Das Verwaltungsgericht Köln hat mit Urteil vom 23.02.2023 (Aktenzeichen: 13 K 278/21) ein Schmerzensgeld nach Art. 82 Abs.1 DSGVO zugesprochen, weil das Bundesverwaltungsamt durch ein Versehen neun Rechnungen und Liquidationen verschiedener Fachärzte aus dem Jahr 2019 unter Auflistung der einzelnen Leistungen und zum Teil unter der Benennung von Diagnosen sowie vier Rezepte für Medikamente an einen unbeteiligten Dritten. Im Gegenzug wurde dem Kläger mit einem Bescheid Belege zurückgesandt, die der Behörde von einer anderen Person eingereicht wurden. 1.000 € Schmerzensgeld wegen Fehlversand von Dokumenten mit Gesundheitsdaten weiterlesen
Alle Beiträge von Klaus-Peter Powidatschl
Riesige Datenpanne bei der Gematik GmbH: 116.466 elektronische Arbeitsunfähigkeitsbescheinigungen (eAU) an falschen Empfänger verschickt
Über 10 Monate hinweg wurden elektronische Arbeitsunfähigkeitsbeschreibungen (eAU) an den falschen Empfänger verschickt: Statt der AOK Niedersachsen erhielt eine Arztpraxis die Dokumente der Versicherten. Das geht aus einer Stellungnahme der Gematik vom 04.07.2023 hervor.
Innerhalb des von der gematik bereitgestellten Programms „Kommunikation im Medizinwesen“ (KIM) sei es zu einer Fehlleitung von Nachrichten gekommen: 116.466 Nachrichten (weit überwiegend eAU-Bescheinigungen) wurden zwischen September 2022 und Juni 2023 nicht an die AOK Niedersachsen, sondern an eine Arztpraxis versandt.
In der Gematik fiel der Fehler nicht auf. Und in der Arztpraxis bemerkte man das hohe Aufkommen an E-Mails erst, als sich das Systemverhalten veränderte und die Praxis ihren Systemanbieter Medatixx um Aufklärung bat.
Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.
Klinikverbund Gesundheit Nord (Geno) in Bremen: Hacker erbeuten mehrere zehntausend Patientendaten
Der Klinikverbund Gesundheit Nord (Geno) in Bremen ist Opfer einer großangelegten Hackerattacke geworden. Vom 10.-23.05.2023 war das Unternehmen mit 5 Standorten in Bremen deshalb offline. Wie das Regionalmagazin buten un binnen von Radio Bremen am 01.06.2023 berichtet, sollen die Kriminellen dabei an bis zu 100.000 Dateien von Patienten gelangt sein. Geradezu zynisch wirkt in diesem Zusammenhang die Erklärung der Klinikleitung auf ihrer Homepage: „Wir bedauern sehr, dass es zu dieser Situation gekommen ist. Datenschutz ist für uns ein hohes Gut, und wir nehmen das Thema IT-Sicherheit sehr ernst. Leider konnten wir diese Cyber-Attacke trotz aller Sicherheitsmaßnahmen nicht verhindern. Ihre Geschäftsführung der Gesundheit Nord“
Von den Servern der Bremer Kliniken seien Daten in einem erheblichen Umfang kopiert worden, sagte Geno-Pressesprecherin Karen Matiszik. Hauptsächlich Daten aus dem Klinikum Bremen-Ost – und zwar aus allen Bereichen. Diese Daten betreffen sowohl Patient*innen als auch Beschäftigte des Bremer Klinikverbundes. Darunter sind zum Beispiel Stammdaten, Befunde, Sitzungsprotokolle oder Urlaubspläne, so die Geno-Sprecherin.
Die Klinikleitung von Geno erklärt lt. Buten und binnen dazu: Die bisherigen Untersuchungen hätten ergeben, dass der Angriff „zunächst auf dem Endgerät eines externen IT-Dienstleisters stattgefunden hat, durch den die Täter sich Zugangsdaten zu unseren Systemen verschafft haben“. Durch den Diebstahl bestehe die Gefahr, dass „die abgeflossenen Daten durch unbefugte Dritte genutzt werden“. Das heiße, „dass jemand diese Daten nutzen könnte, um Ihnen zu schaden, beispielsweise um Sie zu diskriminieren, Ihren Ruf zu schädigen oder Sie finanziell zu schädigen.“ All diese Szenarien müssten nicht eintreten, „in jedem Fall bedeutet es den Verlust der Kontrolle über Ihre personenbezogenen Daten und den Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen“, schreibt die Geschäftsführung weiter. Auch auf den „schlimmsten Fall“ sollten sich Patientinnen und Patienten einrichten. Der „schlimmste Fall“ könne bedeuten, „dass Ihnen dadurch wirtschaftliche oder gesellschaftliche Nachteile“ entstehen „oder dass jemand versucht, mit Ihren Daten zu betrügen, in dem er beispielsweise sogenanntes Phishing betreibt, also Ihre E-Mail-Daten missbräuchlich nutzt“.
Eine Übersicht über Hackerangriff, Datenpannen und Datenlecks in Einrichtungen und Organisationen des deutschen Gesundheitswesens finden Sie hier.
Krankenkasse BIG direkt gesund durch Cyberangriff lahmgelegt
Am 28.03.2023 hat die Krankenkasse BIG direkt gesund festgestellt, dass ihre IT-Technik einem erfolgreichen Cyberangriff zum Opfer gefallen war. Das geht aus einer Stellungnahme der Krankenkasse vom 05.04.2023 hervor. Betroffen von dem Vorfall sind auch die ca. 513.000 Versicherte der Kasse, mindestens dadurch, dass die Krankenkasse für sie nicht erreichbar war und z. B. Krankengeld nicht auszahlen konnte.
„Derzeit haben wir keinerlei Hinweise darauf, dass während des Zugriffs auf unsere Server Daten entwendet wurden“, erklärt die BIG direkt gesund, um ihre Versicherten zu beruhigen. Krankenkasse BIG direkt gesund durch Cyberangriff lahmgelegt weiterlesen
Wichtige Fragen und Feststellungen zum Thema opt-out-Patientenakte…
… veröffentlicht Lilith Wittmann, die Krawallinfluencerin, der Schwarze Block der Verwaltungsdigitalisierung – so ihre Selbstbeschreibung – in acht Tweets auf Twitter:
Wichtige Fragen und Feststellungen zum Thema opt-out-Patientenakte… weiterlesen
Ransomware-Attacke gegen Schweizer Gesundheitsdienstleister – sensible Daten im Darknet veröffentlicht
Nach einem Hackerangriff auf die Server des schweizer Unternehmens Publicare sind gestohlene Daten im Darknet veröffentlicht worden. Das Unternehmen ist gemäß eigenen Angaben grösste Lieferant und Dienstleister von medizinischen Hilfsmitteln in den Bereichen Inkontinenz, Stoma- und Tracheostoma-Versorgung und zur Wundbehandlung. Ransomware-Attacke gegen Schweizer Gesundheitsdienstleister – sensible Daten im Darknet veröffentlicht weiterlesen
Datenpanne in Bayern: Gesundheits- und andere Daten unrechtmäßig veröffentlicht
Über eine kuriose, nichtdestotrotz aber für die Betroffenen schwerwiegende Datenpanne im Gesundheitsamt des Landkreises Straubing-Bogen und in der Justizvollzugsanstalt Straubing (Bayern) berichtet der Bayrische Rundfunk am 15.12.2022.
Was ist passiert? Persönliche Daten und das Corona-Testergebnis von etwa 1200 Menschen, darunter etwa 700 Häftlinge, 90 JVA-Beschäftigte und 385 Einwohner*innen des Landkreises Straubing-Bogen, sind in die Hände eines Gefangenen in der JVA gelangt. Datenpanne in Bayern: Gesundheits- und andere Daten unrechtmäßig veröffentlicht weiterlesen
„Halb zog sie ihn, halb sank er hin“ – oder: Die Datenschutzkonferenz und der Schutz der Gesundheits- und Behandlungsdaten
Goethes Ballade „Der Fischer“ endet mit den Zeilen: „Sie sprach zu ihm, sie sang zu ihm; Da wars um ihn geschehn: Halb zog sie ihn, halb sank er hin, Und ward nicht mehr gesehn.“
Diese Verszeilen kamen aus dem Gedächtnis des Verfassers dieses Beitrags hoch, als er beim Lesen der „Petersberger Erklärung“ der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24.11.2022 „zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ im Punkt 1. (von ingesamt sieben Punkten) auf die se Aussage stieß: „Auch wenn eine Verarbeitung ihrer Daten im öffentlichen Interesse gesetzlich erlaubt und nicht auf ihre Einwilligung gestützt wird, sind die betroffenen Personen in geeigneter Form einzubinden.“ „Halb zog sie ihn, halb sank er hin“ – oder: Die Datenschutzkonferenz und der Schutz der Gesundheits- und Behandlungsdaten weiterlesen
Australien: Hacker dringen in die Datenbank einer großen Krankenversicherung ein und veröffentlichen sensible Gesundheits- und andere Daten von Millionen Versicherten im Darknet
Neben medizinischen Befunden und Behandlungen der Versicherten gelangten unter anderem ihre Geburtsdaten, Telefonnummern und E-Mail-Adressen in die Hände der Kriminellen. Das betroffene Versicherungsunternehmen Medibank Private Limited teilt auf seiner Homepage am 09.11.2022 mit:
„Wir haben erfahren, dass ein Krimineller in einem Dark-Web-Forum Dateien mit Kundendaten veröffentlicht hat, die vermutlich aus den Systemen von Medibank gestohlen wurden. Zu diesen Daten gehören personenbezogene Daten wie Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Medicare-Nummern für ahm-Kunden (ohne Verfallsdatum), in einigen Fällen Passnummern für unsere internationalen Studenten (ohne Verfallsdatum) und einige Daten zu Gesundheitsansprüchen. Australien: Hacker dringen in die Datenbank einer großen Krankenversicherung ein und veröffentlichen sensible Gesundheits- und andere Daten von Millionen Versicherten im Darknet weiterlesen
Auch so geht Lobbyismus: CDU-Bundestagsabgeordneter (Mitglied in Gesundheitsausschuss) wird Geschäftsführer beim Bundesverband der Arzneimittel-Hersteller
Karl Lauterbach (SPD) und Jens Spahn (CDU), sein Vorgänger als Bundesgesundheitsminister, haben Lobbyisten der IT-Gesundheitsindustrie im Bereich Telematikinfrastruktur in ihrem Ministerium angeworben. Bei Lauterbach war dies Sebastian Zilch, bislang Geschäftsführer des Bundesverbands Gesundheits-IT (bvitg); bei Spahn war es u. a. Gottfried Ludewig, Senior Consultant bei der PricewaterhouseCoopers AG (pwc). Beides Verbände bzw. Unternehmen, die mit der Digitalisierung des Gesundheitswesens eng verbunden sind.
Aber es geht auch umgekehrt. Am 22.07.2022 meldete der Bundesverband der Arzneimittel-Hersteller e.V. (BAH): Der Bundestagsabgeordnete Michael Hennrich (CDU) wird im Frühjahr 2023 neuer Geschäftsführer des BAH. Auch so geht Lobbyismus: CDU-Bundestagsabgeordneter (Mitglied in Gesundheitsausschuss) wird Geschäftsführer beim Bundesverband der Arzneimittel-Hersteller weiterlesen