Kategorie: Gesundheitsdatenschutz
18. September 2018
Eine App, die alle Daten eines Patienten über Krankheit, Medikamente und Arztbesuche speichert, damit der Haus- oder Facharzt unmittelbar ein vollständiges Bild bekommen, könnte eine lebensrettende Maßnahme sein. Allerdings dürfen die Nachteile einer solchen App, insbesondere in datenschutzrechtlicher Sicht, nicht unbeachtet bleiben. Gesundheitsdaten sind sensible Daten, die eines besonderen Schutzes bedürfen.
Werden in einer App jeder Arztbesuch, jedes Röntgenbild, Medikamente und Allergien gespeichert, können Unverträglichkeiten direkt berücksichtigt und doppelte Untersuchungen mit vielleicht überflüssigen Röntgenaufnahmen vermieden werden. Eine Studie der beteiligten Krankenkassen besagt, dass jeder vierte Befragte schon einmal doppelt untersucht und teilweise sogar doppelt geröntgt wurde, was eine unnötige Belastung für den Körper darstellt. Bereits in anderen europäischen Ländern wie Österreich gibt es ein zentrales Verzeichnis, in das alle Gesundheitsdaten einfließen. Dabei können die Patienten selbst entscheiden, wer ihre Daten sehen kann.
Man könnte meinen, dass dieser Mehrwert das kleine Risiko der Datenspeicherung wert sei. Eine solche App erscheint auf den ersten Blick sehr verlockend.
Allerdings sollte man dies auch unter den datenschutzrechtlichen Aspekten genauer betrachten. Krankenhäuser haben Probleme mit ihrer digitalen Sicherheit. Die Computersysteme in vielen Praxen und Krankenhäusern können häufig nicht ausreichend gesichert werden. Laut einer Studie des Beratungsunternehmens Roland Berger wurden bereits zwei von drei deutschen Klinken zum Opfer von Cyberkriminellen. Hätten diese anfälligen Systeme Zugang zu allen, kann das zu einem großen Problem werden. Nicht nur Krankenhäuser können angegriffen werden, sondern auch Ambulanzen und medizinische Forschungseinrichtungen.
Experten warnen davor, dass durch ein Handel mit gestohlenen Patientendaten zum Beispiel hochrangige Politiker erpressbar werden. Dadurch könnten Krankheiten politisch instrumentalisiert werden.
Die Entwickler sprechen von mehrstufigen Sicherheitsprozessen und Verschlüsselungen, die die Daten hinreichend schützen sollen. Allerdings entwickelt sich auch diejenigen weiter, die an diese Daten gelangen wollen.
Fest steht, dass Gesundheitsdaten nicht zu einem Risiko werden dürfen – weder für die einzelnen Bürger, noch für Politiker.
Es bleibt abzuwarten, ob sich in Zukunft eine solche App gegen Kritiker durchsetzen kann.
11. September 2018
Ein ungewöhnliches Bündnis beantragt vor dem Bundesverfassungsgericht in Karlsruhe eine Normenkontrolle: FDP, Grüne und Linke greifen gemeinsam das neue Polizeiaufgabengesetz in Bayern an und knacken durch ihre Verbindung die erforderliche Antragshürde von einem Viertel der Mitglieder des Bundestags.
Die Abgeordneten kritisieren u. a. den Begriff der „drohenden Gefahr“. Liegt eine drohende Gefahr vor, so stehen der bayerischen Polizei umfangreiche Befugnisse (Identitätskontrolle, Platzverweise, Gefahrenabwehrhaft, etc.) zu. Auch die Einführung neuer Fahndungsmittel, wie bspw. die „molekulargenetische Untersuchung“, sowie die nun möglichen tiefgehenden Eingriffe in den Telekommunikationsbereich und die IT-Systeme sorgen für Diskussionen: Zukünftig können Staatstrojaner für die Quellen-Telekommunikationsüberwachung und für heimliche Online-Durchsuchungen schon präventiv eingesetzt werden. Das Bündnis fürchtet tiefgreifende Grundrechtseinschnitte durch einen heranwachsenden „Überwachungsstaat“.
Nun liegt es am Bundesverfassungsgericht zu klären, wie weit der Staat gehen darf, um seine Bürger vor schweren Straftaten zu schützen. Wie weitreichend darf das informationelle Selbstbestimmungsrecht der Bürger eingeschränkt werden? Und ab wann hebelt sich der Rechtsstaat selbst aus, indem er die so sehr geschätzte und hart erkämpfte Freiheit eines jedes Einzelnen vor dem vermeintlich höheren Gut der Sicherheit zurücktreten lässt?
22. August 2018
An der Anmeldung einer Praxis laufen alle Fäden zusammen. Hier erfolgt die Meldung eines Patienten zur Sprechstunde, eine neue Terminvergabe oder die Abholung eines Rezeptes. Dabei sind wichtige persönliche Daten, u.a. besonders sensible Daten betroffen. Doch die meisten Praxisräumlichkeiten sind auf die neuen datenschutzrechtlichen Anforderungen nicht angepasst. Die Patienten stehen oft in langen Schlangen vor der Anmeldung oder das ganze Wartezimmer kann aufgrund der örtlichen Gegebenheiten bei Telefon-/Gesprächen mithören.
Datenschutzrechtlich ist es empfehlenswert, im Zuge der DSGVO die örtlichen Gegebenheiten und Handlungsabläufe zu überprüfen und ggf. zu verbessern, um Beschwerden von Patienten zu verhindern.
Es ist u.a. ratsam, einen Anmeldebereich zu schaffen, wo Patienten einzeln hereintreten können. Die Problematik hinsichtlich des telefonischen Kontakts könnte durch einen separaten Telefonbereich gelöst werden. Daneben gibt es noch viele weitere Probleme (Nennung des Grundes des Arztbesuchs, Aufruf der Patienten, der Online Service …) die Ärzte in ihrer Praxis bedenken und im Zuge der neuen Datenschutzgrundverordnung anpassen sollten.
16. Juli 2018
Die Mitglieder der gesetzlichen Krankenversicherungen sollen zukünftig über ihr Smartphone oder Tablet auf ihre Patientendaten zugreifen können.
Der Gesundheitsminister Jens Spahn beabsichtigt bereits ab 2021 diese neue Zugriffsmöglichkeit einzuführen.
Laut FAZ will der Gesundheitsminister noch im Juli die erforderlichen Vorgaben gegenüber den betroffenen gesetzlichen Krankenversicherungen tätigen.
Das Ziel der neuen Zugriffsmöglichkeit soll darin bestehen für die Versicherten die Nutzungsfreundlichkeit zu erhöhen und eine weitere Zugriffsoption zu schaffen.
Mit Einführung der neuen Option soll speziell die Digitalisierung vorangetrieben werden.
Die Zugriffsmöglichkeit auf Patientendaten über das Smartphone oder Tablet bedeutet jedoch laut dem Gesundheitsminister nicht die letzte Erweiterung in diesem Bereich. Daneben sollen im Rahmen der elektronischen Patientenakte auch die bisherigen Zugänge und Authentifizierungsverfahren erweitert werden. Im Gespräch ist ein vergleichbarer Zugang wie beim Online-Banking über die Verwendung von TAN und PIN.
26. Juni 2018
Zur Gewährleistung des Aktionsplans eHealth haben acht Industrieverbände ein Zielbild-eHealth erarbeitet.
Durch das Zielbild wollen die beteiligten Industrieverbände eine Grundlage für die Umsetzung des Aktionsplans-eHealth schaffen. Nach dem Zielbild sollen insbesondere innovative Datennutzungen gestattet werden. Dafür werden in dem Zielbild Reformansätze für den Datenschutz medizinischer Daten formuliert. Im Mittelpunkt der Reformansätze des eHealth-Zielbildes steht der Gedanke, dass die Zweckbindung für die medizinische Forschung nicht mehr gelten soll. Stattdessen sollen die Daten durch eine leistungs- und flächendeckende Netz und Kommunikationsinfrastruktur in einem offenen und gesicherten Datenraum zur Verfügung stehen, um so den Nutzen für den Patienten zu steigern. Ebenso soll die Reform das Sicherheitsniveau erhöhen. Laut dem Zielbild soll gerade der angestrebte digitale Prozess eine Steigerung der Sicherheit gegenüber analogen Dokumentationsprozessen bewirken.
Die Verbände begründen diese Reform zudem mit der wirtschaftlichen Bedeutung der Gesundheitswirtschaft mit einem Umsatz von 76,7 Milliarden Euro und über sieben Millionen Erwerbstätigen. Angesichts dieser Bedeutung solle die Gesundheitswirtschaft laut dem Zielbild durch diese Reform erhalten und gestärkt werden. Die datenschutzrechtliche Zweckbindung dürfe die Entwicklung und Anwendung von Big-Data Anwendungen und innovativem Daten-Hosting nicht beeinträchtigen. Laut dem Zielbild erfordere gerade die Entwicklung in der medizinischen Forschung auch eine Verwendung von Daten über den ursprünglichen Zweck hinaus, da in diesem Bereich oftmals zukünftige Verwendungen nicht bei Erhebung der Daten absehbar seien.
Die Verbände wollen dafür eine neue Form der Einwilligung einführen in Form von elektronischen Einwilligungsmodellen. Ungeachtet der neuen Einwilligungsmodelle soll eine patientenorientierte Versorgung weiterhin das Leitbild bleiben.
Zusätzlich sollen die Bürger durch eine bundesweite Aufklärungskampagne von den Änderungen in Kenntnis gesetzt werden, um so eine Aufklärung über die Vernetzung im Bereich der Forschung zu ermöglichen.
20. Juni 2018
Mehrere gesetzliche und private Versicherungen wollen ab Juli mit der App des Berliner Startups „Vivy“ eine gemeinsame digitale Gesundheitsplattform anbieten. Die App soll etwa 25 Millionen Versicherten zur Verfügung stehen, welche diese kostenlos und freiwillig nutzen können. Die App beinhaltet nicht nur eine elektronische Gesundheitsakte, sondern auch Impfpass, Medikationsplan und Notfalldaten. Zudem gehören ein Gesundheitscheck und die Hilfe bei der Arztsuche zu ihren Funktionen.
Nach Art. 9 Abs. 1 DSGVO sind Gesundheitsdaten „besondere Kategorien personenbezogener Daten“, die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind. Durch diverse Öffnungsklauseln der DSGVO (für den Gesundheitsbereich ist insbesondere
Art. 9 Abs. 4 DSGVO relevant) werden zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht. Es ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen.
Laut Website ist Vivy „selbstverständlich“ datenschutzkonform. Die Daten sind in der App Ende-zu-Ende verschlüsselt und werden auf deutschen Servern gehostet. Jeglicher Datentransport erfolgt mindestens im https-Format. Ärzte haben nur Zugriff, wenn der Versicherte dies explizit erlaubt. Der Widerruf ist jederzeit möglich. Ebenso kann jederzeit die Löschung der Daten verlangt werden.
12. Juni 2018
Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“
In einer Arztpraxis spielen Gesundheitsdaten eine wichtige Rolle. Um die Patienten angemessen behandeln zu können, ist es unabdingbar die Krankengeschichte und sonstige persönliche und medizinische Informationen einzuholen. Es stellt daher eine Haupttätigkeit eines Arztes und somit eine Kerntätigkeit im Sinne des Gesetzes dar.
Für die Bestimmung, ob ein Datenschutzbeauftragter bestellt werden muss, kommt es somit vorallem darauf an, ob eine „umfangreiche“ Verarbeitung vorliegt. Der Begriff „umfangreich“ ist in der DSGVO selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO, im Rahmen der Datenschutz-Folgenabschätzung, weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Daraus lässt sich schließen, dass bei vielen Gemeinschaftspraxen eine Bestellung notwendig sein wird. Gemäß § 38 BDSG (neue Fassung) ist dieses Erfordernis bei einer Beschäftigungszahl von 10 Personen in einer Praxis erfüllt.
16. Mai 2018
Der Gesundheitsminister Jens Spahn spricht sich für die elektronische Gesundheitskarte aus. „Die Milliarde ist nicht umsonst investiert“, sagte Spahn der „Süddeutschen Zeitung“ (SZ).
Zuvor hatte es Spekulationen über ein mögliches Aus der elektronischen Gesundheitskarte gegeben. Denn Jens Spahn fordert neben der elektronischen Gesundheitskarte auch einfachere Zugriffsmöglichkeiten auf Patientendaten zu schaffen.
„Wenn Versicherte lieber per Handy und Smartphone-App auf ihre Gesundheitsdaten zugriffen, sollte man ihnen das genauso ermöglichen“, so Jens Spahn.
Der Preis für diese Nutzung könnte ein niedrigerer Sicherheitsstandard sein und damit ein Sicherheitsproblem darstellen. Denn für Datenübertragungen per Smartphone könnten die Nutzer die bisher vorgesehene Sicherheitsschwelle durch Einwilligung individuell senken.
Dieses Vorgehen ist datenschutzrechtlich als kritisch zu betrachten. Gerade, wenn man bedenkt, dass es sich bei Gesundheitsdaten um besonders sensible Daten nach Art. 9 DSGVO handelt, die besonders schützenswert sind.
25. April 2018
Das Landgericht Dessau-Roßlau hat entschieden (Urt. 3 O 29/17 vom 28.03.2018), dass bei einer Bestellung von Medikamenten im Internet Gesundheitsdaten auch vom Betreiber Online-Shop verarbeitet werden und dass deshalb eine ausdrückliche Einwilligungserklärung des Betroffen in die Verarbeitung notwendig ist.
Dem Urteil lag der Fall zu Grunde, dass ein Apotheker seine Ware über Amazon verkauft hat. Bei der Bestellung eines Medikaments wurden die Bestelldaten des Kunden nicht nur von der Apotheke, sondern auch von Amazon als Online-Shop-Betreiber verarbeitet.
Bei Gesundheitsdaten handelt es sich um sensible personenbezogene Daten, deren Verarbeitung grundsätzlich untersagt ist. Die Verarbeitung der Daten durch den Apotheker ist ausnahmsweise nach § 28 Abs. 7 BDSG zulässig, da er einer Geheimhaltungspflicht unterliegt. Auch der Betreiber der Handelsplattform verarbeitet die Daten um die Bestellung abzuwickeln. Im Gegensatz dazu unterliegt der Online-Shop aber keiner Verschwiegenheitspflicht. Für diese Verarbeitung greift kein Ausnahmetatbestand des § 28 BDSG, sodass die Verarbeitung der Gesundheitsdaten des Bestellers rechtswidrig ist.
Dies hat zur Folge, dass der Online-Shop-Betreiber eine Einwilligungserklärung des Kunden vor der Verarbeitung der Bestellerdaten einholen muss.
Auch nach der DSGVO ändert sich die Rechtslage ab dem 25. Mai nicht. Art. 9 Abs. 2 DSGVO sieht ebenfalls keine Ausnahme für den Betreiber der Handelsplattform vor, sodass es einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. A DSGVO bedarf.
10. April 2018
Um die Dating-App Grindr rankt sich erneut ein Datenskandal. Nachdem der ägyptische Geheimdienst im Jahr 2014 die Standortanzeige zahlreicher App-User dazu nutzte, Jagd auf homosexuelle Männer zu machen, gerät die App nun erneut in die Kritik. Diesmal geht es um Gesundheitsdaten.
Einem kürzlichen Bericht von CNN zufolge hat die bei homo- und bisexuellen Männern beliebte Dating-App Grindr HIV-Nutzerdaten an die Datendienste Apptimize und Localystics weitergegeben. Neben Angaben zum HIV-Status und dem Datum des letzten HIV-Tests zählen auch die E-Mail- und GPS-Adressen der Nutzer zu den weitergegebenen Daten. Geraten diese Informationen in die falschen Hände, können die Konsequenzen für Betroffene kaum schlimmer sein, zumal durch die damit mögliche Identifizierung von Personen auch die Gefahr einer gesellschaftliche Ächtung einhergeht. Wie konkret diese Gefahr tatsächlich einzustufen ist, ist allerdings unklar: Laut CNN hat die schwedische Non-Profit-Forschungsorganisation SINTEF herausgefunden, dass die Daten teilweise in reinem Textformat und völlig unverschlüsselt übermittelt worden sind, was Grindr jedoch bestreitet.
Grindr hat derweil reagiert und die Datendienste zur Löschung aufgefordert. Zudem verspricht der App-Anbieter für die Zukunft, Daten dieser Art nicht mehr weiterzugeben.
Auch wenn es die Weitergabe solch sensibler Daten kaum zu rechtfertigen vermag, hat der Appell von Grindr an einen eigenverantwortlichen Umgang der Nutzer mit ihren persönlichen Daten durchaus seine Berechtigung. Letztlich kann jeder Nutzer über die Einstellungsfunktion selbst entscheiden, welche Daten er von sich preisgeben möchte. So lässt sich das Risiko einer unerwünschten Datenweitergabe von vornherein ausschließen.
