Wunsch nach europäischen Gesundheitsdatenraum

1. Dezember 2023

Nachdem es sich in den letzten Wochen immer wieder um Gesundheitsdatenschutz gedreht hat, äußert sich auch das Europäische Parlament (EU-Parlament). Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und der Ausschuss für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit (ENVI) des EU-Parlaments drücken in einer Pressemitteilung vom 28.11.2023 seinen Wunsch nach einem europäischen Gesundheitsdatenraum (European Health Data Space (EHDS)) aus. Das geschieht parallel zu den deutschen Bestrebungen nach der E-Patientenakte und den Forderungen der Datenschutzkonferenz (DSK) für einheitliche medizinische Register und mehr Datennutzung zu Forschungszwecken.

Primärnutzung: Steigerung des individuellen Gesundheitsschutzes

Mitglieder des Parlaments haben mit überragender Mehrheit einen Entwurf angenommen, der es den Bürgern ermöglichen soll, ihre persönlichen Gesundheitsdaten sicher und grenzüberschreitend nutzen zu können. Zu den betroffenen Daten sollen Rezepte, die Krankheitsgeschichte, Bildmaterial oder Laborergebnisse gehören. Für die Datennutzung soll über die MyHealth@EU-Plattform ein Zugang eingerichtet werden. Im Gegenzug sollen effektive Sicherheitsmechanismen zum Schutz sensibler personenbezogener Daten geschaffen werden.

Sekundärnutzung: Datenweitergabe für das Gemeinwohl

Diese momentane Entwicklung verspräche auch eine verbesserte Portabilität von Gesundheitsdaten und ein sicheres Teilen für „öffentliche Interessen im Gesundheitsbereich“. Das neue Gesundheitssystem soll es nämlich ermöglichen, bereits gesammelte Daten weiterzugeben. Hiervon umfasste Daten könnten Informationen zu Krankheitserregern, Erstattungsansprüche oder genetische Daten sein. Zum „öffentlichen Interesse im Gesundheitsbereich“ sollen etwa Forschungsförderung, Innovation, Politikgestaltung, Bildung, Patientensicherheit und regulatorische Zwecke gehören.

Andererseits sollen strenge Datenschutzbestimmungen festgelegt werden, um sicherzustellen, dass sensible Daten nur unter klaren Bedingungen und für definierte Zwecke geteilt werden dürfen. Deswegen soll die Verwendung für Werbung oder den Ausschluss von Versicherungsleistungen verboten sein. Für die Weitergabe und Anonymisierung oder Pseudonymisierung von Daten wäre eine staatliche Stelle zuständig. Für besonders sensible Daten soll es für die Sekundärnutzung zudem ein Einwilligungserfordernis geben und einen Widerspruchsmechanismus für sonstige Daten. Außerdem sollen Bürger das Recht erhalten, Entscheidungen von Stellen zur Gesundheitsdatenzugriff anzufechten.

Fazit

Der Wunsch nach einem europäischen Gesundheitsdatenraum ist bis zu einem gewissen Punkt nachvollziehbar. Zweifellos verspricht das neue System einen grenzüberschreitenden Fortschritt in der Patientenversorgung und in der medizinischen Forschung.

Dennoch sind einige kritische Gedanken zu berücksichtigen, insbesondere im Hinblick auf die Privatsphäre der Patienten. Zum einen stellt sich die Frage, ob die Primärnutzung tatsächlich einen signifikanten Vorteil für die Patienten darstellt. Auch jetzt schon ist es dem Individuum möglich seine Gesundheitsdaten mit Ärzten zu teilen, wenn auch vielleicht nicht ganz so komfortabel. Zudem kommt die Vielfalt der in der Pressemitteilung erwähnten Daten und potenziellen Nutzungszwecke. Dies birgt Missbrauchspotential in sich. Auch die erwähnte Widerspruchslösung bedeutet im Umkehrschluss eine pauschale Weitergabe von Daten. Im Übrigen könnte hiermit – genau wie mit dem neuen Data Act – eine weitere kritische Schwelle im Umgang mit personenbezogenen Daten überschritten werden. Ein zu leichtfertiger Umgang mit diesen sensiblen Informationen könnte langfristig das Vertrauen der Öffentlichkeit in solche Systeme untergraben.

Insgesamt müssen die Einführung des EHDS mit einem kritischen Auge betrachten und sichergestellt werden, dass Datenschutz und individuelle Rechte weiterhin im Mittelpunkt stehen. Die Potenziale dieser Initiative sind enorm, aber es muss ein Ausgleich mit der Privatsphäre der Patienten gewährleistet sein. Nun bleibt zunächst abzuwarten, wie die Vollversammlung des Europäischen Parlaments im Dezember über den Entwurf abstimmen wird.

Neue globale KI-Richtlinie

30. November 2023

Der Bereich der Künstlichen Intelligenz (KI) nimmt weiter an Fahrt auf. Erst kürzlich haben die G7-Länder Leitlinien für KI festgelegt. Auf EU-Ebene wird unter Hochdruck auf die Schaffung einer KI-Verordnung hingearbeitet. Nun haben 18 Staaten eine neue globale KI-Richtlinie unterzeichnet und am 27.11.2023 veröffentlicht. Im Gegensatz zu der geplanten KI-Verordnung hat die Richtlinie allerdings keinerlei bindenden Charakter.

„Secure by design“-Richtlinie unterzeichnet von 18 Ländern

In einer gemeinsamen Initiative haben Deutschland und 17 weitere Länder – darunter auch die USA und Großbritannien – eine bahnbrechende Richtlinie für die Entwicklung von KI unterzeichnet. Ziel ist es, KI-Systeme bereits während ihrer Entstehung sicher zu gestalten. Lindy Cameron, CEO des britischen National Cyber Security Centres (NCSC), hält diesen Schritt für notwendig, um der rasanten Entwicklung von KI nachzukommen. Nur so könne man globale Risiken richtig einschätzen und passende Strategien zu deren Eindämmung entwickeln.

Sicherheit als oberste Priorität bei KI-Entwicklung

Als erste globale KI-Richtlinie, um sichere KI-Entwicklung zu gewährleisten, bezeichnet die britische Regierung die neue Vereinbarung. Die Richtlinie solle Entwickler-Unternehmen dabei unterstützen, informierte Entscheidungen für die Schaffung sicherer KI-Systeme zu treffen. Der „secure by design“ Ansatz bedeute, dass der Sicherheitsaspekt den gesamten Entwicklungs-, Einführungs- und Betriebsprozess bestimmen und sich die Unternehmer hieran orientieren sollen.

Keine Unterscheidung von KI-Arten

Die von Großbritannien veröffentlichte Vereinbarung legt Wert darauf, dass KI-Anwendungen, unabhängig von ihrer Art, sicher sind. Neben den KI-Systemen selbst, gilt die Richtlinie deswegen auch für Produkte, die KI nur verwenden, nicht aber selbst entwickelt haben. Das wird damit begründet, dass informierte Entscheidungen in Bezug auf Cybersicherheit ebenso für Anwendungen getroffen werden müssen, die auf bereits bestehenden KI-Modellen basieren. Im Umkehrschluss bedeute das aber auch, dass gleichsam Entwickler kleinerer KI-Dienste verantwortlich sind.

Richtlinieninhalt: Vier Sicherheitsbereiche

Die neuen Regelungen lassen sich in vier Hauptbereiche unterteilen.

Entwurfsphase

Zum einen soll sichergestellt werden, dass KI-Systeme sicher designt werden. Dafür müssen betroffene Unternehmen zunächst ihre Mitarbeiter über Gefahren und Risiken aufgeklären. Dann soll das System angepasst an die Risiken unter Abwägung der Vor- und Nachteile für Sicherheitsaspekte entworfen werden.

Entwicklungsphase

Zudem muss auch in der anschließenden Entwicklungsphase dieser Aspekt beachtet werden. Werden für die Entwicklung andere KI-Systeme verwendet, muss ihre Sicherheit analysiert und überwacht werden. Im nächsten Schritt muss jeder weitere Vorgang, der bei der KI-Entwicklung vorgenommen wird, dokumentiert, verwaltet und auf Risiken geprüft werden.

Bereitstellungsphase

Im Rahmen der Bereitstellungphase sollen die KI-Unternehmen zunächst Cybersicherheitsmaßnahmen implementieren. Daneben müssen auch Prozesse für das Vorgehen in einem Sicherheitsvorfall festgelegt werden. Zudem dürfen Betreiber das System für die öffentliche Nutzung erst bereitstellen, nach sorgfältiger Prüfung. Nach Veröffentlichung müssen die Nutzer bei der sachgemäßen Verwendung des Produkts unterstützt werden. Dazu gehört auch das sie Leitlinien in die Hand bekommen, die ihnen zeigen, welche Beschränkungen und rechtlichen Vorgaben sie einhalten müssen.

Betrieb und Wartung

Zuletzt sind Risiken auch nach der Bereitstellung kontinuierlich zu minimieren. Das beinhaltet eine ununterbrochene Systemüberwachung, Kontrolle von Missbrauchsfällen, regelmäßige Updates und eine Berichterstattung.

Verhaltenskodex statt Innovationsbremse

Passend zu den aktuellen Hemmnissen bei der Schaffung der europäischen KI-Verordnung, haben die KI-Richtlinien keine Bindungswirkung. Vielmehr sollen sie Unternehmen als Orientierung und Empfehlung für eine sichere KI-Entwicklung dienen. Das auch Deutschland und Frankreich diesen Ansatz unterstützen überrascht vor dem Hintergrund nicht, dass sie mit Hinblick auf die KI-Verordnung sich in einem Positionspapier für eine verpflichtende Selbstregulierung statt einer strengen Regulierung einsetzen.

Fazit

Die globale Unterzeichnung einer neuen KI-Richtlinie ist zweifellos ein Schritt in Richtung Sicherheit im KI-Bereich. Es bleibt jedoch die Frage, ob nicht-bindende Empfehlungen ausreichen, um die wachsenden Herausforderungen im KI-Bereich zu bewältigen. Während auf EU-Ebene weiterhin Verhandlungen über die KI-Verordnung stattfinden, zeigen Länder wie Deutschland, Frankreich und Italien eine Zurückhaltung gegenüber verpflichtenden Regulierungen für Basismodelle. Die Debatte um die Sicherheit von KI-Systemen wird zweifellos weitergehen.

EU-Rat: Data Act angenommen

29. November 2023

Vor zwei Wochen haben wir davon berichtet, dass das Europäische Parlament für das neue Gesetz zur Datenzugang gestimmt hat. Nun hat auch der Europäische Rat (EU-Rat) am 27.11.2023 verkündet, dass er den geplanten Data Act angenommen hat. Die Neuerungen sollen harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten festlegen.

Fairness, Wettbewerb und Innovation

Diese bahnbrechende Verordnung wird nicht nur die Spielregeln für Hersteller und Dienstleister verändern, sondern auch das Kräfteverhältnis in der digitalen Landschaft neu ausrichten.

Laut José Luis Escrivá, dem spanischen Minister für digitale Veränderung, passe man so den europäischen Markt an das neue digitale Zeitalter an. Das neue Gesetz erschließe bereits vorhandenes Marktpotential und würde den wirtschaftlichen Datenhandel befeuern. Daraus folge ein Vorteil für die europäischen Bürger und Unternehmen.

Nach der Pressemitteilung liegt es dann in der Hand desjenigen, den die Daten betreffen, zu entscheiden, wer sie wie nutzen darf. Der Data Act verfolge ehrgeizige Ziele, darunter die Gewährleistung der Fairness bei der Verteilung des Wertes von Daten, die Stimulierung eines wettbewerbsfähigen Datenmarktes, die Förderung von Innovationen und die verbesserte Zugänglichkeit von Daten für alle. Eine Schlüsselrolle spielt dabei die Erleichterung des Wechsels zwischen Anbietern von Datenverarbeitungsdiensten.

Governance-Modell

Neben inhaltlichen Punkten, über die wir bereits berichtet haben, soll die neue Regelung auch weiterhin die Autonomie der Mitgliedstaaten wahren. Deswegen soll die Umsetzung und Durchsetzung auf nationaler Ebene organisiert werden. Die konkrete Stelle in den Mitgliedstaaten soll eine Alleinzuständigkeit innehaben und als „data coordinator“ bezeichnet werden.

Wie geht es jetzt weiter?

Nachdem der EU-Rat den Data Act formell angenommen hat, ist er im Amtsblatt der europäischen Union in den nächsten Wochen zu veröffentlichen. Zwanzig Tage nach dieser Bekanntgabe tritt er in Kraft. Das Gesetz wird – mit wenigen Ausnahmen – 20 Monate nach Inkrafttreten anwendbar.

Fazit

Der Data Act markiert einen Meilenstein auf dem Weg zu einer gerechten und innovativen Datenwirtschaft in der EU. Die Verordnung schafft klare Regeln für den fairen Zugang zu und die Nutzung von Daten, wodurch die digitale Transformation der EU entscheidend vorangetrieben wird. Mit diesem rechtlichen Rahmen werden neue, innovative Dienstleistungen und wettbewerbsfähige Preise für After-Sales-Services und Reparaturen vernetzter Objekte entstehen. Der Data Act ist nicht nur ein Gesetz, sondern ein Impuls für ein datenorientiertes Europa.

DSK: Datenschutz in medizinischen Registern

28. November 2023

Am 22. und 23. November 2023 hat in Lübeck die 106. Tagung der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) stattgefunden. Bei der DSK tauschten sich Experten unteranderem zum Datenschutz in medizinischen Registern aus. In diesem Zusammenhang hat die DSK eine Entschließung zu „Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register“ formuliert. Im Übrigen veröffentlichte sie auch eine Entschließung zum Datenschutz in der Gesundheitsforschung.

Vielfalt medizinischer Register in Deutschland

Hintergrund der Debatte ist, dass die Landschaft medizinischer Register in Deutschland äußerst vielfältig mit verschiedenen Strukturen und Arten ist. Deswegen stützen sich die meisten bezüglich der Datenverarbeitung auf Einwilligungen, während nur wenige auf eine gesetzliche Grundlage zurückzuführen sind. Die Zwecke der Register sind ebenso heterogen und reichen von Forschungsvorhaben zu Patienteninitiativen.

Hier setzt die Forderung der Bundesregierung nach einer einheitlichen gesetzlichen Regulierung in Form des Registergesetzes an. Durch allgemeine Regeln könnte man Daten besser und umfassender im öffentlichen Interesse verwenden, um mehr Struktur und Qualität zu gewährleisten. Laut der DSK ist hierbei allerdings stets ein hohes Datenschutzniveau zu gewährleisten. Zu beachten sei insbesondere Art. 92532 und ggf. 89 Abs. 1 der Datenschutzgrundverordnung (DSGVO).

Die Rolle der Zentralstelle für medizinische Register

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden befürwortet die Schaffung einer Zentralstelle für medizinische Register. Diese soll nicht nur ein Registerverzeichnis führen, sondern auch für die Auditierung und Zuordnung der einzelnen Gesundheitsregister je nach Qualitätsstufe verantwortlich sein. Nach Ansicht der DSK soll die Einteilung in die verschiedenen Kategorien „die Datenqualität, die Datenstruktur und die Standards bei der Verarbeitung“ beachten. Die Kompetenzen der Zentralstelle sollen entscheidend für die Weiterverarbeitung der in den Registern gespeicherten Daten sein. Deswegen fordert die DSK, die Stelle als unabhängige Körperschaft des öffentlichen Rechts einzurichten.

Konkret geforderte Rahmenbedingungen aus Datenschutzsicht:

Die DSK schließt sich der Bundesregierung mit dem Wunsch nach mehr Struktur und Einheit bei medizinischen Registern an. Um dies zu erreichen, hat sie in Ihrem Entschluss eine Liste von Rahmenbedingungen veröffentlicht, die wir im folgendem zusammengefasst haben.

Rechtsgrundlage der Datenerhebung: Werden personenbezogene Daten an das Register übertragen, die nicht hierfür erhoben wurden, bedürfe es für diese Zweckänderung einer klaren gesetzlichen Regelung gemäß Art. 6 Abs. 4 DSGVO. Die konkreten Aufbewahrungs- und Löschfristen müssten auf eindeutigen und verhältnismäßigen Regelungen unter Einhaltung der Grundsätze der Datenminimierung und Speicherbegrenzung beruhen.

Voraussetzungen für die Datenverarbeitung: Jedenfalls sei eine medizinisch-fachliche Erforderlichkeit für einen der in Art. 9 Abs. 2-4 DSGVO genannten Zwecke und bei Forschungszwecken ein allgemeines, voraussetzungsloses Widerspruchsrecht“ notwendig. Im Übrigen müssten die Öffnungsklausel nach Art. 9 Abs. 2 DSGVO und eventuell Art. 89 Abs. 1 DSGVO eingehalten werden. Wolle man für Forschungszwecke Daten verknüpfen, sei dies nur anlassbezogen und temporär zulässig. Nicht zu vergessen sei auch das Grundrecht auf Datenschutz. Die Rechtmäßigkeit der Datenverarbeitung müsse zudem differenziert und abhängig je nach dem konkreten Verarbeitungszweck bewertet werden. Hinsichtlich etwaiger Identifikationskennzeichen müsse darauf geachtet werden, dass bereichsspezifisch unterschiedliche und nicht rückrechenbare Bezeichnungen verwendet werden, um eine nachhaltige Pseudonymisierung sicherzustellen.

Technisch-organisatorische Maßnahmen: Weiterhin wünscht die DSK eine Standardisierung und Harmonisierung der Regeln zu technisch-organisatorischen Maßnahmen abhängig vom spezifischen Risiko. Hierzu solle auch die Anforderung an eine dezentrale Speicherung und Verarbeitung zählen. Bei einem sehr hohen Risiko empfiehlt die DSK zudem eine gesetzliche Datenschutzfolgenabschätzung (DSFA). Man solle sich zusätzlich auch für ein digitales Einwilligungsmanagement und eine digitale Ausübung der Betroffenenrechte einsetzen.

Zulassungsverfahren und unabhängige Vertrauensstellen: Zudem hält es die DSK für sinnvoll für „qualitätsgesicherte Register“ ein Zulassungsverfahrens einzuführen, um ihnen bestimmten Datenverarbeitungsbefugnisse zu gewähren. Daneben solle eine unabhängiger Vertrauensstellen erschaffen werden, die für die Anonymisierung und Kennzeichnung zuständig ist. In diesem Zusammenhang sollte auch ein System für die kontinuierliche Überprüfung von Qualitätsstandards und der Einhaltung des Schutzniveaus implementiert werden.

Fazit

Die gesetzliche Regulierung von Gesundheitsregistern ist notwendig, um Struktur und Qualität zu schaffen. Doch dabei darf Datenschutz nicht aus dem Blick verloren werden, weshalb die DSK verständlicherweise auch in medizinischen Registern dessen Beachtung fordert. Deswegen werden klare Vorgaben zu Zweckänderungen, Aufbewahrung, Datenübermittlung und technisch-organisatorischen Maßnahmen betont. Daher ist eine ausbalancierte Regulierung, die den Schutz der Gesundheitsdaten gewährleistet und gleichzeitig die wissenschaftliche Forschung ermöglicht, von entscheidender Bedeutung. Der Weg zu qualitätsgesicherten und transparenten medizinischen Registern erfordert eine sorgfältige Abwägung der Interessen und eine enge Zusammenarbeit zwischen Datenschutzbehörden, Registern und der Zentralstelle. Ob die Gesetzgebung diese Aufgabe meistern wird, bleibt abzuwarten.

DSK: Datenschutz in der Gesundheitsforschung

27. November 2023

Am 22. und 23. November 2023 hat in Lübeck die 106. Tagung der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) stattgefunden. Bei der DSK haben sich Datenschutzexperten unteranderem zum Datenschutz in der Gesundheitsforschung ausgetauscht. Hierzu hat die DSK eine Entschließung unter dem Titel „Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“ veröffentlicht. Morgen berichten wir zudem über eine weitere Entschließung der DSK über „Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register“.

Hintergrund: Heterogene Datenschutzanforderungen als Forschungshemmnis

Hintergrund der Entschließung ist, dass sich medizinische Forschungsprojekte oft über Bundeslandesgrenzen hinweg erstrecken und verschiedene Forschungseinrichtungen aus unterschiedlichen Ländern involvieren. Da je nach Standort allerdings andere datenschutzrechtliche Regeln gelten, wird die Forschungsarbeit erschwert. Im Übrigen entstehen so auch datenschutzrechtliche Nachteile für betroffenen Personen. Die DSK wendet sich deswegen and Bundes- und Landesgesetzgeber. Sie fordert aufeinander abgestimmte gesetzliche Bestimmungen mit einem effektivem Datenschutzstandard, der länderübergreifende Forschung erleichtert.

Gesundheitsdatennutzungsgesetz (GDNG) – Ein erster Schritt?

Das Bundesgesundheitsministerium könnte mit dem Gesetzentwurf eines Gesundheitsdatennutzungsgesetzes (GDNG) zu einer einheitlichen Rechtsgrundlagen für die Datenweitergabe zu Forschungszwecken und zur Förderung der Patientensicherheit beitragen. Die DSK äußert jedoch Zweifel an der Rechtssicherheit der Neuerung. Es bestünden Unsicherheiten bezüglich des Verhältnisses zu den Landeskrankenhausgesetzen, da eine Auseinandersetzung mit der Gesetzgebungskompetenz der Länder im Krankenhausbereich fehle.

Notwendigkeit konkreter Garantien und Maßnahmen

Die DSK betont den Grundsatz: „Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten zu Forschungszwecken genutzt werden.“. Deswegen müsse man möglichst genaue Regelungen schaffen, um eine weitreichende Datennutzung zu ermöglichen. Der Schutzumfang solle dabei abhängig von der jeweiligen Datenart festgelegt werden. Laut der DSK muss man, wenn eine hinreichende Anonymisierung nicht sichergestellt werden kann (z. B. bei Röntgenbildern), durch geeignete Vorschriften – etwa Form besonderer technischer und organisatorischer Maßnahmen – einen angemessenen Schutzumfang gewährleisten.

Vorschlag spezifischer Maßnahmen

Die DSK schlägt verschiedene Maßnahmen vor, um einen angemessenen Schutz der Grundrechte und Interessen der betroffenen Personen zu gewährleisten. Dazu gehören Vorgaben für die Betrachtungstiefe und Aufgabenzuweisungen für die Datenschutz-Folgenabschätzungen. Weiterhin müsse man zusätzlich zu Art. 15 ff. Datenschutzgrundverordnung (DSGVO) Betroffenenrechte, wie spezifische Widerspruchsrechte oder einen Anspruch auf die Vernichtung von Bio-Proben, implementieren. Auch die Festlegung angemessener Sperrfristen zur Ausübung der Betroffenenrechte könne helfen. Zudem solle man eine unabhängige Treuhandstellen zur Verschlüsselung einbinden sowie gesonderte Einrichtungen etablieren. Zuletzt sei an Verschwiegenheitspflichten, Zeugnisverweigerungsrechten und Ausgestaltungen zur Datenminimierung zu denken. Diese Aufzählung sei nicht abschließend. Vielmehr müsse die Legislative die vollumfängliche Ausgestaltung dieser Regelungen übernehmen.

Kernbereichsschutz

Die DSK hebt weiter hervor, dass bestimmte Gesundheitsdaten je nach den Gegebenheiten dem absoluten Schutz des Kernbereichs privater Lebensgestaltung zugeordnet werden müssen. Infolgedessen dürfe auch ein Forschungsinstitut solche medizinischen personenbezogenen Daten nicht für wissenschaftliche Zwecke verwenden.

Uneingeschränkte Datenschutzaufsicht

Zuletzt sei eine uneingeschränkte Datenschutzaufsicht unabdingbar für den notwendigen Schutz betroffener Personen. Einschränkungen der Befugnisse der Datenschutzbehörden müssten aufgehoben werden, um eine effektive Überwachung zu gewährleisten.

Fazit

Die Forderungen der DSK sind klar: Ein einheitlicher Datenschutz in der länderübergreifenden Gesundheitsforschung ist dringend erforderlich. Der vorgeschlagene GDNG-Gesetzentwurf ist ein erster Schritt, doch es bedarf weiterer präziser Regelungen und Anpassungen, um einen effektiven Datenschutz zu gewährleisten. In diesem Zusammenhang haben die Datenschutzbehörden ihre Unterstützung angeboten, um die Gesetzgeber bei der Schaffung eines hohen Datenschutzniveaus in der medizinischen Forschung zu begleiten.

Update: Stellungnahmen zum neuen Outlook

24. November 2023

Wie wir bereits letzte Woche berichtet haben, hat Microsoft ein neues Outlook herausgebracht, mit dem besorgniserregende Datenübermittlungen einhergehen. Durch die neue Version werden Nutzername und Passwörter aller E-Mail-Accounts an die Microsoft Cloud gesendet. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat sich bereits alarmiert geäußert. Mittlerweile gibt es weitere Stellungnahmen zum neuen Outlook. Zum einen hat sich Microsoft selbst zu den Neuerungen positioniert. Andererseits hat zum Beispiel der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Lutz Hasse, am 17.11.2023 hierzu eine kritische Pressemitteilung unter dem Titel „VORSICHT !!!“ veröffentlicht.

Stellungnahme von Microsoft

Microsoft soll mittlerweile auf Nachfrage eine Erklärung gegenüber heise online abgegeben haben. Es werde vor allem auf den Hinweis zur Datensynchronisierung hingewiesen. Im Weiteren schildere Microsoft, wieso die Datenübermittlung erforderlich sei, wie heise online berichtet. Der Datenabgleiche verbessere die „konsistente Nutzererfahrung“. Im Übrigen erkläre Microsoft, dass die Daten verschlüsselt seien und Microsoft keinen Zugriff auf das „Klartext-Passwort“ habe. Heise erwidert jedoch, dass sie entdeckt hätten, dass Microsoft sehr wohl Zugriff auf die entschlüsselten Daten habe. Einen konkreten Hinweis hierauf gebe es allerdings weiterhin noch nicht. Zudem weise Microsoft darauf hin, dass die Synchronisation mit der Microsoft Cloud nicht verpflichtend sei. Nutzer, die ihre Konten nicht mit der Cloud nutzen wollen, könnten zum klassischen Outlook zurück wechseln.

Stellungnahme des TLfDI

In einer warnenden Pressemitteilung bringt Hasse die Aussage über die “Wahlmöglichkeit” wie folgt auf den Punkt: „Mit anderen Worten kann man das neue Outlook entweder so nutzen, wie von Microsoft vorgesehen (mit Datenübernahme) oder gar nicht…Ein Schelm, wer Arges dabei denkt :).“ Als eine angemessene Wahlmöglichkeit stuft er die beiden Optionen also nicht ein. Zudem wertet er die Neuerungen als „tiefgreifende Eingriffe in die Privatsphäre“. Deswegen rät er dringend dazu, sich die Nutzung des neuen Programms unter Einbeziehung aller zur Verfügung stehenden Informationen genau zu überlegen. Er selbst empfiehlt auf das neue Outlook zu „verzichten“.

Weitere Reaktion des BfDI

Mittlerweile habe der BfDI, Ulrich Kelber, auch seine Ankündigung auf Mastodon, die irische Datenschutzbehörde um Einschätzung zu beten, in die Tat umgesetzt, wie heise online schildert. Eine weitere datenschutzrechtliche Prüfung könne erst nach Stellungnahme der federführenden Datenschutzaufsichtsbehörde folgen.

Weitere Expertenmeinungen

Stefan Brink, ehemaliger Landesdatenschutzbeauftragter Baden-Württembergs, reagierte ebenfalls auf eine Anfrage von heise online. Er stufe das Verhalten des Technologiekonzerns als „zumindest intransparent“ ein. Er erkläre sogar, dass es sich unter diesen Voraussetzungen bei der Verwendung von Outlook sogar um eine Rechtsverletzung des Nutzers handeln könne, wenn er zum Beispiel Verschwiegenheitspflichten zu beachten hat. Brink weist laut heise online auf verschiedene datenschutzrechtliche Bedenken hin. Dies sei besonders ärgerlich vor dem Hintergrund, dass Microsoft bereits in der Vergangenheit ähnliche Fehler gemacht habe. Er fordere deswegen ein Einschreiten der zuständigen Aufsichtsbehörden.

Fazit

Microsoft sieht sich heftiger Kritik ausgesetzt und das wahrscheinlich nicht völlig zu Unrecht. Nach dem aktuellen Stand scheinen die vielen kritischen Stellungnahmen zum neuen Outlook jedenfalls bezüglich Hinweis- und Transparenzpflichten nicht völlig unberechtigt. Die Datenschutzgrundverordnung (DSGVO) legt diesbezüglich klare Pflichten fest. Deswegen sind die Warnungen des TLfDI und anderer Datenschutzexperten nicht zu übersehen. Jedenfalls sind die Intransparenz bezüglich der Datennutzung und die potenziellen Verstöße gegen Datenschutzgesetze alarmierend. Nun bleibt abzuwarten, wie die irische Datenschutzbehörden darauf reagieren wird.

Digital-Gipfel 2023: Digitale Identität im Gesundheitswesen

23. November 2023

Im Gesundheitsbereich passiert aktuell sehr viel. Erst letzte Woche fand eine Fachtagung zum Gesundheitsdatenschutz statt. Nun ging es beim Digital-Gipfel 2023 am 20. und 21. November neben der KI-Verordnung auch um eine digitale Identität im Gesundheitswesen. Die Konferenz fungierte als Schauplatz für wegweisende Entwicklungen im Gesundheitsbereich. Am Montagmorgen tauschten sich Experten des Digital- und Gesundheitswesens entsprechend des Programms im Vortrag „Digitale Identität – ein Schlüssel für alles. Kickstart im Gesundheitswesen“ aus. Themen waren zum Beispiel die E-Patientenakte, das E-Rezept oder eine neue Gesundheits-ID-App der Techniker Krankenkasse (TK).

Die TK-Ident-App

Die TK präsentiert auf dem Gipfel stolz ihre neue Gesundheitsanwendung – die „TK-Ident“. Ralf Degner von der TK kündigt bei dem Treffen ihren Launch in App-Stores in wenigen Tagen an. Die App verspricht mittels einer einmaligen Anmeldung per elektronischem Personalausweis eine einheitliche Identität für sämtliche Gesundheitsanwendungen. Auch die Einsicht in die elektronische Patientenakte soll bequem ohne eine weitere Bestätigung der Identität so möglich sein. Die Schaffung eines vertrauenswürdigen Systems, bei dem keine Daten an die bekannten Internet-Riesen übermittelt werden, müsse hierbei im Fokus stehen.

Der Digitalisierungsaufbruch im Gesundheitswesen

Susanne Ozegowski, Abteilungsleiterin für die Digitalisierung des Gesundheitswesens im Bundesministerium für Gesundheit, sieht die neue App als Teil des Wandels zur Digitalisierung im Gesundheitswesen. Die vorgeschlagene ID-Funktion, könne Probleme lösen, die die elektronische Gesundheitskarte bislang nicht meistern konnte. Neben der E-Patientenakte sieht sie einen Anwendungsbereich auch für das E-Rezept oder die ärztliche Videosprechstunde.

ID-Wallet als Vereinfachung

Ernst Bürger, verantwortlich für die Verwaltungsdigitalisierung im Bundesministerium des Innern, wies darauf hin, dass die App mittels des veralteten ePA-SDK (Software Development Kit) entwickelt worden sei. Um eine einfachere Wallet-Lösung zu ermöglichen, bedürfe es einer Überarbeitung des Systems.

Gesundheits-ID für Online-Services

Ab dem 01.01.2024 ermöglichen es gesetzliche Krankenkassen ihren Kunden auf Wunsch eine digitale Identität in Form einer Gesundheits-ID einzurichten. Dadurch soll der Zugang zu Online-Gesundheitsanwendungen wie etwa das E-Rezept oder die E-Patientenakte erleichtert werden. Dies soll mittels Authentifizierung entweder durch die Gesundheitskarte und PIN oder der Online-Ausweisfunktion des Personalausweises und PIN funktionieren. TK-Chef Jens Baas plädiert für letztere Option als Standardverfahren, da hier bereits ein sicheres und für die Nutzer einfaches verfahren existiert.

Datensicherheit als oberste Priorität

Sicherheitsforscher Martin Tschirsich begrüßte grundsätzlich die Neuerungen. Er betonte allerdings, dass die Einhaltung von Sicherheitsstandards entscheidend ist. Gerade bei Gesundheitsanwendungen mit sensiblen Daten sei dies unumgänglich. Es sei hier von höchster Priorität die Applikationen einfach und sicher zu gestalten. Dazu gehöre auch, dass man sich nicht ständig per Ausweis identifizieren muss.

Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik, unterstreicht, dass digitale Identitäten die Grundvoraussetzungen für Datensicherheit sind. In einer Online-Sprechstunde müssten sich zum Beispiel Ärzte als auch Patienten wechselseitig identifizieren können.

Fazit

Der Digital-Gipfel 2023 gibt Einblick in die Zukunft des Gesundheitswesens und beschäftigt sich vor allem mit der digitalen Identität. Die TK-Ident-App verspricht eine wegweisende Vereinheitlichung von Gesundheitsanwendungen. Gerade vor dem Hintergrund weiterer Digitalisierungen wie der E-Patientenakte und dem E-Rezept scheint der Aufbau einer digitalen Identität unumgänglich. Entscheidend bleibt allerdings entsprechende Vorkehrungen zu schaffen, um die Sicherheit besonders schützenswerter sensibler Gesundheitsdaten zu gewährleisten. Die Herausforderung liegt im Aufbau eines vertrauenswürdigen Systems, das Gesundheitsdaten bewahrt. Es liegt nun an den Akteuren, Potenziale zu nutzen und höchste Standards umzusetzen.

Digital-Gipfel 2023: KI-Regulierung

22. November 2023

Am 20. und 21. November 2023 fand erneut der Digital-Gipfel (früher IT-Gipfel) der Bundesregierung statt – unteranderem zum Thema Künstliche Intelligenz (KI). Dazu luden Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck, und Bundesminister für Digitales und Verkehr, Volker Wissing, rund 1.000 Teilnehmer nach Jena ein. Dieses Jahr trägt die Veranstaltung den Titel “Digitale Transformation in der Zeitenwende“. Auf dem Digital-Gipfel 2023 wurde auch über die Zukunft einer KI-Regulierung diskutiert. In einem weiteren Beitrag berichten wir auch über die Besprechungen zur geplanten e-Patientenakte.

Bundesregierung über Notwendigkeit einer KI-Regulierung für Europa

Bundeswirtschaftsminister Robert Habeck betonte die Notwendigkeit einer ausgewogenen KI-Verordnung auf europäischer Ebene. Ähnlich wie die Bundesregierung in einem im Oktober bekanntgewordenem Positionspapier ausdrückt, sollen die neuen Regelungen laut Habeck innovationsfreundlich sein. In einem Podcast des Digitalverbandes Bitkoms zum Auftakt des Gipfels betont er die Bedeutung einer vernünftigen und ausgewogenen KI-Verordnung auf europäischer Ebene. Hingegen könne eine übermäßige Regulierung den Fortschritt behindern. Anderenfalls sei es so, als ob man die “besten Verkehrsvorschriften, aber keinen Verkehr auf der Straße” hätte. Zudem will er Investitionen der Privatwirtschaft in die neue Technologie fördern. Deswegen dürfe ein Gesetz lediglich die Anwendung nicht jedoch die Technologie selbst betreffen, um dem Bedürfnis an Innovation und Sicherheit nachzukommen. Weiterhin sprach sich Habeck für eine erhöhte Datenverfügbarkeit aus. Zu dem enormen Bedarf an Datenmengen für neue Technologien passe der Ansatz der Datensparsamkeit nicht mehr. Diese Daten müsse man selbstverständlich anonymisieren.

Auch Volker Wissing erkennt die Bedeutung der Zukunftstechnologie. In einer Pressemitteilung betont er die Relevanz von KI für anhaltende Wettbewerbsfähigkeit und Wohlstand. Man solle chancenorientiert Handeln und lokale Unternehmen in der Entwicklung stärken.

Parallel hierzu wurde laut LTO am Montag ein Positionspapier bekannt, in dem sich Deutschland, Italien und Frankreich gegenüber der spanischen Ratspräsidentschaft für eine risikobasierte Herangehensweise einsetzen. Heise online berichtet, dass die Bundesregierung auf eine unmittelbare “Regulierung von Foundation Models verzichten” wolle.

Kritik an der Richtung der Bundesregierung

Die Positionierung der Bundesregierung führte zu viel Kritik, wie heise online berichtet. Matthias Spielkamp von Algorithm Watch unterstelle der Bundesregierung gar keine echte Regulierung, sondern nur Selbstregulierung zu wollen. Dies sei allerdings nicht gerechtfertigt, da es sich nicht um bloße Grundlagenforschung handle. Habeck habe dem entgegnet, dass auch Atomforschung erlaubt sei. Heise online weist in diesem Zusammenhang allerdings darauf hin, dass Atomforschung “fast auf der ganzen Welt strenger Regulierung” unterliegt.

Kritik sei auch von EU-Abgeordneten Axel Voss (CDU) gekommen. Selbst wenn man eine Selbstregulierung ausreichen lasse, müssten jedenfalls minimale Transparenz- und Cybersicherheitsstandards gegeben sein. So stünde dies aktuell schon im Entwurf zum AI Act.

DGB fordert Mitbestimmung beim KI-Einsatz

Andererseits betone der Deutsche Gewerkschaftsbund (DGB) in Bezug auf den Digital-Gipfel die Bedeutung der Mitbestimmung der Sozialpartner bei der KI-Anwendung. Das rechtfertige sich dadurch, dass der Einsatz von KI am Arbeitsplatz „hochsensibel“ sei. Die DGB-Vorsitzende Yasmin Fahimi kritisierte gegenüber der dpa die geplante KI-Verordnung der EU. Der Entwurf bestimme keine Mitspracherechte der Sozialpartner, was sogar zu einer Reduzierung der bereits bestehenden Gestaltungsrechte führen könne. Deswegen fordere Fahimi – vergleichbar zur Datenschutzgrundverordnung (DSGVO) – die Schaffung einer Öffnungsklausel, um Beschäftigte zu schützen.

Fazit

Der Digital-Gipfel 2023 bietet ein facettenreiches Bild der aktuellen Herausforderungen und Chancen im digitalen Zeitalter insbesondere mit Blick auf die noch ausstehende KI-Regulierung. Die Diskussionen von verschiedenen Seiten zeigt, wie komplex und vielschichtig das Thema ist.

Während zu begrüßen ist, dass die Bundesregierung das große Potential dieser Zukunftstechnologie erkannt zu haben scheint, darf die Schaffung von Schutzmechanismen hierbei nicht außer Acht gelassen werden. Neben des von der DGB zu Recht erkannten Schutz der Arbeiterschaft, müssen auch ganz allgemein Datenschutzaspekte eingehalten werden. Dabei steht bei der Zuführung von Trainingsdaten vor allem die sorgfältige Anonymisierung personenbezogener Informationen im Vordergrund. Auch ganz generell birgt unregulierte KI politisch, gesellschaftlich, sozial und wirtschaftlich genauso große Gefahren wie Potentiale.

Die auseinandergehenden hier dargestellten Meinungen sowie die aktuellen Probleme, die sich bei der Schaffung der KI-Verordnung zeigen, verdeutlichen, dass hier noch einiges an Konfliktpotential besteht. Es bleibt zu hoffen, dass man einen Ansatz finden wird, der sowohl Fortschritt gewährleistet, als auch ausreichenden Schutz bietet. Wie eine konkrete Regulierung am Ende aussehen wird, bleibt spannend.

Zukunft der KI-Verordnung und 5 Jahre DSGVO – DPC 2023

21. November 2023

Am 15.11.2023 hat die größte europäische Zusammenkunft von Privatsphäre- und Datenschützern stattgefunden. Die International Association of Privacy Professionals (IAPP) berichtet, dass der IAPP Europe Date Protection Congress (DPC) mit fast 3.000 Teilnehmern in Brüssel zum 12. Mal abgehalten wurde. Im Programm des DPC 2023 ging es unteranderem um die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahren DSGVO. Zudem wurden Themen wie die Vereinbarkeit von personalisierter digitaler Werbung und Datenschutz und die geplante Chatkontrolle behandelt.

Geplante KI-Verordnung

Vertreter des Europäischen Parlaments hätten sich vor allem mit Künstlicher Intelligenz (KI) vor dem Hintergrund der geplanten KI-Verordnung beschäftigt. Kürzlich hatte Euractiv berichtet, dass das KI-Gesetz zur Zeit auf der Kippe stünde nach anonymen Aussagen von EU-Parlamentariern. IAPP berichtet, dass Kai Zenner, Berater des deutschen Europaabgeordneten Axel Voss, gesagt habe, dass er noch letzten Freitag davon ausgegangen sei, dass maximal eine 10 % Chance für die Verabschiedung der Verordnung besteht. Laut IAPP bestünden insbesondere Bedenken von Frankreich und Deutschland hinsichtlich Nachteilen für Betreiber generativer KI. Mittlerweile habe Spanien deswegen Vermittlungen eingeleitet. Der EU-Abgeordnete Dragoș Tudorache betone, dass am 06.12.2023 die letzte Möglichkeit sei sich noch in 2023 über den Gesetzesentwurf zu einigen.

Zukünftige Zusammenarbeit auf internationaler Ebene

Reynders betonte laut Berichterstattung von IAPP, dass man nun mit Inkrafttreten des neuen Datenschutzrahmen EU-USA den Datenfluss in diesem Bereich erweitern will. Der EU-Justizkommissar habe zudem eine globale Konferenz der Europäische Kommission im nächsten Jahr angekündigt. Zu dieser sollten Vertreter aus der ganzen Welt eingeladen werden, um internationale Zusammenarbeit in Datenschutzbereich voranzubringen. So könne man mit geeigneten Staaten Vereinbarungen über einen hinreichend geschützten Datentransfer ermöglichen. Dies sei zu begrüßen, da eine wachsende Gruppe an Partnern mit meinem Angemessenheitsbeschluss einen Netzwerkeffekt habe. So könne man noch mehr potenzielle Kooperationen vorantreiben. Ein gutes Beispiel hierfür sei laut Bruno Gencarelli, Leiter des Referats der Europäischen Kommission für Datenströme und internationale Aspekte der digitalen Wirtschaft, der Angemessenheitsbeschluss für Süd Korea, der die Zusammenarbeit mit 20 weiteren Staaten ermöglicht hat. Im Übrigen äußerte Reynders Zweifel hinsichtlich des zukünftigen Fortbestehens des EU-U.K.-Anegmessenheitsbeschlusses in Anbetracht geplanter Datenschutzänderungen im Vereinigten Königreich.

5 Jahre DSGVO

In seiner abschließenden Schlusssitzung habe EU-Justizkommissar Didier Reynders laut IAPP betont, dass trotz der zahlreichen neuen digitalen EU-Regeln die Datenschutz-Grundverordnung (DSGVO) nach wie vor der der wichtigste Grundbaustein für die Verarbeitung personenbezogener Daten im europäischen Raum sei. Es handle sich sogar um ein weltweites Musterbeispiel.

Wie wir im Oktober berichteten vergaben Unternehmer hingegen nur die Note „ausreichend“ und zogen somit eher eine durchwachsende Bilanz. Ähnlich sehe dies Axel Voss, der auf eine Reihe von Problemen hingewiesen habe. Es bestünde vor allem eine mangelnde Harmonisierung zwischen den einzelnen Mitgliedstaaten. Oliver Micol, Leiter des Referats der Europäischen Kommission für Datenschutz in den Bereichen der Polizei, Strafjustiz und Grenzen, halte zurzeit eine Reform noch nicht für notwendig. Zunächst wolle man nächstes Jahr einen Bericht veröffentlichen, der die DSGVO und ihre Einführung vollumfänglich analysiert.

Deutsche Vertreter vor Ort

Von deutscher Seite hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, angegeben an der Diskussionsrunde zum Thema „Wie können digitale Sicherheit, fairer Wettbewerb, das Wohl des Kindes, Cyber-Sicherheit und Transparenz in Einklang gebracht werden?” teilzunehmen. Weiterhin diskutierte laut einem Mastadon-Beitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, über personalisierte Werbung und die Folgen des Digital Markets Acts (DMA) und des Digital Services Acts (DSA) auf den Datenschutz.

Fazit

Insgesamt ermöglichte der Kongress einen intensiven Blick auf die aktuellen Entwicklungen im Datenschutzbereich. Schwerpunkt des DPC 2023 war besonders die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahre DSGVO. Die Veranstaltung zeigte, dass Datenschutzherausforderungen weiterhin komplex sind, besonders die Uneinheitlichkeit in der EU-Regelumsetzung. Die geplante KI-Verordnung ist unsicher, was die Schwierigkeiten bei einem gemeinsamen Ansatz für komplexe Technologien verdeutlicht. Auch die Diskussion um den EU-U.K.-Angemessenheitsbeschluss und Bedenken von Didier Reynders zu Datenschutzänderungen im Vereinigten Königreich könnten in Zukunft zu Problemen führen.

Insgesamt zeigt der Kongress, dass die Datenschutzlandschaft in Europa in Bewegung bleibt. Die Herausforderung besteht darin, einen ausgewogenen Ansatz zu finden, der Innovation fördert und gleichzeitig Privatsphäre gewährleistet. Es bleibt abzuwarten, wie die Diskussionen den Datenschutz in den kommenden Jahren beeinflussen.

Apotheken in Niedersachen bestehen Datenschutzprüfung

20. November 2023

Wie viele unserer Beiträge kürzlich gezeigt haben, ist Datenschutz im Gesundheitswesen von zentraler Bedeutung, insbesondere wenn die Daten sensible sind. Deswegen führt auch die Datenschutzaufsicht in Niedersachsen eine Reihe von Kontrollen im Gesundheitsbereich durch. Folglich hat sie kürzlich im Rahmen einer anlasslosen und stichprobenartigen Prüfung fünf Apotheken unter die Lupe genommen, um deren datenschutzkonformen Umgang mit Kundendaten zu überprüfen. Eine Pressemitteilung vom 15.11.2023 stellt die Ergebnisse dieser Prüfung dar und bietet Einblicke in die Stärken und Schwächen der Apotheken im Umgang mit sensiblen Informationen. Grundsätzlich kommt die Behörde zu einem positiven Ergebnis: Die Apotheken in Niedersachen bestehen die Datenschutzprüfung. An einigen einigen Stellen existiere jedoch weiterhin Verbesserungsbedarf.

Datensicherheit in Apotheken: Eine positive Bilanz

Die Prüfung offenbarte, dass die Apotheken in Niedersachsen insgesamt gut aufgestellt sind, wenn es um die Sicherheit von personenbezogenen Daten geht. Insbesondere beim Aufbewahren und Löschen dieser Daten entsprechen sie den datenschutzrechtlichen Regeln, wie Denis Lehmkemper, Landesbeauftragter für den Datenschutz in Niedersachen erklärt. Dies sei vorteilhaft für Kunden und zeige, dass die Betriebe sich über das hohe Maß an Verantwortung bewusst seien.

Prüfungsgegenstand

Geprüft wurden zum einen Einwilligungserklärungen der Kundschaft für Kundenkarten. Diese dienen vorwiegend einem Krankenkassenbericht, der Steuererklärung und Beratungszwecken. Zudem kontrollierte die Aufsichtsbehörde die Einhaltung von Löschpflichten. Im Übrigen wurden die Modalitäten für Berechtigungsscheine für die Ausgabe von Corona-Schutzmasken näher betrachtet. Diese sind noch bis zum 31.12.2023 aufzubewahren und danach zu vernichten.

Einwilligungserklärungen & Softwaresysteme: Akzeptabel, aber verbesserungsfähig

Die Einwilligungserklärungen für die Nutzung von Kundenkarten seien „rechtlich akzeptabel“, allerdings bestehe verbesserungsbedarf. Zum Beispiel seien einige Einwilligungstexte ungenau. Im Übrigen verwende man teilweise ungeeignete Softwareprogramme, sodass ein Risiko für Fehler bestünde.

Berechtigungsscheine ordnungsgemäß aufbewahrt

In sämtlichen Prüffällen verwahrten Apotheken Berechtigungsscheine für die Ausgabe von Corona-Schutzmasken entsprechend der gesetzlichen Vorgaben inklusive eines Vermerks zum Löschungsdatum separat von sonstigen personenbezogenen Daten.

Fazit

Die Apotheken in Niedersachen bestehen die Datenschutzprüfung. Die Ergebnisse zeigen, dass die Betriebe bereits soliden Datenschutzpraktiken folgen. Die identifizierten Verbesserungspotenziale bieten jedoch eine wertvolle Gelegenheit, den Datenschutz weiter zu optimieren. In Anbetracht der stetig wachsenden Bedeutung des Datenschutzes im Gesundheitswesen, wie zuletzt im Rahmen von cloudbasierten digitalen Gesundheitsanwendungen thematisiert, ist diese fortgesetzte Prüfungsreihe ein weiterer Schritt zu einem umfassenden Schutz sensibler Gesundheitsdaten.

Kategorien: Allgemein
1 6 7 8 9 10 274