Alle Beiträge von Jan

Jens Spahn, wann kommen endlich Einschränkungen am Arbeitsplatz?

Die Ansteckungsketten des Corona Virus sind in Deutschland längst ausser Kontrolle. D.h. man muss davon ausgehen, jeder könnte angesteckt sein. Das ergibt sich aus den vorliegenden, seriösen Zahlen.

Bevor man derzeit auf Zahlen Bezug nimmt, sollte man in einer ausführlichen Quellenkritik darlegen, wo die Zahlen herkommen. “Worldometer”, auf das ich mich beziehen werde, bekommt seine Zahlen vom “Coronavirus Resouce Center” der John Hopkins University, sie werden von dort automatisch übernommen. Diese Zahlen unterscheiden sich immer nur marginal von den Zahlen z.B. des Robert-Koch-Instituts. Sie werden anders ermittelt, gleichwohl regelmäßig z.B. von der Tagesschau genutzt.

Dass die Ansteckungsketten ausser Kontrolle sind, sieht man, wenn man auf dieser Seite bei Worldometer die Statistik “Outcome of Cases” betrachtet. Von den Corona-Fällen, die man erkannt und behandelt hat, war die bekannt gewordenen End-Ergebnisse in Deutschland gestern: über 25 % am Ende tot, unter 75 % geheilt. Tendenz steigend Richtung prozentual mehr Tote. Am besten versteht man diese Statistik, wenn man sie bei Worldometer mit der entsprechenden für China vergleicht.  In Wirklichkeit ist die Letalität von Corona weitaus niedriger als 25 %, höchstens 3,5 %. Das heißt, es gab wahrscheinlich in Deutschland mindestens fünfmal mehr Infektionen, als man bisher erkannt hat. Es dürfte jetzt  bereits über 100.000 Corona-Fälle geben, (von denen die meisten so gut verlaufen, dass sie in keiner Statistik erscheinen werden).

Jens Spahn, wann kommen endlich Einschränkungen am Arbeitsplatz? weiterlesen

Unternehmen und Corona – der Datenschutz in der Krise

Darf ein Unternehmen Daten – auch Gesundheitsdaten – von Besuchern und Mitarbeitern sammeln, um damit eigene oder fremde Ideen umzusetzen, wie man das Corona-Virus eindämmen sollte? Dürfen zum Beispiel die Arbeitnehmer einer Firma gefragt werden: “Kommen Sie aus einem Risiko-Gebiet? Haben Sie Fieber?” Dazu gibt es unterschiedliche Auffassungen der Datenschutz-Aufsichtsbehörden in Europa, trotz sehr ähnlicher Rechtslage.

Die Aufsichtsbehörden von Frankreich, Italien, Belgien und den Niederlanden sagen “Nein”. Und das, obwohl der Virus in Italien  und Frankreich am schlimmsten wütet. In Deutschland dagegen gibt der Bundesbeauftragte für Datenschutz den Unternehmen grünes Licht. Ähnlich der sonst so datenschutzfreundliche Landesbeauftragte von Baden-Württemberg (wir berichteten). Einen guten Überblick über die verschiedenen Rechtsauffassungen haben Jurist*innen aus der Großkanzlei Taylor Wessing erstellt. Unternehmen und Corona – der Datenschutz in der Krise weiterlesen

Über 600 Daten-Abfragen bei Krankenkassen in wenigen Tagen

Ein Team datenschutzbewusster Softwarespezialisten hat einen Anfrage-Generator  entwickelt, mit dem gesetzlich Versicherte einfach erfahren können, was ihre Krankenkasse über sie gespeichert hat. Der Generator gestattet es, mit wenigen Klicks eine rechtskonforme Anfrage an die eigene Krankenkasse zu stellen. Er ist auf der Internetseite des Vereins Patientenrechte und Datenschutz e.V. unter http://kassenauskunft.de erreichbar.

Über 600 Daten-Abfragen bei Krankenkassen in wenigen Tagen weiterlesen

Neues Bündnis zum Schutz von Patientendaten?

Das Kollegennetzwerk Psychotherapie ist ein Berufsverband von Psychotherapeuten. Im Moment stehen Psychotherapeuten unter besonderem Druck, sich an die Telematik-Infrastruktur anzuschließen. Zum einen besteht diese Pflicht bei ihnen erst seit 2019. Zum anderen haben sie nur mit besonders kritischen Patientendaten zu tun. Daher gibt es bei ihnen im Moment besonders viel Protest gegen ihren Anschluss an “die Gematik”. Das Kollegennetzwerk unterstützt diesen Protest, und hatte zu einem Bündnistreffen eingeladen.

Unser Verein ist bereits Mitglied des Bündnisses “Stoppt die E-Card”.

Schon im Vorfeld des Bündnistreffens am 30.11.2019 hatten wir unsere Kriterien genannt für ein wünschenswertes Bündnis, in dem wir eine Mitarbeit unseres Vereins für sinnvoll halten:

  • Ein Name, der nicht mehr Bezug nimmt auf irgendein technisches Projekt, (auch nicht auf die Telematik-Infrastruktur), sondern auf das Thema dahinter, Patientendaten,
  • Organisations-Unabhängigkeit, d.h. der völlige Wegfall einer beliebigen unterstützenden Organisation darf auf das Bündnis der verbleibenden Organisationen nur die geringstmöglichen Auswirkungen haben,
  • ein Lenkungskreis mit schriftlich niedergelegten und veröffentlichten Regeln für seine Arbeit und seine Zusammensetzung, und jährlicher Neubesetzung,
  • Finanzen und Technik unter rechtlicher und tatsächlicher Kontrolle dieses Lenkungskreises.

Auf Wunsch des Vorsitzenden des Kollegennetzwerks haben wir im Bündnistreffen Vorschläge für Bündnis-Regeln vorgelegt, die nur kurz vorgestellt werden konnten. Immerhin kam ein Koordinierungskreis zustande. Anfang 2020 soll eine weitere Veranstaltung stattfinden, zu der dann hoffentlich auch “Stoppt die E-Card” einladen wird.

Das Geheimnis um das “Sozialgeheimnis”

Es gibt das Gerücht, dass der Datenschutz innerhalb des Sozialversicherungs-Systems besser sei als ausserhalb, dass es ein besonders tolles “Sozialgeheimnis” gäbe, das besser geschützt sei als z.B. das Bankgeheimnis oder das Geheimnis eines beliebigen Seitensprungs eines Ehepartners. Dieser Irrtum muss im Kopf eines Zeitgenossen umgegangen sein, der die  Bundesbeauftragte für den Datenschutz in dieser Anfrage gefragt hat, ob für Gesundheitsakten nach § 68 SGB V das Sozialgeheimnis gilt. Die Bundesbeauftragte hat die Verwirrung weiter gesteigert, indem sie einfach geantwortet hat: Nein, für solche Akten gilt das Sozialgeheimnis nicht. Diese Antwort ist korrekt. Allerdings ist ein Sozialgeheimnis (also eine persönliche Information im Besitz eines Sozialversicherungsträgers) nicht besser, sondern bedeutend schlechter geschützt als das Bankgeheimnis, das Arztgeheimnis, oder das Geheimnis des Seitensprungs eines Ehepartners. Es ist deswegen auch schlechter geschützt, als ein Geheimnis in einer Patientenakte nach § 68 SGB V. Das Geheimnis um das “Sozialgeheimnis” weiterlesen

Referentenentwurf mit #Spahnsinn liegt vor – und die TSVG-Synopse

Der Bundesminister für Gesundheit hat seine “Drohung” wahr gemacht. Er will keine dezentrale, sondern eine auf zentralen Servern liegende “elektronische Gesundheitsakte”. Mit Zugriff darauf aus dem Internet. Das Schlechte aus zwei Welten.

Im Referentenentwurf des Gesetzes für schnellere Termine und bessere Versorgung (TSVG), den wir hier zur Verfügung stellen, findet man die entsprechenden Änderungsvorschläge unter Artikel 1 Nummern 83 – 89. Damit man verstehen kann, was dadurch am Ende eigentlich Gesetz werden soll, benötigt man eine Synopse. Eine Synopse ist der alte Text des Gesetzes, mit den Einfügungen und Streichungen durch das neue Gesetz. Diese Synopse stellen wir hier zur Verfügung. Bitte in Adobe Acrobat anklicken “Werkzeuge” – “Kommentieren” – “Öffnen”. Dann bekommt man eine klickbare Liste aller Änderungen mit den Einfügungen.

Valsartan-Rückruf: Kein Datenschutz-Problem

Möchtegern-Populistin aus dem Vorstand der Siemens-Betriebskrankenkasse macht Stimmung gegen Datenschutz

Valsartan ist in Blutdruck-Senker-Arzneimitteln enthalten. Chargen von Valsartan waren jahrelang verunreinigt mit  N-Nitrosodimethylamin. Die Europäische Arzneimittelagentur hatte herausgefunden, dass diese verunreinigten Chargen jahrelang von einem chinesischen Unternehmen, und von europäischen Pharma-Firmen weiter an Patient*innen geliefert worden waren. Die Europäische Arzneimittelagentur warnte nun davor, dass die Patient*innen diese Blutdrucksenker eigenmächtig absetzen. Das Risiko beim eigenmächtigen Absetzen des Medikaments sei weitaus größer, als das Risiko durch die Verunreinigung. Vielmehr sollten die behandelnden Ärzte auf andere Medikamente oder auf nicht verunreinigtes Valsartan ausweichen.

Auftritt Dr. Gertrud Demmler, Vorstandsmitglied der Siemens Betriebskrankenkasse. In einer Pressemitteilung behauptet sie, ihre Krankenkasse hätte den betroffenen Patient*innen eigentlich helfen können. Sie hätte es aber “wegen Datenschutz” nicht gedurft. Beides stimmt nicht. Es ist nicht Aufgabe der Krankenkassen, in so einem Fall ihre Patient*innen verrückt zu machen, indem sie in ihren Datenbeständen suchen nach “Valsartan”, und dann ein Serienmailing versenden. Das hätte mehr geschadet, als genützt, viele Patient*innen hätten dann Valsartan eigenmächtig abgesetzt. Zuständig für die Patientenkommunikation sind aber die behandelnden Ärztinnen und Ärzte. Es ist deren Aufgabe, das richtige Medikament zu geben.

Richtig ist, dass die Krankenkassen die Verordnungsdaten tatsächlich haben, aufgrund von § 300 SGB V. Diese Daten sind arztbezogen und versichertenbezogen. Wenn wirklich Menschenleben gefährdet wären, könnten die Krankenkassen die entsprechenden Ärzte warnen,  Art. 6 Abs. 1 d DSGVO in Verbindung mit Art. 6 Abs. 4 DSGVO ließe das zu.

Aber was zählen sachliche Informationen und rationale Vorgehensweisen, wenn Aussicht besteht, Aufmerksamkeit der Medien zu erhaschen. Andy Warhol sagte mal, in Zukunft würde jeder 15 Minuten lang weltberühmt sein.

Frau Dr. Gertrud Demmler von der Siemens Betriebskrankenkasse ist dem mit ihrer Pressemitteilung ein bedeutendes Stück näher gekommen. Ein Name, den man sich merken muss? Warten wir’s ab.

Das ist #Spahnsinn! Datenschützer kritisieren Pläne zur elektronischen Patientenakte

Datenschützer kritisieren Pläne des Bundesgesundheitsministers zur Elektronischen Patientenakte

Gesetzlich Krankenversicherte sollen ihre Patientenakte auch auf dem Handy einsehen können. Den rechtlichen Rahmen dazu will der Bundesgesundheitsminister Jens Spahn in Kürze vorlegen. Der Frankfurter Allgemeinen Zeitung  sagte er vor wenigen Tagen: „Versicherte sollen auch per Tablet und Smartphone auf ihre elektronische Patientenakte zugreifen können“. Das sei nicht das Ende der elektronischen Gesundheitskarte, aber eine zusätzliche, patientenfreundliche Option.
Dr. Bernhard Scheffold, Physiker und Software-Entwickler, einer der Vorsitzenden des Vereins Patientenrechte und Datenschutz e. V., erklärt dazu: “Gesundheits- und Behandlungsdaten auch noch online zugänglich zu machen und damit für das Internet zu öffnen, wäre ein inakzeptables Sicherheitsrisiko, weil damit eine Vielzahl von Angriffs- und Zugriffsmöglichkeiten für Hacker, Geheimdienste und andere an diesen Daten interessierten Organisationen geschaffen würden.”

Das ist #Spahnsinn! Datenschützer kritisieren Pläne zur elektronischen Patientenakte weiterlesen

Elektronische Gesundheitsakten – Die Karten werden neu gemischt

Am Mittwoch, dem 20.6.18 fand im Frankfurter “Haus am Dom” eine Veranstaltung statt: “Elektronische Gesundheitsakten – Die Karten werden neu gemischt”. Referent war der Berliner Rechtsanwalt Jan Kuhlmann, Vorsitzender des Vereins “Patientenrechte und Datenschutz e.V.”.

Jan Kuhlmann mit den Themen seines Vortrags

Trotz sommerlicher Temperaturen und paralleler Fussball-WM waren ca. 45 Personen gekommen, was die Veranstaltenden als Erfolg einschätzten.

Ein aufmerksames Publikum

Der Referent informierte zuerst über die Geschichte und den jetzigen Stand der Elektronischen Gesundheitskarte (EGK). 14 Jahre nach dem Start des Projekts durch die damalige Gesundheitsministerin Ulla Schmidt (zu Zeiten von rot/grün) kann die Gesundheitskarte bis heute nicht mehr, als schon damals die Vorgänger-Karte, die Krankenversichertenkarte konnte. Trotz Ausgaben von mehreren Milliarden € für modernste IT-Technik. Die derzeitige EGK-Kartengeneration hatte nie eine andere Funktionalität als die Krankenversichertenkarte, war aber mehr als 10mal teurer. Sie wird derzeit gegen eine neue Karten-Generation ausgetauscht, die noch teurer ist. Obwohl die einzige EGK-Anwendung, die ab 2019 kommen soll, noch mit den alten Karten funktioniert. Ein Beispiel für die einseitige Orientierung des Projekts an den Interessen der IT-Industrie. Die Steuerung durch die IT-Industrie sei der Hauptgrund für die hohen Ausgaben im Projekt.

Elektronische Gesundheitsakten – Die Karten werden neu gemischt weiterlesen

Spectre und Meltdown – was beweist das für die Unsicherheit unserer Gesundheitsdaten

Anfang Januar 2018 wurde öffentlich, dass die meisten derzeit benutzten Prozessoren in Rechnern eine schwerwiegende Sicherheitslücke haben. Sie ermöglicht es, für jemanden, der Zugang zu einem Rechner hat, dort auch Daten abzugreifen, die er eigentlich nicht sehen darf. Besondere Rechte, wie Administrator-Rechte, sind dazu nicht erforderlich.

Es ist nämlich möglich, die Isolation, die die Speicherbereiche verschiedener Anwendungen auf einem Rechner voneinander trennt, zu umgehen. Dadurch könnte zum Beispiel ein Praxis-Mitarbeiter auf dem Rechner einer Ärztin eine Software starten, die regelmäßig Patientendaten aus ihrer Arzt-Software kopiert, auf die er keinen Zugriff hat, und sie unbemerkt irgendwo anders hin schreibt oder hin schickt. Oder: auf einem Server, über den zehntausende von Arzt-Abrechnungen laufen, kann ein Mitarbeiter des Rechenzentrums eine Anwendung starten, die diese Abrechnungen speichert, und sie an Pharma-Firmen verkaufen.

Diese Umgehung der Isolation von Speicherbereichen funktioniert durch planmässige Nutzung der “Ausführung ausser der Reihe” (“out of order execution”), die in allen modernen Prozessoren implementiert ist, um sie zu beschleunigen. Dabei werden Kommandos im Prozessor schon ausgeführt, bevor feststeht, ob und wozu das nötig ist. Dadurch konnte man auf Speicherbereiche zugreifen, bevor die Prüfung, ob man das darf, dagegen einschreiten konnte. Es ist nicht bekannt, ob das schon jemand genutzt hat, bevor es veröffentlicht wurde. Durch Software-Systemänderung kann das zukünftig unterbunden werden.

Es ist leicht zu verstehen, dass die Hälfte der Mitglieder von “Patientenrechte und Datenschutz e.V.” Programmierer sind. Wir wissen, Computer sind unsicher. Deshalb ist es uns zu gefährlich, mehr als ein paar tausend Patientenakten auf demselben Rechner zu haben. Weil ansonsten der finanzielle Anreiz, sich diese Daten mit irgendwelchen Manipulationen zu holen, in die hunderttausende EUR steigt. Dass solche Manipulationen verhindert werden können, kann man keinem von uns erzählen.

Meltdown und Spectre sind ein weiterer Beweis dafür.

Spectre und Meltdown – was beweist das für die Unsicherheit unserer Gesundheitsdaten weiterlesen