Kategorie: Gesundheitsdatenschutz

Datenschutz und die DSGVO im Gesundheitswesen

23. Februar 2018

In der DSGVO nehmen Gesundheitsdaten eine besondere Stellung ein. In der stationären Pflege und in Krankenhäusern muss zwischen Einrichtungen in kirchlicher Trägerschaft und denen in privater oder staatlicher unterschieden werden. Bei den kirchlichen Trägerschaften gilt die Anordnung über den Kirchlichen Datenschutz (KDO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).

Bei staatlichen oder privaten Trägerschaften sollte insbesondere den Umgang mit Gesundheitsdaten, vor dem Hintergrund der DSGVO nochmals überprüft werden .

Welche Informationen gehören zu den Gesundheitsdaten?

In der DSGVO (Art. 4 Nr. 15) gibt es eine Erläuterung:
„Gesundheitsdaten“ sind demnach personenbezogene Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten gehören -wie schon nach dem BDSG- auch nach der DSGVO zu der besonderen Kategorie personenbezogener Daten. Neu dazugekommen sind genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für Gesundheitsdaten gilt eine besondere Schutzbedürftigkeit.

Daher besteht ein grundsätzliches Verbot der Verarbeitung dieser Daten. Eine Verarbeitung ist nur unter bestimmten Voraussetzungen möglich (Art. 92a-j DSGVO). Es bedarf einer Einwilligung des Betroffenen oder eines Rechtfertigungsgrundes.

Organisationen im Sozial- und Gesundheitswesen sollten sich daher rechtzeitig auf die neuen Anforderungen der DSGVO einstellen.

Neurotechnologie als Herausforderung für den Datenschutz

11. Januar 2018

Laut Wissenschaftlern des Universitätsklinikums Freiburg, sollen für das Datenschutzrecht neue Herausforderungen durch den rasanten Fortschritt der Neurotechnologie erwachsen. Als Grund dafür werden neue Technologien im Zusammenhang mit der Messung und Bewertung von Hirnaktivitäten angeführt.

In den vergangenen Jahren hat sich auch die Neurotechnologie, begünstigt durch die Investitionen bedeutender Unternehmen, mit hohem Tempo entwickelt.

Durch diese Entwicklung ist insbesondere die Datensammlung über die Hirnaktivität des Menschen vorangeschritten. Nach den Wissenschaftlern des Universitätsklinikums Freiburg, sollen durch die Messung und Bewertung dieser Daten wiederum Rückschlüsse auf Krankheiten gezogen werden können. Ebenso sollen sie genutzt werden können in Bezug auf allgemeine Verhaltensweisen. Schließlich sollen bereits Geräte in diesem Bereich vorhanden sein, die die Hirnaktivität aufzeichnen sowie Stressabbau bewirken und die Konzentration steigern können. Ein Einsatz dieser Technologien soll bereits in 5 Jahren großflächig möglich sein.

Diskutiert wird daher nun, ob das aktuelle Datenschutzrecht diesen neuen Technologien gerecht werden kann. Die dabei gesammelten Daten zur Hirnaktivität sind Gesundheitsdaten und damit sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO. Gerade bezüglich sensibler Daten muss ein hohes Schutzniveau durch den Datenschutz gewährleistet sein.

Zwar ist die Verarbeitung nur in Ausnahmefällen des Art. 9 Abs. 2 DSGVO zulässig, jedoch bestehen nach diesem Art. 9 Abs. 2 DSGVO durchaus Möglichkeiten für Unternehmen den Schutz zu umgehen. So kann speziell durch eine Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO eine zulässige Verarbeitung durch ein Unternehmen erfolgen. Ebenso kann eine solche zulässig sein, wenn sie gem. Art. 9 Abs. 2 lit. j DSGVO zum Zweck wissenschaftlicher Forschung erforderlich ist.

Dr. Philipp Kellmeyer, Wissenschaftler am Universitätsklinikum Freiburg, mahnt dazu an, dass der Nutzer weiterhin der Herr seiner Daten bleiben muss.

Gefordert werden von den Wissenschaftlern insbesondere hohe Schutzvorkehrungen gegen einen missbräuchlichen Handel mit sensiblen Daten. Nach der Auffassung des Mediziners Dr. Kellmeyer sollte angedacht werden, den Handel mit diesen Gesundheitsdaten gesetzlich zu verbieten. Ein ähnliches Verbot existiere schließlich bereits für den Organhandel.

Ob derartige Maßnahmen tatsächlich zukünftig notwendig sind, ist jedoch nicht absehbar und bleibt abzuwarten.

 

Das Smartphone als neues Stethoskop

16. November 2017

In der modernen Medizin spielt Big Data eine immer bedeutendere Rolle. So finden etwa Virtual Reality, künstliche Intelligenz und Big Data immer größere Berücksichtigung in den Überlegungen und Planungen für die zukünftige Medizin.

Auf der Düsseldorfer Medica, einer bedeutenden Medizinmesse, wurden mögliche Innovationen unter den Schlagwörtern „Patient 4.0“ und „Arzt 4.0“ diskutiert.

Ein thematisierter Ansatzpunkt gilt dem Einsatz des Smartphones in der Medizin. Auf der Düsseldorfer Medica gibt es bereits entsprechende Anwendungen mit gesundheitlichem Bezug. Franz Bartmann vom Vorstand Bundesärztekammer ließ eine zukünftige Bedeutung des Smartphones in der Medizin anklingen, als er das Smartphone als Stethoskop des 21. Jahrhunderts bezeichnete. Diese vereinzelte Aussage stützt eine Erhebung des Branchenverbands Bitkom. Danach sollen 45% der deutschen Smartphone-Besitzer auch Gesundheits-Apps verwenden.

Der Einsatz des Smartphones in der Medizin wirft jedoch zahlreiche ungeklärte Fragen auf, wie etwa nach der Validität der Daten und des Nutzens für den Patienten. Ebenso stellt sich die Frage nach den Zugangsmöglichkeiten zu diesen Daten für den Arzt und der zukünftigen Rolle des Arztes.

Eine mögliche Rolle des Arztes sieht Frank Bartmann darin, dass der Arzt den Patienten als Mentor anleiten kann.

Teilweise wird in diesem Zusammenhang das bisher bestehende Datenbewusstsein kritisiert. So meint der Jurist Dirk Heckmann, dass ein neues Datenbewusstsein notwendig sei. Laut Heckmann, Lehrendem an der Universität Passau und Teil des Ethik-Beirats der AOK Nordwest, sei das Gut Gesundheit bedeutsamer als die informationelle Selbstbestimmung. In die gleiche Richtung ging Erwin Böttinger vom Digital Health Center des Hasso-Plattner-Institutes, als er für vernetzte Daten warb.

Die weitere Entwicklung in diesem Bereich bleibt abzuwarten.

Krankenhäuser fordern Digitalisierung

10. November 2017

Die Digitalisierung auf der ganzen Welt schreitet immer mehr voran. Auch im Bereich der Medizin gibt es immer wieder technische Innovationen die eine gewisse Digitalisierung von Krankenhäusern voraussetzen.

Ein weit verbreitetes Problem dabei ist, dass solche Innovationen meist mit hohen Kosten und viel Aufwand verbunden sind. Dementsprechend gibt es zahlreiche Krankenhäuser, die nicht mit dem technischen Fortschritt Schritt halten können.

Der Geschäftsführer der Deutschen Krankenhausgesellschaft Georg Baum beurteilt die Lage deutscher Krankenhäuser so, dass diese seines Erachtens nach ganze 5 Jahre hinter der Digitalisierung zurückliegen. Neuheiten wie beispielsweise “intelligente Pflaster”, welche die Wundheilung mittels Temperaturmessung überwachen und Unregelmäßigkeiten per App mitteilen oder digitale Bilddaten aus CT- oder MRT-Systemen die Tumore aufspüren können, sind dabei für deutsche Krankenhäuser weitestgehend unerschwinglich.

Bei weiterer Betrachtung solcher Innovationen fällt ein weiteres Problem deutlich ins Gewicht. Die IT Sicherheit und der Datenschutz. Da es sich in der Medizin immer um Gesundheitsdaten und somit sensible personenbezogene Daten dreht, stellt sich die Frage wie man diese ordnungsgemäß schützen kann, dass Dritte in keinem Fall Zugang zu den Daten der Patienten bekommen können.
Die Verwendung von Apps und eine drahtlose Übermittlung der Daten bieten dabei die Gelegenheit für Hackerangriffe, welchen durch sogenannte “Cybersicherheit” vorgebeugt werden soll. Besonders problematisch sind dabei jene Anwendungen, die mit dem Handy eines Patienten oder des Benutzers gekoppelt werden.

Wie sich die Sachlage zukünftig entwickeln wird und wodurch die Gesundheitsapps und technischen Innovationen geschützt werden ist noch nicht ausgereift. Aktuell jedoch benutzen bereits 45 % der deutschen Smartphone Nutzer Gesundheitsapps in ihrem Alltag.

Datenschutzkonferenz: Forderungen für die neue Legislaturperiode

18. Oktober 2017

Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.

Die Datenschutzbehörden warnen davor, Daten zu einer “rein wirtschaftlichen Größe” zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort “Datensouveräntität”  zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und “integraler und förderlicher Bestandteil” von Fortschritt in Politik, Wirtschaft und Gesellschaft.

Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.

Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei “in all ihren Ausprägungen auf den Prüfstand zu stellen”.

 

Analyse medizinischer Daten – zukünftig möglich oder weiterhin durch das Datenschutzrecht unantastbar?

5. Oktober 2017

Bisher war eine umfangreiche Datenanalyse innerhalb der Medizin nahezu unmöglich. Grund dafür ist, dass medizinische Daten innerhalb des Datenschutzes eine besondere Art der personenbezogenen Daten darstellen. Diese Daten rechtskonform für eine Analyse nutzbar zu machen setzt dabei eine Anonymisierung der Daten voraus.

Da eine Analyse medizinischer Daten ein großes Potenzial aufweist und durchaus zu einer besseren medizinischen Entwicklung beitragen kann, hat ein deutsches Start-up Unternehmen eine Methode entwickelt die sensitiven Personendaten zu anonymisieren.

Mittels Algorithmen wird dabei eine Systematik der Daten erstellt ohne diese einem speziellen Patienten zuordnen zu können. Das Ergebnis ist eine Ansammlung von rein synthetischen Daten, die der bald wirksamen Datenschutzgrundverordnung nicht unterliegen.

Trotz sinkender Qualität der Daten überwiegen die Möglichkeiten die sich für Unternehmen daraus bilden. Unternehmen soll dabei die Entwicklung neuer Geschäftsmodelle durch Analyse der Daten zusammen mit Partnern ermöglicht werden. So sollen zukünftig alle Bereiche personenbezogener Daten erschlossen werden, ohne die Privatsphäre der Patienten oder Kunden zu beeinträchtigen.

Bezüglich der Frage, welchen Auflagen eine derartige Synthese von Daten zukünftig unterliegen wird, debattieren Juristen und Datenschutzbeauftragte derzeit.  Ob eine vollständige sowie fehlerfreie Synthese unabhängig von der Datenschutzgrundverordnung durchgeführt werden kann, bleibt jedoch abzuwarten.

Kategorien: Allgemein · Gesundheitsdatenschutz
Schlagwörter: ,

Datenschutzmängel in Berliner Krankenhäusern

7. April 2017

Die Datenschutzbeauftragte Maja Smoltczyk moniert den Umgang der Berliner Gesundheitsbehörden mit Gesundheitsdaten, insbesondere im Zusammenhang mit Patientendaten in Berliner Krankenhäusern. In ihrem aktuellen Tätigkeitsbereich kritisiert die Berliner Datenschutzbeauftragten die fehlende Ausstattung der Gesundheitsbehörden unter anderem mit moderner Technik und den erforderlichen Ressourcen. Vor diesem Hintergrund lassen sich Datenpannen, wie das unbeabsichtigte Offenlegen von Patientendaten gegenüber unbeteiligten Dritten durch die Gesundheitsbehörden, nicht verhindern.

Erhebliche Kritik äußerte die Datenschutzbeauftragte auch hinsichtlich einer mangelnden Erfassung dezentraler Prozesse innerhalb von Tochtergesellschaften der Krankenhäuser oder einer lückenhaften Umsetzung der IT Sicherheitsvorgaben bei Wartungen von Krankenhaus-ITs.

In diesem Zusammenhang wird der aktuelle Entwurf des neuen Bundesdatenschutzgesetzes, nach dem die Datenschutzaufsichtbehörden keine Kontrollen mehr vor Ort im Arbeitsbereich von Berufsgeheimnisträgern ausüben dürfen, keinesfalls zu einem besseren Schutzniveau der Berliner Gesundheitsdaten führen. Denn ob die Krankenhäuser die ihnen datenschutzrechtlich vorgegebenen Maßnahmenergreifungen auch tatsächlich umsetzen, könnten die Aufsichtsbehörden demnach überhaupt nicht mehr nachkontrollieren.

Neues Gesetz in den USA: Arbeitnehmer müssen Gentests vorlegen

23. März 2017

Wie die Süddeutsche Zeitung berichtet wurde in den USA, unter Ausschluss der Öffentlichkeit, ein neues Gesetz zu Gentests auf den Weg gebracht. Laut dieses Gesetzes müssen Arbeitnehmer ihrem Arbeitgeber Gentests vorlegen.

Die Gentests beruhen nicht auf einer freiwilligen Basis, denn den Unternehmen ist es zukünftig gestattet Gentests einzufordern. Die Arbeitnehmer müssen also einen Gentest durchführen lassen und die Ergebnisse offen legen. Hierin liegt ein starker Eingriff in die Privatsphäre, da “Gentests freiwillig sein sollten und vor allem kein Zwang bestehen darf die Ergebnisse zu veröffentlichen”,  European Society of Human Genetics (ESHG).

Nicht nur amerikanische Gentechniker sind von dem Gesetz entsetzt. Auch europäische Wissenschaftler äußerten ihre Befürchtungen, weil Neuerungen im Bereich der Bioethik irgendwann von den USA nach Europa kommen und damit auch hier die Gefahr eines solchen Eingriffs besteht. Ob im europäischen Raum tatsächlich ein solcher Vorstoß geplant ist, ist nicht bekannt und wenn muss ein solches Gesetz auch erst mal verabschiedet werden und der rechtlichen Prüfung durch die obersten Gerichte standhalten. Somit besteht, vorerst jedenfalls, hier keine Gefahr.

Noch im Jahr 2008 wurde in den USA ein Gesetz beschlossen, dass genau solche Gentests verboten hat.

Jedoch lässt sich das Interesse der Unternehmen an einer solchen Untersuchung nicht von der Hand weisen. Die Unternehmen können genetische Informationen in Erfahrung bringen und aufgrund dieser über ihre Arbeitnehmer entscheiden. Ein risikobelasteter Arbeitnehmer kann für das Unternehmen im Krankheitsfall höhere Kosten bedeuten. Für die Arbeitgeber ist es demnach nur logisch, dass sie Konsequenzen aus den Ergebnissen ziehen. Diese könnten zum Beispiel auch eine Nicht-Verlängerung des Arbeitsvertrages sein oder eine Nichteinstellung. Jedoch darf nicht außer Acht gelassen werden, dass das bloße Risiko einer Erkrankung noch keine Gewissheit auf einen späteren Ausbruch der Krankheit darstellt. Was aber feststeht ist der Eingriff in die Privatsphäre.

Beschwerden über den Umgang mit Beschäftigtendaten bei den Landesdatenschutzbehörden nehmen zu

10. März 2017

Die Bundesländer Bremen, Rheinland-Pfalz und Hessen verspürten in den letzten zwei Jahren einen erheblichen Anstieg der Beschwerden im Bereich des Arbeitnehmerdatenschutzes. So nimmt beispielsweise der Beschäftigtendatenschutz in Bremen den größten Beschwerdebereich bei der Landesdatenschutzaufsichtsbehörde ein.

Die schwerpunktmäßigen Beschwerdebereiche bilden dabei die Vorratsdatenspeicherung von Internetaktivitäten, die Videoüberwachung am Arbeitsplatz sowie Krankschreibungen und Personalausweiskopien.

So konnten betroffene Arbeitnehmer in acht Fällen die installierten Videoüberwachungsanlagen des Arbeitsgebers an ihrem Arbeitsplatz verhindern. In einem Fall musste der Arbeitgeber die Videoüberwachungseinrichtung an den Arbeitsplätzen seiner Auszubildeneden wieder abbauen, nachdem der Datenschutzbeauftragte es für angemessen und auch zumutbar gehalten hatte, wenn der Arbeitgeber seine sensiblen Unterlagen am Arbeitsplatz einfach einschließt, um sie vor Diebstahl von Auszubildenden in seinem Großraumbüro zu schützen. Und auch in einem anderen Fall, indem eine Videokamera auf Toilettenzugänge in den Geschäftsräumen eines Großhandels gerichtet war, setzte der Datenschutzbeauftragte den Abbau der Videoüberwachungsanlage durch.

Auch auf einem anderen klassischen arbeitnehmerdatenschutzrechtlichen Gebiet konnten betroffene Beschäftigte Erfolge erzielen: Ein Arbeitgeber hatte versucht, sich beim behandelnden Arzt seines krangeschriebenen Arbeitnehmers über den Grund von dessen Arbeitsunfähigkeit zu erkundigen. Der betroffene Arbeitnehmer beschwerte sich daraufhin bei dem zuständigen Datenschutzbeauftragten. Letzterer klärte den Arbeitgeber des betroffenen Arbeitnehemers daraufhin darüber auf, dass er seine bestehenden Zweifel hinsichtlich der Richtigkeit der Arbeitsunfähigkeitsbescheinigung unmittelbar mit dem betroffenen Arbeitnehmer selbst klären müsse.

Imke Sommer, die Bremer Datenschutzbeauftragte, spricht sich vor dem Hintergrund dafür aus, dass es “höchste Zeit für ein wirksames Beschäftigtendatenschutzgesetz” sei. Die Datenschutzgrundverordnung lege den Erlass dieses Gesetzes im Übrigen den nationalen Gesetzgebern nahe.

Big Data – Chancen und Risiken

16. Dezember 2016

Ein aufsehenerregender Artikel des Schweizer MAGAZINs lässt vermuten, dass durch die gezielte Auswertung von Datensätzen der Wahlkampf um das Amt des US-Präsidenten beeinflusst werden konnte. So behauptet ein Unternehmen, durch die Auswertung von öffentlich zugänglichen Daten von Wählern mit Hilfe von sogenannten Big-Data-Anwendungen Persönlichkeitsprofile der Wähler erstellt zu haben. Diese Profile seinen dann genutzt worden um gezielt Wählergruppen persönlich oder mittels Werbebotschaften anzusprechen. Wahlhelfern sei dabei eine mobile App zu Verfügung gestellt worden, in der individuelle Persönlichkeitesprofile der anzusprechenden Wähler, inklusive Gesprächsleitfaden, gespeichert gewesen sein soll.

Ob und in wie weit hierdurch tatsächlich der Ausgang der Wahl beeinflusst wurde, lässt sich nur vermuten. Sorgen um die Möglichkeit einer Beeinflussung der Wähler durch eine auf die Persönlichkeit abgestimmte Werbung dürften allerdings ihre Berechtigung finden.

Dass die Auswertung großer Datenmengen auch Chancen bietet, zeigt der Berliner Kongress “Big Data konkret”, im Rahmen dessen die Vorteile der Auswertung von Patientendaten zur Behandlung und Entwicklung von Therapiemöglichkeiten thematisiert wurden.

1 11 12 13 14 15 19