von Bertold Brücher* | 13. Juni 2025
Der Begriff „Sozialdatenschutz“ kommt im Koalitionsvertrag (KoaV) zwischen CDU, CSU und SPD für die 21. Legislaturperiode mit dem Titel „Verantwortung für Deutschland“ gar nicht vor. Trotzdem wird es auch in diesem Rechtsgebiet zu Veränderungen kommen. Denn die gesamte Datenschutzarchitektur soll in Bewegung gebracht, quasi „umgedreht“ werden.
Verkürzt gesagt: Es soll vom Datenschutzrecht hin zum Datennutzungsrecht gehen, die Parameter in der Gewichtung sollen geändert werden. Das lässt sich aus den Worten Julia Klöckners, Bundestagspräsidentin in der laufenden 21. Bundestagsperiode, schließen: „Diese Umkehrung in der grundsätzlichen Denkweise sollte uns gelingen!“ (siehe hier ), sagte sie bei der Vorstellung des Tätigkeitsberichts 2024 der Datenschutzbeauftragten im April dieses Jahres.
Und auch im Sozial-, insbesondere im Gesundheitsrecht führt das zu entsprechenden „Änderungen“ – jedenfalls nach den Vereinbarungen im KoaV.
Der Datenschutz wird insgesamt nivelliert, um eine flotte(re )Datennutzung zu erreichen. Eine Sozialstaatsreform wird angestrebt – eine hierzu eingerichtete Kommission soll im 4. Quartal 2025 ihre Ergebnisse vorstellen. Aufträge sind die Modernisierung und Entbürokratisierung im Sinne der Bürgerinnen und Bürger und der Verwaltungen, massive Rechtsvereinfachung, Zusammenlegung von Sozialleistungen, erhöhte Transparenz, Pauschalisierung und Zusammenlegung von (Sozial-)Leistungen.
Das alles wird flankiert, eher: beschleunigt durch ein offeneres und positiveres Datennutzungsverständnis. Insbesondere mit Künstlicher Intelligenz (KI) soll automatisiert, beschleunigt, effizienter gestaltet werden – auch und gerade im Sozialrecht. In der Gesundheitsversorgung sollen die Chancen der Digitalisierung genutzt werden.
Einwilligungslösungen werden durch Widerspruchslösungen ersetzt
Auch ist im KoaV formuliert, die Datenschutzaufsicht zu zentralisieren. Die bislang in den Bundesländern durch ihre Landesdatenschutzbeauftragten angesiedelte Aufsicht soll bei der Bundesdatenschutzbeauftragten gebündelt werden. Und die bekommt den Auftrag, die – so bezeichneten – „aufwändigen“ Einwilligungslösungen durch unbürokratische Widerspruchslösungen zu ersetzen; dies alles für eine komfortablere Nutzung staatlicher Serviceleistungen.
Ja, das alles klingt auf den ersten Blick nicht schlecht. Es entspricht dem Mainstream der (selten hinterfragten und auf ihren Wahrheitsgehalt geprüften) Auffassung, die Bundesrepublik sei in den digitalen Anwendungen zu träge, Bürokratismus lähme den Fortschritt und ein überzogener Datenschutz verhindere effektive Datennutzung. Also: Die Bundesregierung verspricht im KoaV Bürokratieabbau, Rechtssicherheit und Innovationsförderung – alles aus einer Hand.
Es lässt sich also durchaus von einem Paradigmenwechsel sprechen.
Sicher, eine Entbürokratisierung, wenn die Bürokratie quasi zum Selbstzweck erstarrt, ist sinnvoll. Darunter aber u. a. die Datenschutzaufsicht der Datenschutzkonferenz (DSK) zu fassen, mutet merkwürdig an. Indem die Aufsicht gebündelt an die Bundesdatenschutzbeauftragte übertragen wird, gehen schnelle Wege, lokale Expertise und eine vertrauensvolle Zusammenarbeit verloren. Auch ist nicht auszuschließen, dass „Zentralisierung“ diejenigen fordern, die sich von weniger Aufsicht mehr Freiheiten beim Umgang mit persönlichen Daten erhoffen (siehe hier).
Zudem sind datenschutzrechtliche Bedenken trotz der ohnehin vagen Aussagen im KoaV angebracht.
Das Beispiel elektronische Patientenakte
Ein erster Meilenstein: Noch 2025 wird die elektronische Patientenakte (ePA) stufenweise ausgerollt, von einer bundesweiten Testphase hin zu einer verpflichtenden sanktionsbewehrten Nutzung. Das Once only-Prinzip nimmt den Versicherten Arbeit ab – ihre Sozial- und Gesundheitsdaten werden nur einmal erhoben – und ermöglicht den Datenfluss zwischen Versicherungsträgern und Ärzt:innen. Für den Gesundheitssektor soll die Gematik GmbH zu einer modernen Agentur umgewandelt werden; sie soll die digitalen Akteure besser vernetzen.
„An sich“ ist eine umfassende Gesundheitsdatensammlung, vernünftig eingesetzt, sinnvoll. Beispielhaft sei nur an die Langzeitfolgen von Corona-Infektionen erinnert: Gäbe es z. B. eine ausführlichere Datenlage über die einzelnen Infektionsfälle, wäre es mit Wahrscheinlichkeit erfolgreicher möglich, Wirkungsweisen der Infektionen auf die Einzelnen auszuwerten und daraus valide Hinweise für Therapien zu entwickeln.
Doch jede Medaille hat zwei Seiten. So soll z. B. die informierte und ohne irgendeinen Druck erteilte Einwilligung in die Nutzung auch sensibler persönlicher Daten – wie z. B. den Gesundheitsdaten – durch eine Widerspruchslösung ersetzt werden.
Vereinfacht gesagt: Bislang gilt grundsätzlich das Erfordernis der Zustimmung. Wenn jemand meine Daten nutzen will, muss er mir hinreichend und verständlich erklären, zu welchem Zweck er diese Daten nutzen möchte und wann er diese wieder löscht. Willige ich dann ein, ist das o.k. Dies Prinzip soll geändert werden dergestalt, dass ich zwar informiert werde, dass „meine“ Daten genutzt werden. Doch geschieht dies automatisch, es sei denn, ich widerspreche. Auch werde ich nie erfahren, zu welchen speziellen Zwecken „meine Gesundheitsdaten“, anonymisiert oder gar nur pseudonymisiert, von welchen Pharma-Konzernen „zu Forschungszwecken“ abgerufen und genutzt werden.
Bei Einführung der elektronischen Patientenakte im Jahr 2021 „floppte“ sie. Sie wurde nur auf Wunsch der Versicherten angelegt, die Information über die Möglichkeiten war umfassend. Gleichwohl wollten die wenigsten sie haben. Da es Ziel ist, im Idealfall „alle Gesundheitsdaten der GKV -Versicherten“ nutzen zu können (siehe hier) bekommt nun jeder dieser Versicherten eine ePA. Statt Einwilligungsnotwendigkeit gibt es ein Widerspruchsrecht auf verschiedenen Ebenen. Informiert werden sollte umfassend. Die Krankenkassen waren und sind verpflichtet, ihre Versicherten über die Funktionsweise der ePA, über die mit ihr speicherbaren Informationen sowie über die Rechte und Ansprüche, die die Versicherten im Zusammenhang mit der Nutzung der ePA haben, ausführlich und umfassend zu informieren (siehe hier).
Ob dies geschehen ist, kann jede/r an der ihm/ihr zugegangenen Information messen. Obwohl die vom Gesetzgeber vorgegebene Aufklärung über die (kaum kontrollierbaren) Datennutzungen oftmals nicht zu Genüge erfolgt ist, scheint es viele zu geben, die der ePA widersprochen haben – ungeachtet der technischen Probleme, die bislang den Einführungsplan erheblich verzögerten. Das kann auch daran liegen, dass sich bereits in der Probephase erhebliche Sicherheitsbedenken bewahrheiteten (siehe hier)
Und nun soll nach der Vereinbarung zwischen CDU/CSU und SPD die ePA verpflichtend sanktionsbewehrt genutzt werden. Heißt das: Wenn du nicht mitmachen willst und dein Widerspruchsrecht nutzt, bekommst du eine „Sanktion“?
Es ist sehr fraglich, ob solche Anwendungen sich mit den Regeln der Datenschutz-Grundverordnung (DSGVO) vereinbaren lassen und vor dem Europäischen Gerichtshof Bestand halten würden. Aber da gibt es ja auch das Ansinnen im KoaV, initiativ auf eine Veränderung der DSGVO hinzuwirken.
Ist das alles gut? Dazu mag sich jede/r eine Meinung bilden.
Bertold Brücher
ist Referatsleiter Sozialrecht und Beschäftigtendatenschutz beim DGB-Bundesvorstand
* Die im Beitrag vertretene Auffassung liegt allein in der Verantwortung des Verfassers