Doctolib will KI-Modelle mit (anonymisierten) Patientendaten trainieren

Doctolib SAS ist ein französisches Technologieunternehmen. Es bietet eine Software an, die unter anderem die Online-Buchung von Terminen bei Ärzt*innen und Psychtherapeut*innen und die Kommunikation zwischen Ärzt*innen und Patient*innen ermöglicht. Die Doctolib GmbH mit Sitz in Berlin ist ein deutsches Tochterunternehmen der Doctolib SAS.

Eigenwerbung der Doctolib GmbH 

In Kürze will Doctolib mit anonymisierten Patientendaten KI-Modelle trainieren. Dafür hat das Unternehmen im Januar 2025 Änderungen an seiner Datenschutzerklärung vorgenommen. Darauf wurde erstmals in einem Beitrag von Netzpolitik.org vom 24.01.2025 hingewiesen. Doctolib will KI-Modelle mit (anonymisierten) Patientendaten trainieren weiterlesen

Riesiges Datenleck bei ZAR-Reha-Kliniken entdeckt

Unter dem Dach der Nanz medico GmbH & Co. KG sind mit dem Begriff ZAR (Reha Zentren für ambulante Rehabilitation) mehr als 30 ambulante Rehabilitationszentren in Deutschland vereint. Die Eigenwerbung lautet: „Deutschlands Nr. 1 für ambulante Reha“.

Am 30.01.2025 meldete heise.de: Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte.“ Aus dem Beitrag geht hervor, wie das Problem bekannt wurde: Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen. Der Komfort hatte jedoch ungewollt einen hohen Preis: Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat… Hackerkenntnisse waren zur Einsicht der Daten nicht nötig… Beim Aufruf der URL des Servers, von dem die App die Termine lud… wurden automatisch Informationen über weitere Pfade auf dem Server übertragen. Unter diesen Pfaden waren personenbezogene Daten ohne Zugangskontrolle abrufbar – weiterhin über eine ungeschützte Klartext-Verbindung. Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden… Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück. Über welchen Zeitraum der Zugriff möglich war und wer auf die Daten zugegriffen hat, ist bislang unklar.“ Riesiges Datenleck bei ZAR-Reha-Kliniken entdeckt weiterlesen

Fritze Merz, privatversicherter Blackrock-Manager und Millionär spricht – ohne jede Sachkenntnis – über den Schutz der Gesundheits- und Behandlungsdaten von 74 Mio. gesetzlich versicherten Menschen in Deutschland

Bei einer Rede am 30.01.2025 in Dresden hat Friedrich Merz, Vorsitzender und Kanzlerkandidat der CDU erklärt (ab Minute 31:50): „Wenn wir zum Beispiel alle Mittel, die wir haben mit der Gesundheitskarte, also einer elektronischen Karte, wo alle Daten drauf sind, nutzen würden und sagen: Also jeder der seine Daten bereit ist auf dieser Karte zu speichern, bekommt zehn Prozent weniger Krankenversicherungsbeiträge als derjenige der Angst hat und sagt ich will das nicht, meine Daten sollen da nicht verwendet werden… Ich sage Ihnen meine Antwort: Ich bin vollkommen offen dafür, das zu machen. Auch persönlich würds sofort machen, weil ich glaube in unserem Land wird zu viel über Datenschutz geredet und zu wenig über Datennutzung…“ (Beifall und lautstarke Zustimmung aus dem Publikum).

Das klingt, als würde ein Blinder über Farben reden. Fern jeder Sachkenntnis über die Funktionen der elektronischen Gesundheitskarte (eGk), der elektronischen Patientenakte (ePA) und der gesamten Telematik-Infrastruktur. Vielleicht sollte ihm die gematik noch vor der Bundestagswahl Nachhilfeunterricht erteilen, damit er zu diesem Thema nicht weiter Blech redet. Fritze Merz, privatversicherter Blackrock-Manager und Millionär spricht – ohne jede Sachkenntnis – über den Schutz der Gesundheits- und Behandlungsdaten von 74 Mio. gesetzlich versicherten Menschen in Deutschland weiterlesen

Elektronische Patientenakte (ePA): Objektive Aufklärung über Risiken und Nebenwirkungen fehlt!

Seit dem angekündigten Einführungstermin für die ePA läuft eine Werbekampagne für die zentrale Speicherung von Krankheitsdaten auf allen Kanälen. Der Bundesgesundheitsminister verspricht, dass wegen der ePA künftig mehrere 10 000 Leben im Jahr gerettet werden können. Außerdem habe „die Datensicherheit bei der ePA höchste Priorität“. Kurz vor Einführung haben Datensicherheitsexperten vom Chaos Computer Club genau das Gegenteil nachgewiesen. Wie steht es nun um die „ePA für alle“? Das Redaktionsteam vom Bündnis „Widerspruch gegen die elektronische Patientenakte“ welches seit langem über Risiken und Nebenwirkungen aufklärt, hat bei Fachleuten nachgefragt.

Sind die Krankheitsdaten aller Bürger in der ePA sicher? Elektronische Patientenakte (ePA): Objektive Aufklärung über Risiken und Nebenwirkungen fehlt! weiterlesen

Karl Lauterbach – der Potemkin des 21. Jahrhunderts

Man muss unterrscheiden zwischen der legendären Figur „Fürst Potemkin“, dem Erbauer der Potemkinschen Dörfer. Mit dieser legendären Figur ist nur noch unser Gesundheitsminister zu vergleichen. (Mit dem realen Grigori Alexandrowitsch Potjomkin hat Lauterbach selbstverständlich keinerlei Gemeinsamkeiten!) Das Potemkinsche Dorf besteht aus lauter Kulissen, um jemanden zu beeindrucken. Die elektronische Patientenakte (ePA) ist bis auf Weiteres ein Potemkinsches Dorf.

Mythos und Realität der ePA

Der Gesundheitsminister behauptet hier, die „ePA für alle“ würde ab 15. Januar 2024 zur Verfügung stehen. Was diese ePA alles können soll, ist bemerkenswert. Der Minister hat den ePA- Leistungsumfang im „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz — DigiG)“ in die jetzt gültigen §§ 341 und 342 des Sozialgesetzbuches, 5. Buch (SGB V.) hinein schreiben lassen. Vor allem sollen

Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen

seit 15.01.25 für alle 70 Millionen Versicherten in der ePA verfügbar sein. Karl Lauterbach – der Potemkin des 21. Jahrhunderts weiterlesen

Urteil des Bundesgerichtshofs (BGH) zum Verfahren vor Einwilligung in medizinische Eingriffe

Zur Aufklärung über medizinische Eingriffe muss ein mündliches Gespräch gehören, das über schwerwiegende und seltene Risiken aufklärt. Schriftliche Unterlagen können nur als Stütze dienen, etwa zur Wiederholung des Gesagten.

Das stellte der Bundesgerichtshof mit Urteil vom 05.11.2024, Aktenzeichen: VI ZR 188/23) fest. Der BGH gab damit der Revision eines Patienten statt, der seinen Arzt wegen fehlerhafter Aufklärung über OP-Risiken verklagt hatte. Urteil des Bundesgerichtshofs (BGH) zum Verfahren vor Einwilligung in medizinische Eingriffe weiterlesen

Techniker Krankenkasse (TK) versendet einschüchternde Schreiben an Versicherte – ein weiteres Beispiel

Ein Versicherter, der gegenüber der TK Widerspruch gegen die Einrichtung einer elektronischen Patientenakte (ePA) eingelegt hat, erhielt von seiner Krankenkasse ein Schreiben, in dem der Satz steht: Wenn Ihre ePA gelöscht wurde, können Arztpraxen, Krankenhäuser und andere Leistungserbringer keine Daten mehr austauschen.“

Diese Feststellung kann verunsichernd wirken und tut dies auch. Aber sie ist falsch!
Techniker Krankenkasse (TK) versendet einschüchternde Schreiben an Versicherte – ein weiteres Beispiel weiterlesen

Techniker Krankenkasse (TK) versendet einschüchternde Schreiben an Versicherte

Neben dem Widerspruch gegen die Einrichtung einer elektronischen Patientenakte und unabhängig davon räumt § 25b SGB V die Möglichkeit ein, Widerspruch gegen die datengestützte Erkennung individueller Gesundheitsrisiken durch die Kranken – und Pflegenkassen einzulegen.

§ 25b SGB V wurde im März 2024 durch das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG) in das SGB V eingefügt. Er gibt den Krankenkassen das Recht, die bei ihnen vorliegenden Abrechnungsdaten ärztlicher Leistungen, mit denen den Krankenkassen auch die ICD-Codes bekannt werden, auszuwerten und ihre Versicherten auf die Ergebnisse dieser Auswertung hinzuweisen, soweit die Auswertungen der Erkennung von seltenen Erkrankungen, Krebserkrankungen, schwerwiegenden Gesundheitsgefährdungen, die durch die Arzneimitteltherapie entstehen können, Erkennung einer noch nicht festgestellten Pflegebedürftigkeit, ähnlich schwerwiegender Gesundheitsgefährdungen oder der Erkennung von Impfindikationen für Schutzimpfungen dienen. Der Gesetzgeber räumt damit den Krankenkassen bei den genannten (potentiellen) Gesundheitsrisiken das Recht ein, unabhängig von den von den Versicherten konsultierten Ärzt*innen eigene Empfehlungen an ihre Versicherten abzugeben. Das sieht so aus, als würde der Gesetzgeber den Krankenkassen mehr an Erkenntnissen zutrauen als den unmittelbar behandelnden medizinischen Fachkräften. Techniker Krankenkasse (TK) versendet einschüchternde Schreiben an Versicherte weiterlesen

Mangelnde Cybersicherheit in Krankenhäusern der Schweiz

SRF (Schweizer Rundfunk und Fernsehen) meldet am 23.01.2025: „Schweizer Spitäler sind leichte Ziele. IT-Sicherheitsexperten konnten Patientendaten einsehen und ins Herz der Kliniksysteme eindringen. Die Schwachstellen seien ‚offensichtlich und leicht auszunutzen‘… Schweizer Spitäler und Kliniken setzen bei ihrer IT primär auf drei Anbieter: Bei all diesen habe es kritische Sicherheitsmängel gegeben, so der Bericht…“

Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt

Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet wegen eines rechtswidrigen Austauschs personenbezogener Daten. „Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kund*innen in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, erläutert die Landesdatenschutzbeauftragte, Bettina Gayk. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt weiterlesen

Patientenrechte und Datenschutz e.V.