Digital-Gipfel 2023: Digitale Identität im Gesundheitswesen

23. November 2023

Im Gesundheitsbereich passiert aktuell sehr viel. Erst letzte Woche fand eine Fachtagung zum Gesundheitsdatenschutz statt. Nun ging es beim Digital-Gipfel 2023 am 20. und 21. November neben der KI-Verordnung auch um eine digitale Identität im Gesundheitswesen. Die Konferenz fungierte als Schauplatz für wegweisende Entwicklungen im Gesundheitsbereich. Am Montagmorgen tauschten sich Experten des Digital- und Gesundheitswesens entsprechend des Programms im Vortrag „Digitale Identität – ein Schlüssel für alles. Kickstart im Gesundheitswesen“ aus. Themen waren zum Beispiel die E-Patientenakte, das E-Rezept oder eine neue Gesundheits-ID-App der Techniker Krankenkasse (TK).

Die TK-Ident-App

Die TK präsentiert auf dem Gipfel stolz ihre neue Gesundheitsanwendung – die „TK-Ident“. Ralf Degner von der TK kündigt bei dem Treffen ihren Launch in App-Stores in wenigen Tagen an. Die App verspricht mittels einer einmaligen Anmeldung per elektronischem Personalausweis eine einheitliche Identität für sämtliche Gesundheitsanwendungen. Auch die Einsicht in die elektronische Patientenakte soll bequem ohne eine weitere Bestätigung der Identität so möglich sein. Die Schaffung eines vertrauenswürdigen Systems, bei dem keine Daten an die bekannten Internet-Riesen übermittelt werden, müsse hierbei im Fokus stehen.

Der Digitalisierungsaufbruch im Gesundheitswesen

Susanne Ozegowski, Abteilungsleiterin für die Digitalisierung des Gesundheitswesens im Bundesministerium für Gesundheit, sieht die neue App als Teil des Wandels zur Digitalisierung im Gesundheitswesen. Die vorgeschlagene ID-Funktion, könne Probleme lösen, die die elektronische Gesundheitskarte bislang nicht meistern konnte. Neben der E-Patientenakte sieht sie einen Anwendungsbereich auch für das E-Rezept oder die ärztliche Videosprechstunde.

ID-Wallet als Vereinfachung

Ernst Bürger, verantwortlich für die Verwaltungsdigitalisierung im Bundesministerium des Innern, wies darauf hin, dass die App mittels des veralteten ePA-SDK (Software Development Kit) entwickelt worden sei. Um eine einfachere Wallet-Lösung zu ermöglichen, bedürfe es einer Überarbeitung des Systems.

Gesundheits-ID für Online-Services

Ab dem 01.01.2024 ermöglichen es gesetzliche Krankenkassen ihren Kunden auf Wunsch eine digitale Identität in Form einer Gesundheits-ID einzurichten. Dadurch soll der Zugang zu Online-Gesundheitsanwendungen wie etwa das E-Rezept oder die E-Patientenakte erleichtert werden. Dies soll mittels Authentifizierung entweder durch die Gesundheitskarte und PIN oder der Online-Ausweisfunktion des Personalausweises und PIN funktionieren. TK-Chef Jens Baas plädiert für letztere Option als Standardverfahren, da hier bereits ein sicheres und für die Nutzer einfaches verfahren existiert.

Datensicherheit als oberste Priorität

Sicherheitsforscher Martin Tschirsich begrüßte grundsätzlich die Neuerungen. Er betonte allerdings, dass die Einhaltung von Sicherheitsstandards entscheidend ist. Gerade bei Gesundheitsanwendungen mit sensiblen Daten sei dies unumgänglich. Es sei hier von höchster Priorität die Applikationen einfach und sicher zu gestalten. Dazu gehöre auch, dass man sich nicht ständig per Ausweis identifizieren muss.

Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik, unterstreicht, dass digitale Identitäten die Grundvoraussetzungen für Datensicherheit sind. In einer Online-Sprechstunde müssten sich zum Beispiel Ärzte als auch Patienten wechselseitig identifizieren können.

Fazit

Der Digital-Gipfel 2023 gibt Einblick in die Zukunft des Gesundheitswesens und beschäftigt sich vor allem mit der digitalen Identität. Die TK-Ident-App verspricht eine wegweisende Vereinheitlichung von Gesundheitsanwendungen. Gerade vor dem Hintergrund weiterer Digitalisierungen wie der E-Patientenakte und dem E-Rezept scheint der Aufbau einer digitalen Identität unumgänglich. Entscheidend bleibt allerdings entsprechende Vorkehrungen zu schaffen, um die Sicherheit besonders schützenswerter sensibler Gesundheitsdaten zu gewährleisten. Die Herausforderung liegt im Aufbau eines vertrauenswürdigen Systems, das Gesundheitsdaten bewahrt. Es liegt nun an den Akteuren, Potenziale zu nutzen und höchste Standards umzusetzen.

Digital-Gipfel 2023: KI-Regulierung

22. November 2023

Am 20. und 21. November 2023 fand erneut der Digital-Gipfel (früher IT-Gipfel) der Bundesregierung statt – unteranderem zum Thema Künstliche Intelligenz (KI). Dazu luden Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck, und Bundesminister für Digitales und Verkehr, Volker Wissing, rund 1.000 Teilnehmer nach Jena ein. Dieses Jahr trägt die Veranstaltung den Titel “Digitale Transformation in der Zeitenwende“. Auf dem Digital-Gipfel 2023 wurde auch über die Zukunft einer KI-Regulierung diskutiert. In einem weiteren Beitrag berichten wir auch über die Besprechungen zur geplanten e-Patientenakte.

Bundesregierung über Notwendigkeit einer KI-Regulierung für Europa

Bundeswirtschaftsminister Robert Habeck betonte die Notwendigkeit einer ausgewogenen KI-Verordnung auf europäischer Ebene. Ähnlich wie die Bundesregierung in einem im Oktober bekanntgewordenem Positionspapier ausdrückt, sollen die neuen Regelungen laut Habeck innovationsfreundlich sein. In einem Podcast des Digitalverbandes Bitkoms zum Auftakt des Gipfels betont er die Bedeutung einer vernünftigen und ausgewogenen KI-Verordnung auf europäischer Ebene. Hingegen könne eine übermäßige Regulierung den Fortschritt behindern. Anderenfalls sei es so, als ob man die “besten Verkehrsvorschriften, aber keinen Verkehr auf der Straße” hätte. Zudem will er Investitionen der Privatwirtschaft in die neue Technologie fördern. Deswegen dürfe ein Gesetz lediglich die Anwendung nicht jedoch die Technologie selbst betreffen, um dem Bedürfnis an Innovation und Sicherheit nachzukommen. Weiterhin sprach sich Habeck für eine erhöhte Datenverfügbarkeit aus. Zu dem enormen Bedarf an Datenmengen für neue Technologien passe der Ansatz der Datensparsamkeit nicht mehr. Diese Daten müsse man selbstverständlich anonymisieren.

Auch Volker Wissing erkennt die Bedeutung der Zukunftstechnologie. In einer Pressemitteilung betont er die Relevanz von KI für anhaltende Wettbewerbsfähigkeit und Wohlstand. Man solle chancenorientiert Handeln und lokale Unternehmen in der Entwicklung stärken.

Parallel hierzu wurde laut LTO am Montag ein Positionspapier bekannt, in dem sich Deutschland, Italien und Frankreich gegenüber der spanischen Ratspräsidentschaft für eine risikobasierte Herangehensweise einsetzen. Heise online berichtet, dass die Bundesregierung auf eine unmittelbare “Regulierung von Foundation Models verzichten” wolle.

Kritik an der Richtung der Bundesregierung

Die Positionierung der Bundesregierung führte zu viel Kritik, wie heise online berichtet. Matthias Spielkamp von Algorithm Watch unterstelle der Bundesregierung gar keine echte Regulierung, sondern nur Selbstregulierung zu wollen. Dies sei allerdings nicht gerechtfertigt, da es sich nicht um bloße Grundlagenforschung handle. Habeck habe dem entgegnet, dass auch Atomforschung erlaubt sei. Heise online weist in diesem Zusammenhang allerdings darauf hin, dass Atomforschung “fast auf der ganzen Welt strenger Regulierung” unterliegt.

Kritik sei auch von EU-Abgeordneten Axel Voss (CDU) gekommen. Selbst wenn man eine Selbstregulierung ausreichen lasse, müssten jedenfalls minimale Transparenz- und Cybersicherheitsstandards gegeben sein. So stünde dies aktuell schon im Entwurf zum AI Act.

DGB fordert Mitbestimmung beim KI-Einsatz

Andererseits betone der Deutsche Gewerkschaftsbund (DGB) in Bezug auf den Digital-Gipfel die Bedeutung der Mitbestimmung der Sozialpartner bei der KI-Anwendung. Das rechtfertige sich dadurch, dass der Einsatz von KI am Arbeitsplatz „hochsensibel“ sei. Die DGB-Vorsitzende Yasmin Fahimi kritisierte gegenüber der dpa die geplante KI-Verordnung der EU. Der Entwurf bestimme keine Mitspracherechte der Sozialpartner, was sogar zu einer Reduzierung der bereits bestehenden Gestaltungsrechte führen könne. Deswegen fordere Fahimi – vergleichbar zur Datenschutzgrundverordnung (DSGVO) – die Schaffung einer Öffnungsklausel, um Beschäftigte zu schützen.

Fazit

Der Digital-Gipfel 2023 bietet ein facettenreiches Bild der aktuellen Herausforderungen und Chancen im digitalen Zeitalter insbesondere mit Blick auf die noch ausstehende KI-Regulierung. Die Diskussionen von verschiedenen Seiten zeigt, wie komplex und vielschichtig das Thema ist.

Während zu begrüßen ist, dass die Bundesregierung das große Potential dieser Zukunftstechnologie erkannt zu haben scheint, darf die Schaffung von Schutzmechanismen hierbei nicht außer Acht gelassen werden. Neben des von der DGB zu Recht erkannten Schutz der Arbeiterschaft, müssen auch ganz allgemein Datenschutzaspekte eingehalten werden. Dabei steht bei der Zuführung von Trainingsdaten vor allem die sorgfältige Anonymisierung personenbezogener Informationen im Vordergrund. Auch ganz generell birgt unregulierte KI politisch, gesellschaftlich, sozial und wirtschaftlich genauso große Gefahren wie Potentiale.

Die auseinandergehenden hier dargestellten Meinungen sowie die aktuellen Probleme, die sich bei der Schaffung der KI-Verordnung zeigen, verdeutlichen, dass hier noch einiges an Konfliktpotential besteht. Es bleibt zu hoffen, dass man einen Ansatz finden wird, der sowohl Fortschritt gewährleistet, als auch ausreichenden Schutz bietet. Wie eine konkrete Regulierung am Ende aussehen wird, bleibt spannend.

Zukunft der KI-Verordnung und 5 Jahre DSGVO – DPC 2023

21. November 2023

Am 15.11.2023 hat die größte europäische Zusammenkunft von Privatsphäre- und Datenschützern stattgefunden. Die International Association of Privacy Professionals (IAPP) berichtet, dass der IAPP Europe Date Protection Congress (DPC) mit fast 3.000 Teilnehmern in Brüssel zum 12. Mal abgehalten wurde. Im Programm des DPC 2023 ging es unteranderem um die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahren DSGVO. Zudem wurden Themen wie die Vereinbarkeit von personalisierter digitaler Werbung und Datenschutz und die geplante Chatkontrolle behandelt.

Geplante KI-Verordnung

Vertreter des Europäischen Parlaments hätten sich vor allem mit Künstlicher Intelligenz (KI) vor dem Hintergrund der geplanten KI-Verordnung beschäftigt. Kürzlich hatte Euractiv berichtet, dass das KI-Gesetz zur Zeit auf der Kippe stünde nach anonymen Aussagen von EU-Parlamentariern. IAPP berichtet, dass Kai Zenner, Berater des deutschen Europaabgeordneten Axel Voss, gesagt habe, dass er noch letzten Freitag davon ausgegangen sei, dass maximal eine 10 % Chance für die Verabschiedung der Verordnung besteht. Laut IAPP bestünden insbesondere Bedenken von Frankreich und Deutschland hinsichtlich Nachteilen für Betreiber generativer KI. Mittlerweile habe Spanien deswegen Vermittlungen eingeleitet. Der EU-Abgeordnete Dragoș Tudorache betone, dass am 06.12.2023 die letzte Möglichkeit sei sich noch in 2023 über den Gesetzesentwurf zu einigen.

Zukünftige Zusammenarbeit auf internationaler Ebene

Reynders betonte laut Berichterstattung von IAPP, dass man nun mit Inkrafttreten des neuen Datenschutzrahmen EU-USA den Datenfluss in diesem Bereich erweitern will. Der EU-Justizkommissar habe zudem eine globale Konferenz der Europäische Kommission im nächsten Jahr angekündigt. Zu dieser sollten Vertreter aus der ganzen Welt eingeladen werden, um internationale Zusammenarbeit in Datenschutzbereich voranzubringen. So könne man mit geeigneten Staaten Vereinbarungen über einen hinreichend geschützten Datentransfer ermöglichen. Dies sei zu begrüßen, da eine wachsende Gruppe an Partnern mit meinem Angemessenheitsbeschluss einen Netzwerkeffekt habe. So könne man noch mehr potenzielle Kooperationen vorantreiben. Ein gutes Beispiel hierfür sei laut Bruno Gencarelli, Leiter des Referats der Europäischen Kommission für Datenströme und internationale Aspekte der digitalen Wirtschaft, der Angemessenheitsbeschluss für Süd Korea, der die Zusammenarbeit mit 20 weiteren Staaten ermöglicht hat. Im Übrigen äußerte Reynders Zweifel hinsichtlich des zukünftigen Fortbestehens des EU-U.K.-Anegmessenheitsbeschlusses in Anbetracht geplanter Datenschutzänderungen im Vereinigten Königreich.

5 Jahre DSGVO

In seiner abschließenden Schlusssitzung habe EU-Justizkommissar Didier Reynders laut IAPP betont, dass trotz der zahlreichen neuen digitalen EU-Regeln die Datenschutz-Grundverordnung (DSGVO) nach wie vor der der wichtigste Grundbaustein für die Verarbeitung personenbezogener Daten im europäischen Raum sei. Es handle sich sogar um ein weltweites Musterbeispiel.

Wie wir im Oktober berichteten vergaben Unternehmer hingegen nur die Note „ausreichend“ und zogen somit eher eine durchwachsende Bilanz. Ähnlich sehe dies Axel Voss, der auf eine Reihe von Problemen hingewiesen habe. Es bestünde vor allem eine mangelnde Harmonisierung zwischen den einzelnen Mitgliedstaaten. Oliver Micol, Leiter des Referats der Europäischen Kommission für Datenschutz in den Bereichen der Polizei, Strafjustiz und Grenzen, halte zurzeit eine Reform noch nicht für notwendig. Zunächst wolle man nächstes Jahr einen Bericht veröffentlichen, der die DSGVO und ihre Einführung vollumfänglich analysiert.

Deutsche Vertreter vor Ort

Von deutscher Seite hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, angegeben an der Diskussionsrunde zum Thema „Wie können digitale Sicherheit, fairer Wettbewerb, das Wohl des Kindes, Cyber-Sicherheit und Transparenz in Einklang gebracht werden?” teilzunehmen. Weiterhin diskutierte laut einem Mastadon-Beitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, über personalisierte Werbung und die Folgen des Digital Markets Acts (DMA) und des Digital Services Acts (DSA) auf den Datenschutz.

Fazit

Insgesamt ermöglichte der Kongress einen intensiven Blick auf die aktuellen Entwicklungen im Datenschutzbereich. Schwerpunkt des DPC 2023 war besonders die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahre DSGVO. Die Veranstaltung zeigte, dass Datenschutzherausforderungen weiterhin komplex sind, besonders die Uneinheitlichkeit in der EU-Regelumsetzung. Die geplante KI-Verordnung ist unsicher, was die Schwierigkeiten bei einem gemeinsamen Ansatz für komplexe Technologien verdeutlicht. Auch die Diskussion um den EU-U.K.-Angemessenheitsbeschluss und Bedenken von Didier Reynders zu Datenschutzänderungen im Vereinigten Königreich könnten in Zukunft zu Problemen führen.

Insgesamt zeigt der Kongress, dass die Datenschutzlandschaft in Europa in Bewegung bleibt. Die Herausforderung besteht darin, einen ausgewogenen Ansatz zu finden, der Innovation fördert und gleichzeitig Privatsphäre gewährleistet. Es bleibt abzuwarten, wie die Diskussionen den Datenschutz in den kommenden Jahren beeinflussen.

Apotheken in Niedersachen bestehen Datenschutzprüfung

20. November 2023

Wie viele unserer Beiträge kürzlich gezeigt haben, ist Datenschutz im Gesundheitswesen von zentraler Bedeutung, insbesondere wenn die Daten sensible sind. Deswegen führt auch die Datenschutzaufsicht in Niedersachsen eine Reihe von Kontrollen im Gesundheitsbereich durch. Folglich hat sie kürzlich im Rahmen einer anlasslosen und stichprobenartigen Prüfung fünf Apotheken unter die Lupe genommen, um deren datenschutzkonformen Umgang mit Kundendaten zu überprüfen. Eine Pressemitteilung vom 15.11.2023 stellt die Ergebnisse dieser Prüfung dar und bietet Einblicke in die Stärken und Schwächen der Apotheken im Umgang mit sensiblen Informationen. Grundsätzlich kommt die Behörde zu einem positiven Ergebnis: Die Apotheken in Niedersachen bestehen die Datenschutzprüfung. An einigen einigen Stellen existiere jedoch weiterhin Verbesserungsbedarf.

Datensicherheit in Apotheken: Eine positive Bilanz

Die Prüfung offenbarte, dass die Apotheken in Niedersachsen insgesamt gut aufgestellt sind, wenn es um die Sicherheit von personenbezogenen Daten geht. Insbesondere beim Aufbewahren und Löschen dieser Daten entsprechen sie den datenschutzrechtlichen Regeln, wie Denis Lehmkemper, Landesbeauftragter für den Datenschutz in Niedersachen erklärt. Dies sei vorteilhaft für Kunden und zeige, dass die Betriebe sich über das hohe Maß an Verantwortung bewusst seien.

Prüfungsgegenstand

Geprüft wurden zum einen Einwilligungserklärungen der Kundschaft für Kundenkarten. Diese dienen vorwiegend einem Krankenkassenbericht, der Steuererklärung und Beratungszwecken. Zudem kontrollierte die Aufsichtsbehörde die Einhaltung von Löschpflichten. Im Übrigen wurden die Modalitäten für Berechtigungsscheine für die Ausgabe von Corona-Schutzmasken näher betrachtet. Diese sind noch bis zum 31.12.2023 aufzubewahren und danach zu vernichten.

Einwilligungserklärungen & Softwaresysteme: Akzeptabel, aber verbesserungsfähig

Die Einwilligungserklärungen für die Nutzung von Kundenkarten seien „rechtlich akzeptabel“, allerdings bestehe verbesserungsbedarf. Zum Beispiel seien einige Einwilligungstexte ungenau. Im Übrigen verwende man teilweise ungeeignete Softwareprogramme, sodass ein Risiko für Fehler bestünde.

Berechtigungsscheine ordnungsgemäß aufbewahrt

In sämtlichen Prüffällen verwahrten Apotheken Berechtigungsscheine für die Ausgabe von Corona-Schutzmasken entsprechend der gesetzlichen Vorgaben inklusive eines Vermerks zum Löschungsdatum separat von sonstigen personenbezogenen Daten.

Fazit

Die Apotheken in Niedersachen bestehen die Datenschutzprüfung. Die Ergebnisse zeigen, dass die Betriebe bereits soliden Datenschutzpraktiken folgen. Die identifizierten Verbesserungspotenziale bieten jedoch eine wertvolle Gelegenheit, den Datenschutz weiter zu optimieren. In Anbetracht der stetig wachsenden Bedeutung des Datenschutzes im Gesundheitswesen, wie zuletzt im Rahmen von cloudbasierten digitalen Gesundheitsanwendungen thematisiert, ist diese fortgesetzte Prüfungsreihe ein weiterer Schritt zu einem umfassenden Schutz sensibler Gesundheitsdaten.

Kategorien: Allgemein

DSK zu cloudbasierten digitalen Gesundheitsanwendungen

17. November 2023

Passend zum aktuellem Trendthema des digitalisierten Gesundheitswesens hat sich neben der kürzlichen Fachtagung im rheinland-pfälzischem Landtag auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit diesem Thema beschäftigt. In einem Positionspapier vom 06.11.2023 äußert sich die DSK zu cloudbasierten digitalen Gesundheitsanwendungen (DiGA). Dabei beleuchtet sie vor allem welche datenschutzrechtlichen Anforderungen hierbei erfüllt sein müssen.

Rechtlicher Hintergrund

Zunächst kann man DiGA in zwei Kategorien untergliedern. Einerseits gibt es die erstattungsfähige digitale Gesundheitsanwendungen und andererseits alle sonstigen.

§ 4 Abs. 1 der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) bestimmt, dass erstattungsfähige DiGA die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten müssen. Was erstattungsfähige DiGA sind, regelt das Bundesinstitut für Arzneimittel und Medizinprodukte in einem Verzeichnis (§ 139e Abs. 1 SGB V). Bislang weisen die Hersteller solcher Produkte die Erfüllung der datenschutzrechtlichen Voraussetzungen im Rahmen einer Selbsterklärung nach. Da diese Methode allerdings nicht genügend Gewähr für eine tatsächliche Einhaltung bietet, gibt es zwei gesetzliche Änderungen.

  1. § 4 Abs. 7 DiGAV: Ab dem 01.01.2025 müssen die vom Bundesamt für Sicherheit in der Informationstechnik nach § 139e Abs. 10 SGB V festgelegten Anforderungen an die Datensicherheit erfüllt werden.
  2. §4 Abs. 8 DiGAV: Ab dem 01.08.2024 müssen die vom Bundesinstitut für Arzneimittel und Medizinprodukte nach § 139e Abs. 11 SGB V festgelegten Prüfkriterien für die von DiGA nachzuweisenden Anforderungen an den Datenschutz umgesetzt werden.

Zudem gibt es aber auch noch eine Vielzahl DiGA, die nicht erstattungsfähig sind. Welche Voraussetzungen man bei dieser Art der DiGA beachten muss, erklärt die DSK in ihrem Positionspapier.

Wer ist verantwortlich?

Bei der Bestimmung, wer als datenschutzrechtlicher Verantwortlicher gilt, handele es sich um eine komplexe Zuordnung. Es sei eine genaue Analyse der Tätigkeiten im konkreten Kontext ist notwendig. Art. 4 der Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche (Nr. 7) und Auftragsverarbeiter (Nr. 8). Potenzielle Verantwortliche seien zum Beispiel Ärzte, Hersteller oder Cloud-Betreiber. Ein Hersteller könne etwa ein Verantwortlicher sein, wenn er über die Mittel und Zwecke der Datenverarbeitung selbst bestimmt, wohingegen er Auftragsverarbeiter sei, wenn er für einen Verantwortlichen Daten verwerte. Hingegen trage er keine Verantwortlichkeit, wenn er lediglich mit der technischen Herstellung des Produkts betraut ist.

Grundsatz der datenschutzfreundlichen Gestaltung beachtet?

Die jeweilige Gesundheitsanwendung müsse entsprechend Art. 25 Abs. 1 DSGVO so gestaltet sein, dass man sie auch ohne Anlegen eines Benutzerkontos und ohne Cloudfunktion nutzen kann. Eine Ausnahme hiervon bestünde nur, wenn dies zur ordnungsgemäßen Verwendung zwingend erforderlich sei. Desweiterem müsse man den Nutzer auf die Vorteile und Gefahren der Cloudfunktion hinweisen.

Dürfen die Daten zu Forschungszwecken und zur Qualitätssicherung verwendet werden?

Die Nutzung personenbezogener Daten zu Forschungszwecken bedarf einer klaren Rechtsgrundlage, oft in Form einer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Eine Ausnahme gilt nur, wenn es sich um anonymisierte Daten handelt. Für diesen Fall ist eine Datenschutz-Folgenabschätzung erforderlich, die aufzeigt, dass tatsächlich kein Personenbezug mehr existiert.

Die Verwendung von Daten, um die Pflicht der Qualitätssicherung von Medizinprodukten zu erfüllen, könne durch Art. 6 Abs. 1 lit. c i. V. m. Art. 9 Abs. 2 lit. i DSGVO und § 22 Abs. 1 Nr. 1 lit. c BDSG gerechtfertigt werden. Dabei dürfe die Datenverwertung das hierfür erforderliche Maß nicht überschreiten.

Welche Rechte haben die Nutzer?

Hersteller und Betreiber müssten Verfahren einführen, um die Erfüllung von Betroffenenrechten sicherzustellen. Dazu gehört das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.

Ist die Verarbeitung sicher?

Wie bei sonstiger Verarbeitung personenbezogener Daten müsse man technische und organisatorische Maßnahmen (TOM) zur Risikominimierung implementieren und hierüber auch den Nachweis erbringen. Die regelmäßige Überprüfung und Bewertung dieser Maßnahmen sei im Rahmen einer Datenschutz-Folgenabschätzung erforderlich. Im Übrigen solle man die vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Technische Richtlinie „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) beachten.

Dürfen die Daten international übertragen werden?

Ist ein internationaler Datentransfer gewünscht, müsse man sich an die Vorgaben des Kapitels V der DSGVO halten.

Fazit

Die aktuellen Entwicklungen im Datenschutz für Gesundheitsanwendungen werfen essenzielle Fragen auf, die sorgfältiger Klärung bedürfen. Nun hat sich auch die DSK zu cloudbasierten digitalen Gesundheitsanwendungen positioniert. Die Verantwortlichkeiten müssen klar definiert werden, insbesondere bei nicht unter § 139e SGB V fallenden Anwendungen. Grundsätzlich gilt, dass auch hier die Anforderungen der DSGVO streng beachtet werden müssen. Deswegen sind Unternehmen und Entwickler in diesem Bereich aufgefordert, ihre Prozesse entsprechend anzupassen, um den stetig wachsenden Anforderungen gerecht zu werden.

Kategorien: Allgemein

Fachtagung zum Gesundheitsdatenschutz

16. November 2023

Rund um das Thema Gesundheitsversorgung und Datenschutz passiert aktuell sehr viel. Erst Ende Oktober hat der EuGH ein datenschutzrechtliches Auskunftsrecht in Form einer kostenlosen ersten Kopie der Patientenakte bestätigt. Nun hat der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz (LfDI RlP) bekanntgegeben, dass am 13.11.2023 eine Fachtagung unter anderem zum Thema des Gesundheitsdatenschutz geendet hat. Die Tagung fand unter dem Titel „Was passiert mit unseren Gesundheitsdaten? Möglichkeiten und Grenzen der digitalen Nutzung von Gesundheitsdaten“ statt. Schwerpunkt war es, einen ausgewogenen Austausch unter Bezugnahme ethischer und rechtlicher Aspekte zu haben.

Datenschutz und Ethik als Symbiose

Der LfDI RlP Dieter Kugelmann vertrat die Ansicht, dass in diesem Zusammenhang Datenschutz kein Hindernis, sondern Teil der Lösung ist. Er unterstrich die Bedeutung, Datenschutz von Anfang an in den Gestaltungsprozess einzubinden, um eine ausgewogene Digitalisierung des Gesundheitswesens zu ermöglichen, die sowohl Innovation fördert als auch weiterhin die Rechte des Einzelnen beachtet.

Mehr Versorgungsqualität durch Elektronische Patientenakte

Ein weiteres Thema war die Einführung der elektronischen Patientenakte. Diese soll laut Bundesgesundheitsminister Karl Lauterbach ab 2025 eingeführt werden. Peter Heinz, Vorstandsmitglied der Kassenärztlichen Vereinigung Rheinland-Pfalz, unterstrich diesbezüglich die Bedeutung solcher Instrumente für ein hohes Maß an Versorgungsqualität und Forschungsfortschritt. Aus datenschutzrechtlicher Sicht ist es hierbei von besonderer Relevanz die Patienten über die Nutzung ihrer Gesundheitsdaten aufzuklären. Für Vertreter der Ärzteschaft kann es allerdings eine kaum zu bewältigende logistische Aufgabe sein, diese beiden Komponenten in Ausgleich zu bringen. In diesem Bereich bestehen also noch verschiedene Ungewissheiten, die abschließend geklärt werden müssen.

Chancen und Herausforderungen der digitalen Gesundheitsforschung

Auch im Fachgespräch über neue Entwicklungen in der Diagnose und Therapieforschung existierte Redebedarf im Datenschutzbereich. Die Digitalisierung und künstliche Intelligenz (KI) bieten nicht zu unterschätzende Chancen. Die Verwendung sensibler Gesundheitsdaten hierfür birgt allerdings auch ein großes Gefahrenpotential. Sabine Maur, Präsidentin der Landespsychotherapeutenkammer Rheinland-Pfalz, verdeutlichte in diesem Zusammenhang das Datenschutz und die Nutzung der Vorteile der Digitalisierung einher gehen können.

Fazit

Die Fachtagung zum Gesundheitsdatenschutz zeigt, dass die Digitalisierung im Gesundheitswesen sowohl Herausforderungen als auch Chancen birgt. Die intensive Diskussion macht klar, dass ein interdisziplinäres Vorgehen entscheidend für den Wechsel zu einem digitalen und fortschrittlicheren Gesundheitswesen ist. Insgesamt kann festgehalten werden, dass die Digitalisierung im Gesundheitswesen bedeutende Fortschritte ermöglichen könnte. Wichtig ist nun, dass entsprechende Vorkehrungen getroffen werden, um diese Innovation auch sicher voranzubringen.

BfDI besorgt über Vorgehen von Microsoft

15. November 2023

Die Verwendung von Microsoft ist immer wieder Datenschutzbedenken ausgesetzt. Erst kürzlich wurde von deutschen Datenschutzbehörden eine Handreichung zur datenschutzkonformen Nutzung von Microsoft Office 365 für private und öffentliche Organisationen veröffentlicht. Nun preist Microsoft sein neues Outlook an und ermutigt Nutzer zum Wechsel. Doch Vorsicht ist geboten: Das Upgrade könnte mit einer besorgniserregenden Datenübermittlung einhergehen. Wer das neue Outlook ausprobiert, könnte die Übertragung sensibler Zugangsdaten an Microsoft-Server riskieren und dem Unternehmen Einblicke in private E-Mails gewähren. Nun hat sich auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) besorgt über das Vorgehen von Microsoft geäußert.

Verlockendes Upgrade mit versteckten Risiken

Das neue Outlook wird mittlerweile im Startmenü von Windows-11-Geräten mit dem 2023-Update beworben. Das kostenlose Outlook soll das ursprüngliche Mail-Programm in Windows ablösen und in Zukunft auch das alte Outlook. Auch der Outlook-Client stellt eine Testversion zur Verfügung, die 2024 das bestehende Mail-Programm und den integrierten Kalender in Windows ersetzen soll.

Doch hinter der verlockenden Fassade könnte sich eine fragwürdige Datensammelpraxis verbergen. Bei der Einrichtung von E-Mail-Konten, die nicht zu Microsoft gehören, warnt das Programm vor Datenübertragungen. In einem Fenster weist der Betreiber bei Einrichtung darauf hin, dass Nicht-Microsoft-Konten mit der Microsoft-Cloud synchronisiert werden. Das bedeutet ein Risiko der Übertragung von IMAP- und SMTP-Zugangsdaten und E-Mails, wie Heise online berichtet. Dies betreffe bisher Gmail-, Yahoo-, iCloud- und IMAP-Konten. Laut Microsoft diene die Praxis dazu, Funktionen anzubieten, die Gmail und IMAP nicht bereitstellen.

Erste Stellungnahme des BfDI

Der BfDI hat hierzu bereits eine erste kurze Stellungnahme abgegeben und äußert sich besorgt über Vorgehen von Microsoft. Auf Mastodon schrieb er, dass er die Meldungen über ein vermutetes Datensammeln von Microsoft als alarmierend einstuft. Er kündigt an, heute am Dienstag, den 14.11.2023, beim Treffen der europäischen Datenschutzaufsichtsbehörden die federführenden irischen Datenschutzbeauftragten um einen Bericht bitten zu wollen.

Fazit

Bezüglich des verlockende Angebots, auf das neue Outlook umzusteigen, ist Vorsicht geboten. Microsofts undurchsichtige Datensammelpraxis, die bereits in der Vergangenheit für Kontroversen sorgte, setzt sich fort. Die unangekündigte Übertragung sensibler Zugangsdaten an Microsofts Server ist ein Risiko für die Privatsphäre der Nutzer und könnte eine Datenschutzgefahr für Ihr Unternehmen darstellen. Angesichts dieser Entwicklungen ist es unerlässlich, dass Nutzer vor einem Upgrade ihre persönlichen Risiken abwägen und die möglichen Konsequenzen für ihre Datenschutzrechte berücksichtigen.

Chatkontrolle: EU-Parlament gegen Massenüberwachung

14. November 2023

Die Europäische Union plant die Einführung der sogenannten „Chatkontrolle“. Durch technische Überwachungsmaßnahmen will man hierbei Kindesmissbrauch im Internet verfolgen und vorbeugen. Kürzlich hat die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Entschluss veröffentlicht, in der sie die Chatkontrolle als anlasslose Massenüberwachung betitelte. Zu einem ähnlichen Ergebnis ist jetzt auch der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäische Parlaments gekommen. Das EU-Parlament hat nämlich in einer Pressemitteilung vom 14.11.2023 bekanntgegeben, sich mit großer Mehrheit gegen eine anlasslose Chatkontrolle im Sinne einer Massenüberwachung positioniert zu haben.

Schutzmechanismen statt anlassloser Kontrolle

Zunächst soll es verschiedene Vorkehrungen geben, die nicht zwangsläufig an personenbezogene Daten anknüpfen, sondern die Funktion der Websites allgemein betreffen. So sollen Internetanbieter etwa dazu verpflichtet werden, das Risiko einer missbräuchlichen Nutzung zu bewerten. Die Anbieter müssen in eigener Verantwortung gezielte, angemessene und wirksame Maßnahmen ergreifen, um diese Risiken zu mindern. Zudem sollen pornografische Websites effektive Altersüberprüfungssysteme, Erkennungsmechanismen für kinderpornografisches Inhalte und menschliche Moderatoren zur Bearbeitung dieser Berichte implementieren. Dienste, die auf die Nutzung durch Minderjährige abzielen, sollen zusätzlich standardmäßig Zustimmungsverpflichtungen zum empfangen unaufgeforderter Nachrichten, Blockierungsfunktionen und mehr elterliche Kontrolle enthalten.

Massenüberwachung nur als “Ultima Ratio”

Um Massenüberwachung oder eine anlasslose Kontrolle im Internet zu vermeiden, dürfen nur als letzte Möglichkeit, wenn alle sonstige Maßnahmen gescheitert sind, und auch nur durch zeitlich begrenzte gerichtliche Anordnung, Methoden herangezogen werden, die es erlauben jegliches kinderpornografisches Material aufzuspüren und zu entfernen. Gleiches gilt für die besonders umstrittene Aufdeckungsanordnung, die mit einer umfassenden Chatkontrolle verbunden ist. Auch diese darf nur als letzter Ausweg für Einzelpersonen oder bestimmte Gruppen (einschließlich Abonnenten eines Kanals) erteilt werden, wenn ein “begründeter Verdacht” im Zusammenhang mit sexuellem Kindesmissbrauch besteht. Die Kontrolle verschlüsselter Kommunikation, wie etwa WhatsApp, wurde vom Anwendungsbereich der Erkennungsanordnungen ausgeschlossen, um sicherzustellen, dass die Unterhaltungen geschützt bleiben.

EU-Zentrum für den Kinderschutz

Im Rahmen des Gesetzes soll ein neues EU-Zentrum für den Kinderschutz eingerichtet werden. Dieses soll die Dienstleister bei der Implementierung der neuen Regeln unterstützen und bei der Erkennung von rechtswidrigem Material helfen. Parallel dazu würde die neue Stelle auch nationale Behörden bei der Umsetzung des neuen Gesetzes beistehen und Untersuchungen durchführen. Es bestünde sogar die Befugnis Geldbußen von bis zu 6 % des weltweiten Umsatzes zu verhängen.

Fazit

Dass das EU-Parlament die Befugnisse im Rahmen der Chatkontrolle begrenzt hat und sich gegen eine anlasslose Massenüberwachung ausgesprochen hat, ist zu begrüßen. Die erzielte rechtliche Kompromisslösung schafft praxistaugliche Regeln zur Bekämpfung des sexuellen Missbrauchs von Kindern im Netz. Hierdurch wird ein ausgewogener Ansatz zwischen dem Schutz von Kindern und der Wahrung der Privatsphäre bewirkt.

Nun muss nur noch das Plenum des Parlaments den Gesetzentwurf formell billigen. Sobald das passiert ist, können die Verhandlungen über den finalen Gesetzestext beginnen.

EU-Parlament stimmt für Data Act

13. November 2023

Das EU-Parlament hat am 09.11.2023 bekannt gegeben, dass es mit großer Mehrheit für den Data Act gestimmt hat. Das neue Gesetz soll Hindernisse beim Zugang zu Daten beseitigen. Die Regelung legt fest, wer unter welchen Bedingungen einen Zugang zu Daten hat. Im Übrigen werden private und öffentliche Einrichtungen befugt gewisse Daten zu teilen.

Innovation durch Erleichterung des Datenzugangs

Sinn der neuen Regelung ist es, Innovation zu Fördern mittels eines erleichterten Zugangs zu Daten. Das Ausmaß an Daten, die täglich generiert wird, wächst exponentiell und nur ein geringer Anteil hiervon wird tatsächlich genutzt. Die neue Gesetzgebung ermöglicht es, auf die bereits existierenden Daten zuzugreifen und so das unerschlossene Potenzial vollständig zu nutzen.

Der Data Act ist vor allem darauf ausgelegt, Datenzugangsregeln für vernetzte Dienste festzulegen. Für solche Unternehmen sollen zukünftig transparente Regeln für das Teilen von Daten existieren. Dieser Schritt ist besonders entscheidend für die Fortentwicklung künstlicher Intelligenz, bei der umfangreiche Daten für ein effektives Training erforderlich sind.

Datenzugang für Nutzer

Die Nutzer sollen zunächst einen uneingeschränkten Zugang zu den von ihnen generierten Daten erhalten. Durch das Gesetz werden Anbieter vernetzter Produkte und Dienste verpflichtet, die hierdurch erstellten Daten dem Nutzer in leicht zugänglicher Form in Echtzeit und kostenlos bereitzustellen. Die Regelung richtet sich zum Beispiel an virtuelle Sprachassistenten wie Alexa oder Siri aber auch an Anbieter von Fitness-Uhren oder vernetzten Autos.

Kostensenkung bei After-Sales-Dienstleistungen

Ein weiterer mit dem Data Act verbundener Vorteil besteht in der potenziellen Kostenreduktion für After-Sales-Dienstleistungen und Reparaturen von vernetzten Geräten. Durch die Optimierung des Datenzugangs zielt die Gesetzgebung darauf ab, diese Dienste erschwinglicher zu machen und eine Umgebung zu schaffen, in der Verbraucher ihre vernetzten Geräte problemlos reparieren können.

Zugang des öffentlichen Sektors

Zudem soll es besondere Befugnisse für öffentliche Stellen in Notfallsituationen geben. So sollen etwa Behörden bei Überschwemmungen oder Waldbränden befähigt sein, auf erforderliche Daten von privaten Unternehmen zuzugreifen und diese zu nutzen. Allerdings können Behörden nur unter Beachtung der DSGVO in besonderen Konstellationen oder zur Erfüllung eines gesetzlichen Auftrages die gewünschten Daten fordern.

Schutz von Geschäftsgeheimnissen und Verhinderung rechtswidriger Übertragungen

In Anerkennung der Sensibilität von Geschäftsgeheimnissen hat das Parlament Maßnahmen integriert, um solche Daten zu schützen. Dies verhindert nicht nur rechtswidrige Datenübertragungen in Drittländer mit schwächeren Datenschutzvorkehrungen, sondern schützt auch davor, dass Wettbewerber die Daten nutzen, um Dienstleistungen oder Geräte ihrer Konkurrenten nachzuahmen. Dementsprechend können Unternehmen in Ausnahmefällen der Übermittlung bestimmter Daten widersprechen, wenn sie den hinreichend begründeten und objektiv nachvollziehbaren Nachweis erbringen, dass dies zu erheblichem wirtschaftlichem Schaden führen würde.

Erleichterung des Wechsels zwischen Cloud Service Providern

Zuletzt führt der Data Act Bestimmungen ein, um den Wechsel zwischen Cloud Service Providern zu vereinfachen und den Nutzern mehr Flexibilität zu geben. Durch die Neuerungen werden Betreiber verpflichtet mit anderen Diensten kompatible Standards zu verwenden. Dadurch wird auch kleineren Unternehmen gegenüber Marktbeherrschenden Konzernen eine Chance im Wettbewerb gegeben. Zudem sind die Nutzer dann nicht mehr an einen bestimmten Anbieter gebunden. Eine Neuerung im Vergleich zu der bereits in der DSGVO existierenden Regelung über Datenportabilität besteht darin, dass der Data Act auch nicht persönliche Datensätze erfasst.

Fazit

Nun, da das EU-Parlament für den Data Act gestimmt hat, fehlt nur noch eine förmliche Absegnung des EU-Rats. Bei Reibungslosem weiterem Ablauf, wird das Gesetz voraussichtlich Mitte 2025 in Kraft treten. Trotzdem gibt es weiterhin einige Zweifel. Die erzwungene Weitergabe von Daten könnte einen möglichen Schaden für europäische Unternehmen im internationalen Wettbewerb darstellen. Zudem bleibt die genaue Umsetzung und die Schaffung von Standards noch offen. Jedenfalls trägt die neue Regelung aber auch das Potential in sich, ein wegweisender Schritt für neue Prozesse und Geschäftsmodelle zu sein und so zu Innovation beizutragen. Der Weg zu einer effektiven und ausgewogenen Nutzung von Daten in Deutschland und Europa ist damit zumindest geebnet.

HmbBfDI über Meta Bezahl-Abo

9. November 2023

Der Europäische Datenschutzausschuss (EDSA) hat am 27.10.2023 in einem beispiellosen Schritt Maßnahmen verabschiedet, die auch den Social-Media-Konzern Meta betreffen. Um diesen Maßnahmen Rechnung zu tragen hat Meta, der Betreiber von Facebook und Instagram, bereits angekündigt ein Bezahl-Abo einzuführen. Aufgrund dieser Neuerung erhalten Nutzer die Möglichkeit eines werbefreien Zugang gegen Bezahlung einer Gebühr. Anschließend hat sich am 02.11.2023 der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über das Meta Bezahl-Abo geäußert (HmbBfDI).

Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites

Im Rahmen seiner Mitteilung über das Meta Bezahl-Abo verweist der HmbBfDI auf den Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites. Auf diesen Beschluss nahm Meta auch in seiner Ankündigung zum Abo-Modell Bezug. Der Beschluss verlangt unter anderem eine präzise Zustimmung, Transparenz und die Vermeidung irreführender Gestaltungsmittel. Nach Wertung des HmbBfDI sind diese Vorgaben auch bei dem kostenpflichtigen Abonnement von Meta umzusetzen.

Offene Fragen und laufender Dialog

Laut dem HmbBfDI bleibt die Frage, ob das zukünftige Modell diesen Anforderungen entspricht und eine datenschutzkonforme Lösung darstellt, vorerst unbeantwortet. Die deutschen Aufsichtsbehörden hätten bereits verschiedene Bedenken geäußert und würden nun eine nachvollziehbare rechtliche Prüfung durch die federführende Behörde in Irland erwarten. Derzeit befinde man sich im Dialog mit irischen Kollegen und anderen betroffenen nationalen Behörden, um diese wichtigen Fragen zu klären.

Fazit

Die jüngsten Entwicklungen zeigen, dass EU-Datenschutzbehörden die Rechte der Bürger schützen wollen. Weiterhin möchten sie sicherstellen, dass Digitalisierung im Einklang mit den Grundprinzipien der Privatsphäre erfolgt. Unternehmen, die in diesem Raum tätig sind, sollten sich auf strengere Datenschutzanforderungen einstellen und proaktiv Maßnahmen ergreifen, um den regulatorischen Anforderungen gerecht zu werden. Dies könnte auch eine Gelegenheit sein, den Schutz der Privatsphäre der Nutzer zu stärken und das Vertrauen in datenbasierte Dienste wiederherzustellen. Ob das Meta-Abo-Modell tatsächlich diesen Anforderungen genügt, bleibt abzuwarten. Schlussendlich wird die Umsetzung durch Meta eine genaue Prüfung durch die zuständigen Aufsichtsbehörden erfordern.

Kategorien: Allgemein · Social Media
1 10 11 12 13 14 277