Oberlandesgericht Düsseldorf: Gesundheitsdaten unverschlüsselt an falsche E-Mail-Adresse versandt – 2.000 € Schadenersatz

Was war passiert? Eine Frau (gesetzlich versichert) will zu einer privaten Krankenversicherung wechseln. Dazu benötigt sie Unterlagen, die ihre bisherige Krankenkasse über sie hat. Sie bittet diese, ihr alle vorhandenen Daten an ihre private E-Mailadresse zu senden. Dies tut die bisherige Krankenkasse – aber erstens unverschlüsselt und zweitens an eine falsche Mailadresse. Als die Krankenkasse nach diversen Anrufen und anderen Kontakten ihren Fehler feststellte, sandte sie die gesammelten Daten per Post an ihr (Noch)-Mitglied. Als Ausgleich für die „seelische Belastung angesichts des unsicheren Verbleibs seiner Daten“ forderte die Versicherte 15.000 Schadensersatz  Die Kasse wies diese Forderung zurück. Sie bot – ohne Anerkennung einer Rechtspflicht – als Ausgleich 500 € an. Der Versicherte reichte auf der Grundlage des Art. 82 DSGVO Klage ein.

In zweiter Instanz, vor dem Oberlandesgericht Düsseldorf (Aktenzeichen: 16 U 275/20) erzielte die Klägerin einen Teilerfolg:

  • Das Gericht bestätigte zunächst, dass die Kasse durch den Versand der Akte an die falsche Adresse einen Datenschutzverstoß begangen habe und daher Schadensersatz zahlen müsse.
  • Unbeanstandet ließ das Gericht aber den unverschlüsselten Versand der Daten. Denn durch ihre Anfrage habe sie der Kasse signalisiert, dass sie die Übersendung ihrer Daten in E-Mail-Form wünsche. Da sie keine besonderen Sicherheitsvorkehrungen angemahnt habe, habe sie damit rechnen müssen, dass die Kasse ihrem Wunsch entsprechend agiere. Damit habe sie faktisch eine Einwilligung in die unverschlüsselte Übersendung der Krankenakte erteilt.
  • Für ihre seelischen Belastungen infolge der Ungewissheit gestand ihr das Gericht einen Schadenersatzanspruch von 2.000 € zu.

Krankenkassen haben mehr kritische Daten über ihre Versicherten als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften.

Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten. Der Anfrage-Generator des Vereins Patientenrechte und Datenschutz e. V. hilft Ihnen dabei, eine entsprechende Anfrage zu erstellen. Nahezu 1.400 Menschen haben bisher davon Gebrauch gemacht.

 

In Hochzeiten von Corona gebraucht und beklatscht, aber dann wieder „vergessen“ – seit acht Wochen streiken Beschäftigte in den Unikliniken in NRW für bessere Arbeitsbedingungen

Wir, die Beschäftigten der Unikliniken NRW, sichern mit unserer Arbeit jeden Tag die Gesundheitsversorgung der Bevölkerung. Wir brauchen bessere Arbeitsbedingungen! So wie es jetzt ist, kann es nicht bleiben. Deswegen fordern wir verbindliche Regelungen zur Entlastung für alle Arbeitsbereiche sowie zur Sicherstellung und Verbesserung der Ausbildungsqualität – und wirksame Konsequenzen, wenn diese nicht eingehalten werden. Es geht um unsere Gesundheit und die der Patientinnen und Patienten. Wir fordern von den politischen Verantwortlichen und den Arbeitgebern einen Tarifvertrag Entlastung für alle sechs Unikliniken in NRW…“ Mit diesem Aufruf begann ein Streik, der von der Gewerkschaft ver.di ausgerufen und unterstützt wird.

Der Streik der Beschäftigten in den Uniklinik verdient Aufmerksamkeit, Solidarität und Unterstützung – auch von (potentiellen) Patient*innen! In Hochzeiten von Corona gebraucht und beklatscht, aber dann wieder „vergessen“ – seit acht Wochen streiken Beschäftigte in den Unikliniken in NRW für bessere Arbeitsbedingungen weiterlesen

Die EU-Kommission möchte ab 2025 den Handel mit Gesundheitsdaten für mehr Wirtschaftswachstum nutzen

Das stellt der Kölner Arzt Dr. Stefan Streit in einer Stellungnahme zu der Mitteilung der EU-Kommission an das Europaparlament und den Rat der EU fest, die unter dem Titel Ein europäischer Raum für Gesundheitsdaten: Das Potenzial von Gesundheitsdaten für die Allgemeinheit, für Patientinnen und Patienten und für Innovation erschließen am 03.05.2022 veröffentlicht wurde (Langfassung = 141 Seiten / Kurzfassung = 24 Seiten).

Dr. Streit macht in seiner Stellungnahme auf zwei wesentliche Ziele dieser Initiative der EU-Kommission aufmerksam:

„Der Gesundheitsdatenraum soll aus zwei getrennten Infrastruktruren bestehen.

  • Primardatennutzung = Krankenbehandlung Die derzeitige Telematikinfrastruktur entspricht in etwa dem, was sich die EU-Kommission, unter MyHealth@eu, für die Primärdatennutzung von Gesundheitsdaten ausgedacht hat. Das betrifft die Datennutzung von Gesundheitsdaten zur Krankenbehandlung in Krankenhaus und Arztpraxis, die natürlich nicht anonym vorliegen. Personenbezogene Daten in der primären Arztakte sind von der DSGVO geschützt. Es wird davon ausgegangen, dass eine Vielzahl von (kommerziellen und institutionellen) Anbietern von Elektronic Health Records (EHR), also elektronische Patientenakten, die der Patient selbst verwaltet, entstehen werden. Bemerkenswerterweise reicht für kommerziellen EHR-Betreiber eine Selbstzertifizierung und das aus dem Konsumerbereich bekannte CE-Zeichen als Qualitätsmerkmal. Wollte man EHR-Daten für die Patientenversorgung nutzbar machen, dann bedarf es Instrumente zum Umgang mit der Unvollständigkeit der EHR einerseits und Strategien um die gesuchten Daten in den vielen verschiedenen EHR zu finden und nutzbar zu machen.
  • Sekundardatennutzung = Datenhandel Die Pläne für die zweite Infrastrukur HealthData@eu betreffen die Sekundärdatennutzung im Gesundheitsdatenraum zum Handel mit Gesundheitsdaten.

Die Datenökonomie im Gesundheitsdatenraum beruht auf folgenden Annahmen:

Nach der Entfernung des Namens unterliegt die – nun als anonymisiert geltende Patientenakte – nicht mehr dem Schutz der DSGVO. Den politischen Akteuren dürfte seit der Plagiatsaffären bekannt geworden sein, mit wie wenig Textmaterial man nicht gekennzeichnete Textstellen automatisiert reidentifizieren kann. Krankenakten enthalten viele hundert bis tausend Datenpunkte, die mit der aktuellen Rechnerkraft problemlos einer Person zugeordnet werden können.

Obwohl der Kryptograph Prof. Dominique Schröder das Problem der Anonymisierung laienverständlich und fundiert dargestellt hat, basiert die Legitimation von HealthData@eu allein auf der Anonymisierung…“

Dr. Streit macht auf den vier Seiten seiner Stellungname auf die großen Probleme aufmerksam, die für die sensiblen Gesundheits- und Behandlungsdaten aller Menschen in den 27 EU-Staaten drohen, wenn die Pläne der EU-Kommission wie von ihr geplant nahtlos und ohne Widerstand umgesetzt würden. Lesenswert!

Am Ende seiner Stellungnahme schließt Dr. Streit mit: „Ich lade Sie ein darüber nachzudenken, wie wir als Deutsche und als Europäer die anstehenden sozialen Entwicklungsaufgaben bewältigen können und freue mich über jede Rückmeldung.“

Umfang der Auskunftserteilung nach Art. 15 DSGVO – ein Problem auch bei vielen Krankenkassen

Art. 15 der Europ. Datenschutz-Grundverordnung (DSGVO) enthält grundlegende Regelung zum Auskunftsrecht betroffener Personen bei Stellen, die Daten von ihnen verarbeiten und speichern.

Ihre Krankenkasse hat mehr kritische Daten über Sie, als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften. Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten.

Ein Anfrage-Generator, der vom Verein Patientenrechte und Datenschutz e. V. bereitgestellt wird, hilft dabei, solch eine Anfrage zu erstellen. Mehr als 1.300 Versicherte haben dieses Angebot bisher genutzt und Auskünfte beantragt. Nach Rückmeldungen, die beim Verein Patientenrechte und Datenschutz e. V. eingingen, sind die Auskünfte in einer nennenswerten Zahl von Fällen unzureichend.

In seinem 17. Tätigkeitsbericht zum Datenschutz hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zu dieser Problematik im Abschnitt 5.5.2 (ab S. 42) zu diesem Problem Stellung genommen: Umfang der Auskunftserteilung nach Art. 15 DSGVO – ein Problem auch bei vielen Krankenkassen weiterlesen

Hessischer Datenschutzbeauftragter: Digitale Medizin findet nur mit wirksamem Datenschutz ausreichendes Vertrauen

In einer Pressemitteilung zu ihrem 128. Kongress prangert die Deutsche Gesellschaft für Innere Medizin (DGIM) in einer unseriösen und reißerischen Form den Schutz von Gesundheits- und Behandlungsdaten an. Der übertriebene Datenschutz sei ein Risiko für die Gesundheit vieler Menschen und gefährde sogar Menschenleben. Damit macht sich dieser Verband von Ärzt*innen, die dem hippokratischen Eid verpflichtet sein müsste, zum Sprachrohr von Interessengruppen, die an der unbegrenzten Nutzung von Gesundheits- und Behandlungsdaten interessiert sind. DGIM-Kongress-Präsident Professor Dr. med. Markus M. Lerch, versteigt sich zu der Aussage: „Auf der rechtlichen Ebene ist eine der dringlichsten Baustellen unser Umgang mit Daten und mit der Datenschutz-Grundverordnung (DSGVO) im Gesundheitswesen – eine Verordnung, die zwar europaweit gilt, jedoch vor allem in Deutschland in einer Art und Weise ausgelegt wird, die mitunter Leib und Leben von Patientinnen und Patienten gefährdet“.

Für den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, war dies Anlass, in einer umfangreichen Stellungnahme dieses Datenschutz-Bashing detailliert zurückzuweisen. Hessischer Datenschutzbeauftragter: Digitale Medizin findet nur mit wirksamem Datenschutz ausreichendes Vertrauen weiterlesen

„Same procedure as every year“: Minister Lauterbach beruft Lobbyisten als Abteilungsleiter„gematik, Telematikinfrastruktur, eHealth“ ins Bundesgesundheitsministerium

Das meldet der Berliner Tagesspiegel am 01.06.2022. Sebastian Zilch, bislang Geschäftsführer des Bundesverbands Gesundheits-IT (bvitg) ins Bundesgesundheitsministerium, wechselt in das Bundesgesundhitsministerium. Er soll dort künftig die Unterabteilung 52 „gematik, Telematikinfrastruktur, eHealth“ leiten. Seinen neuen Posten im Ministerium wird Zilch am 13.06.2022 antreten.

Der bvitg ist die Lobbyorganisation der in Deutschland führenden IT-Anbieter im Gesundheitswesen, darunter Bertelsmann-Arvato, Bitmarck und CompuGoup Medical. Zilch war lt. Tagesspiegel dort seit September 2014 beim bvitg tätig, zuerst als Referent Politik und ab Mitte 2017 als Geschäftsführer. „Same procedure as every year“: Minister Lauterbach beruft Lobbyisten als Abteilungsleiter„gematik, Telematikinfrastruktur, eHealth“ ins Bundesgesundheitsministerium weiterlesen

Gerichtsverfahren gegen Datensammlung der Krankenkassen – Eilanträge erfolgreich

Die Gesellschaft für Freiheitsrechte e.V. (GFF) reichte am 3.5.2022 gegen die Sammlung von Gesundheitsdaten durch die Datensammelstelle des Spitzenverbands der Krankenkassen zwei Eilanträge bei Sozialgerichten in Berlin und Frankfurt ein. In beiden Verfahren haben die gesetzlich versicherten klagenden Personen jetzt erreicht, dass ihre Gesundheitsdaten bis zum Abschluss des Verfahrens nicht an die Datenstelle der Krankenkassen weitergegeben werden dürfen. Das ist ein wichtiger Erfolg. Gerichtsverfahren gegen Datensammlung der Krankenkassen – Eilanträge erfolgreich weiterlesen

Offener Brief an Minister Lauterbach: Stoppen Sie die Telematik-Infrastruktur, sie ist teuer, aufwändig, störanfällig, kaum Nutzen bringend und geht an Bedürfnissen von Ärzt*innen und Patient*innen vorbei

Das ist die Kernaussage eines offenen Briefs, den das Bündnis für Datenschutz und Schweigepflicht, ein Zusammenschluß von Ärzt*innen und Psychotherapeut*innen aus Bayern am 11.05.2022 an Bundesgesundheitsminister Karl Lauterbach (SPD) gerichtet hat.

Im Schreiben an den Minister wird eingangs erklärt: „… herzlichen Dank, dass Sie die Einführung des e-Rezepts gestoppt haben, weil dessen Entwicklung unausgereift ist!“, um dann festzustellen: Allerdings sollte die TI insgesamt gestoppt werden… Nötig wären gesicherte, einfach zu bedienende Verbindungen von Praxen zu Kliniken, Apotheken und Patienten. Und dies mit Freiwilligkeit und dezentraler Datenspeicherung…“

Der offene Brief wurde von mehr als 400 Personen (vorwiegend Ärzt*innen und Psychotherapeut*innen) und dem Verein Patientenrechte und Datenschutz e. V. sowie der Bürgerrechtsgruppe dieDatenschützer Rhein Main unterzeichnet.

Bundesgesundheitsminister Lauterbach beim 126. Dt. Ärztetag: Freiwilligkeit bei der Nutzung der elektronischen Patientenakte soll bald zu Ende sein

Nur wer per Opt-out widerspricht, bekommt sie nicht: So möchte Bundesgesundheitsminister Karl Lauterbach (SPD) die elektronische Patientenakte regeln. Somit wird für jeden Bürger automatisch eine eigene, elektronische Patientenakte (ePA) angelegt – wer das nicht möchte, kann widersprechen. Damit bestärkt er die im Koalitionsvertrag aufgeführten Pläne der Ampelkoalition.“ Das meldet heise online in einem Beitrag über die Grußansprache von Bundesgesundheitsminister Karl Lauterbach (SPD) beim 126. Dt. Ärztetag.

Dass die ePA – gesetzlich eingeführt zum 01.01.2021 – bislang kein „Renner“ ist, machen Meldungen von Krankenkassen und Medien deutlich. In einem Beitrag des ARD-Magazins plusminus vom 18.08.2021 wird informiert: „In Deutschland haben sich bisher erst 260.000 Versicherte für die neue Patientenakte angemeldet“. Im Jahr 2020 waren in der Bundesrepublik rund 73,36 Millionen Menschen in der gesetzlichen Krankenversicherung versichert. Das bedeutet, dass bislang dautlich weniger als 1 % aller gesetzlich Krankenversicherten eine ePA für sich beantragt haben.

Dies möchte die Ampelkoalition aus SPD, Grünen und FDP offensichtlich mit brachialen Methoden ändern. In ihrem am 24.11.2021 veröffentlichten Koalitionsvertrag erklären Sie dazu: Bundesgesundheitsminister Lauterbach beim 126. Dt. Ärztetag: Freiwilligkeit bei der Nutzung der elektronischen Patientenakte soll bald zu Ende sein weiterlesen

Eine Klatsche für Ex-Minister Jens Spahn: Kritik am ungenügenden Nutzen und am Zulassungsverfahren für digitale Gesundheitsanwendungen (DiGA)

Jens Spahn (CDU) war Gesundheitsminister, verstand seine Behörde aber vor allem als Digitalisierungsministerium. Mit einem Gesetzes-Tsunami hat er die Digitalisierung des Gesundheitswesens eiligst vorangetrieben. „Minister Fleißig“ nannte ihn das Ärzteblatt bereits im Sommer 2019 und konstatierte: „16 Gesetze in 16 Monaten“. In den Jahren danach ging es im gleichen Tempo weiter. Dass viel nicht immer gut ist, ist eine Binsenweisheit.

Und dass dies auch für Spahn‘s Digitalisierungswahn gilt, machte vor wenigen Tagen der GKV-Spitzenverband deutlich. Er kritisiert hohe Kosten und einen teilweise geringen Nutzen von digitalen Gesundheitsanwendungen (DiGA). Die gesetzlichen Vorgaben für die Zulassung seien unzureichend. So gebe es z. B. im Leistungsbereich ein Missverhältnis hinsichtlich den niedrigen Zugangsvoraussetzungen für DiGA in Bezug auf Nutzennachweis und Wirtschaftlichkeit. In einem Bericht des GKV-Spitzenverband, der vom Bundestag veröffentlicht wurde (Bundestags-Drucksache 20/1647), ist dies detailliert nachzulesen. Eine Klatsche für Ex-Minister Jens Spahn: Kritik am ungenügenden Nutzen und am Zulassungsverfahren für digitale Gesundheitsanwendungen (DiGA) weiterlesen

Patientenrechte und Datenschutz e.V.