Kategorie: Gesundheitsdatenschutz

Digitalisierung der Medizin: Neue Herausforderungen an den Datenschutz

11. Juni 2019

Mit einem neuen Referentenentwurf zum „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (kurz: Digitale Versorgung Gesetz) will Bundesgesundheitsminister Spahn die digitale Versorgung verbessern.

Patienten sollen telemedizinische Angebote wie etwa Gesundheits-Apps und Videosprechstunden einfacher nutzen können. Auch Überweisungen, Bescheinigung von Arbeitsunfähigkeit oder Verschreibungen ohne Vor-Ort-Besuch einer Praxis sollen ermöglicht werden. Außerdem sollen sich Daten der Patienten in absehbarer Zeit in einer elektronischen Patientenakte speichern lassen. Dies sind wesentliche Ziele des Referentenentwurfes.

Bei diesen digitalen Anwendungen werden sog. Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO besonders schützenswert sind.

Laut Ehrenpräsident der Bundesärztekammer Frank Ulrich Montgomery wird diesem Umstand Rechnung getragen: „ Höchste Priorität haben hier der Datenschutz und eine Einwilligung der Patienten in digitale Prozesse.“ sagte er gegenüber der Deutschen Presse-Agentur in Berlin.

Bundesgesundheitsminister Spahn sieht die Digitalisierung im Gesundheitswesen auf einem guten Weg: „Ich möchte, dass wir mit unserem Datenschutz, unserer Datensicherheit und vor allem auf deutschen Servern digitale Angebote entwickeln.“

Inzwischen haben fast alle Landesärztekammern ihre Berufsordnungen entsprechend angepasst.

Potentieller Datenskandal in der Fußball Bundesliga

4. Juni 2019

Personenbezogene Daten existieren mittlerweile in allen Facetten sowie Bereichen des (Spitzen-)Sports und sind von herausragender Bedeutung. Dies gilt auch für den Profifußball.

In diesem ist es ausweislich eines Medienberichtes zu einem unbefugten Zugriff auf die Scouting-Datenbank des RB Leipzig gekommen. Hierbei hätten Mitarbeiter des Vereins Eintracht Frankfurt über 5.600 Mal auf die Daten zugegriffen. Aus diesem Grund hätte die Verwalterin der Daten, ISB – International Soccer Bank, Klage beim Landgericht Frankfurt am Main eingereicht.

Aus datenschutzrechtlicher Perspektive ist dies aus mehreren Gesichtspunkten relevant. Einerseits besteht für die handelnden Personen das Risiko etwaiger Strafbarkeit (vgl. etwa 202a des Strafgesetzbuchs), andererseits können im Falle unzureichender Sicherung personenbezogener Daten oder eines unzureichenden Datenschutz-Managements Bußgelder ausgesprochen werden.

Fragebogenaktion für Arztpraxen zum Stand der Anpassungen an die DSGVO

13. Mai 2019

Ab nächstem Jahr drohen in Mecklenburg-Vorpommern für Ärztinnen und Ärzte bei Datenschutzverstößen empfindliche Bußgelder.

Heinz Müller, der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern versucht diese im Rahmen einer Fragebogenaktion so gering wie möglich zu halten. Die Überprüfung des Datenschutzmanagements der einzelnen Arztpraxen soll zur allgemeinen Sensibilisierung der Ärzteschaft beitragen und als Grundlage einer besseren Beratung im Umgang mit besonders sensiblen Daten führen.

Die Arztpraxen werden dabei zufällig ausgewählt und erhalten einen Fragebogen mit Fragen rund um die datenschutzrechtliche Praxisorganisation. Dabei werden Themen, wie die Zulässigkeit der Datenverarbeitung, Benennung eines Datenschutzbeauftragen, technische und organisatorische Maßnahmen, Umgang mit Datenpannen und Betroffenenrechten sowie die Inhalte einer datenschutzkonformen Einwilligung, bzw. Datenschutzinformation abgefragt.

Um zu überprüfen, ob Ihr Datenschutzmanagement in der Arztpraxis den Anforderungen der DSGVO entspricht, können Sie auch in Eigeninitiative den Fragebogen ausfüllen. Gerade auch mit Blick auf mögliche Schadensersatzansprüche gegenüber Patienten ist eine Anpassung der Datenschutzorganisation in der Arztpraxis empfehlenswert.

BVerwG: Videoüberwachung in Zahnarztpraxis regelmäßig unzulässig

29. März 2019

Das Bundesverwaltungsgericht hat am 27. März entschieden, dass eine Videoüberwachung in einer Zahnarztpraxis die ungehindert betreten werden kann, strengen Anforderungen an die datenschutzrechtliche Erforderlichkeit unterliegt.

Die Zahnärztin klagte in diesem Fall gegen eine Anordnung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg). Die Praxis kann durch Öffnen der Tür ungehindert betreten werden. Der Empfangstresen ist nicht besetzt. Oberhalb des Tresens hat die Klägerin eine Videokamera angebracht. Die aufgenommenen Bilder konnte sie in Echtzeit auf Monitoren in ihren Behandlungszimmern verfolgen. Eine Aufzeichnung hat nicht stattgefunden.

Der Landesdatenschutzbeauftragte hatte die Zahnärztin verpflichtet die Kamera so auszurichten, dass keine Patienten gesehen werden können. Insoweit ist die nach erfolglosem Widerspruch erhobene Klage in den Vorinstanzen erfolglos geblieben. Die DSGVO ist in diesem Fall nicht anwendbar, da die datenschutzrechtliche Anordnung vor dem 25.05.2018 erlassen wurde.

Jedoch ist an dieser Stelle zu erwähnen, dass der aktuell gültige § 4 Abs. 1 S. 1 BDSG mit dem damaligen § 6b Abs. 1 S. 1 BDSG inhaltsgleich übernommen worden ist. Nach Absatz 1 dieser Vorschrift setzte die Beobachtung durch ein Kamera-Monitor-System auch ohne Speicherung der Bilder voraus, dass diese zur Wahrnehmung berechtigter Interessen des Privaten erforderlich ist und schutzwürdige Interessen der Betroffenen nicht überwiegen. Ebenso muss nach der DSGVO bei einer Videoüberwachung eine Interessenabwägung stattfinden. Die Zahnärztin konnte jedoch nicht darlegen, wieso eine Videoüberwachung erforderlich war. Anders wäre der Fall gewesen, wenn sie in der Vergangenheit mehrere Straftaten in der Praxis erlebt hätte.

Die Videoüberwachung ist nicht notwendig, um Patienten, die nach der Behandlung aus medizinischen Gründen noch einige Zeit im Wartezimmer sitzen, in Notfällen betreuen zu können. Schließlich sind die Angaben der Klägerin, ihr entstünden ohne die Videoüberwachung erheblich höhere Kosten, völlig pauschal geblieben.

Apps übermitteln Gesundheitsdaten an Facebook

26. Februar 2019

Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.

Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.

Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.

Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.

Dorothee Bär: Datenschutz soll für das Gesundheitswesen gelockert werden

4. Januar 2019

Die Staatsministerin für Digitalisierung Dorothee Bär möchte datenschutzrechtliche Regelungen für das Gesundheitswesen lockern bzw. streichen, damit die Digitalisierung im Gesundheitssektor, insbesondere die elektronische Gesundheitskarte samt elektronischer Patientenakte voranschreiten kann. „Wir haben in Deutschland mit die strengsten Datenschutzgesetze weltweit und die höchsten Anforderungen an den Schutz der Privatsphäre“, sagte sie im Interview. Dies blockiere viele Entwicklungen im Gesundheitswesen.

Sie setzt sich dafür ein, dass die elektronische Gesundheitskarte dieses Jahr definitiv kommen wird. Die elektronische Patientenakte soll bis 2021 in den Regelbetrieb gehen. Sie bevorzugt jedoch statt einer Karte eine digitale Anwendung, am besten für das Smartphone.

Auch die Bundesärztekammer hat die Datenschutzregelungen für das Projekt einer elektronischen Gesundheitskarte als übertrieben bezeichnet.

Letztendlich liegt dieses Thema eher in den Händen des Gesundheitsministers Jens Spahn. Dieser hat sich jedoch auch für eine zeitgemäße Lösung für die elektronische Gesundheitskarte ausgesprochen.

Anforderung einer Patientenakte durch das Nachlassgericht

22. November 2018

Nach dem Tod einer Person stellt sich für die Angehörigen oder die sonstigen Erben oftmals die Notwendigkeit der Beantragung eines Erbscheins beim Nachlassgericht. Mit Einreichung der entsprechenden Anträge prüft das Nachlassgericht, ob die Voraussetzungen für die Ausstellung eines Erbscheins vorliegen. Falls der Verstorbene im Wege einer einseitigen Verfügung von Todes wegen selbst seine Erben bestimmt hat, prüft das Nachlassgericht vor der Ausstellung des Erbscheins unter anderem, ob es möglicherweise Anlass zu Zweifeln an der Testierfähigkeit des Erblassers gibt. Um aufzuklären, ob beispielsweise die Testierfähigkeit des Verstorbenen aufgrund gesundheitlicher Beeinträchtigungen nicht mehr gegeben war, kann sich das Nachlassgericht mit der Bitte um Übermittlung der Patientenakte an den behandeln Arzt wenden.

Bei einem Nachlassverfahren handelt es sich um ein Verfahren, für welches das Gesetz über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit (FamFG) einschlägig ist. §§ 26, 29 FamFG ermächtigt die Nachlassgerichte dabei die entscheidungserheblichen Tatsachen unabhängig vom Parteivorbringen von Amts wegen in geeigneter Form zu ermitteln, sodass sich das Nachlassgericht direkt mit einer entsprechenden Bitte um Übermittlung der Patientenakte an den behandelnden Arzt wenden kann.

Für den behandelnden Arzt stellt sich sodann die Frage, wie er mit dieser an sich statthaften Bitte des Nachlassgerichts umgehen soll. Aus der Bitte des Nachlassgerichts folgt nämlich nicht immer auch zwingend die Befugnis zur Übermittlung der besonders geschützten medizinischen Daten. Für den Arzt ist hierbei insbesondere relevant, dass die unbefugte Weitergabe fremder Geheimnisse – zu denen auch die Behandlungsdaten eines Patienten gehören – nach § 203 Abs. 1 StGB eine Straftat darstellt, die mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft werden kann. Bei einer entsprechenden Bitte um Übermittlung der Patientenakte hat der Arzt demnach genau zu prüfen, ob für ihn auch eine Befugnis zur Übermittlung besteht.

Eine Befugnis zur Offenbarung von Geheimnissen im Sinne von § 203 StGB kann sich aus einer gesetzlichen Ermächtigungsnormen oder aus einer Einwilligung des Betroffenen ergeben. Für den Fall einer Übermittlung an ein Nachlassgericht besteht zur Zeit keine spezialgesetzlich normierte Ermächtigungsgrundlage. Im oben skizzierten Fall ist das Einholen einer Einwilligung in Form einer Entbindung von der Schweigepflicht aufgrund des Todesfalls jedoch nicht mehr möglich. Da es sich bei dem über § 203 StGB geschützten allgemeinen Persönlichkeitsrecht um ein höchstpersönliches Rechtsgut handelt, das grundsätzlich nicht auf die Hinterbliebenen übergeht, besteht für auch die Hinterbliebenen nicht die Möglichkeit, den Arzt von seiner Schweigepflicht zu entbinden.

In einem solchen Fall kann jedoch gegeben falls ein Rückgriff auf eine vermutete Einwilligung des Verstorbenen als Rechtfertigung im Sinne von § 203 StGB statthaft sein. Hierbei ist durch den behandelnden Arzt im Einzelfall einzuschätzen, ob der Verstorbene eine Offenbarung seiner Patientenakte gegenüber dem Nachlassgericht zu Zwecken der Feststellung seiner Testierfähigkeit zugestimmt hätte oder nicht. Falls dem behandelnden Arzt, etwa aufgrund von Äußerungen des Verstorbenen, Zweifel an einer solchen Zustimmung kommen, ist die Übermittlung an das Nachlassgericht nicht durch eine vermutete Einwilligung zu rechtfertigen. Sollten dem behandelnden Arzt hingegen keine Einwände des Verstorbenen gegen eine Übermittlung zum Zwecke der Feststellung der Testierfähigkeit bekannt sein, dann greift noch immer regelmäßig die Vermutung des Bundesgerichtshofs, dass dem Verstorbenen daran gelegen war, Zweifel über seine Testierfähigkeit nach Möglichkeit auszuräumen. Das wohlverstandene Interesse des Verstorbenen sei nicht darauf gerichtet, zu verbergen, dass er testierunfähig sei, da damit vielfach gerade die seinem Schutz dienenden Vorschriften zur Testierfähigkeit in vielen Fällen unterlaufen würden.

Gerne unterstützen wir Sie bei diesbezüglichen und weiteren Fragestellungen aus dem Bereich des Gesundeitsdatenschutzes durch entsprechende Beratungsleistungen.

Datenübermittlung durch Berufsgeheimnisträger: Reform des § 203 StGB

13. November 2018

Der deutsche Bundestag hat eine Reform der berufsrechtlichen Verschwiegenheitspflichten verabschiedet. Hiervon betroffen sind klassischerweise Anwälte, Ärzte und Psychologen oder Steuerberater. In der Reform geht es vorrangig jedoch um einen anderen Aspekt, der aus datenschutzrechtlicher Sicht eine große Relevanz hat: Die Zusammenarbeit mit externen Dienstleistern im Kontext der Auftragsverarbeitung.
Denn die den Berufsgeheimnisträgern anvertrauten Informationen müssen über den eigenen Machtbereich hinaus auch bei externen Dienstleistern sicher sein und dürfen das Grundkonzept der Verschwiegenheit nicht unterlaufen.

Im Zuge dessen wurde das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen beschlossen.

Dabei geht es speziell in dem eingeführten § 203 Abs. 3 StGB um eine mögliche Legitimation der Weitergabe von Daten durch Berufsgeheimnisträger an Dritte. Dass es diese Möglichkeit nun gibt, muss vor dem Hintergrund der digitalen und wirtschaftlichen Realität gesehen werden. Auch die genannten Berufe mit besonderer Vertrauensstellung kommen häufig nicht umhin, sich gegenüber arbeitsteiligen Outsourcing-Prozessen zu öffnen. Schließlich gibt es beispielsweise für Anwälte und Ärzte bereits eine Vielzahl von Software-Lösungen „in der Cloud“. Hierin spiegelt sich aus datenschutzrechtlicher Sicht eine Konstellation der Auftragsverarbeitung wider.

§ 203 Abs. 3 StGB legitimiert die Datenweitergabe an Dritte dann, wenn
der Geheimnisträger den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen Geheimnisse zugänglich macht,
die Geheimnisse gegenüber Dritten offenbart werden, die an der beruflichen oder dienstlichen Tätigkeit des Geheimnisträgers mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der „sonstigen mitwirkenden Person“ erforderlich ist.

Im Gegenzug können sich nun auch Dritte, die an der Verarbeitung von berufsständisch besonders geschützten Daten mitwirken, entsprechend strafbar machen.

Die Datenschutz-Grundverordnung sieht für die Weitergabe sensibler Informationen (u.a. Gesundheitsdaten) die Einwilligung der jeweils Betroffenen vor, was die Datenübermittlung grundsätzlich erschwert und viele der auf dem Markt verfügbaren Arbeitserleichterungen nicht nutzbar macht. Mit der Reform des § 203 StGB ist dieses Regelungsproblem jedoch in vernünftiger Weise zugunsten der Zusammenarbeit mit Dritten gelöst worden. Selbstverständlich sind die strengen und mit hohen Bußgeldern unterlegten datenschutzrechtlichen Anforderungen an die Weitergabe von Daten weiterhin zu erfüllen.

IT-Sicherheit und Datenschutz in Kliniken: Mängel bereiten zunehmend Probleme

8. November 2018

Die Digitalisierung im Gesundheitswesen bringt einige Vorteile mit sich, so werden beispielsweise Möglichkeiten geschaffen, die Versorgung zu verbessern und die Arbeit effizienter zu gestalten. Dies stellte die Personalberatung Rochus Mummert Healthcare Consulting in einem neuen Gutachten heraus, in dem 360 Führungskräfte in deutschen Krankenhäusern und Pflegeeinrichtungen befragt wurden. Unter den Studienteilnehmern sind rund die Hälfte in öffentlich-rechtlichen Krankenhäusern beschäftigt, 20 Prozent in privatwirtschaftlichen und konfessionellen Krankenhäusern sowie circa 10 Prozent in freigemeinnützigen oder sonstigen Einrichtungen.

Rund 71 Prozent der Studienteilnehmer sind der Ansicht, dass die Digitalisierung in Kliniken und anderen Pflegeeinrichtungen die Versorgung der Patienten verbessern kann. Darüber hinaus sehen 64 Prozent die Möglichkeit zur Kosteneinsparung, insbesondere deshalb, weil die Digitalisierung dazu beitragen kann, unnötige Untersuchungen und Behandlungen zu vermeiden.

Jedoch stehen diesen positiven Auswirkungen der Digitalisierung auch erhöhte Risiken entgegen. So berichten 43 Prozent der Befragten, dass sie bereits Ziel eines Hackerangriffs geworden sind. Fast ein Drittel (31 Prozent) kann nicht ausschließen, schon einmal unbemerkt Opfer eines Cyber-Kriminellen geworden zu sein.

Bei den Daten in Klinken und Pflegeeinrichtungen handelt es sich überwiegend um sensible personenbezogene Daten, die besonders schutzbedürftig sind. Bei der zunehmenden Digitalisierung, die zwar erhebliche Vorteile mit sich bringt, dürfen Risiken, insbesondere die datenschutzrechtlichen Risiken, nicht außer Acht bleiben.

Um diesen Risiken entgegenzuwirken, muss mehr in die IT-Sicherheit und den Datenschutz investiert werden, beispielsweise durch umfassende IT-Sicherheitsprüfungen, Schulungen und weitere Schutzmaßnahmen, die einen Zugriff von außen durch unberechtigte Dritte verhindern.

Empfindliches Bußgeld für Portugiesisches Krankenhaus

23. Oktober 2018

Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.

Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.

Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.

1 2 3 4 10