Kategorie: Gesundheitsdatenschutz
16. Juli 2018
Die Mitglieder der gesetzlichen Krankenversicherungen sollen zukünftig über ihr Smartphone oder Tablet auf ihre Patientendaten zugreifen können.
Der Gesundheitsminister Jens Spahn beabsichtigt bereits ab 2021 diese neue Zugriffsmöglichkeit einzuführen.
Laut FAZ will der Gesundheitsminister noch im Juli die erforderlichen Vorgaben gegenüber den betroffenen gesetzlichen Krankenversicherungen tätigen.
Das Ziel der neuen Zugriffsmöglichkeit soll darin bestehen für die Versicherten die Nutzungsfreundlichkeit zu erhöhen und eine weitere Zugriffsoption zu schaffen.
Mit Einführung der neuen Option soll speziell die Digitalisierung vorangetrieben werden.
Die Zugriffsmöglichkeit auf Patientendaten über das Smartphone oder Tablet bedeutet jedoch laut dem Gesundheitsminister nicht die letzte Erweiterung in diesem Bereich. Daneben sollen im Rahmen der elektronischen Patientenakte auch die bisherigen Zugänge und Authentifizierungsverfahren erweitert werden. Im Gespräch ist ein vergleichbarer Zugang wie beim Online-Banking über die Verwendung von TAN und PIN.
26. Juni 2018
Zur Gewährleistung des Aktionsplans eHealth haben acht Industrieverbände ein Zielbild-eHealth erarbeitet.
Durch das Zielbild wollen die beteiligten Industrieverbände eine Grundlage für die Umsetzung des Aktionsplans-eHealth schaffen. Nach dem Zielbild sollen insbesondere innovative Datennutzungen gestattet werden. Dafür werden in dem Zielbild Reformansätze für den Datenschutz medizinischer Daten formuliert. Im Mittelpunkt der Reformansätze des eHealth-Zielbildes steht der Gedanke, dass die Zweckbindung für die medizinische Forschung nicht mehr gelten soll. Stattdessen sollen die Daten durch eine leistungs- und flächendeckende Netz und Kommunikationsinfrastruktur in einem offenen und gesicherten Datenraum zur Verfügung stehen, um so den Nutzen für den Patienten zu steigern. Ebenso soll die Reform das Sicherheitsniveau erhöhen. Laut dem Zielbild soll gerade der angestrebte digitale Prozess eine Steigerung der Sicherheit gegenüber analogen Dokumentationsprozessen bewirken.
Die Verbände begründen diese Reform zudem mit der wirtschaftlichen Bedeutung der Gesundheitswirtschaft mit einem Umsatz von 76,7 Milliarden Euro und über sieben Millionen Erwerbstätigen. Angesichts dieser Bedeutung solle die Gesundheitswirtschaft laut dem Zielbild durch diese Reform erhalten und gestärkt werden. Die datenschutzrechtliche Zweckbindung dürfe die Entwicklung und Anwendung von Big-Data Anwendungen und innovativem Daten-Hosting nicht beeinträchtigen. Laut dem Zielbild erfordere gerade die Entwicklung in der medizinischen Forschung auch eine Verwendung von Daten über den ursprünglichen Zweck hinaus, da in diesem Bereich oftmals zukünftige Verwendungen nicht bei Erhebung der Daten absehbar seien.
Die Verbände wollen dafür eine neue Form der Einwilligung einführen in Form von elektronischen Einwilligungsmodellen. Ungeachtet der neuen Einwilligungsmodelle soll eine patientenorientierte Versorgung weiterhin das Leitbild bleiben.
Zusätzlich sollen die Bürger durch eine bundesweite Aufklärungskampagne von den Änderungen in Kenntnis gesetzt werden, um so eine Aufklärung über die Vernetzung im Bereich der Forschung zu ermöglichen.
20. Juni 2018
Mehrere gesetzliche und private Versicherungen wollen ab Juli mit der App des Berliner Startups „Vivy“ eine gemeinsame digitale Gesundheitsplattform anbieten. Die App soll etwa 25 Millionen Versicherten zur Verfügung stehen, welche diese kostenlos und freiwillig nutzen können. Die App beinhaltet nicht nur eine elektronische Gesundheitsakte, sondern auch Impfpass, Medikationsplan und Notfalldaten. Zudem gehören ein Gesundheitscheck und die Hilfe bei der Arztsuche zu ihren Funktionen.
Nach Art. 9 Abs. 1 DSGVO sind Gesundheitsdaten „besondere Kategorien personenbezogener Daten“, die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind. Durch diverse Öffnungsklauseln der DSGVO (für den Gesundheitsbereich ist insbesondere
Art. 9 Abs. 4 DSGVO relevant) werden zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht. Es ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen.
Laut Website ist Vivy „selbstverständlich“ datenschutzkonform. Die Daten sind in der App Ende-zu-Ende verschlüsselt und werden auf deutschen Servern gehostet. Jeglicher Datentransport erfolgt mindestens im https-Format. Ärzte haben nur Zugriff, wenn der Versicherte dies explizit erlaubt. Der Widerruf ist jederzeit möglich. Ebenso kann jederzeit die Löschung der Daten verlangt werden.
12. Juni 2018
Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“
In einer Arztpraxis spielen Gesundheitsdaten eine wichtige Rolle. Um die Patienten angemessen behandeln zu können, ist es unabdingbar die Krankengeschichte und sonstige persönliche und medizinische Informationen einzuholen. Es stellt daher eine Haupttätigkeit eines Arztes und somit eine Kerntätigkeit im Sinne des Gesetzes dar.
Für die Bestimmung, ob ein Datenschutzbeauftragter bestellt werden muss, kommt es somit vorallem darauf an, ob eine „umfangreiche“ Verarbeitung vorliegt. Der Begriff „umfangreich“ ist in der DSGVO selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO, im Rahmen der Datenschutz-Folgenabschätzung, weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Daraus lässt sich schließen, dass bei vielen Gemeinschaftspraxen eine Bestellung notwendig sein wird. Gemäß § 38 BDSG (neue Fassung) ist dieses Erfordernis bei einer Beschäftigungszahl von 10 Personen in einer Praxis erfüllt.
16. Mai 2018
Der Gesundheitsminister Jens Spahn spricht sich für die elektronische Gesundheitskarte aus. „Die Milliarde ist nicht umsonst investiert“, sagte Spahn der „Süddeutschen Zeitung“ (SZ).
Zuvor hatte es Spekulationen über ein mögliches Aus der elektronischen Gesundheitskarte gegeben. Denn Jens Spahn fordert neben der elektronischen Gesundheitskarte auch einfachere Zugriffsmöglichkeiten auf Patientendaten zu schaffen.
„Wenn Versicherte lieber per Handy und Smartphone-App auf ihre Gesundheitsdaten zugriffen, sollte man ihnen das genauso ermöglichen“, so Jens Spahn.
Der Preis für diese Nutzung könnte ein niedrigerer Sicherheitsstandard sein und damit ein Sicherheitsproblem darstellen. Denn für Datenübertragungen per Smartphone könnten die Nutzer die bisher vorgesehene Sicherheitsschwelle durch Einwilligung individuell senken.
Dieses Vorgehen ist datenschutzrechtlich als kritisch zu betrachten. Gerade, wenn man bedenkt, dass es sich bei Gesundheitsdaten um besonders sensible Daten nach Art. 9 DSGVO handelt, die besonders schützenswert sind.
25. April 2018
Das Landgericht Dessau-Roßlau hat entschieden (Urt. 3 O 29/17 vom 28.03.2018), dass bei einer Bestellung von Medikamenten im Internet Gesundheitsdaten auch vom Betreiber Online-Shop verarbeitet werden und dass deshalb eine ausdrückliche Einwilligungserklärung des Betroffen in die Verarbeitung notwendig ist.
Dem Urteil lag der Fall zu Grunde, dass ein Apotheker seine Ware über Amazon verkauft hat. Bei der Bestellung eines Medikaments wurden die Bestelldaten des Kunden nicht nur von der Apotheke, sondern auch von Amazon als Online-Shop-Betreiber verarbeitet.
Bei Gesundheitsdaten handelt es sich um sensible personenbezogene Daten, deren Verarbeitung grundsätzlich untersagt ist. Die Verarbeitung der Daten durch den Apotheker ist ausnahmsweise nach § 28 Abs. 7 BDSG zulässig, da er einer Geheimhaltungspflicht unterliegt. Auch der Betreiber der Handelsplattform verarbeitet die Daten um die Bestellung abzuwickeln. Im Gegensatz dazu unterliegt der Online-Shop aber keiner Verschwiegenheitspflicht. Für diese Verarbeitung greift kein Ausnahmetatbestand des § 28 BDSG, sodass die Verarbeitung der Gesundheitsdaten des Bestellers rechtswidrig ist.
Dies hat zur Folge, dass der Online-Shop-Betreiber eine Einwilligungserklärung des Kunden vor der Verarbeitung der Bestellerdaten einholen muss.
Auch nach der DSGVO ändert sich die Rechtslage ab dem 25. Mai nicht. Art. 9 Abs. 2 DSGVO sieht ebenfalls keine Ausnahme für den Betreiber der Handelsplattform vor, sodass es einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. A DSGVO bedarf.
10. April 2018
Um die Dating-App Grindr rankt sich erneut ein Datenskandal. Nachdem der ägyptische Geheimdienst im Jahr 2014 die Standortanzeige zahlreicher App-User dazu nutzte, Jagd auf homosexuelle Männer zu machen, gerät die App nun erneut in die Kritik. Diesmal geht es um Gesundheitsdaten.
Einem kürzlichen Bericht von CNN zufolge hat die bei homo- und bisexuellen Männern beliebte Dating-App Grindr HIV-Nutzerdaten an die Datendienste Apptimize und Localystics weitergegeben. Neben Angaben zum HIV-Status und dem Datum des letzten HIV-Tests zählen auch die E-Mail- und GPS-Adressen der Nutzer zu den weitergegebenen Daten. Geraten diese Informationen in die falschen Hände, können die Konsequenzen für Betroffene kaum schlimmer sein, zumal durch die damit mögliche Identifizierung von Personen auch die Gefahr einer gesellschaftliche Ächtung einhergeht. Wie konkret diese Gefahr tatsächlich einzustufen ist, ist allerdings unklar: Laut CNN hat die schwedische Non-Profit-Forschungsorganisation SINTEF herausgefunden, dass die Daten teilweise in reinem Textformat und völlig unverschlüsselt übermittelt worden sind, was Grindr jedoch bestreitet.
Grindr hat derweil reagiert und die Datendienste zur Löschung aufgefordert. Zudem verspricht der App-Anbieter für die Zukunft, Daten dieser Art nicht mehr weiterzugeben.
Auch wenn es die Weitergabe solch sensibler Daten kaum zu rechtfertigen vermag, hat der Appell von Grindr an einen eigenverantwortlichen Umgang der Nutzer mit ihren persönlichen Daten durchaus seine Berechtigung. Letztlich kann jeder Nutzer über die Einstellungsfunktion selbst entscheiden, welche Daten er von sich preisgeben möchte. So lässt sich das Risiko einer unerwünschten Datenweitergabe von vornherein ausschließen.
16. März 2018
Sobald in der Notrufzentrale ein Anruf eingeht, werden Daten über den gemeldeten Notfall und detaillierte Patientendaten an den Rettungsdienst weitergeleitet. Im Rahmen eines Sicherheitschecks durch das Magazin für Computer Technik – c’t kam raus, dass ein Zugriff auf die Einsatzdaten durch Dritte möglich war.
Getestet wurde die App NaProt des Berliner Unternehmens Pulsation IT. In diese App werden alle notfallrelevanten Daten wie beispielsweise Name, Geburtsdatum und Unfallort von der Notrufzentrale und von den Rettungskräften eingetragen. Das Ergebnis war, dass reale Einsätze einsehbar waren und falsche Daten eingetragen werden konnten. Außerdem wäre es möglich gewesen, dass Einsätze erst gar nicht über NaProt gemeldet worden wären.
Nach dem der Hersteller informiert wurde, hat er umgehend reagiert und ein Update veröffentlicht, das die Sicherheitslücke geschlossen hat.
12. März 2018
Das Bayerische Landesamt für Datenschutzaufsicht hat gemeinsam mit dem Bayerischen Landesbeauftragten für Datenschutz einen Leitfaden zur Umsetzung der Datenschutzgrundverordnung in bayerischen öffentlichen und privaten Krankenhäusern veröffentlicht. Ziel des Leitfadens ist es, praktische Hinweise zur Umsetzung der DSGVO zur Verfügung zu stellen und bestehende Unsicherheiten abzubauen. Da es bislang nur wenige Hilfstellungen in diesem Bereich gab, war es das erklärte Ziel beider Datenschutzaufsichtsbehörden, erste Hinweise zur Auslegung der DSGVO im Bereich des Gesundheitsdatenschutzes zu geben. Der Leitfaden eignet sich zur Orientierung ebenfalls für Krankenhäuser in anderen Bundesländern.
Schwerpunkt des Leitfadens ist das Datenschutzmanagement, um den erhöhten Anforderungen der DSGVO Rechnung zu tragen. Nach Auffassung der Verfasser sollte das Datenschutzmanagement im Wesentlichen neun Punkte erhalten. Genannt wird in diesem Zuge unter anderem die Festlegung eines Teams, das zur Umsetzung der datenschutzrechtlichen Anforderungen den Datenschutzbeauftragten unterstützen soll. Darüber hinaus enthält der Leitfaden Handlungsempfehlungen zur Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten, der Auflistung von Datenschutzkonzepten für Verfahren und Auftragsverarbeitungsverträgen, sowie der Erstellung von Datenschutzfolgenabschätzungen. Zudem werden die Punkte der Risikoabschätzung, der Behandlung von Datenschutzverletzungen sowie der Implementierung von Informationspflichten und der Umsetzung von Betroffenenrechten thematisiert.
23. Februar 2018
In der DSGVO nehmen Gesundheitsdaten eine besondere Stellung ein. In der stationären Pflege und in Krankenhäusern muss zwischen Einrichtungen in kirchlicher Trägerschaft und denen in privater oder staatlicher unterschieden werden. Bei den kirchlichen Trägerschaften gilt die Anordnung über den Kirchlichen Datenschutz (KDO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).
Bei staatlichen oder privaten Trägerschaften sollte insbesondere den Umgang mit Gesundheitsdaten, vor dem Hintergrund der DSGVO nochmals überprüft werden .
Welche Informationen gehören zu den Gesundheitsdaten?
In der DSGVO (Art. 4 Nr. 15) gibt es eine Erläuterung:
„Gesundheitsdaten“ sind demnach personenbezogene Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten gehören -wie schon nach dem BDSG- auch nach der DSGVO zu der besonderen Kategorie personenbezogener Daten. Neu dazugekommen sind genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für Gesundheitsdaten gilt eine besondere Schutzbedürftigkeit.
Daher besteht ein grundsätzliches Verbot der Verarbeitung dieser Daten. Eine Verarbeitung ist nur unter bestimmten Voraussetzungen möglich (Art. 92a-j DSGVO). Es bedarf einer Einwilligung des Betroffenen oder eines Rechtfertigungsgrundes.
Organisationen im Sozial- und Gesundheitswesen sollten sich daher rechtzeitig auf die neuen Anforderungen der DSGVO einstellen.
