Kategorie: Datenschutz in der Arztpraxis
16. September 2022
Letzte Woche ging es in Teil 1 um allgemeine Fragen über die eGK.
In Teil 2 geht es heute um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.
Wie werden die Daten auf der eGK geschützt?
Der Datenaustausch über die eGK findet über die sog. Telematikinfrastruktur (TI) statt. Für diese ist die gematik zuständig. In der TI werden die Gesundheitsdaten zu jedem Zeitpunkt verschlüsselt. Dadurch soll verhindert werden, dass Unbefugte die Daten lesen können. Ein Signaturverfahren schützt die Daten vor unberechtigter Veränderung und stellt die Urheberschaft der Daten sicher.
Zugriff auf die Daten der eGK hat nur ein gesetzlich festgelegter Personenkreis, z.B. (Zahn-)Ärztinnen und (Zahn-) Ärzte.
Möchten diese auf die gespeicherten Gesundheitsdaten des eGK zugreifen, erfolgt dies nach dem sog. „2-Schlüssel-System“. Die Versicherten müssen ihre Daten zunächst mit dem ersten „Schlüssel“ freischalten und dazu einen PIN eingeben. Dann müssen die Ärztinnen und Ärzte ihren zweiten „Schlüssel“ eingeben, dieser besteht aus ihren Heilberufsausweis und ebenfalls einer PIN.
Sollte der eGK einmal verloren gehen, muss dies der Krankenkasse gemeldet werden, damit der Versicherte eine neue eGK bekommt. Die auf dem Chip gespeicherten Daten sind durch ihre Verschlüsselung aber trotzdem vor unbefugten Zugriffen geschützt.
Wie kann man seine E-Rezepte zukünftig mit der eGK abholen?
Wenn man diese Funktion nutzen möchte, kann man zukünftig seine eGK in der Apotheke vorzeigen. Diese wird dann – wie in einer Arztpraxis- eingelesen. Dabei wird geprüft, ob die Karte auch nicht gesperrt und das Authentisierungszertifikat gültig ist. Ist dies gegeben, können die Versichertenstammdaten eingesehen werden. Auch offene Rezepte werden dann angezeigt, die in der Apotheke dann eingelöst werden können.
Für diese Verfahren soll die Eingabe einer PIN nicht erforderlich sein, damit auch Vertretungsfälle (Versicherter bittet z.B. Angehörigen, das Rezept einzulösen) möglich sind.
9. September 2022
Nachdem das neue, elektronische Rezept (auch E-Rezept) in den letzten Wochen aufgrund datenschutzrechtlicher Bedenken zum Übermittlungsvorgang bereits Gesprächsstoff war, gibt es dazu eine neue Ankündigung. So veröffentlichte die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte, Nationale Agentur für Digitale Medizin) eine Pressemitteilung, nach der Patientinnen und Patienten künftig auch mit ihrer elektronischen Gesundheitskarte (eGK) E-Rezepte für verschreibungspflichtige Arzneimittel einlösen können.
Wie die eGK eigentlich genau funktioniert und wie man damit seine E-Rezepte abholen soll, erläutern wir im Folgenden in einem zweiteiligen Beitrag.
In Teil 1 werden wir diese Woche zunächst allgemeines über die eGK erklären.
Was genau ist die eGK?
Die elektronische Gesundheitskarte gilt seit dem 01.01.2015 als Berechtigungsnachweis für gesetzlich Versicherte. Sie werden von den jeweiligen Krankenkassen an ihre Versicherten ausgeteilt. Sie dient als Ausweismöglichkeit in einer Arztpraxis oder einem Krankenhaus. Auf ihr können außerdem persönliche Daten gespeichert werden.
Welche Daten werden auf der eGK gespeichert?
Auf der Vorderseite der eGK selbst sind der Name des Versicherten und seine Versichertennummer, sowie ein Lichtbild abgedruckt.
In der Karte befindet sich ein Mikroprozessor-Chip. Auf diesem sind zunächst administrative Daten der Versicherten z.B. Name, Geburtsdatum, Anschrift und Angaben zur Krankenversicherung (Krankenversichertennummer und Versichertenstatus) gespeichert. Diese Daten werden auch Versichertenstammdatenmanagement (VSDM) genannt. Diese Daten auf dem Chip zu speichern ist Pflicht.
Auf Wunsch des Versicherten können zusätzlich Notfalldaten (NFDM) auf der eGK gespeichert werden. Dazu gehören z.B. Informationen zu Arzneimittelunverträglichkeiten, Allergien und chronischen Erkrankungen, sowie Kontaktdaten zu behandelnden Ärzten und zu Angehörigen.
Auch der elektronische Medikationsplan (eMP) und die elektronischen Patientenakte (ePA) können auch Wunsch der Versicherten genutzt werden.
Wie funktioniert die eGK?
Die eGK wird vor ärztlichen Behandlungen eingelesen, wobei die Praxen dann die auf dem Chip gespeicherten, administrativen Daten abrufen können. Bei Bedarf können die Praxen diese Daten aktualisieren. Dadurch wird geprüft, ob ein gültiges Versicherungsverhältnis besteht.
Neue Karten sind außerdem mit einer Near Field Communication (NFC) – Funktion versehen. Dadurch ist mit einem PIN ein kontaktloser Datenaustausch möglich.
Die Rückseite der eGK kann von den Krankenkassen als “Europäische Krankenversicherungskarte” verwendet werden und macht somit eine unbürokratische Behandlung innerhalb Europas möglich.
In Teil 2 geht es dann nächste Woche um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.
23. August 2022
Das elektronische Rezept, welches ab dem 01. September 2022 bundesweit eingeführt werden soll, wurde in Schleswig-Holstein aufgrund datenschutzrechtlicher Bedenken, gestoppt.
Was ist das elektronische Rezept?
Das elektronische Rezept (auch „E-Rezept“) ist ein Rezept, dass ausschließlich digital erstellt und signiert wird. Es soll laut Bundesgesundheitsministerium das Gesundheitswesen digitalisieren und Abläufe vereinfachen. Auch wer als Patient eine Videosprechstunde in Anspruch nimmt, soll sich danach den Weg in die Praxis für das Rezept-Abholen sparen können. Gleichzeitig soll das E-Rezept Behandlungen auch sicherer machen. Das E-Rezept soll auch weitere Anwendungen ermöglichen, z.B. eine Medikationserinnerung und einen Medikationsplan mit eingebautem Wechselwirkungscheck. Patienten können das Rezept über eine E-Rezepte-App verwalten und digital an die gewünschte Apotheke ihrer Wahl senden. Wer die App nicht nutzen möchte, kann sich die für die Einlösung des Rezeptes erforderlichen Zugangsdaten als Papierausdruck in der Arztpraxis aushändigen lassen. Das E-Rezept enthält einen Rezeptcode und ist ohne händische Unterschrift gültig (hier können Sie so einen Ausdruck sehen). Eingelöst werden können die E-Rezepte dann in jeder Apotheke oder Online-Apotheke. E-Rezepte sollen 100 Tagen nach der Einlösung automatisch gelöscht werden (weitere Fragen zur App werden hier beantwortet).
Warum wurde es in Schleswig-Holstein gestoppt?
In Schleswig-Holstein und Westfalen-Lippe wurden in einer Testphase Pilotprojekte des E-Rezeptes in ausgewählten Praxen und Krankenhäusern betrieben. Ab dem 01. September 2022 soll die „Rollout-phase“ beginnen und nach einem regional und zeitlich gestuften Verfahren nach und nach bundesweit das E-Rezept eingeführt werden.
Nun hat sich die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) vorerst aus der Einführung des E-Rezeptes zurückgezogen. Grund dafür ist laut einer Pressemitteilung des Datenschutzbeauftragten Schleswig-Holstein (ULD), dass die KVSH vorgeschlagen hatte, die E-Rezepte per SMS oder E-Mail an Menschen ohne E-Rezepte-App zu versenden. Dies lehnte der ULD ab und verwies darauf, dass es sich bei dem E-Rezept um sensible Gesundheitsdaten handle. Diese per E-Mail zu versenden, stelle eine Übermittlung dieser Daten dar. Das Verfahren sei dafür zu unsicher. Die KVSH sieht durch diese Untersagung eine Alltagstauglichkeit des E-Rezeptes nicht mehr gegeben.
Die Rezepte-App selbst wurde vom ULD nicht geprüft. Ob der Rückzug der KVSH einen Einfluss auf die Einführung des E-Rezeptes haben wird, bleibt abzuwarten.
10. September 2021
Der Bundesdatenschutzbeauftragte Ulrich Kelber weist vier große gesetzliche Krankenkassen an, die neue elektronische Patientenakte (ePa) mit weiteren Datenschutzfunktionen zu erweitern. Anderenfalls verstoße die digitale Patientenakte gegen die DSGVO, so Kelber am Donnerstag. Es sollen noch weitere Anweisungen an andere Kassen erfolgen.
Kelber verlangt, dass die Versicherten selbst bestimmen können, wer was zu sehen bekommt. „Dem Versicherten muss das Recht eingeräumt werden, welches Dokument er welchem Dritten (Arzt, Therapeut etc.) zur Kenntnis geben möchte”, heißt es in dem Schreiben an die Krankenkassen, dass der Deutschen Presse-Agentur vorliegt. Ein “Alles-oder-Nichts-Prinzip” entspreche nicht dem Stand der Technik und verstoße gegen die DSGVO.
Zudem stört Kelber, dass die ePA von den Versicherten nur mit einem geeigneten Smartphone eingesehen und verwaltet werden kann. “90 Prozent der Versicherten mit mobilen Endgeräten werden ab 2022 Einblick nehmen und den Zugriff auf die Inhalte steuern können.” Den anderen zehn Prozent solle das verwehrt bleiben. “Dabei kann man das natürlich organisatorisch auch für diese zehn Prozent umsetzen.” Es gebe zwar die Möglichkeit, Dritten eine Vollmacht zur Einsichtnahme und Bearbeitung auszustellen und damit “die eingeschränkte Datensouveränität zu lindern, vollständig wiederherstellen vermag sie die eingeschränkte Souveränität jedoch nicht.”
Die Vollmacht-Lösung geht nach Einschätzung Kelbers auch nicht auf Bedenken gegen eine Verarbeitung von Gesundheitsdaten auf privaten Endgeräten ein. Hier sei vorstellbar, dass die Krankenkassen in ihren Filialen beispielsweise einen Tablet Computer in einem geschützten Netz vorhalten, auf dem sich die Versicherten einloggen und ihre persönliche Patientenakte verwalten können.
Der Streit um die Freigabe in der ePA dürfte in einen Rechtsstreit enden. Experten gehen davon aus, dass quasi alle Krankenkassen gegen Weisungen des Bundesbeauftragten klagen werden. Der Barmer-Vorstandsvorsitzende Christoph Straub hat sich bereits für rechtliches Vorgehen ausgesprochen. Gegen die Anweisung Kelbers kann beim Sozialgericht Köln Klage erhoben werden.
26. April 2021
Der Impfausweis ist momentan ein so reges Gesprächsthema wie selten zuvor. Noch vor ein paar Tagen warnte das Bundesgesundheitsministerium (BMG) auf Twitter davor, Fotos vom Eintrag der Covid-19-Impfung im Impfausweis in sozialen Netzwerken zu posten. Dies erfolgt vor dem Hintergrund, dass es sich bei den abgebildeten Informationen um sensible, persönliche Gesundheitsdaten handelt, die von Kriminellen missbraucht werden können. Auch können mithilfe solcher Fotos Fälschungen von Impfpässen angefertigt werden, ein Umstand der in den letzten Wochen für Aufsehen sorgte.
Dementsprechend könnte man sich fragen, ob nicht etwa ein digitaler Impfpass sicherer wäre. Die EU-Staaten planen etwa ein einheitliches “digitales, grünes Zertifikat” für den kommenden Sommer. Ein solches soll Geimpfte, Genesene und solche mit negativem Testergebnis ausweisen und so vor allem Reisen einfacher möglich machen. Der Nachweis soll aus einem QR-Code und einer Signatur bestehen und auf einem mobilen Gerät gespeichert werden können. Technisch soll das Ganze möglich sein, indem jede ausstellende Stelle einen eigenen Signaturschlüssel bekommt. Diese Schlüssel werden in einer EU-weiten, sicheren Datenbank gespeichert. Personenbezogene Daten sollen dabei, laut Europäischer Kommission, nicht übermittelt werden.
Trotzdem kommt Kritik an dem Vorhaben auf. Problematisch scheint hier vor allem, ob wirklich ein umfassender Datenschutz gewährleistet werden kann. So betonte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski in einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA), dass es keine Datenbank mit personenbezogenen Daten auf EU-Ebene geben dürfe. Auch müsse klar geregelt werden, welche Daten wann und wie lange verwertet werden dürfen.
Eine Positionierung des europäischen Parlamentes diesbezüglich wird am 29.04. erwartet. Dabei sollten auch offene, datenschutzrechtliche Fragen geklärt werden.
Die entsprechenden Systeme für den Ausweis müssen auf nationaler Ebene von den Mitgliedsstaaten eingerichtet werden. Auf deutscher Ebene soll dieser Nachweis als Modul in die Corona-Warn-App integriert werden. Der analoge Ausweis soll durch einen digitalen nur ergänzt und nicht ersetzt werden, wie das BMG betont. Ob ein solcher digitaler Ausweis in der Praxis dann tatsächlich mehr Vorteile bringt als der analoge, wird abzuwarten sein.
8. April 2021
Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.
Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.
Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.
Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.
24. September 2020
Die elektronische Patientenakte kommt 2021 und soll einen erheblichen Beitrag zur Digitalisierung des Gesundheitswesens leisten. Doch die vorgesehenen Regelungen stoßen auf starke Kritik von datenschutzrechtlicher Seite. So hat Ulrich Kelber, Bundesdatenschutzbeauftragter und zuständig für die Kontrolle der Datenverarbeitungen durch die gesetzlichen Krankenkassen, die unbeschränkte Zugriffsmöglichkeit von Ärzten auf die verarbeiteten Gesundheitsdaten gerügt (wir berichteten) und entsprechende aufsichtsbehördliche Maßnahmen angekündigt. Zudem wurde die Datensicherheit als unzureichend kritisiert, insbesondere hinsichtlich des vorgesehenen Authentifizierungsverfahrens.
Im Blickpunkt: Werbung für “Versorgungsinnovationen”
Dies sind jedoch nicht die einzigen Punkte, die im Zusammenhang mit dem sog. “Patientendaten-Schutz-Gesetz” (PDSG) für eine gewisse Aufregung sorgen. Das Netzmagazin “Telepolis” hatte bereits Anfang August über eine Änderung des § 68b Abs. 3 SGB V berichtet, die auch Ulrich Kelber sauer aufgestoßen ist. § 68b Abs. 2 S. 1 SGB V erlaubt den gesetzlichen Krankenversicherungen, “ihren Versicherten insbesondere Informationen zu individuell geeigneten Versorgungmaßnahmen zur Verfügung (zu) stellen und individuell geeignete Versorgungsmaßnahmen an(zu)bieten.” Um solche Angebote überhaupt vorbereiten zu können, dürfen die Krankenkassen gem. § 68b Abs. 1 S. 4 SGB V “die versichertenbezogenen Daten, die sie nach § 284 Abs. 1 (SGB V) rechtmäßig erhoben und gespeichert haben, im erforderlichen Umfang auswerten.” Zwar muss zumindest eine Pseudonymisierung der Daten, ggf. sogar eine Anonymisierung stattfinden. Weil hier jedoch u.a. auch Informationen über ärztliche Leistungen enthalten sind, erscheint es nicht ausgeschlossen, dass auch besonders zu schützende, weil sensible Gesundheitsdaten verarbeitet werden. Im Ergebnis kann hier eine Profilbildung der Versicherten stattfinden, um diesen “Versorgungsinnovationen”, das heißt zusätzliche Gesundheitsmaßnahmen über die bereits bezogenen ärztlichen Leistungen hinaus, anbieten zu können. Wohlwollend betrachtet geht es also um die Verbesserung der medizinischen Versorgung. Man kann darin aber auch eine exzellente Werbemöglichkeit für die Krankenkassen und deren Partner sehen.
Vorheriges Einwilligungserfordernis gestrichen
Die dargestellte Profilbildung und die Information der Versicherten über zusätzliche Maßnahmen darf aber, so die bisherige Rechtslage, nur erfolgen, wenn die Versicherten “zuvor schriftlich oder elektronisch eingewilligt” haben (§ 68b Abs. 3 S. 1 SGB V). Dieses vorherige Einwilligungserfordernis entspricht den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an eine wirksame datenschutzrechtliche Einwilligung. Gleichzeitig ist sie den Krankenkassen jedoch ein Dorn im Auge, insbesondere stoße dies an “Praktikabilitätsgrenzen” (so der GKV-Spitzenverband bereits in einer Stellungnahme vom 11.10.2019). Aus diesem Grunde wurde von dieser Seite eine Änderung des § 68b Abs. 3 S. 1 SGB V dahingehend gefordert, dass nur noch die Teilnahme an den Angeboten und die dafür erforderlichen Verarbeitungen der vorherigen Einwilligung bedürfen – nicht aber die vorbereitenden Maßnahmen, also die Profilbildung. Dieser Änderungsvorschlag wurde in ähnlicher Form in das Gesetz aufgenommen und der neue § 68b Abs. 3 SGB V laut Gesetzesbegründung darauf gestützt, dass sich “das vormals bestehende Einwilligungserfordernis (…) als nicht praktikabel erwiesen hat.” So lautet der neue § 68b Abs. 3 SGB V – die Gesetzesänderung wurde durch den Bundesrat am 18.09.2020 angenommen – nun wie folgt: “Die Teilnahme an Maßnahmen nach Absatz 2 ist freiwillig. Die Versicherten können der ge-zielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. Die Krankenkassen informieren die Versicherten bei der ersten Kontaktaufnahme zum Zwecke der Information oder des Unterbreitens von Angeboten nach Absatz 2 über die Möglichkeit des Widerspruchs.”
Statt auf eine vorherige ausdrückliche Einwilligung, setzt das Gesetz also auf eine Widerspruchsmöglichkeit. Diese bezieht sich jedoch, folgt man dem Wortlaut der Norm, nur auf die gezielte Information sowie die Unterbreitung von Angeboten, nicht aber darauf, dass die personenbezogenen Daten nach § 68b Abs. 1 SGB V zur Angebotsvorbereitung verarbeitet werden. Auf diesen Verarbeitungsvorgang haben die Versicherten demnach keinen Einfluss mehr. Sie werden erst über die Datenverarbeitung informiert, wenn die Profilbildung bereits stattgefunden hat, und können lediglich die weiteren Werbemaßnahmen seitens der Versicherungen verhindern.
Wurde der BfDI getäuscht?
Pikant ist an dieser Änderung auch der Umstand, dass dem BfDI zur vorherigen Stellungnahme, die vor Verabschiedung des Gesetzes erfolgt ist, laut Aussage von Ulrich Kelber eine anderslautende Formulierungshilfe vorgelegt wurde. In dieser lautete die fragliche Bestimmung noch: “Die Teilnahme an Angeboten nach Absatz 2 und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden.” Weil hier noch eine vorherige Einwilligung vorgesehen war, habe seine Behörde zu diesem Punkt keine Stellungnahme abgegeben, so Kelber. Es sehe deswegen danach aus – so die Einschätzung von “Telepolis” – als sei der Aufsichtsbehörde absichtlich eine anderslautende Formulierungshilfe vorgelegt worden, um wegen eines Verstoßes der Norm gegen die DS-GVO einen Widerspruch durch den Bundesbeauftragten zu verhindern.
Im Interview mit “Telepolis” machte Kelber jedoch deutlich, dass durchaus noch Handlungsmöglichkeiten seiner Behörde bestünden. Werde hier ein Verstoß gegen die DS-GVO festgestellt, könnten entsprechende Datenverarbeitungen durch die Krankenkassen mit entsprechenden Anordnungen unterbunden und Veränderungen der Datenverarbeitung angewiesen werden. Im Zweifel würde dir Frage der Rechtmäßigkeit der Norm durch den EuGH geklärt werden. Dabei verweist Kelber auch auf die Möglichkeiten, die den Versicherten selbst zur Verfügung stehen: Beschwerden über die Verarbeitungen bei der für ihre Krankenkasse zuständige Aufsichtsbehörde sowie Bestreitung des Rechtswegs, notfalls bis zum Bundesverfassungsgericht.
19. Februar 2020
Das Bundesministerium für Gesundheit (BMG) hatte im Januar 2020 einen Entwurf für eine “Digitale Gesundheitsanwendungen-Verordnung” (DiGAV) vorgelegt. Durch diese Verordnung soll für gesetzlich Versicherte nicht nur ein Anspruch auf Versorgung mit digitalen Gesundheitsanwendungen begründet, sondern auch Anforderungen an Funktionstauglichkeit, Sicherheit, Qualität, Nachweis positiver Versorgungseffekte sowie Datenschutz und Datensicherheit dieser digitalen Gesundheitsanwendungen gestellt werden – so das BMG. Digitale Gesundheitsanwendungen sind dabei laut DVG (Digitale-Versorgung-Gesetz) solche Medizinprodukte, deren Hauptfunktionen wesentlich auf digitalen Technologien beruhen.
Verschiedene Verbände haben nun zu der geplanten Verordnung Stellung genommen und sich dabei auch zu den Fragen Datenschutz und Datensicherheit geäußert.
Der AOK-Bundesverband kritisiert in diesem Zusammenhang insbesondere, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) keine eigene Prüfung vornehmen solle, ob die datenschutzrechtlichen Anforderungen durch die Hersteller der Produkte tatsächlich eingehalten werden. Verließe sich das BfArM lediglich auf die Angaben der Hersteller, verkämen die datenschutzrechtlichen Vorgaben zu einem “zahnlosen Tiger”. Zudem sei eine Verschärfung des Grundsatzes der Datenminimierung erforderlich: Hersteller und Anbieter müssten beispielsweise nicht zwingend Kenntnis von der Identität des Nutzers haben.
Die fehlende Überprüfung der Einhaltung des Datenschutzes durch das BfArM wird auch seitens des Deutschen Caritasverbandes kritisiert. Zudem wird bemängelt, dass Datenschutzverstöße keine Sanktionen nach sich ziehen würden.
Ähnliche Kritik äußert auch die Deutsche Gesellschaft für Psychologie e.V. (DGPs). Neben fachspezifischen Anmerkungen weist die DGPs darauf hin, dass die datenschutzrechtlichen Rahmenbedingungen insbesondere in Bezug auf den internationalen Austausch von Nutzerdaten sowie hinsichtlich der wissenschaftlich fundierten Weiterentwicklungsmöglichkeiten der digitalen Gesundheitsanwendungen verschärft werden müssten.
Als zu streng betrachtet die geplanten datenschutzrechtlichen Anforderungen hingegen der Spitzenverband Digitale Gesundheitsversorgung (SVDGV). Dieser kritisiert vor allem, dass die Verarbeitung von Patientendaten nur auf der Grundlage einer ausdrücklichen Einwilligung möglich sei. Auch sollten die Patientendaten zu weiteren als den im Entwurf genannten Zwecke verarbeitet werden dürfen, etwa zur Weiterentwicklung der Gesundheitsanwendungen, aber auch um den Patienten weitere relevante Versorgungsangebote anbieten zu können.
Es bleibt abzuwarten, welche der beteiligten Interessenvertretungen sich mit ihren Anliegen schließlich durchsetzen wird, oder ob überhaupt noch Änderungen an dem Referentenentwurf vorgenommen werden. Eine Fachanhörung im Ministerium war für den heutigen Mittwoch (19.02.2020) geplant.
18. Februar 2020
Wie bereits berichtet, war erst vor ein paar Tagen ein Datenleck beim Deutschen Roten Kreuz bekannt geworden. Dieses hatte Hackern den Zugriff auf ca. 100.000 Gesundheitsdaten ermöglicht.
Zusätzlich hat das C‘t Computermagazin herausgefunden, dass Millionen von Patientendaten nicht ausreichend gesichert sind und eine erhöhte Gefahr für Hackerangriffe besteht. Grund dafür ist erneut die Verwendung von zu schwachen Passwörtern.
Die von den Medizinern beauftragten IT-Dienstleiter raten den Praxen zu einfachen Passwörtern (wie z.B. „praxis123“), um den Mitarbeitern die Arbeit mit der Software zu erleichtern. Diese Kennwörter sind jedoch aufgrund der fehlenden Komplexität für Hacker leicht zu knacken. Nach Berechnungen des NDR sind dadurch ca. 8,5 Millionen Patienten-Datensätze akut bedroht.
Laut Ronald Eikenberg von der Computerzeitschrift C’t wird bereits eine Patientenakte auf dem Schwarzmarkt mit bis zu 2000 € gehandelt. Nach dem Erwerb der Patientendaten werden die Personen mitunter mit der Veröffentlichung der Krankheitsinformationen erpresst. Oft ermöglichen die Informationen auch einen Rückschluss auf weitere, weniger sensible Zugangsdaten. In vielen Fällen erfahren die Patienten erst Jahre später von dem Datendiebstahl.
Ärzte und Therapeuten kennen sich selten mit dem Thema Datensicherheit aus und müssen sich „blind“ auf die beauftragten IT-Dienstleister verlassen. Eine Hilfestellung dazu, welches EDV- Unternehmen einen geeigneten Schutz für die sensiblen Daten bietet, gibt es nicht. Daher fordert die Vereinigung der niedersächsischen Kassenärzte, dass der Gesetzgeber ein Gütesiegel oder Zertifikat einführt, dass vertrauenswürdige EDV- Unternehmen auszeichnet.
17. Januar 2020
Seit dem 1. Januar gilt die Bonpflicht in Deutschland, das heißt auch für Apotheken, dass sie für ihre Kunden nach dem Erwerb von Medikamenten zwingend ein Kassenbon erstellen und mitgeben müssen.
Problematisch bei Apotheken im Gegensatz zu Bäckereien und Supermärkten ist, dass ihre Kassenbons personenbezogene Daten, wie den Namen, das Geburtsdatum, die Anschrift sowie das erworbene Produkt, enthalten. Es handelt sich hier um sensible Gesundheitsdaten, die einen besonderen Schutz genießen. Damit könnte es zu einem Problem werden, wenn die Kunden ihre Kassenbons vergessen oder verlieren. Die Frage ist, wie weit die datenschutzrechtliche Verantwortung von Apotheken in dieser Hinsicht geht.
Die Bundesvereinigung Deutscher Apothekerverbände e. V. wies darauf hin, dass in der Apotheke bewusst verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten, also möglichst zu schreddern, sind.
Die Apothekenkammer Berlin erklärt zudem: “Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert – beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten –, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.“
Die datenschutzrechtliche Verantwortung der Apotheke endet laut Kammer-Info, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann sei es Angelegenheit des Kunden, wie er mit dem Bon umgeht: ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.
Empfehlenswert ist es, überhaupt keine personenbezogene Daten auf die Kassenbons mehr zu drucken.
