Schlagwort: Patientendaten

Neues E-Health-Gesetz begegnet datenschutzrechtlichen Bedenken

9. Dezember 2015

Am vergangenen Freitag wurde das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“, das sogenannte E-Health-Gesetz, verabschiedet. Es regelt die digitale Nutzung und den Austausch von Patientendaten. Ärzte sollen danach zukünftig bei einem Notfall in der Lage sein, von der Gesundheitskarte des Patienten Informationen über seine Vorerkrankungen, Allergien und die ihm verschriebenen Medikamente abzurufen.

Nach den Plänen von Bundesgesundheitsminister Gröhe soll Mitte des Jahres 2016 mit der Online-Anbindung von Krankenhäusern und Arztpraxen an die telematische Infrastruktur begonnen werden. Problematisch ist jedoch, dass bis dahin die notwendigen Tests, die unter anderem Aufschluss über die Datensicherheit der Kommunikationsvorgänge zwischen Praxen und Krankenhäusern einerseits und den gesetzlichen Krankenversicherungen anderseits geben sollen, voraussichtlich nicht abgeschlossen sein werden. Vor allem werden Erkenntnisse darüber erwartet, ob die Sicherheit der Stammdaten gewährleistet ist und die Daten-Überprüfung bzw. Aktualisierung tatsächlich in wenigen Sekunden erfolgen kann. So bewertete auch die gesundheitspolitische Sprecherin der Grünen-Fraktion, Maria Klein-Schmeink, die Regelungen zum Datenschutz im E-Health-Gesetz als unzureichend, wie ihre Fraktion auch in ihrem Antrag vor dem Bundestag klarstellte. Es bleibt daher abzuwarten, ob der Zeitplan des Bundesgesundheitsministers tatsächlich eingehalten werden kann und welcher Änderungen die Telematikinfrastruktur noch bedarf.

Wearables machen Versicherte zu „gläsernen Patienten“

4. März 2015

Sogenannte „Wearables“ (von Wearable Computing, tragbare Computersysteme), also am Körper zu tragenden mobile kleine Computersysteme, sind nicht nur auf dem zurzeit stattfindenden Mobile World Congress in Barelona das Thema. Auch im Gesundheitswesen sorgen sie jetzt für Aufsehen und können Versicherte zu gläsernen Patienten machen. Der New Yorker Krankenversicherer Oscar Health sammelt die Daten seiner Kunden bereits auf diese Weise und zahlt ihnen Prämien aus, wenn Sie trainieren – und ihre Aktivitäten über die Wearables aufzeichnen lassen.

Oscar Health operiert dabei mit folgendem Konzept: Es schickt Versicherten Smartwatches und zahlt Prämien, wenn sie bestimmte Fitness-Ziele erreichen. Wer sein Programm erfolgreich absolviert, bekommt einen Dollar Belohnung pro Tag. Der maximale Erlös ist allerdings auf 20 Dollar im Monat und 240 Dollar im Jahr begrenzt.

Datenschützer haben bereits in der Vergangenheit mehrfach vor dieser Praxis gewarnt: Bei der Übermittlung von Trainingswerten handelt es sich um sensible Gesundheitsdaten. Zusammen mit anderen Daten kann damit ein umfassendes Gesundheitsprofil der betreffenden Person erstellt werden. Daraus können die Versicherungen Gesundheitsprognosen ableiten und dem Versicherten nicht nur profilgenaue Angebote unterbreiten, sondern auch künftige Risikozuschläge berechnen. Darüber hinaus ist die langfristige Verwendung der auf diese Art gespeicherten sensiblen Daten noch völlig offen.

BayLfD: Entsorgung von Patientenakten durch Dritte regelmäßig unzulässig

19. Februar 2015

Nachdem in München mindestens vier Säcke voller Röntgenbildern aus dem Krankenhaus Weilheim auf der Straße entdeckt wurden, die auch die Namen und Geburtsdaten der jweiligen Patienten enthielten, hat der Bayerische Landesdatenschutzbeauftragte, Dr. Thomas Petri, eine Prüfung des Falles eingeleitet.

Nach einer regelmäßigen Entsorgungsaktion ist ein Teil der Aufnahmen offenbar nicht an der dafür beauftragten Stelle angekommen. Es handle sich um Unterlagen, für die die zehnjährige Aufbewahrungsfrist abgelaufen sei, teilte eine Sprecherin des Krankenhauses mit.

Der Landesdatenschutzbeauftragte kündigte in bayerischen Krankenhäusern verstärkte Kontrollen der Einhaltung datenschutzrechtlicher Vorschriften beim Outsourcing an. Das Bayerische Krankenhausgesetz sehe besonders strenge Regelungen vor, die das Patientengeheimnis schützen sollen, so Dr. Petri in einer nun veröffentlichten Pressemitteilung. Bei der Verarbeitung von Patientendaten dürfe sich ein Krankenhaus regelmäßig nicht anderer Stellen außerhalb des Krankenhauses bedienen, was auch auch die Vernichtung bzw. Entsorgung von Patientendaten mit umfasse. Ein solches Outsourcing könne sogar gegen die ärztliche Schweigepflicht (§ 203 StGB) verstoßen.

Bundeskabinett beschließt Versorgungsstärkungsgesetz – entgegen dem Rat oberster Datenschutzbeauftragter

17. Dezember 2014

Das Bundeskabinett hat am heutigen Mittwoch den Entwurf eines „Gesetzes zur Stärkung der Versorgung in der gesetzlichen Krankenversicherung“ (GKV-Versorgungsstärkungsgesetz) beschlossen. Darin wird u. a. den gesetzlichen Krankenkassen die Aufgabe übertragen, ihren Versicherten, die für einen Krankengeldbezug in Betracht kommenn, „individuelle Beratung und Hilfeleistung, welche Leistungen und unterstützende Angebote zur Wiederherstellung der Arbeitsfähigkeit erforderlich sind“ zu bieten. Damit verbunden ist eine umfassende Befugnis zur Erhebung, Verarbeitung und Nutzung der Gesundheitsdaten der Versicherten.

Nach der bisher geltenden Rechtslage ist die Erhebung sensibler Gesundheitsdaten grundsätzlich dem Medizinischen Dienstes der Krankenversicherung (MDK) vorbehalten, insbesondere wenn er im Auftrag der Krankenkassen leistungsrechtliche Zweifelsfälle – etwa im Hinblick auf die rechtmäßige Gewährung von Krankengeld – begutachtet.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, äußerte sich zu dem Vorhaben äußerst kritisch. Sie appelierte am Vortag noch an die Bundesregierung, diesen Entwurf nicht zu beschließen. Diese strikte Trennung der Datenerhebungsbefugnisse von Krankenkasse und MDK darf nicht leichtfertig aus fiskalischen Gründen aufgegeben werden. Die Trennung dient dem Schutz der Versicherten, indem die Bildung eines Pools sensibler Gesundheitsdaten bei den Krankenkassen verhindert wird. Die geplante Regelung stellt einen Fremdkörper in der bisherigen datenschutzrechtlichen Systematik im Krankenversicherungsrecht dar. Sie ist ein Einfallstor für weiter ausufernde Datensammlungen der Krankenkassen, das unbedingt verschlossen bleiben muss.

Ebenso sprach sich auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder  gegen die Einführung dieser gesetzlichen Regelungen zum „Krankengeldfallmanagement“ aus.

Krankenhäuser: Sicherheitsmängel beim Patientendatenschutz

5. Mai 2014

Deutsche Krankenhäuser haben Medienberichten zufolge Schwächen bei der Sicherheit sensibler Patientendaten. Dies gehe aus einer aktuellen Studie der Wirtschaftsberatungsgesellschaft Price Waterhouse Coopers (PwC), die im Auftrag der Europäischen Kommission durchgeführt wurde, hervor. So soll z.B. eine Verschlüsselung gespeicherter Patientendaten nur in 40% der deutschen Kliniken üblich sein. Damit liege Deutschland wenig über dem EU-Durchschnitt, aber deutlich hinter Großbritannien, Finnland oder auch Rumänien. Der Zugang zum IT-System sei in Deutschland in der Regel nach Eingabe eines Passwortes möglich. Nur in jedem vierten Krankenhaus sollen die Daten zusätzlich durch eine digitale Signatur geschützt sein. Viele Krankenhäuser seien überdies nicht (hinreichend) gegen einen Systemausfall und einen drohenden Datenverlust gewappnet. Nur rund 80% der deutschen Kliniken haben nach den Studienergebnissen eine Notfallstrategie. Lediglich 14% der europäischen und 20% der deutschen Krankenhäuser sollen ein ausreichendes Datensicherungssystem zur sofortigen Wiederherstellung aller Informationen haben. In jeder dritten deutschen Klinik könnten Daten bei einem Systemausfall erst nach 24 Stunden wiederhergestellt werden. Die Analyse zeige, dass deutsche Krankenhäuser die Möglichkeiten der Digitalisierung bislang nur unzureichend nutzen. Insbesondere bei der elektronischen Übermittlung von Befunden, Patientenbriefen und Laborergebnissen an Ärzte oder Krankenkassen seien Kliniken in anderen Ländern weiter. Gut jede siebte deutsche Klinik der Akutversorgung habe überhaupt keine elektronische Patientenakte.

Rheinland-Pfalz: Internetportal zum Schutz von Patientendaten

26. März 2014

Gemeinsam mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat die Kassenärztliche Vereinigung Rheinland-Pfalz im Januar dieses Jahres die Initiative „Mit Sicherheit gut behandelt“ gestartet, damit Ärzte und Psychotherapeuten Hilfestellung bei der Einhaltung ihrer ärztlichen Schweigepflicht erhalten. Kernstück der bundesweit einmaligen Initiative ist die zentrale Website www.mit-sicherheit-gut-behandelt.de. Dort abrufbar sind zahlreiche Informationen, Handlungshilfen, Checklisten und Links, die bei der Gewährleistung von IT-Sicherheit und Datenschutz im Zusammenhang mit einem Praxisbetrieb von Bedeutung sind.  Zusätzlich gibt es in 2014 in allen Regionen des Landes Präsenzveranstaltungen zu dem Thema. Einzelthemen werden überdies in redaktionellen Beiträgen in Fachzeitschriften aufgegriffen. Vor Start der Initiative wurden Heilberufskammern und IT-Hersteller frühzeitig eingebunden, um auch deren Potential bei der Verbesserung von IT-Sicherheit und Datenschutz in den Praxen zu nutzen. Dieses Angebot ist Medienberichten zufolge bereits auf großes Interesse gestoßen. Die Website sei in dem ersten Monat nach Implementierung rund 2000 Mal aufgerufen worden. Zudem seien etwa 700 Dokumente heruntergeladen worden. Ein erfreuliche Entwicklung und Förderung des Datenschutzes im Gesundheitswesen!

Auslagern von Patientendaten entbindet nicht von datenschutzrechtlichen Pflichten

17. Dezember 2013

Dies macht gerade ein Fall aus Thüringen deutlich. Die 1993 gegründete Aufbewahrungsfirma Ad Acta aus Immelborn hat unter anderem im Auftrag von Arztpraxen deren Dokumente archiviert  und in ein eigenes Depot ausgelagert. Bereits vor fünf Jahren ging das Unternehmen jedoch in die Insolvenz, vom Geschäftsführer fehlt jede Spur. Seit dem modern schätzungsweise 250.000 Ordner mit zum Teil empfindlichen personenbezogenen und sogar Patientendaten vor sich hin. Gerade bei medizinischen Dokumenten gelten Aufbewahrungsfristen von bis zu 30 Jahren, erklärt der Thüringische Landesdatenschutzbeauftragte Lutz Hasse in der Ärztezeitung. Er muss nun alle Akten sichten und die Besitzer ausfindig machen, denn diese müssen die Akten abholen und erneut einlagern. In diesem Zusammenhang wird deutlich, dass ein Vertrag mit einer Aufbewahrungsfirma nicht von den datenschutzrechtlichen Pflichten entbindet, denn Eigentümer und somit Verantwortlicher bleibt weiterhin der Auftraggeber.

Kategorien: Allgemein
Schlagwörter: ,

ULD: Bußgelder wegen Veröffentlichung von Patientendaten im Internet

29. April 2013

Die im Jahr 2011 bekannt gewordene Datenpanne, die es ermöglichte, dass im Internet circa 3.600 Dokumente der Brücke Rendsburg-Eckenförde e. V. und anderen Hilfsorganisationen für psychisch Kranke im Internet einzusehen und sogar Behörden- und Klinikbriefe sowie Befunde herunter zu laden waren, wurde nach Angaben des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) nun mit Bußgeldern sanktioniert. Gegen den IT-Dienstleister RebuS GmbH sei ein Bußgeld in Höhe von 30.000 Euro und gegen die Brücke Rendsburg-Eckenförde e. V. sei ein Bußgeld in Höhe von 70.000 Euro verhängt worden. Die Bescheide seien allerdings noch nicht rechtskräftig.

„Die Veröffentlichung der psychiatrischen Unterlagen stellten eine massive Verletzung der Vertraulichkeit dar, die die behandelten Personen berechtigterweise von den Hilfsorganisationen erwarten. Wir mussten mit Erschrecken feststellen, dass die verantwortlichen Stellen in der ganzen über ein Jahr dauernden Auseinandersetzung sich nicht über die Bedeutung des Unterlassens der nötigen technisch-organisatorischen Sicherungen und der Kontrolle im Rahmen der Auftragsdatenverarbeitung einsichtig zeigten. Zwar wurde umgehend das konkrete Datenleck geschlossen, doch bis heute wurde kein Konzept für ein valides Datenschutzmanagement vorgelegt.“, so der Leiter des ULD Weichert.

Uniklinik Mainz: Nachbesserung in Hinsicht auf die Sicherheit von Patientendaten erforderlich

10. April 2013

Medienberichten zufolge sei das Informationssystem der Uniklinik Main hinsichtlich des Umgangs mit sensiblen Patientendaten nicht so sicher, wie es notwendig und machbar wäre. So könne es zu Datenlecks kommen, durch die Patientendaten nach außen dringen könnten. Zudem böte sich die Möglichkeit für einen Eingriff von z.B. Trojanern ins System der Unimedizin von außen.

Der Landesdatenschützer sei eingeschaltet und für ihn sei das Problem bekannt, dass zwei Bereiche mit unterschiedlichen Ansprüchen an die IT-Sicherheit zusammentreffen würden und sich daraus datenschutzrechtliche Schwierigkeiten ergäben. Zum einen müsse dem Netzwerk für den Krankenhausbereich mit seinen sensiblen Patientendaten, der ärztlichen Schweigepflicht und hohen Anforderungen an IT-Sicherheit und zum anderen dem Netzwerk für den Wissenschaftsbetrieb, welches weniger Einschränkungen benötige, Genüge getan werden. Daher seien diese beiden Netze zu trennen, was jedoch, trotz der Aufforderung hierzu vor 2 Jahren, bislang nicht durchgeführt worden sei. So sei es besipielsweise Mitarbeitern der Klinik laut Berichten der MRZ praktisch möglich, Daten aus dem Klinikbereich an ihr eigenes elektronisches Postfach der Universität zu mailen, auf welches ein Zugriff von außen möglich sei.

Die Uniklinik Mainz versichere, sie nehme „den Schutz ihrer Patientendaten äußerst ernst“ und erfülle die Vorschriften des Datenschutzes.

KreisKKH Rastatt / Klinikum Mittelbaden: Zehntausende Patientendaten verschwunden

12. Oktober 2012
Medienberichten zufolge sind zehntausende Patientendaten aus den baden-württembergischen Kreiskrankenhaus (KreisKKH) Rastatt und dem Klinikum Mittelbaden spurlos verschwunden. Betroffen seien personenbezogene Daten – u.a. Namen, Kontaktdaten, Geburtsdaten, medizinische Befunde sowie ärztlicher und klinikinterner Schriftverkehr – von Patienten, die im Kreiskrankenhaus Rastatt und dem Klinikum Mittelbaden behandelt oder aufgenommen wurden. Die Daten sollen bereits vor knapp einem Monat – am 19. September – abhanden gekommen sein. Dem Kreiskrankenhaus Rastatt sei der Vorfall am 27. September bekannt geworden, also acht Tage nach dem Verschwinden. Nach einem Bericht des SWR konnte noch nicht abschließend geklärt werden, ob es sich um einen Diebstahl gehandelt hat oder ob die Daten versehentlich verloren gegangen sind. Der stellvertretende Landesbeauftragte für den Datenschutz Baden-Württemberg soll mitgeteilt haben, dass seine Behörde zeitnah über den Datendiebstahl informiert worden sei. Gemeinsam habe man entschieden, die Polizei einzuschalten und Strafanzeige zu erstatten.

 

1 2