Alle Beiträge von Jan

Corona-App “CEPP-PT” – ist das Datenschutz?

Wenn Menschen sich wieder begegnen können, zum Beispiel in Bus und U-Bahn, am Arbeitsplatz oder in Veranstaltungen, sollen mögliche Ansteckungen erkannt werden mit einer neuen App für Smartphones. Sie wird von einem länderübergreifenden Entwicklerteam entwickelt und heißt PEPP-PT.

Nach dem derzeitigen Stand soll die Benutzung der App freiwillig sein. Durch Nutzung der Bluetooth Schnittstelle des Smartphones wertet die App Annäherungen an andere Menschen aus, die auch ein Smartphone bei sich haben, auf dem diese App in Betrieb ist. Bei Begegnungen tauschen die Apps Pseudonyme aus, die die Benutzer bzw. ihre Smartphones eindeutig kennzeichnen. Über sie könnte zwar nicht der empfangende Benutzer, aber eine Zentralstelle die betroffenen Benutzer identifizieren. Diese Pseudonyme werden aber zunächst nur lokal auf dem Smartphone gespeichert.

Wenn eine Person mit dieser App als COVID-19 Infizierte erkannt wird, kann sie ihre Begegnungen der letzten zwei Wochen zu der Zentralstelle hochladen. Diese kann alle anderen Benutzer warnen, denen die COVID-19 infizierte Person zuvor begegnet ist. Diese können sich testen lassen oder in Quarantäne gehen.

Nach den vorliegenden Informationen ist diese App datenschutzrechtlich rechtmäßig. Denn ihr Betrieb und die Identifizierungsmöglichkeit des Benutzers durch die Zentralstelle sind durch eine Einwilligung des Benutzers gedeckt.

Gleichwohl erinnert sie an Maßnahmen zur flächendeckenden Bevölkerungskontrolle und zur Belohnung von richtigem Verhalten in China. Der Chaos Computer Club hat Kriterien für die Beurteilung von Contact Tracing Apps veröffentlicht, die nach jetzigem Stand von PEPP-PT nicht erfüllt werden. Besonders wichtig ist,

  • dass es keine zentrale Entität geben darf, der vertraut werden muss,
  • dass der Source Code öffentlich zugänglich sein muss, und
  • das verifizierbar sein muss, dass die Anwendung,  die man einsetzt, auf dem veröffentlichten Code beruht.

 

Jens Spahn, wann kommen endlich Einschränkungen am Arbeitsplatz?

Die Ansteckungsketten des Corona Virus sind in Deutschland längst ausser Kontrolle. D.h. man muss davon ausgehen, jeder könnte angesteckt sein. Das ergibt sich aus den vorliegenden, seriösen Zahlen.

Bevor man derzeit auf Zahlen Bezug nimmt, sollte man in einer ausführlichen Quellenkritik darlegen, wo die Zahlen herkommen. “Worldometer”, auf das ich mich beziehen werde, bekommt seine Zahlen vom “Coronavirus Resouce Center” der John Hopkins University, sie werden von dort automatisch übernommen. Diese Zahlen unterscheiden sich immer nur marginal von den Zahlen z.B. des Robert-Koch-Instituts. Sie werden anders ermittelt, gleichwohl regelmäßig z.B. von der Tagesschau genutzt.

Dass die Ansteckungsketten ausser Kontrolle sind, sieht man, wenn man auf dieser Seite bei Worldometer die Statistik “Outcome of Cases” betrachtet. Von den Corona-Fällen, die man erkannt und behandelt hat, war die bekannt gewordenen End-Ergebnisse in Deutschland gestern: über 25 % am Ende tot, unter 75 % geheilt. Tendenz steigend Richtung prozentual mehr Tote. Am besten versteht man diese Statistik, wenn man sie bei Worldometer mit der entsprechenden für China vergleicht.  In Wirklichkeit ist die Letalität von Corona weitaus niedriger als 25 %, höchstens 3,5 %. Das heißt, es gab wahrscheinlich in Deutschland mindestens fünfmal mehr Infektionen, als man bisher erkannt hat. Es dürfte jetzt  bereits über 100.000 Corona-Fälle geben, (von denen die meisten so gut verlaufen, dass sie in keiner Statistik erscheinen werden).

Jens Spahn, wann kommen endlich Einschränkungen am Arbeitsplatz? weiterlesen

Unternehmen und Corona – der Datenschutz in der Krise

Darf ein Unternehmen Daten – auch Gesundheitsdaten – von Besuchern und Mitarbeitern sammeln, um damit eigene oder fremde Ideen umzusetzen, wie man das Corona-Virus eindämmen sollte? Dazu gibt es unterschiedliche Auffassungen der Datenschutz-Aufsichtsbehörden in Europa, trotz sehr ähnlicher Rechtslage.

Die Aufsichtsbehörden von Frankreich, Italien, Belgien und den Niederlanden sagen “Nein”. Und das, obwohl der Virus in Italien  und Frankreich am schlimmsten wütet. In Deutschland dagegen gibt der Bundesbeauftragte für Datenschutz den Unternehmen grünes Licht. Ähnlich der sonst so datenschutzfreundliche Landesbeauftragte von Baden-Württemberg (wir berichteten). Einen guten Überblick über die verschiedenen Rechtsauffassungen haben Jurist*innen aus der Großkanzlei Taylor Wessing erstellt. Unternehmen und Corona – der Datenschutz in der Krise weiterlesen

Über 600 Daten-Abfragen bei Krankenkassen in wenigen Tagen

Ein Team datenschutzbewusster Softwarespezialisten hat einen Anfrage-Generator  entwickelt, mit dem gesetzlich Versicherte einfach erfahren können, was ihre Krankenkasse über sie gespeichert hat. Der Generator gestattet es, mit wenigen Klicks eine rechtskonforme Anfrage an die eigene Krankenkasse zu stellen. Er ist auf der Internetseite des Vereins Patientenrechte und Datenschutz e.V. unter http://kassenauskunft.de erreichbar.

Über 600 Daten-Abfragen bei Krankenkassen in wenigen Tagen weiterlesen

Neues Bündnis zum Schutz von Patientendaten?

Das Kollegennetzwerk Psychotherapie ist ein Berufsverband von Psychotherapeuten. Im Moment stehen Psychotherapeuten unter besonderem Druck, sich an die Telematik-Infrastruktur anzuschließen. Zum einen besteht diese Pflicht bei ihnen erst seit 2019. Zum anderen haben sie nur mit besonders kritischen Patientendaten zu tun. Daher gibt es bei ihnen im Moment besonders viel Protest gegen ihren Anschluss an “die Gematik”. Das Kollegennetzwerk unterstützt diesen Protest, und hatte zu einem Bündnistreffen eingeladen.

Unser Verein ist bereits Mitglied des Bündnisses “Stoppt die E-Card”.

Schon im Vorfeld des Bündnistreffens am 30.11.2019 hatten wir unsere Kriterien genannt für ein wünschenswertes Bündnis, in dem wir eine Mitarbeit unseres Vereins für sinnvoll halten:

  • Ein Name, der nicht mehr Bezug nimmt auf irgendein technisches Projekt, (auch nicht auf die Telematik-Infrastruktur), sondern auf das Thema dahinter, Patientendaten,
  • Organisations-Unabhängigkeit, d.h. der völlige Wegfall einer beliebigen unterstützenden Organisation darf auf das Bündnis der verbleibenden Organisationen nur die geringstmöglichen Auswirkungen haben,
  • ein Lenkungskreis mit schriftlich niedergelegten und veröffentlichten Regeln für seine Arbeit und seine Zusammensetzung, und jährlicher Neubesetzung,
  • Finanzen und Technik unter rechtlicher und tatsächlicher Kontrolle dieses Lenkungskreises.

Auf Wunsch des Vorsitzenden des Kollegennetzwerks haben wir im Bündnistreffen Vorschläge für Bündnis-Regeln vorgelegt, die nur kurz vorgestellt werden konnten. Immerhin kam ein Koordinierungskreis zustande. Anfang 2020 soll eine weitere Veranstaltung stattfinden, zu der dann hoffentlich auch “Stoppt die E-Card” einladen wird.

Das Geheimnis um das “Sozialgeheimnis”

Es gibt das Gerücht, dass der Datenschutz innerhalb des Sozialversicherungs-Systems besser sei als ausserhalb, dass es ein besonders tolles “Sozialgeheimnis” gäbe, das besser geschützt sei als z.B. das Bankgeheimnis oder das Geheimnis eines beliebigen Seitensprungs eines Ehepartners. Dieser Irrtum muss im Kopf eines Zeitgenossen umgegangen sein, der die  Bundesbeauftragte für den Datenschutz in dieser Anfrage gefragt hat, ob für Gesundheitsakten nach § 68 SGB V das Sozialgeheimnis gilt. Die Bundesbeauftragte hat die Verwirrung weiter gesteigert, indem sie einfach geantwortet hat: Nein, für solche Akten gilt das Sozialgeheimnis nicht. Diese Antwort ist korrekt. Allerdings ist ein Sozialgeheimnis (also eine persönliche Information im Besitz eines Sozialversicherungsträgers) nicht besser, sondern bedeutend schlechter geschützt als das Bankgeheimnis, das Arztgeheimnis, oder das Geheimnis des Seitensprungs eines Ehepartners. Es ist deswegen auch schlechter geschützt, als ein Geheimnis in einer Patientenakte nach § 68 SGB V. Das Geheimnis um das “Sozialgeheimnis” weiterlesen

Referentenentwurf mit #Spahnsinn liegt vor – und die TSVG-Synopse

Der Bundesminister für Gesundheit hat seine “Drohung” wahr gemacht. Er will keine dezentrale, sondern eine auf zentralen Servern liegende “elektronische Gesundheitsakte”. Mit Zugriff darauf aus dem Internet. Das Schlechte aus zwei Welten.

Im Referentenentwurf des Gesetzes für schnellere Termine und bessere Versorgung (TSVG), den wir hier zur Verfügung stellen, findet man die entsprechenden Änderungsvorschläge unter Artikel 1 Nummern 83 – 89. Damit man verstehen kann, was dadurch am Ende eigentlich Gesetz werden soll, benötigt man eine Synopse. Eine Synopse ist der alte Text des Gesetzes, mit den Einfügungen und Streichungen durch das neue Gesetz. Diese Synopse stellen wir hier zur Verfügung. Bitte in Adobe Acrobat anklicken “Werkzeuge” – “Kommentieren” – “Öffnen”. Dann bekommt man eine klickbare Liste aller Änderungen mit den Einfügungen.

Valsartan-Rückruf: Kein Datenschutz-Problem

Möchtegern-Populistin aus dem Vorstand der Siemens-Betriebskrankenkasse macht Stimmung gegen Datenschutz

Valsartan ist in Blutdruck-Senker-Arzneimitteln enthalten. Chargen von Valsartan waren jahrelang verunreinigt mit  N-Nitrosodimethylamin. Die Europäische Arzneimittelagentur hatte herausgefunden, dass diese verunreinigten Chargen jahrelang von einem chinesischen Unternehmen, und von europäischen Pharma-Firmen weiter an Patient*innen geliefert worden waren. Die Europäische Arzneimittelagentur warnte nun davor, dass die Patient*innen diese Blutdrucksenker eigenmächtig absetzen. Das Risiko beim eigenmächtigen Absetzen des Medikaments sei weitaus größer, als das Risiko durch die Verunreinigung. Vielmehr sollten die behandelnden Ärzte auf andere Medikamente oder auf nicht verunreinigtes Valsartan ausweichen.

Auftritt Dr. Gertrud Demmler, Vorstandsmitglied der Siemens Betriebskrankenkasse. In einer Pressemitteilung behauptet sie, ihre Krankenkasse hätte den betroffenen Patient*innen eigentlich helfen können. Sie hätte es aber “wegen Datenschutz” nicht gedurft. Beides stimmt nicht. Es ist nicht Aufgabe der Krankenkassen, in so einem Fall ihre Patient*innen verrückt zu machen, indem sie in ihren Datenbeständen suchen nach “Valsartan”, und dann ein Serienmailing versenden. Das hätte mehr geschadet, als genützt, viele Patient*innen hätten dann Valsartan eigenmächtig abgesetzt. Zuständig für die Patientenkommunikation sind aber die behandelnden Ärztinnen und Ärzte. Es ist deren Aufgabe, das richtige Medikament zu geben.

Richtig ist, dass die Krankenkassen die Verordnungsdaten tatsächlich haben, aufgrund von § 300 SGB V. Diese Daten sind arztbezogen und versichertenbezogen. Wenn wirklich Menschenleben gefährdet wären, könnten die Krankenkassen die entsprechenden Ärzte warnen,  Art. 6 Abs. 1 d DSGVO in Verbindung mit Art. 6 Abs. 4 DSGVO ließe das zu.

Aber was zählen sachliche Informationen und rationale Vorgehensweisen, wenn Aussicht besteht, Aufmerksamkeit der Medien zu erhaschen. Andy Warhol sagte mal, in Zukunft würde jeder 15 Minuten lang weltberühmt sein.

Frau Dr. Gertrud Demmler von der Siemens Betriebskrankenkasse ist dem mit ihrer Pressemitteilung ein bedeutendes Stück näher gekommen. Ein Name, den man sich merken muss? Warten wir’s ab.

Das ist #Spahnsinn! Datenschützer kritisieren Pläne zur elektronischen Patientenakte

Datenschützer kritisieren Pläne des Bundesgesundheitsministers zur Elektronischen Patientenakte

Gesetzlich Krankenversicherte sollen ihre Patientenakte auch auf dem Handy einsehen können. Den rechtlichen Rahmen dazu will der Bundesgesundheitsminister Jens Spahn in Kürze vorlegen. Der Frankfurter Allgemeinen Zeitung  sagte er vor wenigen Tagen: „Versicherte sollen auch per Tablet und Smartphone auf ihre elektronische Patientenakte zugreifen können“. Das sei nicht das Ende der elektronischen Gesundheitskarte, aber eine zusätzliche, patientenfreundliche Option.
Dr. Bernhard Scheffold, Physiker und Software-Entwickler, einer der Vorsitzenden des Vereins Patientenrechte und Datenschutz e. V., erklärt dazu: “Gesundheits- und Behandlungsdaten auch noch online zugänglich zu machen und damit für das Internet zu öffnen, wäre ein inakzeptables Sicherheitsrisiko, weil damit eine Vielzahl von Angriffs- und Zugriffsmöglichkeiten für Hacker, Geheimdienste und andere an diesen Daten interessierten Organisationen geschaffen würden.”

Das ist #Spahnsinn! Datenschützer kritisieren Pläne zur elektronischen Patientenakte weiterlesen

Elektronische Gesundheitsakten – Die Karten werden neu gemischt

Am Mittwoch, dem 20.6.18 fand im Frankfurter “Haus am Dom” eine Veranstaltung statt: “Elektronische Gesundheitsakten – Die Karten werden neu gemischt”. Referent war der Berliner Rechtsanwalt Jan Kuhlmann, Vorsitzender des Vereins “Patientenrechte und Datenschutz e.V.”.

Jan Kuhlmann mit den Themen seines Vortrags

Trotz sommerlicher Temperaturen und paralleler Fussball-WM waren ca. 45 Personen gekommen, was die Veranstaltenden als Erfolg einschätzten.

Ein aufmerksames Publikum

Der Referent informierte zuerst über die Geschichte und den jetzigen Stand der Elektronischen Gesundheitskarte (EGK). 14 Jahre nach dem Start des Projekts durch die damalige Gesundheitsministerin Ulla Schmidt (zu Zeiten von rot/grün) kann die Gesundheitskarte bis heute nicht mehr, als schon damals die Vorgänger-Karte, die Krankenversichertenkarte konnte. Trotz Ausgaben von mehreren Milliarden € für modernste IT-Technik. Die derzeitige EGK-Kartengeneration hatte nie eine andere Funktionalität als die Krankenversichertenkarte, war aber mehr als 10mal teurer. Sie wird derzeit gegen eine neue Karten-Generation ausgetauscht, die noch teurer ist. Obwohl die einzige EGK-Anwendung, die ab 2019 kommen soll, noch mit den alten Karten funktioniert. Ein Beispiel für die einseitige Orientierung des Projekts an den Interessen der IT-Industrie. Die Steuerung durch die IT-Industrie sei der Hauptgrund für die hohen Ausgaben im Projekt.

Elektronische Gesundheitsakten – Die Karten werden neu gemischt weiterlesen