Gesellschaft für Informatik: Grobe Mängel in der Datentransparenzverordnung des Bundesgesundheitsministeriums zum Digitale-Versorgung-Gesetz

Die Datentransparenzverordnung (DaTraV) des Bundesgesundheitsministeriums (BMG) soll Details zum 2019 verab­schiedeten Digitale Versorgung-Gesetz (DVG) regeln, so auch die Weitergabe von Gesundheits- und Behandlungsdaten der Versicherten zu Forschungszwecken.

In einer Stellungnahme kritisiert der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) die vorgesehene zentrale Datensammlung sämtlicher gesetzlich Versicherter ohne Widerspruchsmöglichkeit.

  • Datenschutz und IT-Sicherheit seien nicht ausreichend berücksichtigt worden. Prof. Dr. Hartmut Pohl, Sprecher des Präsidiumsarbeitskreises Datenschutz und IT-Sicherheit erklärt dazu: „Im vorliegenden Referentenentwurf werden keinerlei Sicherheitsvorgaben oder Sorgfaltspflichten der Krankenkassen und des Spitzenverbands formuliert, mit denen Datenschutz und Sicherheit der Daten gewährleistet werden könnten. Aus der offiziellen Kommentierungsfrist von nur neun Tagen kann ich nur schließen, dass das BMG an einem Dialog mit der Fachöffentlichkeit nicht ernsthaft interessiert ist.“
  • Der GI-Arbeitskreis Datenschutz und IT-Sicherheit kritisiert, dass trotz der Verwendung von Pseudonymen eine eindeutige Identifizierung der Versicherten möglich ist. Zwar sei die Datenweitergabe zu Forschungszwecken grundsätzlich begrüßenswert, es bedürfe aber klarer Beschränkungen für die Nutzung dieser Daten. Dazu Prof. Dr. Hartmut Pohl: „Der Zugriff auf die Datenbestände der Versicherten ohne jegliche Beschränkung und Kontrolle stellt eine enorme Bedrohung für alle persönlichen und personenbezogenen Gesundheitsdaten dar. Wir fordern daher Nachbesserungen sowie eine umfangreichere Beteiligung des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in (BfDI) und der Fachöffentlichkeit.“

Die vollständige Stellungnahme des GI-Arbeitskreises finden Sie hier im Wortlaut.


Auch das Bundesverfassungsgericht musste sich bereits auf Grund eines Eilantrags mit den Regelungen im DVG zum Datentransfer von Versicherten-, Gesundheits- und Behandlungsdaten auseinander setzen. Mit Beschluss vom 19.03.2020 (Aktenzeichen: 1 BvQ 1/20) hat das Bundesverfassungsgericht (BVerfG) den Eilantrag zwar abgelehnt.

  • Mit Pressemitteilung vom 30. 04.2020 hat das BVerfG erklärt, dass das Verfahren „schwierige verfassungsrechtliche Fragen“ aufwirft, „über die im Eilverfahren inhaltlich nicht entschieden werden kann.“ Das BverfG „hatte deshalb aufgrund summarischer Prüfung im Rahmen einer Folgenabwägung zu entscheiden und den für die Prüfung der vorläufigen Außerkraftsetzung eines Gesetzes geltenden strengen Maßstab anzuwenden. Die Nachteile, die sich aus einer vorläufigen Anwendung der Vorschriften ergeben, wenn sich das Gesetz im Nachhinein als verfassungswidrig erwiese, sind nach Ansicht der Kammer zwar von erheblichem Gewicht. Sie überwiegen aber nicht deutlich die Nachteile, die entstünden, wenn die Vorschriften außer Kraft träten, sich das Gesetz aber später als verfassungsgemäß erwiese“, so das BverfG.
  • Zugleich stellt das BverfG aber auch fest: Eine noch zu erhebende Verfassungsbeschwerde wäre nach derzeitigem Stand weder offensichtlich unzulässig noch unbegründet, da aufgrund des sensiblen Charakters vieler erfasster Daten und deren flächendeckender Erhebung tiefe Eingriffe in das Persönlichkeitsrecht verbunden sein können, deren Rechtfertigung durch die vom Gesetzgeber verfolgten Gemeinwohlziele nur unter näherer Prüfung der Ausgestaltung im Einzelnen möglich ist.“

In der Pressemitteilung wird dies noch näher ausgeführt.

Bleibt zu hoffen, dass im weiteren juristischen Verfahren ggf. eine abweichende Entscheidung getroffen wird. Die Stellungnahme der GI wird dabei hilfreich sein können.

Petition „Keine zentrale Datenspeicherung sämtlicher Patientendaten“ – öffentliche Anhörung am 15. Juni im Bundestag

Im September 2019 veröffentlichte eine Gruppe von bayrischen Ärzt*innen und Psychotherapeut*innen eine Petition an den Bundestag mit der Forderung Keine zentrale Datenspeicherung sämtlicher Patientendaten / Anschluss von Arzt- und Psychotherapiepraxen an die Telematik-Infrastruktur (TI) nur auf freiwilliger Basis“. Sie wurde auf Papier und online von mehr als 64.000 Menschen unterzeichnet. Dies war Voraussetzung dafür, dass diese Petition im entsprechenden Ausschuss des Bundestags öffentlich beraten wird.

Am Montag, 15.06.2020 wird die öffentliche Anhörung stattfinden. Dr. Andreas Meißner, Facharzt für Psychiatrie und Psychotherapie aus München und Mitbegründer der Initiative Freiheit für 1 Prozent wird für die Initiator*innen der Petition an der Sitzung des Petitionsausschusses teilnehmen. Im Internet wird die Sitzung auf www.bundestag.de (für mobile Geräte unter m.bundestag.de) sowie im Parlamentsfernsehen live übertragen; die Aufzeichnung wird auf der Internetseite des Bundestages bereitgestellt. Petition „Keine zentrale Datenspeicherung sämtlicher Patientendaten“ – öffentliche Anhörung am 15. Juni im Bundestag weiterlesen

Spahns Patientendaten-Schutzgesetz (PDSG) – eine Kritik aus ärztlicher Sicht

Der Gesetzgeber maßt sich an, völlig praxisferne und unsichere Regelungen zu treffen, die tief in die Abläufe in den Arztpraxen eingreifen, noch mehr Bürokratie schaffen und von denen weder Ärzte noch Patienten profitieren. Im Gegenteil, das Ganze schadet der medizinischen Versorgung extrem.“ So fasst Dr. Silke Lüder, Vizevorsitzende der Freien Ärzteschaft und Sprecherin der Aktion: Stoppt die e-Card! ihre Kritik am Gesetzentwurf der Bundesregierung für ein Patientendaten-Schutz-Gesetz (PDSG) zusammen.

In einer umfangreichen Stellungnahme vom 31.05.2020 stellt Frau Dr. Lüder eingangs fest: Die Digitalisierung von Daten im Gesundheitswesen ist entgegen vieler anderslautender Behauptungen weit vorangeschritten. Nahezu alle Arztpraxen und Kliniken arbeiten mit digitalen Geräten und Akten. Auch ohne staatlichen Zwang hat sich das moderne Arbeiten zum Nutzen des Workflows und der Effizienz von Praxen und Kliniken durchgesetzt – immer orientiert am Nutzen für die Patientenbehandlung.“ Sie kritisiert die Gesetzgebungsflut von Bundesgesundheitsminister Jens Spahn (CDU): Während der Corona-Krise werden im Eilverfahren neue Gesetze durchgepeitscht, bei denen der konkrete Patientennutzen, die Anwenderfreundlichkeit und die Gewährung der informationellen Selbstbestimmung hinten herunterfallen. Schon im Digitale-Versorgung-Gesetz (April 2020) wurde darauf verzichtet, die künftigen Gesundheits-Apps vor Einführung unabhängig daraufhin zu prüfen, ob sie einen medizinischen Nutzen bringen. Im Vordergund stand eher, der IT-Industrie schnell Absatzchancen zu ermöglichen.“ Spahns Patientendaten-Schutzgesetz (PDSG) – eine Kritik aus ärztlicher Sicht weiterlesen

Entsetzen in Büren (NRW): Youtuber finden tausende Krankenakten und Röntgenbilder im früheren Klinikum

Auf seinem Streifzug durch sogenannte “Lost Places” (Vergessene Orte) hat ein Youtuber im heruntergekommenen St. Nikolaus-Hospital in Büren tausende Krankenakten und Röntgenbilder gefunden. Alle Personendaten lagen dort offen und ganze Krankengeschichten waren nachzulesen. Das berichtet die Neue Westfälische am 30.05.2020. Das ehemalige Krankenhaus im Kreis Paderborn sei seit zehn Jahren geschlossen, habe mehrfach den Besitzer gewechselt und gammele langsam vor sich hin. Obwohl eigentlich ein Sicherheitsdienst für die Immobilie zuständig sei, seien die Türen nicht verschlossen und der Zutritt problemlos möglich. Mittlerweile sei das Gebäude nach Angaben der Stadt abgesperrt und ein Ermittlungsverfahren wurde eingeleitet.

Es ist nicht der erste Skandal im Umgang mit Patientenakten; sicher wird es auch nicht der letzte bleiben. Entsetzen in Büren (NRW): Youtuber finden tausende Krankenakten und Röntgenbilder im früheren Klinikum weiterlesen

Telematik-Infrastruktur: Die gematik im „Lockdown“

 

Der Versichertenstammdatendienst ist aktuell in Teilen gestört.“ Diese Meldung ziert seit einigen Tagen die Homepage der gematik. In zwei Pressemitteilungen vom 28.05.2020 und 29.05.2020 wird die Misere umfangreich beschrieben, ohne eine schnelle Lösung des Problems anbieten zu können. Telematik-Infrastruktur: Die gematik im „Lockdown“ weiterlesen

Corona deckt die Schwachstellen und Fehlentwicklungen im Gesundheitswesen auf

Diese These belegt Dr. Bernd Hontschik, Chirurg aus Frankfurt und langjähriger Kritiker von Fehlentwicklungen im deutschen Gesundheitswesen, in einem längeren Interview in der Frankfurter Rundschau vom 30.05.2020.

Zu Beginn des Gesprächs benennt Dr. Hontschik als größtes Problem: Ökonomen haben das Kommando übernommen und die Medizin immer mehr an den Rand gedrängt. Sie ist bald nur noch Mittel zum Zweck… Das Sozialsystem Gesundheitswesen verkommt zu einer Gesundheitswirtschaft. Dividenden werden aus den Krankenkassenbeiträgen der Solidargemeinschaft generiert. Das muss aufhören. Sozialsysteme kann man nicht optimieren. Man verkauft ja auch nicht die Feuerwehr an Investoren und schaut dann zu, wie Stellen gestrichen werden, weil es länger nicht gebrannt hat.“

Und gefragt, was er ändern würde, wenn er Bundesgesundheitsminister wäre, benennt er vier Problembereiche, bei denen grundlegende Veränderungen nötig seien: Corona deckt die Schwachstellen und Fehlentwicklungen im Gesundheitswesen auf weiterlesen

Fresenius Medical Care bestätigt illegale Veröffentlichung von Patientendaten in Serbien in Folge von Hackerangriff

Fresenius Medical Care, ein weltweit führender Anbieter von Produkten und Dienstleistungen für Menschen mit Nierenerkrankungen, hat mitgeteilt, dass Patientendaten aus einigen seiner Dialysezentren in Serbien von unbefugten Dritten veröffentlicht worden sind. Das Unternehmen geht davon aus, dass ein Zusammenhang mit einem IT-Vorfall vor einigen Wochen besteht, der Teile der IT-Systeme von Fresenius betroffen hatte, und dass Hacker in der Lage waren, in diesem Zusammenhang Patienten- und Behandlungsdaten zu stehlen.

Quelle: Pressemitteilung von Fresenius Medical Care vom 21.05.2020.

CoronaApp: Wer ist verantwortlich für die Datenverarbeitung? Wie steht es um die Freiwilligkeit bei der Nutzung der App?

Zwei Fragen, denen Roland Schäfer nachgeht, Mitglied der Bürgerrechtsgruppe dieDatenschützer Rhein Main und freiberuflich als Datenschutzbeauftragter tätig. Er legt die Regelungen und Kriterien der Europ. Datenschutz-Grundverordnung (DSGVO) seiner Bewertung zu Grunde.

Im Beitrag Das Märchen von der Freiwilligkeit erläutert der Autor,

Im Beitrag Wer trägt die Verantwortung für den Datenschutz bei der sogenannten Corona-App?geht der Autos der Frage nach, welcher der vielen „Köche“ bei der Erstellung der CoronaApp letztendlich der Verantwortliche i. S. d. Art. 24 ff DSGVO für die Verarbeitung der bei der App-Nutzung anfallenden personenbezogenen Daten ist. Hier stellt er ähnliche Formen organisierter Verantwortungslosigkeit fest, wie sie die Datenschutz-Aufsichtsbehörden des Bundes und der Länder bereits wiederholt im Bereich der Telematikinfrastruktur im Gesundheitswesen festgestellt haben.

„Viel ist nie genug, wir wollen immer noch mehr“ – Industrieverbände fordern erweiterte Zugriffsrechte auf Gesundheits- und Behandlungsdaten

Mit dem „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz),  das am 19.12.2019 in Kraft getreten ist, wurden u. a. neue zentrale Datensammlungen von Gesundheits- und Behandlungsdaten geschaffen. In einer Stellungnahme der Digitale Gesellschaft e. V. wird dazu kritisch festgestellt, dass damit ein „Profiling mit Gesundheitsdaten durch die Krankenkassensowie eine Zentralisierung von Gesundheitsdatenermöglicht wird. Die Digitale Gesellschaft erklärt dazu: Explizites Ziel des Gesetzes ist es, eine bessere Nutzbarkeit von Gesundheitsdaten für Forschungszwecke zu ermöglichen, da die ‚Sozialdaten der Krankenkassen‘ als ‚eine wertvolle Datenquelle‘ betrachtet werden. Da die Daten bisher zu wenig genutzt würden, soll der Zugang erleichtert werden, ‚um eine breite wissenschaftliche Nutzung unter Wahrung des Sozialdatenschutzes zu ermöglichen‘. Der Spitzenverband Bund der Krankenkassen fungiert als Datensammelstelle aller Daten aus den Krankenkassen. Dieser gibt die Daten an ein Forschungsdatenzentrum weiter. Die Daten sollen selbstverständlich auch zur Steuerung und Weiterentwicklung der Gesundheitsversorgung in der GKV dienen. Vorgesehen ist eine Pseudonymisierung der Daten. Dass weder Pseudonymisierung noch Anonymisierung in Zeiten von big data dazu führen, dass die Daten nicht wieder zur Identifikation einzelner Patienten und Patientinnen genutzt werden können, hat eine wissenschaftliche Untersuchung gerade (noch einmal) gezeigt.“

Acht Verbänden der Biotechnologie-, Elektro-, Medizintechnik- und Pharmaindustrie ist dies nicht genug. Sie fordern in einer Stellungnahme zum Entwurf des Patientenrechte-Datenschutz-Gesetz (PDSG) Zugriffsrechte auf diese Daten auch für die Privatunternehmen ihrer Branchen. In einer Stellungnahme  unter dem Titel Gesundheitsdaten retten Leben: geregelten Zugang und Nutzung für private Forschungermöglichen“ fordern sie:

Um die Möglichkeiten der Digitalisierung für die Gesundheitsversorgung in Deutschland umfassend zu nutzen, braucht es einheitliche Regelnf ür den transparenten Zugang zu Versorgungs-und Forschungsdaten. Das gilt nicht nur für forschende Institute, sondern auch für die forschende Gesundheitswirtschaft… Datenfreigabe schafft Mehrwert für die Forschung. Die Verbände der eHealth-Allianz begrüßen, dass im Gesetzentwurf zum Patientendaten-Schutz-Gesetz (PDSG) erstmalig die Rechtsgrundlage für eine freiwillige Datenfreigabe über die elektronische Patientenakte (ePA) geschaffen wurde… Die Erweiterung der Datenfreigabe im Gesetzentwurf auf alle Dokumente und Daten der ePA bietet der Forschung deshalb einen echten Mehrwert… Antragsberechtigung der privaten Forschung beim Forschungsdatenzentrum ermöglichen. Dennoch bleibt das Potenzial privater Forschung ungenutzt. Auch nach dem Gesetzentwurf zum PDSG bleibt die Antragsberechtigung beim Forschungsdatenzentrum ausschließlich auf die Selbstverwaltung und der öffentlichen Forschung begrenzt.Dies trifft ebenfalls für die Daten der ePA zu. Der Ausschluss privater Forschung von der Antragsberechtigung beim Forschungsdatenzentrum ist nicht sachgerecht und zukunftsweisend… Notwendig ist aus Sicht der Verbände der eHealth-Allianz die Ergänzung eines eigenständigen Antragsrechts der privaten Forschung beim Forschungsdatenzentrum und damit die Ergänzung als berechtigte Institution nach § 303e Absatz 1SGB V…“

Die Verbände, die die oben auszugsweise zitierte Stellungnahme abgegeben haben.

Patientenrechte und Datenschutz e.V.