Alle Beiträge von Jan

Patientendaten-Schutzgesetz stoppen!

Ein Bündnis von Patienten-Datenschützern fordert eine grundlegende Überarbeitung des Gesetzentwurfs der Bundesregierung für ein Patientendaten-Schutzgesetz (PDSG) bzw. den Stopp seiner Einführung. Das Bündnis kritisiert aus Datenschutzgründen

  • die elektronische Patientenakte,
  • den Betreiber der Telematikinfrastruktur (TI), die gematik,
  • Regelungen zur Organspende und Vorsorgevollmacht,
  • die Einführung von elektronischen Rezepten und
  • die Intransparenz bei der Vergabe von Aufträgen an die IT-Wirtschaft.

In einer umfangreichen Stellungnahme zum Gesetzesentwurf der Bundesregierung (Stand 01.04.2020) bemängelt das Bündnis zahlreiche Unstimmigkeiten des vorliegenden Gesetzestextes.

Bundesverfassungsgericht gibt Klagen gegen Spahn eine Chance

Das Bundesverfassungsgericht hatte es in dieser Entscheidung ebgelehnt, eine einstweilige Anordnug zu erlassen, mit der ein Kläger die Weitergabe von Gesundheitsdaten zu Forschungszwecken stoppen wollte. Mit Spahns “digitalem Versorgungsgesetz” (DVG) war Anfang 2020 vorgesehen worden, dass die Krankenkassen alle Gesundheitsdaten, die bei ihnen anfallen, und zusätzlich Wohnort, Alter und Geschlecht des Versicherten an eine Datenstelle ihres Spitzenverbandes liefern. Dort werden sie personenbezogen zusammengeführt. Die Versichertennummer wird durch ein Pseudonym ersetzt. Dieser Datenbestand steht dann Forschungseinrichtungen offen. Zu ihnen gehören alle deutschen Universitäten.

Es ist längst vielfach erwiesen, dass die Identifikation der betroffenen Person bei solchen Daten ein Kinderspiel ist, wenn man nur zwei bis drei Informationen über den Betroffenen hat, z.B. Wohnort, Alter und Datum eines Arztbesuchs. Deshalb hatten  Datenschützer dieses Gesetz kritisiert.

Das Verfassungsgericht hat in seiner Entscheidung aber keineswegs für das Gesetz grünes Licht gegeben. Es hat nur entschieden, dass kein Ausnahmefall vorliegt, in dem das Gesetz sofort gestoppt werden muss. Eine Verfassungsbeschwerde unmittelbar gegen das Gesetz ist weiterhin möglich. Das Gericht schreibt dazu:

“Eine gegebenenfalls noch zu erhebende Verfassungsbeschwerde wäre nach derzeitigem Erkenntnisstand nicht offensichtlich unzulässig oder unbegründet. Der Antragsteller bringt gewichtige Bedenken gegen die streitgegenständlichen Vorschriften vor. Darüber hinaus waren diese bereits im Gesetzgebungsverfahren umstritten; die Verhältnismäßigkeit der angegriffenen Vorschriften wurde unter den Aspekten des Reidentifikationsrisikos, der Datensicherheit insbesondere im Hinblick auf die Möglichkeit einer Verschlüsselung der Daten statt einer Anonymisierung oder Pseudonymisierung und des Selbstbestimmungsrechts der gesetzlich Versicherten über ihre Daten diskutiert sowie mit Blick auf den sensiblen Charakter der genutzten Daten auch in Teilen bezweifelt (vgl. BRDrucks 360/19 [Beschluss], S. 9; BT-Plenarprotokoll 19/116, S. 14291B, C, D; BT-Plenarprotokoll 19/124, S. 15366A, B, 15368C, D, S. 15369B, C; siehe auch BT-Ausschussprotokoll 19/63, S. 17 ff.). Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hatte im Gesetzgebungsverfahren in einer Stellungnahme vom 23. Oktober 2019 Bedenken geäußert. In einem gegebenenfalls durchzuführenden Hauptsacheverfahren würden sich komplexe Fragen der verfassungsrechtlichen Datenschutzdogmatik stellen, insbesondere die Frage, ob die vom Gesetzgeber mit dem Digitale-Versorgung-Gesetz verfolgten Zwecke auch durch eine in Umfang, Erhebungs- oder Verarbeitungsmodalitäten begrenzte Datennutzung (zum Beispiel durch verpflichtend einzuholende Einwilligungen oder weiter als bisher reichende Widerspruchsmöglichkeiten der Versicherten) im Ergebnis ohne nennenswerte Abstriche hinsichtlich Repräsentativität und Qualität des Datenmaterials erreicht werden könnten. Diese Fragen bedürfen näherer Aufklärung und können angemessen nicht in der für das Eilverfahren gebotenen Kürze der Zeit behandelt werden. Hierbei wird besonderes Augenmerk auf die Aspekte der Anonymisierung und Pseudonymisierung sowie auf die Vorkehrungen zur IT-Datensicherheit und auf die institutionelle Ausgestaltung der datenverarbeitenden Stellen zu richten sein. Für ein gegebenenfalls durchzuführendes Hauptsacheverfahren ist davon auszugehen, dass der Vortrag insoweit weiter ausgebaut und substantiiert wird.”

Das Gericht ermutigt somit geradezu dazu, im ordentlichen Verfahren eine Verfassungsbeschwerde gegen das DVG einzureichen. Wir sollten dafür Sorge tragen, dass das nun auch getan wird.

Fragwürdige Maskenpflicht

Ab Montag, den 27.5.20 gilt in ganz Deutschland im öffentlichen Nahverkehr und in Supermärkten die Pflicht, einfache Gesichtsmasken oder Schals vor Mund und Nase zu tragen. Der Präsident des Weltärztebundes, Ulrich Montgomery, hat das heute (23.04.) als lächerlich bezeichnet.

Studien, die die Wirksamkeit solcher Schutzmasken belegen, fehlen. So die Weltgesundheitsorganisation laut Robert-Koch-Institut (RKI). In einer Studie, die das RKI 2009/2010 durchgeführt hat, erwiesen sich solche “selbstgemachten” Schutzmasken als wirkungslos.

Gründe, die gegen Schutzmasken sprechen:

  • Das Tragen von Schutzmasken führt unvermeidlich dazu, dass man sich häufiger ins Gesicht fasst. Nämlich, um die Maske an- und abzunehmen oder ihren Sitz zu korrigieren. Dadurch erhöht sich das Infektionsrisiko der Trägerinnen und Träger der Maske.
  • Schutzmasken beeinträchtigen die Atmung der Trägerinnen und Träger. Zum einen muss man beim Einatmen einen kleinen  Widerstand überwinden, zum anderen atmet man bei jedem Atemzug (viel mehr) Luft wieder ein, die man zuvor ausgeatmet hatte und die deswegen weniger Sauerstoff enthält. Das ist besonders schädlich für Menschen mit Atemproblemen.
  • Die Schutzmaske macht andere Maßnahmen nicht überflüssig. Insbesondere muss laut RKI der Abstand von 1,5 Metern auch mit Schutzmaske immer eingehalten werden. Die Schutzmaske wird aber genau mit dem Argument “verkauft”, dass sie in Supermärkten oder Verkehrsmitteln auch da schütze, wo der Abstand nicht eingehalten werden kann. Sie schafft für die Trägerinnen und Träger eine “Pseudo-Sicherheit” gegenüber den Abstandsregeln und gefährdet  sie dadurch. Amateur-Schutzmasken schützen laut RKI nicht die Personen, die die Masken tragen, sondern allenfalls andere vor ihnen.

Der unbestreitbare (geringe) Schaden für die Trägerinnen und Träger müsste durch einen nachweisbaren (ebenfalls geringen) Nutzen für andere Personen ausgeglichen werden, damit das Tragen vom Staat zur Pflicht gemacht werden kann. Solange das nicht der Fall ist, ist eine Pflcht zum Masken tragen, die mit Bußgeld bewehrt ist, nach meiner Meinung nicht akzeptabel.

Das Maskentragen ist selbstverständlich eine Einschränkung eines Grundrechts (freie Entfaltung der Persönlichkeit und allgemeine Handlungsfreiheit, Art. 2 GG). Sie muss deswegen wasserdicht begründet werden. Das ist derzeit nicht der Fall.

In Deutschland ist die Obrigkeitshörigkeit bzw. Compliance groß genug, um es bei einer Empfehlung für Schutzmasken bewenden zu lassen. Eine Pflicht ist in Anbetracht der Beeinträchtigung von Kindern, Alten und Menschen mit Lungenproblemen meines Erachtens nicht akzeptabel.

Demonstrieren ist erlaubt – trotz Corona

In den letzten Wochen wurde vielfach über geplante Demonstrationen berichtet, die verboten und teilweise durch die Polizei aufgelöst wurden. Jetzt hat das Bundesverfassungsgericht entschieden: wenn die Demo-Veranstalter ausreichende Maßnahmen zum Infektionsschutz einplanen, darf die Demonstration nicht verboten werden.

Das Bundesverfassungsgericht hatte bisher alle Verfassungsbeschwerden gegen Maßnahmen zur Kontaktsperre auf den Weg durch die Instanzen der Verwaltungsgerichte verwiesen. Diese Entscheidung ist die erste so genannte “Anti Corona Zwangsmaßnahme”, bei der das Gericht die Voraussetzungen für eine einstweilige Verfügung der Betroffenen als gegeben ansah, und ein Verbot aufhob.

Das Vorgehen gegen Demonstrationen war das bisher deutlichste Beispiel für Maßnahmen angeblich zum Infektionsschutz, die über das Ziel hinaus geschossen sind. Nun müssen nur noch die zuständigen (Landes-)Behörden diese Entscheidung des BVerfG zur Kenntnis nehmen, so dass Demonstrationen ab sofort ungehindert stattfinden können, wenn die notwendigen Abstandsregeln eingehalten werden.

Corona-App “CEPP-PT” – ist das Datenschutz?

Wenn Menschen sich wieder begegnen können, zum Beispiel in Bus und U-Bahn, am Arbeitsplatz oder in Veranstaltungen, sollen mögliche Ansteckungen erkannt werden mit einer neuen App für Smartphones. Sie wird von einem länderübergreifenden Entwicklerteam entwickelt und heißt PEPP-PT.

Nach dem derzeitigen Stand soll die Benutzung der App freiwillig sein. Durch Nutzung der Bluetooth Schnittstelle des Smartphones wertet die App Annäherungen an andere Menschen aus, die auch ein Smartphone bei sich haben, auf dem diese App in Betrieb ist. Bei Begegnungen tauschen die Apps Pseudonyme aus, die die Benutzer bzw. ihre Smartphones eindeutig kennzeichnen. Über sie könnte zwar nicht der empfangende Benutzer, aber eine Zentralstelle die betroffenen Benutzer identifizieren. Diese Pseudonyme werden aber zunächst nur lokal auf dem Smartphone gespeichert.

Wenn eine Person mit dieser App als COVID-19 Infizierte erkannt wird, kann sie ihre Begegnungen der letzten zwei Wochen zu der Zentralstelle hochladen. Diese kann alle anderen Benutzer warnen, denen die COVID-19 infizierte Person zuvor begegnet ist. Diese können sich testen lassen oder in Quarantäne gehen.

Nach den vorliegenden Informationen ist diese App datenschutzrechtlich rechtmäßig. Denn ihr Betrieb und die Identifizierungsmöglichkeit des Benutzers durch die Zentralstelle sind durch eine Einwilligung des Benutzers gedeckt.

Gleichwohl erinnert sie an Maßnahmen zur flächendeckenden Bevölkerungskontrolle und zur Belohnung von richtigem Verhalten in China. Der Chaos Computer Club hat Kriterien für die Beurteilung von Contact Tracing Apps veröffentlicht, die nach jetzigem Stand von PEPP-PT nicht erfüllt werden. Besonders wichtig ist,

  • dass es keine zentrale Entität geben darf, der vertraut werden muss,
  • dass der Source Code öffentlich zugänglich sein muss, und
  • das verifizierbar sein muss, dass die Anwendung,  die man einsetzt, auf dem veröffentlichten Code beruht.

 

Jens Spahn, wann kommen endlich Einschränkungen am Arbeitsplatz?

Die Ansteckungsketten des Corona Virus sind in Deutschland längst ausser Kontrolle. D.h. man muss davon ausgehen, jeder könnte angesteckt sein. Das ergibt sich aus den vorliegenden, seriösen Zahlen.

Bevor man derzeit auf Zahlen Bezug nimmt, sollte man in einer ausführlichen Quellenkritik darlegen, wo die Zahlen herkommen. “Worldometer”, auf das ich mich beziehen werde, bekommt seine Zahlen vom “Coronavirus Resouce Center” der John Hopkins University, sie werden von dort automatisch übernommen. Diese Zahlen unterscheiden sich immer nur marginal von den Zahlen z.B. des Robert-Koch-Instituts. Sie werden anders ermittelt, gleichwohl regelmäßig z.B. von der Tagesschau genutzt.

Dass die Ansteckungsketten ausser Kontrolle sind, sieht man, wenn man auf dieser Seite bei Worldometer die Statistik “Outcome of Cases” betrachtet. Von den Corona-Fällen, die man erkannt und behandelt hat, war die bekannt gewordenen End-Ergebnisse in Deutschland gestern: über 25 % am Ende tot, unter 75 % geheilt. Tendenz steigend Richtung prozentual mehr Tote. Am besten versteht man diese Statistik, wenn man sie bei Worldometer mit der entsprechenden für China vergleicht.  In Wirklichkeit ist die Letalität von Corona weitaus niedriger als 25 %, höchstens 3,5 %. Das heißt, es gab wahrscheinlich in Deutschland mindestens fünfmal mehr Infektionen, als man bisher erkannt hat. Es dürfte jetzt  bereits über 100.000 Corona-Fälle geben, (von denen die meisten so gut verlaufen, dass sie in keiner Statistik erscheinen werden).

Jens Spahn, wann kommen endlich Einschränkungen am Arbeitsplatz? weiterlesen

Unternehmen und Corona – der Datenschutz in der Krise

Darf ein Unternehmen Daten – auch Gesundheitsdaten – von Besuchern und Mitarbeitern sammeln, um damit eigene oder fremde Ideen umzusetzen, wie man das Corona-Virus eindämmen sollte? Dürfen zum Beispiel die Arbeitnehmer einer Firma gefragt werden: “Kommen Sie aus einem Risiko-Gebiet? Haben Sie Fieber?” Dazu gibt es unterschiedliche Auffassungen der Datenschutz-Aufsichtsbehörden in Europa, trotz sehr ähnlicher Rechtslage.

Die Aufsichtsbehörden von Frankreich, Italien, Belgien und den Niederlanden sagen “Nein”. Und das, obwohl der Virus in Italien  und Frankreich am schlimmsten wütet. In Deutschland dagegen gibt der Bundesbeauftragte für Datenschutz den Unternehmen grünes Licht. Ähnlich der sonst so datenschutzfreundliche Landesbeauftragte von Baden-Württemberg (wir berichteten). Einen guten Überblick über die verschiedenen Rechtsauffassungen haben Jurist*innen aus der Großkanzlei Taylor Wessing erstellt. Unternehmen und Corona – der Datenschutz in der Krise weiterlesen

Über 600 Daten-Abfragen bei Krankenkassen in wenigen Tagen

Ein Team datenschutzbewusster Softwarespezialisten hat einen Anfrage-Generator  entwickelt, mit dem gesetzlich Versicherte einfach erfahren können, was ihre Krankenkasse über sie gespeichert hat. Der Generator gestattet es, mit wenigen Klicks eine rechtskonforme Anfrage an die eigene Krankenkasse zu stellen. Er ist auf der Internetseite des Vereins Patientenrechte und Datenschutz e.V. unter http://kassenauskunft.de erreichbar.

Über 600 Daten-Abfragen bei Krankenkassen in wenigen Tagen weiterlesen

Neues Bündnis zum Schutz von Patientendaten?

Das Kollegennetzwerk Psychotherapie ist ein Berufsverband von Psychotherapeuten. Im Moment stehen Psychotherapeuten unter besonderem Druck, sich an die Telematik-Infrastruktur anzuschließen. Zum einen besteht diese Pflicht bei ihnen erst seit 2019. Zum anderen haben sie nur mit besonders kritischen Patientendaten zu tun. Daher gibt es bei ihnen im Moment besonders viel Protest gegen ihren Anschluss an “die Gematik”. Das Kollegennetzwerk unterstützt diesen Protest, und hatte zu einem Bündnistreffen eingeladen.

Unser Verein ist bereits Mitglied des Bündnisses “Stoppt die E-Card”.

Schon im Vorfeld des Bündnistreffens am 30.11.2019 hatten wir unsere Kriterien genannt für ein wünschenswertes Bündnis, in dem wir eine Mitarbeit unseres Vereins für sinnvoll halten:

  • Ein Name, der nicht mehr Bezug nimmt auf irgendein technisches Projekt, (auch nicht auf die Telematik-Infrastruktur), sondern auf das Thema dahinter, Patientendaten,
  • Organisations-Unabhängigkeit, d.h. der völlige Wegfall einer beliebigen unterstützenden Organisation darf auf das Bündnis der verbleibenden Organisationen nur die geringstmöglichen Auswirkungen haben,
  • ein Lenkungskreis mit schriftlich niedergelegten und veröffentlichten Regeln für seine Arbeit und seine Zusammensetzung, und jährlicher Neubesetzung,
  • Finanzen und Technik unter rechtlicher und tatsächlicher Kontrolle dieses Lenkungskreises.

Auf Wunsch des Vorsitzenden des Kollegennetzwerks haben wir im Bündnistreffen Vorschläge für Bündnis-Regeln vorgelegt, die nur kurz vorgestellt werden konnten. Immerhin kam ein Koordinierungskreis zustande. Anfang 2020 soll eine weitere Veranstaltung stattfinden, zu der dann hoffentlich auch “Stoppt die E-Card” einladen wird.

Das Geheimnis um das “Sozialgeheimnis”

Es gibt das Gerücht, dass der Datenschutz innerhalb des Sozialversicherungs-Systems besser sei als ausserhalb, dass es ein besonders tolles “Sozialgeheimnis” gäbe, das besser geschützt sei als z.B. das Bankgeheimnis oder das Geheimnis eines beliebigen Seitensprungs eines Ehepartners. Dieser Irrtum muss im Kopf eines Zeitgenossen umgegangen sein, der die  Bundesbeauftragte für den Datenschutz in dieser Anfrage gefragt hat, ob für Gesundheitsakten nach § 68 SGB V das Sozialgeheimnis gilt. Die Bundesbeauftragte hat die Verwirrung weiter gesteigert, indem sie einfach geantwortet hat: Nein, für solche Akten gilt das Sozialgeheimnis nicht. Diese Antwort ist korrekt. Allerdings ist ein Sozialgeheimnis (also eine persönliche Information im Besitz eines Sozialversicherungsträgers) nicht besser, sondern bedeutend schlechter geschützt als das Bankgeheimnis, das Arztgeheimnis, oder das Geheimnis des Seitensprungs eines Ehepartners. Es ist deswegen auch schlechter geschützt, als ein Geheimnis in einer Patientenakte nach § 68 SGB V. Das Geheimnis um das “Sozialgeheimnis” weiterlesen