Alle Beiträge von gesunde_daten

Stellungnahme des Bundesdatenschutzbeauftragten zu einem Datenschutzverstoß der Telematik-Infrastruktur

9. März 2022 gesunde_daten Schreibe einen Kommentar

Dem Bundesdatenschutzbeauftragten (BfDI) wurde von Hinweisgebern gemeldet, dass es im Zusammenspiel von elektronischen Gesundheitskarten und den Konnektoren der Telematik-Infrastruktur zu Datenschutzverstößen gekommen sein soll. Dazu haben den BfDI viele Fragen erreicht, von denen die häufigsten auf der Homepage des BfDI beantwortet werden.

Zu folgenden Problembereichen wird vom BfDI Stellung genommen:

Zu der Frage „Liegt ein Datenschutzverstoß vor?“ stellt der BfDI fest: „Bei den gespeicherten Seriennummern der eGK-Zertifikate von gesperrten elektronischen Gesundheitskarten handelt es sich um personenbezogene Daten. Die Speicherung dieser Daten erfolgte ohne Rechtsgrund und ist somit unzulässig. Zudem ermöglicht allein die Speicherung im Konnektor einen (unbefugten) Zugang der Nutzenden beziehungsweise der von ihnen beauftragten Administratoren zu den gespeicherten Seriennummern der eGK-Zertifikate gesperrter Gesundheitskarten. Auf diese Weise wird die Möglichkeit eröffnet, dass diese Daten an Dritte weitergegeben werden können. Somit liegt eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO vor.“

Blog, Telematik-Infrastruktur

Bundesgesundheitsminister Karl Lauterbach (SPD) stoppt die Einführung der elektrischen Arbeitsunfähigkeitsbescheinigung (eAU) und des elektronischen Rezepts

5. März 2022 gesunde_daten Schreibe einen Kommentar

Das teilt die Kassenärztliche Bundesvereinigung (KBV) am 04.03.2022 mit. Der Bundesgesundheitsminister habe eigenen Angaben zufolge beide Vorhaben gestoppt. Was noch nicht 100-prozentig ausgereift sei, könne nicht in die Fläche gebracht werden, sagte er in der KBV-Veranstaltung Im PraxisCheck am 03.03.2022. Er wies auf die hohe Fehleranfälligkeit hin, auch sei der Nutzen nicht klar. „Wenn ich beispielsweise ein elektronisches Rezept ausstelle und muss die Quittung dafür noch gedruckt aushändigen – das kann noch nicht überzeugen.“ Lauterbach kündigte eine „Strategiebewertung“ in seinem Ministerium an. Digitale Anwendungen „müssen einen spürbaren Nutzen für Arzt und Patienten haben“, stellte er klar. eAU und eRezept seien nicht die Applikationen, bei denen Ärzte und Patienten sagen würden, „das bringt uns jetzt nach vorn“, so der Minister. Beide Anwendungen würden nach ausreichender Testung dennoch kommen. Den Zeitpunkt ließ der Minister noch offen. Bundesgesundheitsminister Karl Lauterbach (SPD) stoppt die Einführung der elektrischen Arbeitsunfähigkeitsbescheinigung (eAU) und des elektronischen Rezepts weiterlesen →

Blog, Telematik-Infrastruktur

Wegen massiver Datenschutzprobleme: Kassenzahnärztlichen Vereinigung Bayerns fordert Stopp der Telematikinfrastruktur

5. März 2022 gesunde_daten Schreibe einen Kommentar

Am 25.02.2022 Februar wurde durch einen Beitrag auf heise online bekannt, dass es bei der Telematikinfrastruktur (TI) massive Datenschutzprobleme gibt. Einige Konnektoren zeichnen personenbezogene Daten von Patienten auf und verstoßen damit gegen die Datenschutzgrundverordnung (DSGVO) sowie die Spezifikationen, wie sie von der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben sind. Die Kassenzahnärztliche Vereinigung Bayerns (KZBV) fordert Konsequenzen: „…den weiteren Ausbau der TI jetzt unverzüglich stoppen„. Wegen massiver Datenschutzprobleme: Kassenzahnärztlichen Vereinigung Bayerns fordert Stopp der Telematikinfrastruktur weiterlesen →

Blog

Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen

31. Januar 2022 gesunde_daten Schreibe einen Kommentar

Einer gesetzlich krankenversicherte Klägerin wurde vom Oberlandesgericht (OLG) Düsseldorf ein Schmerzensgeld i. H. v. 2.000 € zuerkannt, da ihre Krankenkasse die von ihr erbetenen Unterlagen – ohne die E-Mail oder den Dateianhang zu verschlüsseln oder zu pseudonymisieren – versehentlich an die E-Mail-Adresse eines unbeteiligten Dritten gesandt hatte. Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen weiterlesen →

Blog

Datenschutzrechtliche Pflichten aus einem ärztlichen Behandlungsvertrag – oder: Wie in Kliniken rechtswidrige Zugriffe auf Patient*Innen- und Behandlungsdaten stattfinden

25. Januar 2022 gesunde_daten Schreibe einen Kommentar

Mit dieser Thematik musste sich das Landgericht Flensburg auseinander setzen. Kläger war der Chefarzt der Inneren Abteilung eines Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 in der kardiologischen Abteilung des gleichen Krankenhauses behandelt. Im Zeitraum seiner Behandlung griffen Mitarbeiter*innen der Krankenhauses etwa 150-mal auf seine Patienten- und Behandlungsdaten zu. Nach Wiederaufnahme seiner Tätigkeit erhielt der Kläger Kennnis davon. In einem Gespräch mit dem betrieblichen Datenschutzbeauftragten des Krankenhauses analysierte der Kläger die erfolgten Zugriffe und identifizierte einige der Zugriffe als datenschutzrechtlich fragwürdig bzw. illegal. Der Kläger forderte das Krankenhaus auf, ihm Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Er wandte sich zudem mit einer Beschwerde an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Bei seinen Recherchen stellte der Kläger auch fest, dass es bis Mai 2019 an mehreren Computern des Krankenhauses möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe eines Patient*innen-Namens den Koronarfilm und die bei diesem durchgeführte Dilatation der Herzkranzgefäße einzusehen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können.

Die (zwischenzeitlich gewechselte) Geschäftsführung des Krankenhauses erklärte im Nachhinein: „Das Ergebnis der Prüfung der Zugriffe hat ergeben, dass die vier genannten Zugriffe zum Zwecke der Behandlung von Dr. S. nicht erforderlich waren. Aus datenschutzrechtlicher Sicht wurden alle vier Zugriffe von unserem Datenschutzbeauftragten als nicht zulässig bewertet. Dieser Sachverhalt wurde jedoch von der zum Zeitpunkt des aufgenommenen Verstoßes verantwortlichen Geschäftsführung z.T. anders bewertet. … Die Zugriffe waren aus meiner heutigen Sicht nicht zulässig.“

Der Kläger begehrte Schadensersatz und Schmerzensgeld wegen unberechtigter Zugriffe auf seine Patientendaten. Diesem Anspruch lehnte das Landgericht Flensburg mit Urteil vom 19.11.2021 (Aktenzeichen: 3 O 227/19) zwar u. a. wg. Verjährung der Ansprüche ab. In den Leitsätzen seines Urteils stellt das Gericht aber unmissverständlich fest: „Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen…“

Dass der sorglose bzw. fahrlässige Umgang mit Zugriffrechten von Krankenhaus-Beschäftigten auf Patient*Innen- und Behandlungsdaten kein Einzelfall sind, machen Beispiele aus Thüringen, Frankfurt und Offenbach deutlich.

Blog, Telematik-Infrastruktur

PraxisBarometer der Kassenärztlichen Bundesvereinigung: teilweise vernichtende Ergebnisse für die gematik und die Hau-Ruck-Digitalisierungspolitik im Gesundheitswesen

21. Januar 2022 gesunde_daten Schreibe einen Kommentar

Ende 2021 haben sich 2.836 Ärzt*innen und Psychotherapeut*innen an einer Befragung der Kassenärztlichen Bundesvereinigung (KBV) zu ihren Erfahrungen mit und Erwartungen an die Digitalisierung im Gesundheitswesen geäußert. Mit teilweise vernichtenden Ergebnissen für die gematik und die Hau-Ruck-Digitalisierungspolitik des früheren Bundesgesundheitsministers Jens Spahn (CDU). PraxisBarometer der Kassenärztlichen Bundesvereinigung: teilweise vernichtende Ergebnisse für die gematik und die Hau-Ruck-Digitalisierungspolitik im Gesundheitswesen weiterlesen →

Blog

Hackerangriff auf Klinikverbund Medizin Campus Bodensee

13. Januar 2022 gesunde_daten Schreibe einen Kommentar

Der Klinikverbund Medizin Campus Bodensee im Bodenseekreis (Baden-Württemberg) ist seit 13.01.2022 von einem Hackerangriff betroffen. In den Kliniken Friedrichshafen und Tettnang fiel die komplette Informationstechnik aus. In einer Pressemitteilung erklärt die Klinikleitung:

„In den frühen Morgenstunden des heutigen Tages (13. Januar) wurde das IT-System des Medizin Campus Bodensee (MCB) gehackt. Von diesem cyber-kriminellen Angriff ist der Klinikverbund, sind also das Klinikum Friedrichshafen und die Klinik Tettnang, nach der ersten Bestandsaufnahme hauptsächlich administrativ betroffen. Vorsorglich wurden alle Server und Geräte heruntergefahren, um eine weitere Verbreitung der Schadsoftware zu verhindern. Hackerangriff auf Klinikverbund Medizin Campus Bodensee weiterlesen →

Blog, Newsletter-Archiv

Newsletter 2025-01

1. Januar 2022 gesunde_daten Schreibe einen Kommentar

Sehr geehrte Damen und Herren,
liebe Vereinsmitglieder,

unser Newsletter für Januar 2025 mit folgenden Themen:

Wir suchen neue Mitstreiter*innen und Aktivist*innen

Du bist Expertin oder Experte für Recht oder Informationsverarbeitung? Du hast Erfahrung mit, oder Interesse an Gesundheitsversorgung oder Medizin? Du sorgst Dich um den Schutz Deiner medizinischen Daten?
Dann lauf zu uns über! Wir brauchen dich dringend.
Oder du willst Hand anlegen bei der Veränderung der Verhältnisse im Gesundheitswesen, insbesondere im Bezug auf die Digitalisierungsprozesse. Für selbstgefällige Gruppen, die im eigenen Saft schmoren und dort glücklich sind, ist deine Zeit zu schade. Mit moralischen Geschichten gefüttert zu werden, findest du langweilig. Schrecklich fändest du es, anderen moralische Geschichten zu erzählen.
Dann komm zu uns! Wir brauchen dich!
Dass du dich mit Mitstreitenden vor allem am Computer triffst, und nicht live, damit kannst du leben.
Dann bist du bei uns richtig! Wir brauchen dich!

Wir sind ein kleiner Verein, der sich nach Jahren integrer Kleinarbeit jetzt im Herzen einer kleinen Massenbewegung befindet, die sich kritisch mit der Einführung der opt-Out-Patientenakte (ePA) auseinandersetzt. Viele Menschen wollen nicht, dass Informationen über ihre Körperlichkeit verschleudert werden. Das droht durch die (unmittelbar bevorstehende) Einführung der elektronischen Patientenakte (ePA) für alle; aber auch durch die in Kürze zu erwartenden Entscheidungen auf EU-Ebene zu EHDS (European Health Data Space – Europäischer Gesundheitsdatenraum). Derzeit erreichen uns viele Anfragen nach Plakaten und Flugblättern, nach Veranstaltungen und Büchern, es hageln Hilfsangebote und neue Anforderungen. Wir schätzen Mitstreitende und ihre Unterschiede, schaffen Strukturen, arbeiten strukturiert, machen Fehler, lernen daraus und brauchen dafür mehr Mitstreitende.

Für einen ersten Eindruck von uns benutze unsere Website als Sprungbrett: https://patientenrechte-datenschutz.de/
Melde dich bei uns, unter kontakt@patientenrechte-datenschutz.de.

Wir freuen uns auf dich
Die bisher schon Aktiven im Verein Patientenrechte und Datenschutz e. V.

ePA (elektronische Patientenakte):

1.
Es wird ernst: In Kürze werden uns und alle mehr als 74 Mio. gesetzlich krankenversicherten Menschen in Deutschland ohne eigenes aktives Zutun per Gesetz mit einer ePA „beglückt“. Der Widerstand entwickelt sich zwar sowohl unter Verbänden von Ärzt*innen und Psychotherapeutinnen, Versicherten, Datenschützer*innen und Verbraucherschützer*innen. Auch kritische Beiträge in den Medien sind zu finden. Aber noch immer dominieren die in Teilen schönfärberischen und in Teilen falschen Information über die ePA durch das Bundesgesundheitsministerium und die gesetzlichen Krankenkassen die Medien und das öffentliche Bewussstsein.

2.
Das Bündnis von Ärzt*innen und Versicherten sowie Vertreter*innen vd. einschlägiger Organisationen, das in Sachen opt-out-ePA gegründet wurde, bietet seit Ende September 2024 mit dem Widerspruchs-Generator die Möglichkeit, mit Hilfe dieses Generators (https://widerspruch-epa.de/widerspruchs-generator/) Widersprüche bei der jeweiligen Krankenkasse einzureichen. Dies wurde bereits von deutlich mehr als 10.000 Menschen genutzt, ist aber noch stark ausbaufähig.

3.
Für den 13.01.2025 19:00 Uhr wurde das nächste Online-Treffen des Bündnis Widerspruch-ePA vereinbart.Wer daran teilnehmen möchte, kann sich zum genannten Zeitpunkt einfach spontan einwählen unter https://public.senfcall.de/epa.

EHDS (European Health-Data-Space – Europäischer Gesundheitsdatenraum)

Der finale Gesetzestxt ist auf der Homepage der EU veröffentlicht: https://www.europarl.europa.eu/plenary/en/infos-details.html?id=1450&type=priorityInfo (Achtung: Der Text hat einen Umfang von mehr als 300 Seiten). Der Entwurf muss nur noch vom Ministerrat der EU abgesegnet und im Amtsblatt der EU veröffentlicht werden, dann ist ergeltendes Recht.

Mit freundlichen Grüßen und den besten Wünschen für das Jahr 2025
Der neu gewählte Vorstand des Vereins Patientenrechte und Datenschutz e. V.
A. Buss, B. Scheffold, U. Schmitt

Blog, Telematik-Infrastruktur

Erster Erfolg für Kassenärztliche Vereinigung Bayern: Mehr als 50.000 Unterstützer*innen der Petition „Einjährige Testphasen für alle TI-Anwendungen einführen!“

30. Dezember 2021 gesunde_daten Schreibe einen Kommentar

Die Online-Petition der Kassenärztlichen Vereinigung Bayern (KVB) zu ausreichenden Testphasen für Anwendungen in der Telematikinfrastruktur (TI) hat das gesteckte Ziel von 50.000 Unterstützern in vier Wochen klar erreicht. Das teilte der Vorstand der Kassenärztlichen Vereinigung Bayerns (KVB) am 30.12.2021 in München mit. Erster Erfolg für Kassenärztliche Vereinigung Bayern: Mehr als 50.000 Unterstützer*innen der Petition „Einjährige Testphasen für alle TI-Anwendungen einführen!“ weiterlesen →

Blog, Telematik-Infrastruktur

Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA)

30. Dezember 2021 gesunde_daten 2 Kommentare

Ein Versicherter, der Mitglied der DAK-Gesundheit ist, hat dem Verein Patientenrechte und Datenschutz e. V. und der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur anonymisierten Veröffentlichung ein Schreiben überlassen, das er zu diesem Thema an das Bundesamt für Soziale Sicherung (BAS) gerichtet hat. Das BAS hat die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung.

In seinem Schreiben erklärt der Versicherte: „… als Mitglied der DAK-Gesundheit habe ich erwogen, ggf. die elektronische Patientenakte (ePA) der DAK zu beantragen. Beim Blick in die Bedingungen, die ich dafür akzeptieren müsste, habe ich aber gestutzt. In den ‚Allgemeinen Nutzungsbedingungen der DAK-Gesundheit zur Nutzung des Identifizierungs- und Access-Management-Tools (IAM)‘“ – damit kann bei der DAK elektronische Patientenakte (ePA) beantragt werden – „habe ich gelesen“: Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA) weiterlesen →

Patientenrechte und Datenschutz e.V.