Schlagwort: Gesundheitsdatenschutz
25. Januar 2021
Das Bundessozialgericht hat festgestellt, dass gesetzlich Versicherte keinen papiergebundenen Berechtigungsnachweis verlangen können.
Nachdem die Kläger bereits erfolglos die unteren Instanzen durchlaufen hatten, entschied auch das BSG zu deren Ungunsten. Den Klägern ging es dabei um die Sicherheit der elektronisch gespeicherten Daten, welche nach ihrer Ansicht nicht ausreichend gewährleistet wird. Auf dem Chip der Geundheitskarte werden Versichertendaten wie Name und Versichertenstatus gespeichert. Als Alternative wollten sich die Kläger mit einem papiergebundenen Berechtigungsnachweis ausweisen.
Entgegen der Auffassung der Kläger entschieden die Kassler Richter, dass die Vorschiften über die elektronische Gesundheitskarte im Einklang mit den Vorgaben des europäischen Datenschutzrechts stehen. Auch der Eingriff in die Grundrechte der Kläger ist nach Ansicht des BSG gerechtfertigt. Insbesondere verhindere die Karte den Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, welche ein überragend wichtiges Gemeinschaftsgut darstelle.
28. August 2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kündigte an, dass er voraussichtlich aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen müsse. Hintergrund ist das Patientendaten-Schutz-Gesetz (PDSG). In seiner derzeitigen Fassung verstoße es hinsichtlich der Einführung der elektronischen Patienake (ePA) stellenweise gegen die europäische Datenschutz-Grundverordnung (DSGVO). Dadurch könne es zu einer rechtswidrigen Verarbeitung von Gesundheitsdaten kommen. Gesundheitsdaten sind als eine besondere Kategorie von personenbezogenen Daten besonders schützenswert.
Schon während des Gesetzgebungsverfahrens des PDSG äußerte der BfDI Bedenken, dass die Patienten bei einer Einführung der ePA nach Vorgaben des PDSG nicht die volle Gewalt über ihre Daten hätten.
Der Zugriff auf die eigene ePA ist für Patienten nur dann datenschutzrechtlich sicher, wenn sie hierzu geeignete Smartphones oder Tablets nutzen. Werden keine geeigneten Smartphones oder Tablets für den Zugriff auf die ePA verwendet, wird nicht dokumentengenau kontrolliert, welche Beteiligte welche in der ePA gespeicherten Daten einsehen können. Darüber hinaus ist besonders problematisch, dass auch diese Zugriffsmöglichkeit über Smartphones oder Tablets erst ein Jahr nach der Einführung der ePA – also nach 2021 – möglich sein wird.
Dadurch, dass nicht dokumentengenau kontrolliert wird, welche Beteiligten welche in der ePA hinterlegten Informationen einsehen können, besteht die Möglichkeit, dass jeder Beteiligte, dem durch den Patienten Einsicht in die ePA gewährt wird, auch alle hinterlegten Informationen einsehen kann. Diese Einsichtsmöglichkeit ist unabhängig davon, ob die Kenntnis der konkreten Informationen erforderlich ist. Daher kann ein Facharzt für Psychiatrie beispielsweise in die vom Zahnarzt des Patienten in der ePA gespeicherten Informationen einsehen.
Patienten, die kein geeignetes Endgerät zur Einsichtnahme in ihre ePA zur Verfügung haben oder keine Einsichtnahme in ihre ePA über Smartphone oder Tablet nehmen möchten, haben keine Möglichkeit, eigenständig ihre ePA einsehen zu können. Auch eine Prüfung der erfolgten Zugriffe auf ihre in der ePA hinterlegten Daten ist somit nicht möglich.
8. Juli 2020
Zunahme von Hackerangriffen
Hackerangriffe werden von der breiten Bevölkerung weder groß gefürchtet, noch wird das Thema Cybersicherheit besonders beachtet. Dabei nimmt ihre Zahl von Jahr zu Jahr zu. Im Jahr 2018 vermeldete das Bundeskriminalamt die Zahl von 87.106 Fällen von Cybercrime. Dies entspricht einer Zunahme von 1,3% im Vergleich zum Vorjahr.
Von Hackerangriffen sind nicht nur Unternehmen betroffen, die über Kundendaten wie Kreditkarten verfügen, sondern auch Justizbehörden und sogar Bundesministerien (siehe Blog vom 05.12.2018).
Sogar das Rote Kreuz ist Anfang des Jahres Opfer eines Hackerangriffs geworden. Glücklicherweise diente dieser Angriff jedoch nur dem Aufsuchen von Sicherheitslücken. Böswillige Hacker hätten hingegen sensible Patientendaten abgreifen können. Eine Krankheitshistorie kann man nicht, wie bei gestohlenen Kreditkartendaten, sperren und ersetzen. Für die Betroffenen wäre eine Veröffentlichung ihrer Gesundheitsdaten mit unangenehmen Konsequenzen verbunden.
Zu diesem Thema hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine Prüfliste veröffentlicht, die Empfehlungen zur Cybersicherheit für medizinische Einrichtungen ausspricht.
Die Maßnahmen sind jedoch auch für nicht-medizinische Unternehmen von Relevanz.
Empfohlene Maßnahmen
Bei den empfohlenen Maßnahmen sollten unter anderem folgende Punkte besonders beachtet werden:
- Regelmäßige Aktualisierung der verwendeten Software.
- Nutzung von Antiviren-Programmen. Zu beachten ist, dass immer nur ein Antiviren-Programm gleichzeitig installiert sein sollte. Mehrere Programme blockieren sich gegenseitig und schaden mehr, als sie nutzen.
- Schutz vor Ransomware. Wenn möglich, sollte auf Makros in Office-Dokumenten verzichtet werden und wenn, nur signierte Makros verwendet werden.
- Nutzung starker Passwörter. Es sollten keine banalen Begriffe wie „1234“ oder „passwort“ genutzt werden. Auch sollten Passwörter niemals am Arbeitsplatz liegen gelassen werden.
- Nutzung von Zwei-Faktor-Authentifizierung. Näheres dazu ist in unserem Blog nachzulesen.
- E-Mails sollten nur als Text angezeigt werden. So lassen sich leichter manipulierte Links erkennen. Außerdem sollten E-Mails grundsätzlich von einem Antiviren-Programm überprüft werden.
- Es sollten regelmäßig Backups durchgeführt werden.
- Bei der Arbeit im Homeoffice sollte der Zugang über eine VPN-Verbindung gesichert sein. Im Falle der Nutzung mobiler Endgeräte sollten diese über starke Verschlüsselungsmechanismen verfügen.
- Falls Laborergebnisse online abgerufen werden können, muss der Zugang besonders geschützt werden.
- Es sollte eine leistungsstarke Firewall installiert sein, um unbefugte Zugriffe von außen zu verhindern.
- Das Thema Social Engineering darf nicht unterschätzt werden. Hacker versuchen vermehrt Kontakte über Portale wie Xing, LinkedIn oder auch Facebook zu knüpfen, um das Vertrauen ihrer Opfer zu gewinnen und zum Beispiel über manipulierte E-Mails zu missbrauchen.
20. Mai 2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.
Mögliche Verfassungswidrigkeit
Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes.
Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.
Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.
Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.
Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.
Parlament lag Stellungnahme von Kelber vor
Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.
6. November 2019
Wie bereits am 10.07.2019 berichtet wurde, entwarf Bundesgesundheitsminister Spahn das Digitale-Versorgung-Gesetz.
Das neue Gesetz sieht eine digitale Speicherung der personenbezogenen Daten von 73 Millionen gesetzlich Versicherten vor. Das Einsehen einer digitalen Personenakte soll damit erleichtert werden.
Die Kritik am umstrittenen Gesetz beruht maßgeblich auf der Gefährdung des sensiblen Gesundheitsdatenschutzes. Insbesondere verzichtet das Gesetz auf eine Einwilligung für die Weitergabe der Patientendaten zu Forschungszwecken. Pseudonymisierte Abrechnungsdaten werden von den gesetzlichen Krankenkassen an den Spitzenverband weitergeleitet. Nach nochmaliger Pseudonymisierung können diese Daten dem Forschungsdatenzentrum zur Verfügung gestellt werden. Dieses leitet anonymisierte und zusammengefasste Ergebnisse auf Antrag an Wissenschaftlerinnen und Forscher weiter. Zusätzlich kritisiert wird der Ausschluss des Widerrufsrechts. Es bleibt abzuwarten, ob der Bundestag das Digitale-Versorgung-Gesetz in dieser Form morgen beschließt.
29. Oktober 2019
Facebook plant künftig auch Gesundheitsdaten seiner Nutzer zu sammeln.
Die neue Funktion soll Nutzern eine bessere Kontrolle über ihre Gesundheit bieten, heißt es in einem Blogbeitrag von Facebook.
Nutzer geben Facebook ihre sensiblen Daten preis und erhalten im Gegenzug die Möglichkeit, über die Gesundheitsfunktion nach einem Arzt zu suchen oder Erinnerungen für Ihre zukünftigen Untersuchungen zu erstellen und diese als erledigt zu markieren. Facebook erhält dabei keinen Zugriff auf die Ergebisse der Untersuchung.
Zu den Daten, die Facebook für diese Funktion sammlt, gehören Alter und Geschlecht, der aktuelle Wohnort und wahlweise der genaue Standort. Basierend auf den Angaben zu Alter und Geschlecht werden dem Nutzer Untersuchungen vorgeschlagen, die von Gesundheitsorganisationen empfohlen werden.
Es werden keine Daten aus der Funktion an Drittanbieter weitergegeben. Ebensowenig wird Werbung auf Basis der Daten aus der Gesundheitsfunktion angezeigt. Dies gilt allerdings nur, solange der Nutzer nicht auf einen vorgeschlagenen Link zu einem Arzt oder einer anderen Gesundheitsorganisation klickt, denn diese Information wird für Werbezwecke genutzt.
Die Gesundheitsfunktion wird erstmal nur in den USA verfügbar sein. Facebook macht keine Angaben dazu, ob das Angebot für Europa geplant wird.
17. September 2019
Patienten aus Deutschland und den USA betroffen.
Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.
Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.
Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: “Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.”
Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.
15. August 2019
Die Digitalisierung des Gesundheitssystems schreitet weiter voran. Das digitale Versorgungsgesetz (DVG) sieht vor, dass Ärzte künftig Gesundheits-Apps verschreiben können und die Kosten dafür von den Krankenkassen erstattet werden sollen. Viele Patienten nutzen schon jetzt Gesundheits-Apps, die sie zum Beispiel dabei unterstützen, ihre Arzneimittel regelmäßig einzunehmen oder ein Diabetes Tagebuch zu führen.
Bei den Apps werden jedoch in großem Umfang Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO zu den sensiblen Daten zählen. Der Einsatz von Gesundheits-Apps birgt damit erhebliche Risiken für das Recht auf informationelle Selbstbestimmung.
Mit Inkrafttreten der EU-Medizinprodukte-Verordnung am 25. Mai 2017 müssen sich Entwickler von Gesundheits-Apps auf deutlich höhere Anforderungen einstellen. Nicht nur nur die Definition weitet sich aus, weshalb mehr Apps der Verordnung unterfallen, auch die Risikoklasse steigt. Bis zum 26. Mai 2020 gilt allerdings noch eine weniger strenge Übergangsregelung.
Laut dem Bundesministerium für Gesundheit soll für die Gesundheits-Apps ein zügiger Zulassungsweg geschaffen werden.
10. Juli 2019
Bundesgesundheitsminister Jens Spahn (CDU) plant zum Datenschutz im Gesundheitswesen ein eigenes Gesetz. Er hat bereits Passagen zum Datenschutz aus dem Digitale-Versorgungs-Gesetz (DVG) herausgenommen.
Der Vorstandsvorsitzende der Kassenärztlichen Vereinigung (KV) Nordrhein begrüßt Spahns Pläne: “Durch die bereits in Kraft getretenen und für die Zukunft noch geplanten Gesetze des Bundesgesundheitsministers entsteht eine enorme Dynamik, auch bei der – überfälligen – Digitalisierung des Gesundheitswesens.”
Geplant ist, das eigene Datenschutzgesetz in der zweiten Jahreshälfte auf den Weg zu bringen. Vorgesehen ist unter anderem, Versicherte bei der Nutzung der zum 1. Januar 2021 startenden elektronischen Patientenakte zu unterstützen.
Das Ziel ist, dem Thema Datenschutz im Rahmen der neuen Anwendungen und der Vernetzung im Gesundheitswesen gebührend Rechnung zu tragen.
29. April 2019
Der Europarat hat am 28. März 2019 in Straßburg neue Leitlinien zum Umgang mit Gesundheitsdaten veröffentlicht. In einer Mitteilung heißt es, das Ziel der Richtlinie sei, die 47 Mitgliedsstaaten dazu anzuhalten, bei der Datenverarbeitung die Menschenrechte, insbesondere das Recht auf Datenschutz und das Recht auf den Schutz der Privatsphäre sicherzustellen.
Grund für die Verabschiedung der neuen Leitlinie sei die fortschreitende Digitalisierung im Gesundheitssektor, die einen hohen Umfang an Verarbeitung von Gesundheitsdaten mit sich bringt. Daraus gehe die Notwendigkeit hervor, Gesundheitspersonal und Gesundheitsbehörden Leitlinien zum Umgang mit Gesundheitsdaten an die Hand zu geben.
Die Empfehlung des Europarates enthält eine Reihe von Grundsätzen, die zum Schutz von Gesundheitsdaten zu beachten sind.
Wesentliche Aspekte, die in der Empfehlung des Rates enthalten sind, sind die Implementierung angemessener Sicherheitssysteme auf höchstem technischen Niveau zum Schutze von Gesundheitsdaten sowie Vorgaben zur Rechtsgrundlage der Verarbeitung von Gesundheitsdaten, insbesondere zu der Einwilligung betroffener Personen.
Die Regelungen befassen sich im Einzelnen mit dem Schutz der Daten ungeborener Kinder, dem Umgang mit genetischen Informationen, dem Datenaustausch zwischen Gesundheitseinrichtungen und -organisationen sowie der Speicherung von Gesundheitsdaten . Sie enthalten ebenfalls Regelungen über Daten, die zu wissenschaftlichen Forschungszwecken verarbeitet werden, via mobilen Geräten gesammelt oder grenzüberschreitend übertragen werden.
Weiterhin listet der Rat die Rechte der betroffenen Person auf, zu denen als entscheidendes Recht die Transparenz über den Sinn und Zweck sowie die weitere Verwendung oder Speicherung der Gesundheitsdaten gehört.
