Kategorie: Gesundheitsdatenschutz
19. Februar 2020
Das Bundesministerium für Gesundheit (BMG) hatte im Januar 2020 einen Entwurf für eine „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV) vorgelegt. Durch diese Verordnung soll für gesetzlich Versicherte nicht nur ein Anspruch auf Versorgung mit digitalen Gesundheitsanwendungen begründet, sondern auch Anforderungen an Funktionstauglichkeit, Sicherheit, Qualität, Nachweis positiver Versorgungseffekte sowie Datenschutz und Datensicherheit dieser digitalen Gesundheitsanwendungen gestellt werden – so das BMG. Digitale Gesundheitsanwendungen sind dabei laut DVG (Digitale-Versorgung-Gesetz) solche Medizinprodukte, deren Hauptfunktionen wesentlich auf digitalen Technologien beruhen.
Verschiedene Verbände haben nun zu der geplanten Verordnung Stellung genommen und sich dabei auch zu den Fragen Datenschutz und Datensicherheit geäußert.
Der AOK-Bundesverband kritisiert in diesem Zusammenhang insbesondere, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) keine eigene Prüfung vornehmen solle, ob die datenschutzrechtlichen Anforderungen durch die Hersteller der Produkte tatsächlich eingehalten werden. Verließe sich das BfArM lediglich auf die Angaben der Hersteller, verkämen die datenschutzrechtlichen Vorgaben zu einem „zahnlosen Tiger“. Zudem sei eine Verschärfung des Grundsatzes der Datenminimierung erforderlich: Hersteller und Anbieter müssten beispielsweise nicht zwingend Kenntnis von der Identität des Nutzers haben.
Die fehlende Überprüfung der Einhaltung des Datenschutzes durch das BfArM wird auch seitens des Deutschen Caritasverbandes kritisiert. Zudem wird bemängelt, dass Datenschutzverstöße keine Sanktionen nach sich ziehen würden.
Ähnliche Kritik äußert auch die Deutsche Gesellschaft für Psychologie e.V. (DGPs). Neben fachspezifischen Anmerkungen weist die DGPs darauf hin, dass die datenschutzrechtlichen Rahmenbedingungen insbesondere in Bezug auf den internationalen Austausch von Nutzerdaten sowie hinsichtlich der wissenschaftlich fundierten Weiterentwicklungsmöglichkeiten der digitalen Gesundheitsanwendungen verschärft werden müssten.
Als zu streng betrachtet die geplanten datenschutzrechtlichen Anforderungen hingegen der Spitzenverband Digitale Gesundheitsversorgung (SVDGV). Dieser kritisiert vor allem, dass die Verarbeitung von Patientendaten nur auf der Grundlage einer ausdrücklichen Einwilligung möglich sei. Auch sollten die Patientendaten zu weiteren als den im Entwurf genannten Zwecke verarbeitet werden dürfen, etwa zur Weiterentwicklung der Gesundheitsanwendungen, aber auch um den Patienten weitere relevante Versorgungsangebote anbieten zu können.
Es bleibt abzuwarten, welche der beteiligten Interessenvertretungen sich mit ihren Anliegen schließlich durchsetzen wird, oder ob überhaupt noch Änderungen an dem Referentenentwurf vorgenommen werden. Eine Fachanhörung im Ministerium war für den heutigen Mittwoch (19.02.2020) geplant.
18. Februar 2020
Wie bereits berichtet, war erst vor ein paar Tagen ein Datenleck beim Deutschen Roten Kreuz bekannt geworden. Dieses hatte Hackern den Zugriff auf ca. 100.000 Gesundheitsdaten ermöglicht.
Zusätzlich hat das C‘t Computermagazin herausgefunden, dass Millionen von Patientendaten nicht ausreichend gesichert sind und eine erhöhte Gefahr für Hackerangriffe besteht. Grund dafür ist erneut die Verwendung von zu schwachen Passwörtern.
Die von den Medizinern beauftragten IT-Dienstleiter raten den Praxen zu einfachen Passwörtern (wie z.B. „praxis123“), um den Mitarbeitern die Arbeit mit der Software zu erleichtern. Diese Kennwörter sind jedoch aufgrund der fehlenden Komplexität für Hacker leicht zu knacken. Nach Berechnungen des NDR sind dadurch ca. 8,5 Millionen Patienten-Datensätze akut bedroht.
Laut Ronald Eikenberg von der Computerzeitschrift C’t wird bereits eine Patientenakte auf dem Schwarzmarkt mit bis zu 2000 € gehandelt. Nach dem Erwerb der Patientendaten werden die Personen mitunter mit der Veröffentlichung der Krankheitsinformationen erpresst. Oft ermöglichen die Informationen auch einen Rückschluss auf weitere, weniger sensible Zugangsdaten. In vielen Fällen erfahren die Patienten erst Jahre später von dem Datendiebstahl.
Ärzte und Therapeuten kennen sich selten mit dem Thema Datensicherheit aus und müssen sich „blind“ auf die beauftragten IT-Dienstleister verlassen. Eine Hilfestellung dazu, welches EDV- Unternehmen einen geeigneten Schutz für die sensiblen Daten bietet, gibt es nicht. Daher fordert die Vereinigung der niedersächsischen Kassenärzte, dass der Gesetzgeber ein Gütesiegel oder Zertifikat einführt, dass vertrauenswürdige EDV- Unternehmen auszeichnet.
13. Februar 2020
Laut Berichten der Süddeutschen Zeitung, des BR und des RBB hat ein 18-jähriger Hacker problemlos auf zehntausende Patientenakten von Kreisverbänden des Deutschen Roten Kreuzes zugreifen können. Betroffen waren dabei nicht nur Stammdaten, sondern auch sensible Patienten- und Krankeninformationen.
Der Hacker hatte die Webseite eines Kreisverbandes in Brandenburg bereits im November letzten Jahres gehackt und einen der Verbände über die Sicherheitslücken informiert. Um aufzuzeigen wie einfach er dabei vorgehen konnte, fertigte er ein drei minütiges Beweisvideo an. Darauf greift er auf das DRK-Fahrdienst-System in Frankfurt (Oder) zu. Neben der Einsicht der Patientendaten wäre es für den Hacker an dieser Stelle leicht gewesen Fahrten zu löschen.
Das DRK sperrte daraufhin die betroffene Seite. Eine Meldung
bei den zuständigen Behörden blieb jedoch aus. Der Hacker griff darauf Mitte
Januar erneut auf die Daten zu und informierte Journalisten über die
Sicherheitslücken.
Laut DRK-Generalsekretariat und der Landesverband Brandenburg sind die Vorfälle regional begrenzt. Außerdem bestehe keine einheitliche IT-Struktur. Die Vorfälle werden aber zum Anlass genommen alle Webseiten der Landesverbände und der Schwesternschaften der DRK auf ihre Datensicherheit zu überprüfen.
Die Betreiber der Seite hatten zu schwache Passwörter genutzt. Zudem handelte es sich um eine für diesen Typ von Datenbaken bereits bekannte Sicherheitslücke.
16. Januar 2020
Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.
Der Bundestag hat mit Beschluss des sogenannten Zweiten
Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen
für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das
Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden
dadurch Anpassungen in rund 150 Gesetzen erforderlich.
Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.
Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.
19. Dezember 2019
Versendet ein Arzt eine Rechnung über die Behandlung mit Botox-Spritzen über den Arbeitgeber der Behandelten, rechtfertigt dieser Verstoß gegen die ärztliche Schweigepflicht ein Schmerzensgeld. So entschied kürzlich das Oberlandesgericht Frankfurt am Main (OLG, Beschl. v. 5.12.2019, Az. 8 U 164/19).
Die Klägerin hat ein Kosmetikstudio, in der ihr Mann als Arzt arbeitet und die Beklagte mit zwei Botoxspritzen behandelte. Die Beklagte bezahlte jedoch nicht die Rechnungen, da die Behandlung keinen anhaltenden Effekt aufzeigte. Daraufhin erhielt die Beklagte zwei Mahnungen. Die dritte Mahnung sandte die Klägerin schließlich an die Arbeitgeberin der Beklagte. Sodann klagte die Kosmetikstudioinhaberin auf Zahlung. Die Beklagte verlangte widerklagend Schmerzensgeld i.H.v. 15.000 Euro.
Das Landgericht Wiesbaden (Urt. v. 11.7.2019, Az. O 247/18) hatte der Frau Schmerzensgeld in Höhe von 1.200 Euro zugesprochen. Der Patientin stehe Schmerzensgeld für die Versendung der Mahnung an ihre Arbeitgeberin zu für die dadurch geschaffene „abstrakte Gefährlichkeit, dass die zu schützenden Daten einem weiteren Personenkreis zugänglich waren“. Weitere Aspekte seien dagegen nicht in die Bemessung des Schmerzensgeldes zu berücksichtigen. Das OLG schloss sich dieser Auffassung an.
3. Dezember 2019
Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.
Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.
Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.
29. Oktober 2019
Facebook plant künftig auch Gesundheitsdaten seiner Nutzer zu sammeln.
Die neue Funktion soll Nutzern eine bessere Kontrolle über ihre Gesundheit bieten, heißt es in einem Blogbeitrag von Facebook.
Nutzer geben Facebook ihre sensiblen Daten preis und erhalten im Gegenzug die Möglichkeit, über die Gesundheitsfunktion nach einem Arzt zu suchen oder Erinnerungen für Ihre zukünftigen Untersuchungen zu erstellen und diese als erledigt zu markieren. Facebook erhält dabei keinen Zugriff auf die Ergebisse der Untersuchung.
Zu den Daten, die Facebook für diese Funktion sammlt, gehören Alter und Geschlecht, der aktuelle Wohnort und wahlweise der genaue Standort. Basierend auf den Angaben zu Alter und Geschlecht werden dem Nutzer Untersuchungen vorgeschlagen, die von Gesundheitsorganisationen empfohlen werden.
Es werden keine Daten aus der Funktion an Drittanbieter weitergegeben. Ebensowenig wird Werbung auf Basis der Daten aus der Gesundheitsfunktion angezeigt. Dies gilt allerdings nur, solange der Nutzer nicht auf einen vorgeschlagenen Link zu einem Arzt oder einer anderen Gesundheitsorganisation klickt, denn diese Information wird für Werbezwecke genutzt.
Die Gesundheitsfunktion wird erstmal nur in den USA verfügbar sein. Facebook macht keine Angaben dazu, ob das Angebot für Europa geplant wird.
28. Oktober 2019
Das Gesetz soll die Sicherheit und Qualität von Implantationen verbessern. Abstriche werden beim Datenschutz gemacht. Das Gesetz enthält eine Beschränkung der Rechte der betroffenen Patientinnen und Patienten.
Der Deutsche Bundestag hat am 26. September 2019 in 2./3. Lesung das „Gesetz zur Errichtung eines Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch“ (Implantateregister-Errichtungsgesetz, EIRD) beschlossen. Es soll am 1. Januar 2020 in Kraft treten
Damit die Aussagefähigkeit des Registers gewährleistet werden könne, ist die Meldung an das Register für Gesundheitseinrichtungen, gesetzliche und private Krankenversicherungen und Patienten verpflichtend. Dadurch ist das Recht auf Widerspruch gegen die Datenverarbeitung, welches dem Patienten eigentlich nach Art. 21 DSGVO zusteht, ausgeschlossen. Ebenso verhält es sich mit dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, dieses wird ebenfalls durch den § 26 EIRD ausgeschlossen. Und das, obwohl es sich bei den Patientendaten um besonders sensible Daten im Sinne des Art. 9 DSGVO handelt, welche besonders schutzwürdig sind.
Die Registerstelle für die zentrale Datensammlung wird beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) errichtet.
17. September 2019
Patienten aus Deutschland und den USA betroffen.
Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.
Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.
Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.“
Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.
15. August 2019
Die Digitalisierung des Gesundheitssystems schreitet weiter voran. Das digitale Versorgungsgesetz (DVG) sieht vor, dass Ärzte künftig Gesundheits-Apps verschreiben können und die Kosten dafür von den Krankenkassen erstattet werden sollen. Viele Patienten nutzen schon jetzt Gesundheits-Apps, die sie zum Beispiel dabei unterstützen, ihre Arzneimittel regelmäßig einzunehmen oder ein Diabetes Tagebuch zu führen.
Bei den Apps werden jedoch in großem Umfang Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO zu den sensiblen Daten zählen. Der Einsatz von Gesundheits-Apps birgt damit erhebliche Risiken für das Recht auf informationelle Selbstbestimmung.
Mit Inkrafttreten der EU-Medizinprodukte-Verordnung am 25. Mai 2017 müssen sich Entwickler von Gesundheits-Apps auf deutlich höhere Anforderungen einstellen. Nicht nur nur die Definition weitet sich aus, weshalb mehr Apps der Verordnung unterfallen, auch die Risikoklasse steigt. Bis zum 26. Mai 2020 gilt allerdings noch eine weniger strenge Übergangsregelung.
Laut dem Bundesministerium für Gesundheit soll für die Gesundheits-Apps ein zügiger Zulassungsweg geschaffen werden.
