe von Patientendaten selbst an Strafermittlungsbehörden – es sei denn, dass ein Tötungsdelikt damit verhindert würde. Der Verein Freie Ärzteschaft zum Beispiel sieht daher das Prinzip der ärztlichen Schweigepflicht in akuter Gefahr. In einer Presseerklärung schreibt der Verband:

"Da alle ärztlichen Daten in Deutschland künftig (…) in der Cloud gespeichert werden sollen, sind auch sie nicht mehr vor der Ausforschung durch andere Staaten geschützt. Die ärztliche Schweigepflicht ist dann nur noch Makulatur, das Grundrecht auf informationelle Selbstbestimmung damit ebenfalls."

Zweitverwertung

Entziehen können sich die Ärzte dem Druck zur elektronischen Patientenakte kaum noch: "Aus dem Ministerium von Bundesgesundheitsminister Jens Spahn kommt massiver Druck auf die niedergelassenen Kolleginnen und Kollegen, die sich aus Gründen der Schweigepflicht bislang nicht an die Telematikinfrastruktur (TI) angeschlossen haben", schreibt die Freie Ärzteschaft.

Die medizinische Forschung erhofft sich von der "pseudonymisierten" Big Data natürlich großartige Impulse und neue Erwerbszweige. Doch tatsächlich forderte Spahn von jeher nicht nur die Ausleitung von Daten zu Forschungszwecken, sondern auch eine marktorientierte und individuelle Auswertung durch Krankenkassen, natürlich ohne Zustimmung der Betroffenen. Jeder Patient unterliegt damit einer unfreiwilligen Zweitverwertung durch diese Player – das ist heute der Status quo.

In der Patienteneinwilligung der Medizininformatik-Initiative heißt es denn auch ganz unverblümt: "Sollten Ihre Daten trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen in unbefugte Hände fallen und dann trotz fehlender Namensangaben ein Rückbezug zu Ihrer Person hergestellt werden, so kann eine diskriminierende oder anderweitig für Sie und ggf. auch nahe Verwandte schädliche Nutzung der Daten nicht ausgeschlossen werden." Vertrauenswürdig klingt anders.

So jongliert die Politik mit unseren sensibelsten Informationen, den Gesundheitsdaten. Und wenn von Arztpraxen einerseits verlangt wird, Patientendaten in einer Cloud zu speichern, diese aber offen für Zugriffe Dritter ist, dann steht damit eben auch die ärztliche Schweigepflicht infrage.

Zugriff

Auch die Motivation für die Zugriffe ist natürlich nur die Beste: "Es darf keine Schlupfwinkel für Straftäter und Terroristen in Europa geben, weder online noch offline", so der Vizepräsident der Europäischen Kommission Frans Timmermanns. Klar: Strafverfolgungsbehörden wollen nunmal ungehindert ihren Job machen. Dass solches Wunschdenken mit der Realität des Darknet und verschlüsselter Kommunikation nicht in Einklang steht – sei's drum. Doch wie sieht es mit dem rechtsstaatlichen Schutz gegen Missbrauch aus, der in Europa nunmal ein hohes Gut ist?

Die Netzwerk-Anbieter sind gefordert, die verlangten Daten bei entsprechender Dringlichkeit innerhalb sechs Stunden zu liefern, von Login- und Metadaten bis zu Inhalten. Sie haben keine juristische Kompetenz, kein Wissen über den Fall und eine Prüfung ist auch gar nicht vorgesehen. Was eine Staatsanwaltschaft irgendwo in der EU will, wird schon seine Richtigkeit haben.

Sprich: Allen betreffenden Mitarbeitern aller Justizbehörden aller EU-Staaten wird pauschal das größtmögliche Vertrauen ausgesprochen – und bei einem möglichen Erweiterungs-Abkommen auch gleich noch denen der USA. Abgeschafft wird damit also ein Vier-Augen-Prinzip, das natürlich umständlicher ist. Es gilt, dass die Maßnahme nur nach den Kriterien des anordnenden Staates erlaubt und verhältnismäßig sein muss, während der Vollstreckungsstaat dieses Spiel mitspielen muss. Er hat also in manchen Fällen auf dem eigenen Territorium weniger Befugnisse als der ausländische Staat.

Man bedenke: Von Populismus oder Korruption gefährdete Staaten wird es immer wieder geben. Gegen Ungarn und Polen laufen gerade Verfahren wegen Verstößen gegen rechtsstaatliche Standards. In Ungarn wurde kürzlich "Werbung für Homosexualität" verboten. Sicher hätte man gern eine Liste aller Personen, die sich mit einem bestimmten Facebook-Eintrag solidarisieren. In Polen ist es verboten, über die Beteiligung polnischer Antisemiten am Holocaust zu informieren. In Malta ist man seines Lebens nicht sicher, wenn man über Korruption schreibt, ebenso wie in Italien über die 'Ndrangheta. Und die Namen Puigdemont oder Assange stehen für epische Bürgerrechts-Fails von Staaten wie Spanien und Schweden, die ihre demokratischen Grundwerte im Extremfall eben auch mal fallenlassen.

Nicht wenige Menschen haben aus gutem Grund etwas zu verbergen und suchen im Ausland den Schutz, der ihnen laut EU-Grundrechte-Charta zusteht und auf den sie in ihrem Land nicht vertrauen können. Die E-Evidence ist für sie eine Bedrohung. Da kann man verstehen, dass es den Juristen, Ärzten, Journalisten oder Providern blümerant wird und der EU-Datenschutzbeauftragte sich eine stärkere Einbeziehung des ausführenden Staates wünscht. Sogar das deutsche Justizministerium führte in einem Memorandum an, dass es Journalisten und politische Aktivisten für gefährdet halte. Doch mittlerweile ist es spät. Nach der Ratifizierung im EU-Parlament im Juli steht nur noch die Zustimmung des Europäischen Rates an.

Die Welt verändert sich und eine Cloud ist kein Aktenschrank

Systeme wie die Patientenakte gibt es mittlerweile viele. Von Ausweis bis Zoom, von Bezahldienst bis Stromzähler, von Kultur bis Gesundheit – jeder Bereich unseres Lebens wird fortschreitend digitalisiert – mit Auswirkungen und Kreuzwirkungen, die oft schwer absehbar sind. So geraten althergebrachte bürgerrechtliche Garantien unter Beschuss. Das elektronische Briefgeheimnis etwa ist längst nicht mehr, was das analoge Briefgeheimnis einst war.

Die Abwehrkämpfe gegen die Datenerfassungs- und Überwachungs-Begehrlichkeiten werden im Kleinen geführt, von Berufsständen, für die diese Herausforderung oft neu ist. Von Ärztinnen oder Psychiatern über mittelständische Dienstleister bis zu Journalisten. In der Gesamtrechnung jedoch ergibt sich bereits jetzt das Bild, dass der gläserne Bürger Schritt für Schritt Wirklichkeit wird – hier und heute. Wer einen sensiblen Umgang mit Daten einfordert, sieht sich bald in einer Dauerschleife gefangen: Mehr oder weniger sinnvolle Anwendungen führen zu Datensammlungen, die in Null-Komma-Nichts zweckentfremdet werden.

Bei uns in Europa hatte man sich vorgenommen, es besser zu machen. Besser als die USA mit ihrem Überwachungskapitalismus plus Geheimdiensten und besser als China mit seinem Überwachungs-Totalitarismus. In Deutschland galt früh das Leitbild der informationellen Selbstbestimmung, in Europa haben wir die "informierte Einwilligung", wie sie die DSGVO verlangt.

Die Strafverfolgungsbehörden leben immer in dem Gefühl der Ohnmacht gegenüber dem Verbrechen. Aber sie hatten auch noch nie so effiziente Mittel, in die Köpfe ihrer Zielpersonen zu schauen. Wie schnell und willkürlich das geht, darüber entscheidet die EU mit dieser gut gemeinten aber zu kurz gedachten E-Evidence-Verordnung.

Die Geschichte von Gabriela aus Polen ist ein fiktives Beispiel, aber in der Wirklichkeit betrifft allein dieses Thema in Polen jährlich circa 150.000 Frauen. Das ist keine Bagatelle.