Kategorie: Gesundheitsdatenschutz
10. Juli 2019
Bundesgesundheitsminister Jens Spahn (CDU) plant zum Datenschutz im Gesundheitswesen ein eigenes Gesetz. Er hat bereits Passagen zum Datenschutz aus dem Digitale-Versorgungs-Gesetz (DVG) herausgenommen.
Der Vorstandsvorsitzende der Kassenärztlichen Vereinigung (KV) Nordrhein begrüßt Spahns Pläne: „Durch die bereits in Kraft getretenen und für die Zukunft noch geplanten Gesetze des Bundesgesundheitsministers entsteht eine enorme Dynamik, auch bei der – überfälligen – Digitalisierung des Gesundheitswesens.“
Geplant ist, das eigene Datenschutzgesetz in der zweiten Jahreshälfte auf den Weg zu bringen. Vorgesehen ist unter anderem, Versicherte bei der Nutzung der zum 1. Januar 2021 startenden elektronischen Patientenakte zu unterstützen.
Das Ziel ist, dem Thema Datenschutz im Rahmen der neuen Anwendungen und der Vernetzung im Gesundheitswesen gebührend Rechnung zu tragen.
2. Juli 2019
Seit dem 1. Juli 2019 sind Vertragsärzte und -psychotherapeuten verpflichtet, das Versichertenstammdatenmanagement (VSDM) durchzuführen. Tun sie dies nicht, drohen ihnen Honorarkürzungen.
Derzeit sind 100.000 Praxen von Vertragsärzten und Vertragspsychotherapeuten an die Telematikinfrastruktur (TI) angeschlossen und 20.000 weitere haben die Bestellungen für den Anschluss ausgelöst. Das gab das Bundesministerium für Gesundheit (BMG) gestern bekannt. Durch das Versichertenstammdatenmanagement wird die Überprüfung der Aktualität der Patientendaten auf der elektronischen Gesundheitskarte (eGK) sichergestellt. Die Prüfung der Daten erfolgt automatisch, im Bedarfsfall werden die Patientendaten aktualisiert. Als erste Anwendung in der Telematikinfrastruktur dient der VSDM auch als Nachweis, dass eine Praxis an die TI angeschlossen ist und Anspruch auf die Erstattung der Kosten über die Kassenärztliche Vereinigung (KV) besteht.
Das Ministerium konktretisierte die Höhe der drohendenden Honorarkürzungen: bei Nicht-Umsetzung ist zunächst eine Kürzung um ein Prozent geplant. Im aktuellen Referentenentwurf des Digitale Versorgung Gesetzes ist sogar eine Kürzung um 2,5 Prozent ab März 2020 vorgesehen.
Die Vertreterversammlung der Kassenärztlichen Vereinigung Bayerns (KVB) ist besorgt: Durch die zwangsweise Anbindung an die Telematikinfrastruktur und die daran geknüpften Sanktionen und „immer neue Gesetzesvorhaben in diesem Bereich […] gefährde Bundesgesundheitsminister Jens Spahn die Datensicherheit und sorge für immensen Ärger und Verunsicherung in Bayerns Praxen.“
28. Juni 2019
Die Digitalisierung des Gesundheitswesens wird durch verschiedene gesetzliche Maßnahmen, wie zum Beispiel mit dem Terminservice- und Versorgungsgesetz (TSVG), welches seit dem 01. Mai 2019 Anwendung findet sowie dem Gesetzes für mehr Sicherheit in der Arzneimittelversorgung (GSAV), welches voraussichtlich im Juli 2019 in Kraft treten wird, vorangetrieben.
Das TSVG enthält unter anderem den politischen Auftrag an die Krankenkassen, ihren Versicherten ab dem 1. Januar 2021 eine von der gematik – Gesellschaft für Telematik zugelassene elektronische Patientenakte (ePA) anzubieten. Die Digitalisierung in der Medizin, die Digitalpolitik von Bundesgesundheitsminister Jens Spahn (CDU) sowie die Sicherheitsstruktur der Telematikinfrastruktur (TI) haben mehrfach zu Diskussionen geführt. Dabei sind insbesondere datenschutzrechtliche Aspekte immer mehr in den Vordergrund gerückt. So machten bei einer Pressekonferenz der Ärzteverband Medi, die Freie Ärzteschaft (FÄ) sowie der Freie Verband Deutscher Zahnärzte ihre Einschätzungen deutlich, dass Sicherheitslücken in der TI bestehen würden und damit Patientendaten für Hacker künftig einfach auffindbar sein könnten.
Die stellvertretende FÄ-Vorsitzende Silke Lüder warnte, dass durch die Digitalpolitik und die Vernetzung aller Bereiche „die ärztliche Schweigepflicht“ ausgehebelt werden könne. „Wenn mein Patient in der Sprechstunde nicht mehr darauf vertrauen kann, dass das, was er mir über seine gesundheitlichen Probleme berichtet, in meinem Sprechzimmer bleibt, kann ich nicht mehr für ihn arbeiten.“ Damit ist auch das ärztliche Berufsrecht berührt.
Des Weiteren besteht im Zusammenhang mit der Einführung der ePA Anfang 2021 die Kritik, dass keine selektiven Zugriffsrechte vergeben werden könnten. Auch hierbei handelt es sich um einen datenschutzrechtlich relevanten Aspekt. Zudem dürfte auch noch weiterer Diskussionsbedarf in Bezug auf haftungsrechtliche Gesichtspunkte bestehen, die hinsichtlich der Sicherheitsstruktur der TI aufgekommen sind.
11. Juni 2019
Mit einem neuen Referentenentwurf zum „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (kurz: Digitale Versorgung Gesetz) will Bundesgesundheitsminister Spahn die digitale Versorgung verbessern.
Patienten sollen telemedizinische Angebote wie etwa Gesundheits-Apps und Videosprechstunden einfacher nutzen können. Auch Überweisungen, Bescheinigung von Arbeitsunfähigkeit oder Verschreibungen ohne Vor-Ort-Besuch einer Praxis sollen ermöglicht werden. Außerdem sollen sich Daten der Patienten in absehbarer Zeit in einer elektronischen Patientenakte speichern lassen. Dies sind wesentliche Ziele des Referentenentwurfes.
Bei diesen digitalen Anwendungen werden sog. Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO besonders schützenswert sind.
Laut Ehrenpräsident der Bundesärztekammer Frank Ulrich Montgomery wird diesem Umstand Rechnung getragen: „ Höchste Priorität haben hier der Datenschutz und eine Einwilligung der Patienten in digitale Prozesse.“ sagte er gegenüber der Deutschen Presse-Agentur in Berlin.
Bundesgesundheitsminister Spahn sieht die Digitalisierung im Gesundheitswesen auf einem guten Weg: „Ich möchte, dass wir mit unserem Datenschutz, unserer Datensicherheit und vor allem auf deutschen Servern digitale Angebote entwickeln.“
Inzwischen haben fast alle Landesärztekammern ihre Berufsordnungen entsprechend angepasst.
4. Juni 2019
Personenbezogene Daten existieren mittlerweile in allen Facetten sowie Bereichen des (Spitzen-)Sports und sind von herausragender Bedeutung. Dies gilt auch für den Profifußball.
In diesem ist es ausweislich eines Medienberichtes zu einem unbefugten Zugriff auf die Scouting-Datenbank des RB Leipzig gekommen. Hierbei hätten Mitarbeiter des Vereins Eintracht Frankfurt über 5.600 Mal auf die Daten zugegriffen. Aus diesem Grund hätte die Verwalterin der Daten, ISB – International Soccer Bank, Klage beim Landgericht Frankfurt am Main eingereicht.
Aus datenschutzrechtlicher Perspektive ist dies aus mehreren Gesichtspunkten relevant. Einerseits besteht für die handelnden Personen das Risiko etwaiger Strafbarkeit (vgl. etwa 202a des Strafgesetzbuchs), andererseits können im Falle unzureichender Sicherung personenbezogener Daten oder eines unzureichenden Datenschutz-Managements Bußgelder ausgesprochen werden.
13. Mai 2019
Ab nächstem Jahr drohen in Mecklenburg-Vorpommern für Ärztinnen und Ärzte bei Datenschutzverstößen empfindliche Bußgelder.
Heinz Müller, der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern versucht diese im Rahmen einer Fragebogenaktion so gering wie möglich zu halten. Die Überprüfung des Datenschutzmanagements der einzelnen Arztpraxen soll zur allgemeinen Sensibilisierung der Ärzteschaft beitragen und als Grundlage einer besseren Beratung im Umgang mit besonders sensiblen Daten führen.
Die Arztpraxen werden dabei zufällig ausgewählt und erhalten einen Fragebogen mit Fragen rund um die datenschutzrechtliche Praxisorganisation. Dabei werden Themen, wie die Zulässigkeit der Datenverarbeitung, Benennung eines Datenschutzbeauftragen, technische und organisatorische Maßnahmen, Umgang mit Datenpannen und Betroffenenrechten sowie die Inhalte einer datenschutzkonformen Einwilligung, bzw. Datenschutzinformation abgefragt.
Um zu überprüfen, ob Ihr Datenschutzmanagement in der Arztpraxis den Anforderungen der DSGVO entspricht, können Sie auch in Eigeninitiative den Fragebogen ausfüllen. Gerade auch mit Blick auf mögliche Schadensersatzansprüche gegenüber Patienten ist eine Anpassung der Datenschutzorganisation in der Arztpraxis empfehlenswert.
29. März 2019
Das Bundesverwaltungsgericht hat am 27. März entschieden, dass eine Videoüberwachung in einer Zahnarztpraxis die ungehindert betreten werden kann, strengen Anforderungen an die datenschutzrechtliche Erforderlichkeit unterliegt.
Die Zahnärztin klagte in diesem Fall gegen eine Anordnung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg). Die Praxis kann durch Öffnen der Tür ungehindert betreten werden. Der Empfangstresen ist nicht besetzt. Oberhalb des Tresens hat die Klägerin eine Videokamera angebracht. Die aufgenommenen Bilder konnte sie in Echtzeit auf Monitoren in ihren Behandlungszimmern verfolgen. Eine Aufzeichnung hat nicht stattgefunden.
Der Landesdatenschutzbeauftragte hatte die Zahnärztin verpflichtet die Kamera so auszurichten, dass keine Patienten gesehen werden können. Insoweit ist die nach erfolglosem Widerspruch erhobene Klage in den Vorinstanzen erfolglos geblieben. Die DSGVO ist in diesem Fall nicht anwendbar, da die datenschutzrechtliche Anordnung vor dem 25.05.2018 erlassen wurde.
Jedoch ist an dieser Stelle zu erwähnen, dass der aktuell gültige § 4 Abs. 1 S. 1 BDSG mit dem damaligen § 6b Abs. 1 S. 1 BDSG inhaltsgleich übernommen worden ist. Nach Absatz 1 dieser Vorschrift setzte die Beobachtung durch ein Kamera-Monitor-System auch ohne Speicherung der Bilder voraus, dass diese zur Wahrnehmung berechtigter Interessen des Privaten erforderlich ist und schutzwürdige Interessen der Betroffenen nicht überwiegen. Ebenso muss nach der DSGVO bei einer Videoüberwachung eine Interessenabwägung stattfinden. Die Zahnärztin konnte jedoch nicht darlegen, wieso eine Videoüberwachung erforderlich war. Anders wäre der Fall gewesen, wenn sie in der Vergangenheit mehrere Straftaten in der Praxis erlebt hätte.
Die Videoüberwachung ist nicht notwendig, um Patienten, die nach der Behandlung aus medizinischen Gründen noch einige Zeit im Wartezimmer sitzen, in Notfällen betreuen zu können. Schließlich sind die Angaben der Klägerin, ihr entstünden ohne die Videoüberwachung erheblich höhere Kosten, völlig pauschal geblieben.
26. Februar 2019
Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.
Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.
Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.
Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.
4. Januar 2019
Die Staatsministerin für Digitalisierung Dorothee Bär möchte datenschutzrechtliche Regelungen für das Gesundheitswesen lockern bzw. streichen, damit die Digitalisierung im Gesundheitssektor, insbesondere die elektronische Gesundheitskarte samt elektronischer Patientenakte voranschreiten kann. „Wir haben in Deutschland mit die strengsten Datenschutzgesetze weltweit und die höchsten Anforderungen an den Schutz der Privatsphäre“, sagte sie im Interview. Dies blockiere viele Entwicklungen im Gesundheitswesen.
Sie setzt sich dafür ein, dass die elektronische Gesundheitskarte dieses Jahr definitiv kommen wird. Die elektronische Patientenakte soll bis 2021 in den Regelbetrieb gehen. Sie bevorzugt jedoch statt einer Karte eine digitale Anwendung, am besten für das Smartphone.
Auch die Bundesärztekammer hat die Datenschutzregelungen für das Projekt einer elektronischen Gesundheitskarte als übertrieben bezeichnet.
Letztendlich liegt dieses Thema eher in den Händen des Gesundheitsministers Jens Spahn. Dieser hat sich jedoch auch für eine zeitgemäße Lösung für die elektronische Gesundheitskarte ausgesprochen.
22. November 2018
Nach dem Tod einer Person stellt sich für die Angehörigen oder die sonstigen Erben oftmals die Notwendigkeit der Beantragung eines Erbscheins beim Nachlassgericht. Mit Einreichung der entsprechenden Anträge prüft das Nachlassgericht, ob die Voraussetzungen für die Ausstellung eines Erbscheins vorliegen. Falls der Verstorbene im Wege einer einseitigen Verfügung von Todes wegen selbst seine Erben bestimmt hat, prüft das Nachlassgericht vor der Ausstellung des Erbscheins unter anderem, ob es möglicherweise Anlass zu Zweifeln an der Testierfähigkeit des Erblassers gibt. Um aufzuklären, ob beispielsweise die Testierfähigkeit des Verstorbenen aufgrund gesundheitlicher Beeinträchtigungen nicht mehr gegeben war, kann sich das Nachlassgericht mit der Bitte um Übermittlung der Patientenakte an den behandeln Arzt wenden.
Bei einem Nachlassverfahren handelt es sich um ein Verfahren, für welches das Gesetz über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit (FamFG) einschlägig ist. §§ 26, 29 FamFG ermächtigt die Nachlassgerichte dabei die entscheidungserheblichen Tatsachen unabhängig vom Parteivorbringen von Amts wegen in geeigneter Form zu ermitteln, sodass sich das Nachlassgericht direkt mit einer entsprechenden Bitte um Übermittlung der Patientenakte an den behandelnden Arzt wenden kann.
Für den behandelnden Arzt stellt sich sodann die Frage, wie er mit dieser an sich statthaften Bitte des Nachlassgerichts umgehen soll. Aus der Bitte des Nachlassgerichts folgt nämlich nicht immer auch zwingend die Befugnis zur Übermittlung der besonders geschützten medizinischen Daten. Für den Arzt ist hierbei insbesondere relevant, dass die unbefugte Weitergabe fremder Geheimnisse – zu denen auch die Behandlungsdaten eines Patienten gehören – nach § 203 Abs. 1 StGB eine Straftat darstellt, die mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft werden kann. Bei einer entsprechenden Bitte um Übermittlung der Patientenakte hat der Arzt demnach genau zu prüfen, ob für ihn auch eine Befugnis zur Übermittlung besteht.
Eine Befugnis zur Offenbarung von Geheimnissen im Sinne von § 203 StGB kann sich aus einer gesetzlichen Ermächtigungsnormen oder aus einer Einwilligung des Betroffenen ergeben. Für den Fall einer Übermittlung an ein Nachlassgericht besteht zur Zeit keine spezialgesetzlich normierte Ermächtigungsgrundlage. Im oben skizzierten Fall ist das Einholen einer Einwilligung in Form einer Entbindung von der Schweigepflicht aufgrund des Todesfalls jedoch nicht mehr möglich. Da es sich bei dem über § 203 StGB geschützten allgemeinen Persönlichkeitsrecht um ein höchstpersönliches Rechtsgut handelt, das grundsätzlich nicht auf die Hinterbliebenen übergeht, besteht für auch die Hinterbliebenen nicht die Möglichkeit, den Arzt von seiner Schweigepflicht zu entbinden.
In einem solchen Fall kann jedoch gegeben falls ein Rückgriff auf eine vermutete Einwilligung des Verstorbenen als Rechtfertigung im Sinne von § 203 StGB statthaft sein. Hierbei ist durch den behandelnden Arzt im Einzelfall einzuschätzen, ob der Verstorbene eine Offenbarung seiner Patientenakte gegenüber dem Nachlassgericht zu Zwecken der Feststellung seiner Testierfähigkeit zugestimmt hätte oder nicht. Falls dem behandelnden Arzt, etwa aufgrund von Äußerungen des Verstorbenen, Zweifel an einer solchen Zustimmung kommen, ist die Übermittlung an das Nachlassgericht nicht durch eine vermutete Einwilligung zu rechtfertigen. Sollten dem behandelnden Arzt hingegen keine Einwände des Verstorbenen gegen eine Übermittlung zum Zwecke der Feststellung der Testierfähigkeit bekannt sein, dann greift noch immer regelmäßig die Vermutung des Bundesgerichtshofs, dass dem Verstorbenen daran gelegen war, Zweifel über seine Testierfähigkeit nach Möglichkeit auszuräumen. Das wohlverstandene Interesse des Verstorbenen sei nicht darauf gerichtet, zu verbergen, dass er testierunfähig sei, da damit vielfach gerade die seinem Schutz dienenden Vorschriften zur Testierfähigkeit in vielen Fällen unterlaufen würden.
Gerne unterstützen wir Sie bei diesbezüglichen und weiteren Fragestellungen aus dem Bereich des Gesundeitsdatenschutzes durch entsprechende Beratungsleistungen.
