Kategorie: Gesundheitsdatenschutz
23. November 2023
Im Gesundheitsbereich passiert aktuell sehr viel. Erst letzte Woche fand eine Fachtagung zum Gesundheitsdatenschutz statt. Nun ging es beim Digital-Gipfel 2023 am 20. und 21. November neben der KI-Verordnung auch um eine digitale Identität im Gesundheitswesen. Die Konferenz fungierte als Schauplatz für wegweisende Entwicklungen im Gesundheitsbereich. Am Montagmorgen tauschten sich Experten des Digital- und Gesundheitswesens entsprechend des Programms im Vortrag „Digitale Identität – ein Schlüssel für alles. Kickstart im Gesundheitswesen“ aus. Themen waren zum Beispiel die E-Patientenakte, das E-Rezept oder eine neue Gesundheits-ID-App der Techniker Krankenkasse (TK).
Die TK-Ident-App
Die TK präsentiert auf dem Gipfel stolz ihre neue Gesundheitsanwendung – die „TK-Ident“. Ralf Degner von der TK kündigt bei dem Treffen ihren Launch in App-Stores in wenigen Tagen an. Die App verspricht mittels einer einmaligen Anmeldung per elektronischem Personalausweis eine einheitliche Identität für sämtliche Gesundheitsanwendungen. Auch die Einsicht in die elektronische Patientenakte soll bequem ohne eine weitere Bestätigung der Identität so möglich sein. Die Schaffung eines vertrauenswürdigen Systems, bei dem keine Daten an die bekannten Internet-Riesen übermittelt werden, müsse hierbei im Fokus stehen.
Der Digitalisierungsaufbruch im Gesundheitswesen
Susanne Ozegowski, Abteilungsleiterin für die Digitalisierung des Gesundheitswesens im Bundesministerium für Gesundheit, sieht die neue App als Teil des Wandels zur Digitalisierung im Gesundheitswesen. Die vorgeschlagene ID-Funktion, könne Probleme lösen, die die elektronische Gesundheitskarte bislang nicht meistern konnte. Neben der E-Patientenakte sieht sie einen Anwendungsbereich auch für das E-Rezept oder die ärztliche Videosprechstunde.
ID-Wallet als Vereinfachung
Ernst Bürger, verantwortlich für die Verwaltungsdigitalisierung im Bundesministerium des Innern, wies darauf hin, dass die App mittels des veralteten ePA-SDK (Software Development Kit) entwickelt worden sei. Um eine einfachere Wallet-Lösung zu ermöglichen, bedürfe es einer Überarbeitung des Systems.
Gesundheits-ID für Online-Services
Ab dem 01.01.2024 ermöglichen es gesetzliche Krankenkassen ihren Kunden auf Wunsch eine digitale Identität in Form einer Gesundheits-ID einzurichten. Dadurch soll der Zugang zu Online-Gesundheitsanwendungen wie etwa das E-Rezept oder die E-Patientenakte erleichtert werden. Dies soll mittels Authentifizierung entweder durch die Gesundheitskarte und PIN oder der Online-Ausweisfunktion des Personalausweises und PIN funktionieren. TK-Chef Jens Baas plädiert für letztere Option als Standardverfahren, da hier bereits ein sicheres und für die Nutzer einfaches verfahren existiert.
Datensicherheit als oberste Priorität
Sicherheitsforscher Martin Tschirsich begrüßte grundsätzlich die Neuerungen. Er betonte allerdings, dass die Einhaltung von Sicherheitsstandards entscheidend ist. Gerade bei Gesundheitsanwendungen mit sensiblen Daten sei dies unumgänglich. Es sei hier von höchster Priorität die Applikationen einfach und sicher zu gestalten. Dazu gehöre auch, dass man sich nicht ständig per Ausweis identifizieren muss.
Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik, unterstreicht, dass digitale Identitäten die Grundvoraussetzungen für Datensicherheit sind. In einer Online-Sprechstunde müssten sich zum Beispiel Ärzte als auch Patienten wechselseitig identifizieren können.
Fazit
Der Digital-Gipfel 2023 gibt Einblick in die Zukunft des Gesundheitswesens und beschäftigt sich vor allem mit der digitalen Identität. Die TK-Ident-App verspricht eine wegweisende Vereinheitlichung von Gesundheitsanwendungen. Gerade vor dem Hintergrund weiterer Digitalisierungen wie der E-Patientenakte und dem E-Rezept scheint der Aufbau einer digitalen Identität unumgänglich. Entscheidend bleibt allerdings entsprechende Vorkehrungen zu schaffen, um die Sicherheit besonders schützenswerter sensibler Gesundheitsdaten zu gewährleisten. Die Herausforderung liegt im Aufbau eines vertrauenswürdigen Systems, das Gesundheitsdaten bewahrt. Es liegt nun an den Akteuren, Potenziale zu nutzen und höchste Standards umzusetzen.
16. November 2023
Rund um das Thema Gesundheitsversorgung und Datenschutz passiert aktuell sehr viel. Erst Ende Oktober hat der EuGH ein datenschutzrechtliches Auskunftsrecht in Form einer kostenlosen ersten Kopie der Patientenakte bestätigt. Nun hat der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz (LfDI RlP) bekanntgegeben, dass am 13.11.2023 eine Fachtagung unter anderem zum Thema des Gesundheitsdatenschutz geendet hat. Die Tagung fand unter dem Titel „Was passiert mit unseren Gesundheitsdaten? Möglichkeiten und Grenzen der digitalen Nutzung von Gesundheitsdaten“ statt. Schwerpunkt war es, einen ausgewogenen Austausch unter Bezugnahme ethischer und rechtlicher Aspekte zu haben.
Datenschutz und Ethik als Symbiose
Der LfDI RlP Dieter Kugelmann vertrat die Ansicht, dass in diesem Zusammenhang Datenschutz kein Hindernis, sondern Teil der Lösung ist. Er unterstrich die Bedeutung, Datenschutz von Anfang an in den Gestaltungsprozess einzubinden, um eine ausgewogene Digitalisierung des Gesundheitswesens zu ermöglichen, die sowohl Innovation fördert als auch weiterhin die Rechte des Einzelnen beachtet.
Mehr Versorgungsqualität durch Elektronische Patientenakte
Ein weiteres Thema war die Einführung der elektronischen Patientenakte. Diese soll laut Bundesgesundheitsminister Karl Lauterbach ab 2025 eingeführt werden. Peter Heinz, Vorstandsmitglied der Kassenärztlichen Vereinigung Rheinland-Pfalz, unterstrich diesbezüglich die Bedeutung solcher Instrumente für ein hohes Maß an Versorgungsqualität und Forschungsfortschritt. Aus datenschutzrechtlicher Sicht ist es hierbei von besonderer Relevanz die Patienten über die Nutzung ihrer Gesundheitsdaten aufzuklären. Für Vertreter der Ärzteschaft kann es allerdings eine kaum zu bewältigende logistische Aufgabe sein, diese beiden Komponenten in Ausgleich zu bringen. In diesem Bereich bestehen also noch verschiedene Ungewissheiten, die abschließend geklärt werden müssen.
Chancen und Herausforderungen der digitalen Gesundheitsforschung
Auch im Fachgespräch über neue Entwicklungen in der Diagnose und Therapieforschung existierte Redebedarf im Datenschutzbereich. Die Digitalisierung und künstliche Intelligenz (KI) bieten nicht zu unterschätzende Chancen. Die Verwendung sensibler Gesundheitsdaten hierfür birgt allerdings auch ein großes Gefahrenpotential. Sabine Maur, Präsidentin der Landespsychotherapeutenkammer Rheinland-Pfalz, verdeutlichte in diesem Zusammenhang das Datenschutz und die Nutzung der Vorteile der Digitalisierung einher gehen können.
Fazit
Die Fachtagung zum Gesundheitsdatenschutz zeigt, dass die Digitalisierung im Gesundheitswesen sowohl Herausforderungen als auch Chancen birgt. Die intensive Diskussion macht klar, dass ein interdisziplinäres Vorgehen entscheidend für den Wechsel zu einem digitalen und fortschrittlicheren Gesundheitswesen ist. Insgesamt kann festgehalten werden, dass die Digitalisierung im Gesundheitswesen bedeutende Fortschritte ermöglichen könnte. Wichtig ist nun, dass entsprechende Vorkehrungen getroffen werden, um diese Innovation auch sicher voranzubringen.
1. November 2023
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.10.2023 (C-307/22) den Zugang zu Patientenakten gestärkt. Hierin bestätigte er das Recht der Patienten auf eine kostenlose erste Kopie der Patientenakte, auch wenn sie ohne Begründung angefordert wurde. Dieses Urteil sorgt für mehr Transparenz durch Ärzte im Gesundheitswesen.
Der zugrundeliegende Fall
Das Urteil beruht auf einem Fall in Deutschland, bei dem ein Patient von seiner Zahnärztin eine Kopie seiner Patientenakte verlangte. Hiermit wollte er wegen mutmaßlichen Fehlverhaltens der Ärztin rechtliche Schritte gegen sie einleiten. Die Zahnärztin verlangte im Gegenzug jedoch, dass der Patient die Kosten für die Kopie übernehmen sollte.
Bisherige Rechtslage
Im deutschen Recht regelt § 630g BGB das Recht des Patienten auf Einsichtnahme in die Patientenakte. Nach Abs. 1 S. 1 darf dieses Recht nur verweigert werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Im Übrigen hat nach Abs. 2 S. 2 der Patient die Kosten für eine Kopie hiervon zu tragen. Hingegen würde nach dem EU-Recht in Art. 15 Abs. 3 S. 1 DSGVO im Rahmen des allgemeinen datenschutzrechtlichen Auskunftsanspruch dem Behandelten eine kostenlose erste Kopie der Patientenakte zu stehen.
Der EuGH hatte das Verhältnis dieser beiden Regelungen bislang nicht abschließend geklärt. Bisher hatte er lediglich den Inhalt und Umfang des Auskunftsanspruchs geregelt (C-487/21). Demnach haben Patienten das Recht auf eine vollständige Kopie der in ihrer Patientenakte enthaltenen Informationen, sofern diese notwendig sind, um die personenbezogenen Daten der Akte eindeutig zu verstehen. Dies umfasst Daten wie Befunde und Angaben zu Heilungsmaßnahmen.
Das EuGH-Urteil
Der EuGH hat nun in seinem Urteil festgelegt, dass Patienten das Recht auf eine kostenlose erste Kopie ihrer Patientenakte haben. Kostentragungspflichten entstehen nur, wenn weitere Kopien der Akte angefordert werden.
Dieses Recht gilt unabhängig davon, ob der Patient beabsichtigt, die Informationen zum Beispiel im gerichtlichen Prozess gegen medizinische Fachkräfte zu nutzen. Im Übrigen besteht auch keine Pflicht zur Begründung des Antrags. Es ist lediglich erforderlich, dass der Patient legitime Zwecke verfolgt, selbst wenn sie wie im vorliegenden Fall keinen datenschutzrechtlichen Bezug aufweisen.
Die rechtliche Grundlage für dieses Urteil sieht der EuGH in der Datenschutz-Grundverordnung (DSGVO). Der EuGH betont, dass nationale Gesetze den Patienten nicht die wirtschaftliche Last einer ersten Kopie übertragen dürfen. Vielmehr sind die Ärzte „Verantwortliche“ im Sinne der DSGVO und müssen deswegen entsprechend Art. 15 Abs. 3 S. 1 DSGVO eine kostenlose Kopie zur Verfügung stellen. Die wirtschaftlichen Interessen der Ärzteschaft müssen demgegenüber zurücktreten. Weder Art. 12 DSGVO noch Art. 15 DSGVO normieren zudem eine Pflicht zur Angabe von Gründen. Weiterhin wird für den Verantwortlichen hierin auch kein Ermessen eingeräumt, eine Begründung zu fordern oder diese zu bewerten.
Damit kommt der EuGH zum Ergebnis, dass eine diesen Grundsätzen entgegenstehende nationale Regel, wie § 630g Abs. 2 S. 2 BGB, unionsrechtswidrig ist.
Fazit
Das EuGH-Urteil stärkt die Rechte der Patienten und fördert die Transparenz im Gesundheitswesen. Geregelt werden zwei wesentliche Punkte. Zunächst bestätigt er das Recht auf eine kostenlose Kopie der Patientenakten. Zum anderen bedarf es keiner Angabe von Gründen für das Auskunftsverlangen von Seiten des Antragsstellers. Durch das Urteil schafft der EuGH nicht nur Deutschland, sondern EU-weit einheitliche Standards im Umgang mit Patientenakten und dem Recht auf Information. Ob dies zu einem steigenden Rechtsmissbrauch des Auskunftsanspruchs führen wird, bleibt abzuwarten.
25. Oktober 2023
Auch im Gesundheitswesen sind Datenschutz und die Weitergabe von sensiblen Patientendaten an Dritte von großer Bedeutung. Dabei müssen bestimmte datenschutzrechtliche Voraussetzungen beachtet werden, um den Schutz der Patientendaten zu gewährleisten.
Datenweitergabe im medizinischen Bereich
Datenschutz im medizinischen Bereich ist grundsätzlich ein anspruchsvolles Thema. Wenn es darum geht, Patientendaten an Dritte weiterzugeben, wird die Situation komplexer. Deshalb stellt sich die Frage, inwieweit Berufsgeheimnisträger wie Ärzte dies dürfen. Dies betrifft nicht nur die Übermittlung von Patientenakten an andere Kliniken oder Praxen, sondern auch die Versendung von Blutproben an ein Labor oder die Weitergabe von Informationen zu Abrechnungszwecken.
Bedeutung von Patientendaten im Datenschutz
Patientendaten umfassen eine Vielzahl sensibler Informationen, wie etwa die Krankengeschichte, Blutwerte und die Art konkreter Beschwerden. Diese Daten gelten als Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO und genießen deshalb einen besonderen Schutz. Zusätzlich unterliegen sie der ärztlichen Schweigepflicht. Selbst pseudonymisierten Daten sind weiterhin personenbezogene Daten.
Erfordernis einer Rechtsgrundlage für die Datenweitergabe
Aufgrund der Datenschutzbestimmungen und der ärztlichen Verschwiegenheitspflicht, darf man Patientendaten nur in Ausnahmefällen an Dritte übermitteln. Eine Datenübermittlung ist ohne die ausdrückliche Einwilligung des Patienten oder eine andere gesetzliche Erlaubnis nicht gestattet.
Gesetzliche Rechtsgrundlagen
Wenn eine gesetzliche Rechtsgrundlage vorliegt, bedarf es keiner zusätzlichen Einwilligung der Patienten. Dies gilt in begrenztem Umfang in den folgenden Fällen:
- Abrechnung bei Krankenkassen für Versicherte
- Prüfung der Arbeitsfähigkeit durch den Medizinischen Dienst der Krankenversicherung (MDK)
- Sozialleistungsträger
- Berufsgenossenschaften bei Berufskrankheiten
- Gesundheitsämter
- Datenschutzbehörden
- Polizei oder Staatsanwaltschaft zur Verhinderung von Straftaten.
Ausdrückliche Patienteneinwilligung
In Fällen ohne gesetzliche Erlaubnis, ist die Einwilligung der Patienten erforderlich (Art. 6 Abs. 1 lit. a i. V. m. Art. 7 DSGVO). Dann müssen die Patienten transparente und umfassende Informationen über den Zweck der Datenübertragung und die jeweiligen Empfänger erhalten. Die Einwilligung sollte klar, eindeutig und idealerweise schriftlich erfolgen.
Die Privatärztlichen Verrechnungsstellen (PVS)
PVS sind Dienstleister, die Laboren, Arztpraxen und Krankenhausverwaltungen bei der Abrechnung medizinischer Leistungen helfen. In einigen Fällen wird angenommen, dass der Behandlungsvertrag als ausreichende Rechtsgrundlage dient (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG). Dies ist allerdings umstritten und aktuell noch nicht abschließend geklärt. Aus diesem Grund raten wir, sich auch in solchen Fällen um eine Einwilligung der Patienten zu bemühen.
Konsequenzen einer rechtswidrigen Datenweitergabe
Wenn keine Rechtsgrundlage für die Datenweitergabe besteht und trotzdem Daten übertragen werden, handelt es sich um einen Datenschutzverstoß. Dies kann schnell zu Bußgeldern auf Grund von Datenschutzrecht oder zur Geltendmachung von Schadensersatzansprüchen durch die Patienten führen. Darüber hinaus kann es sich auch um einen Verstoß gegen das Berufsgeheimnis handeln, woraus gemäß § 203 StGB eine Geld- oder Freiheitsstrafe folgen kann.
Fazit
Die Weitergabe von sensiblen Patientendaten ist und bleibt ein anspruchsvolles Thema. Es ist von großer Bedeutung, die datenschutzrechtlichen Prozesse in Arztpraxen und Krankenhäusern entsprechend anzupassen. In den meisten Fällen empfiehlt es sich, Einwilligungen für die erforderliche Datenweitergabe einzuholen, um Bußgelder oder sogar strafrechtliche Konsequenzen zu vermeiden. Wir als Externer Datenschutzbeauftragter helfen Ihnen gerne beim Implementieren entsprechender Prozesse weiter.
3. Oktober 2023
Der Verbraucherzentrale Bundesverband e.V. (vzbv) teste, wie Anbieter von Zyklus-Apps mit Betroffenenanfragen nach Art. 15 DSGVO umgehen. Im Ergebnis besteht für die App-Anbieter bei Beantwortung von Auskunftsersuchen Nachholbedarf.
Die Verwendung von Zyklus-Apps
Mit Hilfe von Zyklus-Apps können die Nutzerinnen persönliche Informationen über den Start ihrer Periode, gesundheitlichen Begleiterscheinungen oder beispielsweise zu einem Kinderwunsch dokumentieren. Dabei handelt es sich regelmäßig um Gesundheitsdaten im Sinne des Art. 9 DSGVO, d.h. um besondere Kategorien personenbezogener Daten, die einem besonderem Schutz unterliegen.
Im Rahmen eines Tests untersuchte nun der vzbv, wie zwölf Zyklus-Apps mit dem Recht auf Auskunft der Betroffenen umgehen. Nach Art. 15 DSGVO haben die betroffenen Nutzerinnen die Möglichkeit zu erfahren, ob die App-Anbieter ihre personenbezogenen Daten verarbeiten und wenn ja, welche Datenkategorien verarbeitet werden, zu welchen Zwecken, wem die Daten ggf. übermittelt werden, wie lange die Daten gespeichert werden und ob die Verarbeitung mittels einer automatisierten Entscheidungsfindung erfolgt. Dabei dient das Recht auf Auskunft u.a. dazu, den betroffenen Nutzern eine Informationsgrundlage zu bieten. Anschließend können sie weitere Rechte, wie das Recht auf Berichtigung oder Löschung nach Art. 16 und 17 DSGVO ausüben.
Ergebnisse der Untersuchung
Zur datenschutzrechtlichen Untersuchung der Apps sollten drei Verbraucherinnen alles zwölf Apps verwenden. Im Anschluss stellte der vzbv im Namen jeder Verbraucherin eine Auskunftsanfrage. Zum Abgleich stellte anschließend die Stiftung Warentest die gleichen Fragen offen an die App-Anbieter.
Im Ergebnis erkennbar sei, laut vzbv dass die App-Anbieter einen großer Teil der Auskunftsanfragen, d.h. 31 von 36 innerhalb der gesetzlichen Frist von einem Monat beantwortet hätten. Zu der Frage, ob eine Datenverarbeitung erfolge, hätten die App-Anbieter in 21 von 31 Fällen geantwortet.
Negativ aufgefallen seien vier Anbieter, deren Auskünfte den eigenen Datenschutzerklärungen widersprochen hätten. Dabei habe ein Anbieter auf die Auskunftsanfrage geantwortet, dass er keine Gesundheitsdaten verarbeite. Nach der eigenen Datenschutzerklärung sei dies aber gerade der Fall.
Hinzukäme, dass die App-Anbieter über die bloße Datenverarbeitung hinausgehende Fragen nur lückenhaft beantwortet hätten. Insbesondere die Fragen zu den Zwecken der Datenverarbeitung seien nur unzureichend beantwortet worden. Zu den Verarbeitungszwecken hätten die App- entweder keine, falsche oder unvollständige Antworten gegeben.
Fazit
Der durchgeführte Test erfolgte im Rahmen einer Untersuchung der Stiftung Warentest zu Zyklus-Apps. Die Anfragen zeigen, dass alle Nutzer achtsam mit der Abgabe personenbezogener Daten umgehen sollten. Dabei zeigt sich auch, dass die Wahrung von Betroffenen Rechten ein wichtiger Bestandteil des Datenschutzes sind.
6. September 2023
Die Datenschutzorganisation Noyb und ihr Gründer Max Schrems haben ihre Kräfte mobilisiert und Beschwerden gegen einen US-amerikanischen Fitness-Tracker-Hersteller eingereicht. Die Beschwerden wurden bei den nationalen Datenschutzbehörden in Österreich, den Niederlanden und Italien eingereicht. Das Hauptanliegen der Beschwerden besteht darin, dass der Hersteller angeblich sensible Gesundheitsdaten seiner Nutzer ohne ausreichende rechtliche Grundlage in die ganze Welt transferiert, ohne die Betroffenen angemessen zu informieren oder um ihre Zustimmung zu bitten.
Verstoß gegen die DSGVO
Die Datenschutzorganisation Noyb behauptet, dass der Hersteller die Nutzer seiner App dazu zwingt, der Übertragung ihrer Daten in die USA und andere Länder mit unterschiedlichen Datenschutzbestimmungen als die EU zuzustimmen. Dies geschieht angeblich, ohne klare Informationen über die möglichen Konsequenzen oder die spezifischen Zielorte bereitzustellen. Diese Art der Zustimmung wird als “nicht frei, informiert oder spezifisch” angesehen und verstößt eindeutig gegen die Anforderungen der DSGVO.
Umfang der Datenweitergabe
Die von dem Hersteller weitergegebenen Daten, wie in den Datenschutzrichtlinien des Unternehmens angegeben, umfassen nicht nur grundlegende Informationen wie E-Mail-Adresse, Geburtsdatum und Geschlecht, sondern auch äußerst persönliche Gesundheitsdaten. Dies umfasst Aufzeichnungen über Essgewohnheiten, Gewicht, Schlafmuster, Wasserkonsum, weibliche Gesundheit und vieles mehr. Der Hersteller behält sich sogar das Recht vor, diese Informationen an nicht genannte Dritte weiterzugeben. Für die Nutzer ist es nahezu unmöglich zu erfahren, welche ihrer Daten betroffen sind.
Mangelnde Transparenz und Einwilligung
Noyb kritisiert auch die mangelnde Transparenz seitens des Herstellers und betont, dass die Nutzer keine klaren Informationen darüber erhalten, welche Daten wohin übertragen werden. Diese Praxis verhindert effektiv die Möglichkeit für die Nutzer, eine informierte Einwilligung zu geben. Darüber hinaus weist Noyb darauf hin, dass der Hersteller den Nutzern nur die Möglichkeit bietet, ihre Einwilligung zu widerrufen, indem sie ihr Konto löschen. Dies bedeutet, dass Nutzer, die diese Option wählen, alle zuvor aufgezeichneten Trainings- und Gesundheitsdaten verlieren.
Forderung nach mehr Kontrolle und Datenschutz
Die Datenschutzaktivisten bei Noyb betonen, dass die Nutzung der Fitbit-App auch ohne verpflichtende Datentransfers möglich sein sollte. Sie kritisiert den “take it or leave it”-Ansatz und die Tatsache, dass Nutzer ihre Daten nicht kontrollieren können, ohne das Produkt unbrauchbar zu machen. Die Datenschutzaktivisten argumentieren, dass Nutzer die Kontrolle über ihre eigenen Daten behalten sollten, ohne auf die Nutzung des Produkts verzichten zu müssen.
Potenzielle Geldstrafen
Abschließend weist Noyb darauf hin, dass die zuständigen Datenschutzbehörden, basierend auf dem Umsatz der Muttergesellschaft, Geldstrafen von bis zu 11,28 Milliarden Euro verhängen könnten. Dies zeigt, wie ernst die Datenschutzverletzungen genommen werden und welches finanzielle Risiko für Unternehmen besteht, die gegen die Datenschutzbestimmungen verstoßen.
Die Beschwerden gegen den Hersteller markieren einen weiteren Schritt in Richtung strengerer Durchsetzung der Datenschutzgesetze und unterstreichen die Bedeutung der Einhaltung der DSGVO-Vorschriften für Unternehmen, die personenbezogene Daten verarbeiten. Unternehmen sollten diese Entwicklungen aufmerksam verfolgen und sicherstellen, dass ihre Datenschutzpraktiken den gesetzlichen Anforderungen entsprechen.
30. August 2023
Das Bundesgesundheitsministerium (BMG) schlägt einen bedeutenden Paradigmenwechsel in der Datenschutzaufsicht im Gesundheitswesen vor. Im Referentenentwurf des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) wird eine Neuregelung des § 9 des Bundesdatenschutzgesetzes (BDSG) vorgeschlagen, die auf eine Zentralisierung der Datenschutzaufsicht abzielt.
Ein neuer Absatz für eine breitere Zuständigkeit
Der Referentenentwurf des GDNG sieht vor, einen neuen Absatz 3 in § 9 BDSG einzuführen. In diesem Absatz wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die exklusive Zuständigkeit für die Aufsicht über Stellen übertragen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 SGB X verarbeiten. Diese Zuständigkeit erstreckt sich auch auf die Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen und weitere relevanten Einrichtungen.
Die Motivation für diese Änderung liegt laut der Begründung des Entwurfs darin, eine einheitliche Datenschutzpraxis sicherzustellen. Die unterschiedliche Auslegung durch verschiedene Aufsichtsbehörden hat bisher die Entwicklung einer konsistenten Datenschutzpraxis erschwert.
Ausbau der Zuständigkeit des BfDI
Mit dieser vorgeschlagenen Änderung würde der BfDI eine erweiterte Zuständigkeit erhalten. Bisher war der BfDI nur für bundesunmittelbare Krankenkassen verantwortlich, die in mehreren Bundesländern tätig sind. Doch nun würde der BfDI die Aufsicht über sämtliche Krankenkassen übernehmen, einschließlich derjenigen, die nur in einem Bundesland tätig sind, sowie Betriebskrankenkassen von Unternehmen.
Dies hätte zur Konsequenz, dass die Aufsicht innerhalb eines Konzerns oder einer Unternehmensgruppe fragmentiert würde. Eine Übersicht aller gesetzlichen Krankenkassen findet man beim GKV. Der BfDI wäre somit für sämtliche gesetzliche Krankenkassen alleinig zuständig.
Brisante Ausweitung der Zuständigkeit
Besonders brisant ist nicht nur die geplante Ausweitung der Zuständigkeit auf Krankenkassen, sondern auch der Vorschlag zur alleinigen Zuständigkeit für „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten“. Diese Definition schließe eine Vielzahl von Einrichtungen ein, wie Jobcenter, Rentenversicherungen, Unfallversicherungen und Jugendämter, wie die Landesdatenschutzbehörden in ihrer Stellungnahme darauf hinweisen.
Fazit: Weitreichende Änderungen in der Datenschutzaufsicht
Die vorgeschlagene Neuregelung des § 9 BDSG im Referentenentwurf des GDNG signalisiert einen bedeutsamen Wandel in der Datenschutzaufsicht im Gesundheitswesen. Die Zentralisierung der Zuständigkeit beim BfDI könnte dazu beitragen, eine einheitlichere Datenschutzpraxis zu etablieren. Allerdings stellen sich auch Fragen bezüglich der praktischen Umsetzbarkeit und der Fragmentierung der Aufsicht innerhalb von Konzernen und Unternehmensgruppen. Die geplante Ausweitung der Zuständigkeit auf Stellen, die gesundheitsbezogene Sozialdaten verarbeiten, erweitert den Einflussbereich des BfDI erheblich. Die genauen Auswirkungen und Implikationen dieser Änderungen auf die Datenschutzaufsicht im Gesundheitswesen bleiben abzuwarten.
21. Februar 2023
Am 20. Januar 2023 erließ das Oberlandesgericht Hamm ein Urteil zugunsten eines Klägers über 100 Euro Schadensersatz i.S.v. Art. 82 Abs. 1 Alt. 2 DSGVO.
Sachverhalt
Im August 2021 kam es im Impfzentrum der Stadt Essen zu einem menschlichen Fehler, von jedoch großem datenschutzrechtlichem Ausmaß. Anstelle einer E-Mail zur Terminverschiebung der Impfung wurden Excel-Tabellen mit Daten der besonderen Kategorien von mehr als 13.000 Essener Bürgerinnen und Bürgern verschickt. Rund 1.200 Essener sollen auf diesem Weg statt eines neuen Termins sensible Gesundheitsinformationen von ihren Mitbürgern erhalten haben. Neben der Information, wann wer mit welchem Impfstoff geimpft werden sollte, wurden auch Adressen und Telefonnummern preisgegeben.
Die Berufung des Klägers gegen das am 02.06.2022 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen wies das Oberlandesgericht Essen zurück. Das Gericht kam in seinem Urteil zu dem Ergebnis, dass der Fehlversand der Excel-Tabellen einen Verstoß gegen datenschutzrechtliche Vorgaben darstelle. Neben einem Verstoß gegen die Grundsätze der Datenverarbeitung i.S.v. Art. 5 DSGVO liege auch ein Verstoß gegen den Schutz von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO vor. Die Stiftung Datenschutz berichtet, dass das Oberlandesgericht Hamm einen Verstoß gegen die Verpflichtung zu technischen und organisatorischen Maßnahmen zur Datensicherheit offenließe. Dies hatte die Vorinstanz allerdings bejaht. Das OLG Hamm lehnt eine Bagatellgrenze beim Schmerzensgeld ab und betont die Genugtuungsfunktion des Schmerzensgeldanspruchs sowie dessen generalpräventive Wirkung zur Rechtfertigung der Höhe des Schmerzensgeldes.
Fazit
Selbst das höchste Maß technisch-organisatorischer Maßnahmen kann Bedienfehler menschlicher Natur nicht immer ausschließen. Obwohl es sich im beschriebenen Sachverhalt um einen Verstoß gegen die Grundsätze der Verarbeitung personenbezogener Daten handelt und auch Gesundheitsdaten betroffen sind, lässt das Oberlandesgericht Hamm das Bußgeld durchaus milde, aber verhältnismäßig sowie abschreckend ausfallen. Dennoch sollten Verantwortliche sowie Auftragsverarbeiter die Mitarbeitenden , welche sich mit personenbezogenen Daten auseinandersetzen, umfangreich schulen. Ein gut geschultes Bewusstsein für Fehlerquellen kann langfristig die Häufigkeit von Datenschutzvorfällen schmälern.
14. Februar 2023
Anfang Februar kam durch Recherchen der Reporter von Welt am Sonntag ein beachtliches Datenleck ans Licht. Es handle sich um Listen, welche ausführliche Informationen über Aktivistinnen und Aktivisten der Gruppierung „Letze Generation“ abbildeten.
Sachverhalt
Wer in einer deutschen Großstadt lebt und dennoch regelmäßig auf die Mobilität eines Autos angewiesen ist, könnte eventuell schon einmal auf die Aktivistinnen und Aktivisten gestoßen sein. Diese bekommen seit längerem eine hohe mediale Aufmerksamkeit für Protestaktionen, bei denen Beteiligte ihre Hände auf wichtigen Verkehrsknotenpunkten auf der Straße festkleben. Dies führt immer wieder zu sehr langen und ungemütlichen Staus für Autofahrerinnen und Autofahren. In Bezug auf die kürzliche Datenpanne, sind die Aktivistinnen und Aktivisten im Kontext der DSGVO in diesem Fall allerdings eher metaphorisch geleimt. Berichten nach sollen personenbezogene Daten von mehr als 2200 Beteiligten über Google Drive zugänglich gewesen sein.
Spannungsfeld
Grundsätzlich ist jede Datenpanne von Verantwortlichen durch präventive technisch- organisatorische Maßnahmen zu verhindern. Das Reporter sich Zugriff zu solchen Listen verschaffen können, stellt ein Negativbeispiel für die von Verantwortlichen zu treffenden Maßnahmen dar.
Besondere Kategorien personenbezogener Daten
Die Google Drive Listen enthielten neben Namen, Telefonnummern sowie der bloßen Bereitschaft für Protestaktionen ins Gefängnis zu gehen, vereinzelt wohl auch Gesundheitsdaten zu geistigen Gemütszuständen. Jedoch sind die Gesundheitsdaten nicht die einzigen personenbezogenen Daten einer besonderen Kategorie i. S. d. Art. 9 Abs. 1 DSGVO. Die gesamte Liste stellt bereits ein sensitives Datum dar. Einzig die Namensnennung klärt schließlich schon über die politische Meinung auf. Es bleibt abzuwarten, wie die zuständige Datenschutzaufsichtsbehörde diesen Fall behandeln wird.
18. Januar 2023
Wieder einmal sorgt ein sogenannter “Lost Place” für Verantwortliche im datenschutzrechtlichen Kontext für Schnappatmung. Unter Lost Places versteht man leerstehende Gebäude, denen keine Nutzung mehr zukommt und demzufolge über Jahre hinweg in Vergessenheit geraten. Das Versorgungsamt der Stadt Dortmund soll für eine Datenpanne, in welcher unter anderem sogar besonders sensible Daten i. S. d. Art. 9 DSGVO nicht ordnungsgemäß vernichtet wurden verantwortlich sein. Nach dem Auszug aus dem Gebäude wurden wohl Dokumente im jetzigen Lost Place zurückgelassen. Unter anderem auch Gesundheitsdaten, Details über Bankdaten und auch Namen bis in das Jahr 2007. Das Versorgungsamt stellte vor dem Auszug Elterngeldanträge sowie Ausweise für Menschen mit schweren Behinderungen aus. Die Stadt Dortmund zeigt sich eifrig durch eine angestrebte Begehung sicherzustellen, dass nicht noch mehr Unterlagen auftauchen.
Wie die zuständige Datenschutzbehörde reagieren wird bleibt aufgrund der Aktualität der Geschehnisse noch abzuwarten.
Pages: 1 2 3 4 5 6 7 ... 16 17 
