Schlagwort: Patientendatenschutz
8. Mai 2020
Das Bundesverfassungsgericht lehnte, mit am 30. April 2020 veröffentlichten Beschluss, einen Antrag auf vorläufige Außerkraftsetzung des Vollzugs, neu in das SGB V eingefügter Vorschriften, ab.
Mithilfe dieser neu eingefügten Vorschriften (§ 68a Abs. 5 SGB V und §§ 303a ff. SGB V) sollte es gestattet werden, Daten von gesetzlich Krankenversicherten in pseudonymisierter oder anonymisierter Form, für Zwecke der medizinischen Forschung und hinsichtlich der digitalen Innovation zu nutzen. Hierbei sollen personenbezogene Daten der gesetzlich Versicherten wie Alter, Geschlecht oder Wohnort sowie bestimmte Gesundheitsdaten an den Spitzenverband Bund der Krankenkassen als Sammelstelle der Daten übermittelt und anschließend von diesem an ein (bisher noch nicht eingerichtetes) Forschungsdatenzentrum weitergegeben werden.
Der Antragsteller, der an einer seltenen Erbkrankheit leidet, befürchtet, dass trotz der vorgeschriebenen Datenschutzregeln bezüglich Pseudo- oder Anonymisierung eine Identifizierung seiner Person möglich sein könnte.
Die 2. Kammer des Ersten Senats begründete die Ablehnung des Antrags damit, dass im Rahmen eines Eilverfahrens inhaltlich nicht über die schwierigen verfassungsrechtlichen Fragen entschieden werden könne, welche das Verfahren mit sich bringe. Eine durch den Antragsteller noch zu erhebende Verfassungsbeschwerde wäre derzeit weder offensichtlich unzulässig noch unbegründet, da aufgrund des sensiblen Charakters der erfassten Gesundheitsdaten und deren flächendeckender Erhebung tiefe Eingriffe in das Persönlichkeitsrecht möglich sein können. In einer summarischen Prüfung wurden die Vor- und Nachteile gegeneinander abgewogen, die eine Außerkraftsetzung der neu eingeführten Regelungen bzw. eine weitere Anwendung dieser Regelungen nach sich ziehen können. Nach Ansicht der Kammer sind die “Nachteile, die sich aus einer vorläufigen Anwendung der Vorschriften ergeben, wenn sich das Gesetz im Nachhinein als verfassungswidrig erwiese (…) zwar von erheblichem Gewicht. Sie überwiegen aber nicht deutlich die Nachteile, die entstünden, wenn die Vorschriften außer Kraft träten, sich das Gesetz aber später als verfassungsgemäß erwiese.”
16. Juli 2018
Die Mitglieder der gesetzlichen Krankenversicherungen sollen zukünftig über ihr Smartphone oder Tablet auf ihre Patientendaten zugreifen können.
Der Gesundheitsminister Jens Spahn beabsichtigt bereits ab 2021 diese neue Zugriffsmöglichkeit einzuführen.
Laut FAZ will der Gesundheitsminister noch im Juli die erforderlichen Vorgaben gegenüber den betroffenen gesetzlichen Krankenversicherungen tätigen.
Das Ziel der neuen Zugriffsmöglichkeit soll darin bestehen für die Versicherten die Nutzungsfreundlichkeit zu erhöhen und eine weitere Zugriffsoption zu schaffen.
Mit Einführung der neuen Option soll speziell die Digitalisierung vorangetrieben werden.
Die Zugriffsmöglichkeit auf Patientendaten über das Smartphone oder Tablet bedeutet jedoch laut dem Gesundheitsminister nicht die letzte Erweiterung in diesem Bereich. Daneben sollen im Rahmen der elektronischen Patientenakte auch die bisherigen Zugänge und Authentifizierungsverfahren erweitert werden. Im Gespräch ist ein vergleichbarer Zugang wie beim Online-Banking über die Verwendung von TAN und PIN.
2. Dezember 2013
Nachdem die sich verbreitende Methode von Ärzten, Patientendaten an Marktforschungsunternehmen zu übermitteln, medienwirksam thematisiert wurde, wächst nach Angaben von Zeit Online der Widerstand von Ärzten gegen die Preisgabe solch sensibler Informationen. So habe der stellvertretende Vorsitzende des hessischen Landesverbands des Marburger Bundes eine Initiative zum Patientendatenschutz ins Leben gerufen – befürchtend, dass das Verhältnis zwischen Arzt und Patient durch entsprechende Weitergaben (weiter) gefährdet wird. Man fordere, dass jeder Patient nach seinem Einverständnis gefragt wird, bevor seine Daten für die Marktforschung genutzt werden. Dabei sei “egal, ob sie anonymisiert sind oder nicht”. Zunächst plane man, die hessische Ärzteschaft dazu bringen, für den Patientenschutz einzustehen. In der Hauptversammlung des hessischen Landesverbands sei ein entsprechender Antrag bereits verabschiedet worden, der am 30. November in der Delegiertenversammlung der hessischen Ärzte diskutiert werde. Danach soll eine bundesweite Anstrengung folgen.
2. Mai 2012
Wie die BBC online berichtet, wurde ein walisisches Gesundheitsamt als erste staatliche Behörde mit einer Geldbuße von 70.000 Pfund belegt. Grund ist die Weitergabe von sensiblen Gesundheitsdaten eines Patienten an den falschen Adressaten.
Der betreffende Arzt hatte den Namen falsch geschrieben und keine weiteren Informationen zur Identifikation an seine Sekretärin weitergeleitet, die das Schreiben schließlich an einen anderen Empfänger mit ähnlichem Namen sendete.
Nach Angaben des Information Commissioner’s Office enthielt das Schreiben genaue Details über den Gesundheitszustand des Patienten und bedeute einen ernsthaften Datenschutzverstoß. Die folgende Untersuchung des Vorfalls habe ergeben, dass das Personal weder datenschutzrechtlich geschult gewesen sei, noch hätte es Routinen zur Überprüfung der richtigen Empfängeradressen gegeben.
Gleichzeitig bemängelte das ICO, dass ähnliche Standards zum Datenschutzrecht auch in anderen Einrichtungen herrschen, wobei doch das Gesundheitswesen mit den sensibelsten Daten umgehe.
Die Behörde reagierte inzwischen und will für die Zukunft sicherstellen, dass alle Mitarbeiter und Angestellten Schulungen zum Datenschutz erhalten und sich an die Richtlinien zum Datenschutz halten.
Der betroffene Patient bekam ein Entschuldigungsschreiben.
9. März 2012
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Caspar (HmbBfDI) hat mitgeteilt, das Universitätsklinikum Hamburg-Eppendorf (UKE) formell beanstandet zu haben. Hintergrund dessen sei, dass jedem Arzt im UKE ein Notfallzugriff auf das Krankenhausinformationssystem und damit ein Zugriff auf alle zu dem Patienten vorgehaltenen Daten ermöglicht werde, unabhängig davon, ob er eine Behandlung durchführt oder nicht. Dies könne zwar in zeitkritischen Situationen medizinisch geboten sein, allerdings fehlten die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz vor einem Missbrauch dieses Instrumentes. Der einen Notfallzugriff nutzende Arzt bekomme lediglich einen Warnhinweis nebst Aufforderung, einen Grund für einen Zugriff außerhalb seines normalen Berechtigungsprofils anzugeben. Eine (stichprobenartige) Kontrolle finde nicht statt, so dass ein Missbrauch kaum entdeckt werden könne. Da über den Notfallzugriff der Nutzer alle jemals zu dem Patientenkreis des UKE und dessen Tochterunternehmen erfassten Daten einsehen könne, sei das Missbrauchspotential hoch. Das UKE soll eingeräumt haben, dass allein im Oktober 2010 insgesamt 6.400 Abfragen über diesen Notfallzugriff erfolgten. Aktuellere Zahlen lägen nicht vor. Die hohen Zugriffszahlen seien auf Prozessablaufschwierigkeiten zurückzuführen.
Der HmbBfDI fordere daher nun einen regelmäßigen Bericht über Anzahl und Gründe der Notfallzugriffe sowie die Erstellung und Umsetzung eines Konzepts zur Auswertung der Zugriffsprotokolle. Weiterhin müsse eine Lösung für die technischen Prozessablaufprobleme gefunden werden. Der Notzugriff müsse in seinen Ausmaßen deutlich eingedämmt und auf seine eigentliche Bestimmung begrenzt werden. Dem UKE werde eine Frist von drei Wochen zu einer schriftlichen Stellungnahme sowie eine dreimonatige Frist zur Umsetzung geeigneter Kontrollmaßnahmen gesetzt. „Die Problematik des Notfallzugriffs ist dem UKE seit mehr als zwei Jahren bekannt. Trotz intensiver Gespräche und datenschutzrechtlicher Begleitung unsererseits ist es nicht gelungen, das UKE zu einem datenschutzgerechten Verfahren zu bewegen. Unsere Geduld ist nunmehr erschöpft. Angesichts der Sensibilität der Daten und der Vielzahl von Berechtigten und Betroffenen muss das UKE nun unverzüglich in die Umsetzung der technischen und organisatorischen Maßnahmen zur Sicherung der Patientendaten eintreten“, kommentierte Caspar seine Schritte.
21. Juni 2011
Ein vom Gesundheitsministerium jüngst vorgelegter Arbeitsentwurf für das geplante Versorgungsgesetz sieht die ersatzlose Streichung der gesetzlichen Grundlage für die seit Jahresanfang geltenden ambulanten Kodierrichtlinien vor. Diese regeln die Übermittlung ärztlicher und psychotherapeutischer Diagnosen von ambulant behandelten Patienten für Abrechnungszwecke und sehen einen – im Vergleich zum bislang üblichen Klassifikationstandard ICD-10 – weitergehenden Detaillierungsgrad vor.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Schaar begrüßt diese Gesetzesinitiative und sieht in der Streichung die Rücknahme eines erheblichen Eingriffs in das informationelle Selbstbestimmungsrecht des Patienten. Der in den ambulanten Kodierrichtlinien vorgegebene Detaillierungsgrad sei für die Abrechnung der Krankenkassen – insbesondere im psychotherapeutischen Bereich – nicht erforderlich. Zugleich sei mit der Streichung eine begrüßenswerte Entbürokratisierung verbunden.
31. Mai 2011
Nachdem das Gesundheitsministerium der USA eine Liste mit annährend 300 Krankenhäusern, Ärzten und Versicherungen, die in den letzten Jahren massiv gegen medizinische Verschwiegenheitsregelungen verstoßen haben, veröffentlicht hat, wird in den USA nun verstärkt über Maßnahmen zum Schutz solcher sensibler Daten debattiert. In den letzten zwei Jahren wurden danach mehr als 7,8 Millionen Patienteninformationen unzulässiger Weise öffentlich zugänglich gemacht. Dabei vergaß z.B. der Mitarbeiter eines Krankenhauses 192 Patientenakten in einer U-Bahn, die elektronischen Daten von 1,7 Millionen Patienten und Mitarbeiter kamen abhanden, als der Van, in dem sie zwischenzeitlich auf Speichermedien aufbewahrt wurden, gestohlen wurde und ein Versicherungsunternehmen teilte mit, dass ihm die Daten von 1,9 Millionen Versicherten abhandengekommen sei.
Diese Vorfälle könnten zudem ein Problem für Präsident Obamas Bemühungen werden, die amerikanische Bevölkerung künftig in elektronischen Gesundheitsdaten zu erfassen, da sich die Skepsis dagegen verstärkt.
Die Regierung will zunächst erst einmal das Einhalten der aktuellen Regelungen stärker kontrollieren und gegebenenfalls sanktionieren. Dabei wurden bislang unter Berufung auf das HIPPA (Health Insurance Portability and Accountability Act, 1996) teilweise schon Strafen in Millionenhöhe ausgesprochen. Dagegen bezweifeln andere Stimmen, dass die momentanen Regelungen ausreichend sind. Vielmehr seien strengere Gesetze erforderlich, beispielsweise einen Verbrechenstatbestand für die Nutzung unsachgemäß erlangter Informationen. Auch gibt es den Vorschlag, dass eine Maßnahme durch einen Arbeitgeber oder Versicherer aufgrund von Gesundheitsdaten wie HIV/ AIDS, Krebs oder mentaler Probleme, die die betroffene Person benachteiligt, unzulässig sein soll. Insbesondere richtet sich die Kritik jedoch gegen das HIPPA. Dieses beruht teilweise auf Ideen aus dem britische Common law, wonach eine Information dem gehört, der sie besitzt. In der heutigen Zeit, in der die Informationen an verschiedenen Stellen bearbeitet und gespeichert werden, führt dies im Prinzip dazu, dass jedem, der die Informationen auf seinem Computer gespeichert hat, diese auch gehören und er sie weitergeben kann.
