Archiv der Kategorie: Blog

“Halb zog sie ihn, halb sank er hin“ – oder: Die Datenschutzkonferenz und der Schutz der Gesundheits- und Behandlungsdaten

Goethes Ballade Der Fischer endet mit den Zeilen: „Sie sprach zu ihm, sie sang zu ihm; Da wars um ihn geschehn: Halb zog sie ihn, halb sank er hin, Und ward nicht mehr gesehn.“

Diese Verszeilen kamen aus dem Gedächtnis des Verfassers dieses Beitrags hoch, als er beim Lesen der Petersberger Erklärungder Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24.11.2022 zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ im Punkt 1. (von ingesamt sieben Punkten) auf die se Aussage stieß: Auch wenn eine Verarbeitung ihrer Daten im öffentlichen Interesse gesetzlich erlaubt und nicht auf ihre Einwilligung gestützt wird, sind die betroffenen Personen in geeigneter Form einzubinden.“ “Halb zog sie ihn, halb sank er hin“ – oder: Die Datenschutzkonferenz und der Schutz der Gesundheits- und Behandlungsdaten weiterlesen

EU Gesundheitsdatenraum – Kommerzialisierung von Patientendaten ohne Widerspruch

Die EU-Kommission hat den Entwurf einer Verordnung vorgelegt, der es in sich hat. Danach sollen alle Bürgerinnen und Bürger automatisch elektronische Patientenakten erhalten, ohne Möglichkeit zum Widerspruch. Sämtliche größeren Sammlungen von Patientendaten in der EU, z.B. bei Anbietern dieser Patientenakten, bei Krankenkassen, Privatversicherungen, Krankenhäusern und größeren Arztpraxen, sollen zur Nutzung u.a. durch die Pharma-Industrie freigegeben werden.

Diese Nutzung soll, wenn es in der Daten-Anforderung der Interessenten als notwendig dargestellt wird, mit pseudonymisierten Daten erfolgen, d.h. mit Daten, bei denen lediglich der Name durch ein Kennzeichen ersetzt wird. Damit ist es ohne Weiteres möglich, betroffene Personen zu identifizieren. Das hat ein Gutachten des Kryptografie-Professors Dominique Schröder deutlich aufgezeigt.

Der Verordnungsentwurf wird derzeit im EU-Parlament und im Rat der EU diskutiert, die Verordnung soll 2023 verabschiedet werden und 2024 in Kraft treten.

Eine Arbeitsgruppe des “Arbeitskreises Vorratsdatenspeicherung” hat dazu eine Dokumentation und den Entwurf einer Stellungnahme erstellt, die u.a. auf unseren Webseiten veröffentlicht sind. Es ist erforderlich, ein breites, europaweites Bündnis gegen diese Absichten zu sammeln.

Massiver Cyber-Angriff auf das Klinikum Lippe

Im Klinikum Lippe mit seinen drei Standorten in Bad Salzuflen, Detmold und Lemgo (alle in NRW) ist die gesamte IT-Struktur vor dem 21.11.2022 Opfer eines massiven Cyber-Angriffs geworden. Alle externen informationstechnischen Verbindungen wurden daraufhin vom Klinikum Lippe bis auf Weiteres gekappt. In einer Mitteilung vom 25.11.2022 wird dazu u. a. mitgeteilt: „Die Sicherung und Wiederherstellung der IT-Systeme, die im Zusammenhang mit der Cyberattacke verbunden ist, machte die absolute Trennung der gesamten IT-Struktur des Krankenhauses von allen externen Netzen unbedingt notwendig. Intern stehen die Systeme weiterhin zur Verfügung und werden… durch bewährte analoge Versionen wie Befund-Berichte, Patienten-Kurve oder Essenbestellung ergänzt.“ Massiver Cyber-Angriff auf das Klinikum Lippe weiterlesen

Gesundheitswesen ist die am stärksten von Ransomware betroffene Branche

Das meldet SecuPedia, eine Plattform, die Wissen zum Thema IT-Sicherheit sammelt und gratis zur Verfügung stellt. Zu Beginn der Meldung wird festgestellt: „Check Point Research (CPR), die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd., … einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat in seiner jüngsten Veröffentlichung zu IT-Attacken im dritten Quartal des Jahres 2022 festgestellt: das Gesundheitswesen ist die am stärksten von Ransomware betroffene Branche. Ransomware-Banden konzentrieren sich zunehmend auf Krankenhäuser, vor allem wegen des hohen Drucks, der ausgeübt werden kann, um Lösegeld zu erpressen. CPR warnt Organisationen des Gesundheitswesens daher, zum Jahresende und zu Beginn der Weihnachtszeit in höchster Alarmbereitschaft zu bleiben…“

Eine Übersicht über Ransomware-Angriffe und andere (kleinere und größere) Datenpannen im deutschen Gesundheitswesen in den letzten Jahren finden Sie hier

41. Deutscher Psychotherapeutentag: Kritik an den Plänen der Bundesregierung für die opt-out-Patientenakte

In einer Resolution hat der 41. Deutsche Psychotherapeutentag am 18./19.11.2022 Kritik an den Plänen der Ampel-Koalition geäußert, die bei der elektronischen Patientenakte (ePA) – abweichend vom bisherigen Prinzip (informierte und freiwillige Einwilligung) – Rechtsgrundlagen für einer Zwangs-ePA (opt-out-ePA) schaffen will. Dies ist im Koalitionsvertrag der Ampel festgelegt worden. Mit ersten Vorbereitungsarbeiten dafür wurde die gematik Anfang November 2022 betraut.

Die Resolution verweist auf die „besondere Schutzbedürftigkeit von psychisch kranken Menschen“ bei der Verarbeitung und Speicherung von Gesundheits- und Behandlungsdaten und stellt fest: Dieser Paradigmenwechsel hin zu Opt-out ist eine erhebliche Einschränkung des informationellen Selbstbestimmungsrechts jeder Einzelnen*. Eine Speicherung von Gesundheitsdaten ohne ausdrückliche Zustimmung der Patient*innen beschneidet das vom Bundesverfassungsgericht anerkannte Grundrecht auf Datenschutz…“ 41. Deutscher Psychotherapeutentag: Kritik an den Plänen der Bundesregierung für die opt-out-Patientenakte weiterlesen

Gematik hat Prüfauftrag für “Opt-out-Patientenakte” erhalten

Die elektronische Patientenakte (ePA) soll noch in dieser Legislaturperiode als eine Opt-out-Lösung, d. h. ohne vorherige Einwilligung der einzelnen Versicherten, eingeführt werden. Das ist im Koalitionsvertrag von SPD, Grünen und FDP – veröffentlicht am 24.11.2021 – vereinbart worden:

Quelle: Koalitionsvertrag 2021 – 2025 von SPD, GRÜNEN und FDP, dort S. 83 Gematik hat Prüfauftrag für “Opt-out-Patientenakte” erhalten weiterlesen

Medatixx, ein Anbieter von Praxissoftware, eröffnet Ärzt*innen und Psychotherapeut*innen die Möglichkeit, gegen Cash anonymisierte (?) Gesundheits- und Behandlungsdaten ihrer Patient*innen zu verkaufen

Medatixx, ein in Eltville/Hessen ansässiges Unternehmen, das Anbieter von Praxissoftware für Praxen von Ärzt*innen und Psychotherapeut*innen ist, eröffnet derzeit den Inhaber*innen der genannten Praxen die Möglichkeit, gegen eine monatliche Aufwandsentschädigung von – je nach Anzahl der beteiligten Behandler*innen – 30,00 bis 40,00 € anonymisierte Gesundheits- und Behandlungsdaten ihrer jeweiligen Patient*innen zu verkaufen. Medatixx, ein Anbieter von Praxissoftware, eröffnet Ärzt*innen und Psychotherapeut*innen die Möglichkeit, gegen Cash anonymisierte (?) Gesundheits- und Behandlungsdaten ihrer Patient*innen zu verkaufen weiterlesen

Australien: Hacker dringen in die Datenbank einer großen Krankenversicherung ein und veröffentlichen sensible Gesundheits- und andere Daten von Millionen Versicherten im Darknet

Neben medizinischen Befunden und Behandlungen der Versicherten gelangten unter anderem ihre Geburtsdaten, Telefonnummern und E-Mail-Adressen in die Hände der Kriminellen. Das betroffene Versicherungsunternehmen Medibank Private Limited teilt auf seiner Homepage am 09.11.2022 mit:

Wir haben erfahren, dass ein Krimineller in einem Dark-Web-Forum Dateien mit Kundendaten veröffentlicht hat, die vermutlich aus den Systemen von Medibank gestohlen wurden. Zu diesen Daten gehören personenbezogene Daten wie Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Medicare-Nummern für ahm-Kunden (ohne Verfallsdatum), in einigen Fällen Passnummern für unsere internationalen Studenten (ohne Verfallsdatum) und einige Daten zu Gesundheitsansprüchen. Australien: Hacker dringen in die Datenbank einer großen Krankenversicherung ein und veröffentlichen sensible Gesundheits- und andere Daten von Millionen Versicherten im Darknet weiterlesen

Forschen mit Gesundheitsdaten

Unter dem Titel “Symposium zur Forschung mit Gesundheitsdaten” fand am 03.11.22 in Berlin eine Veranstaltung des Bundesbeauftragten für Datenschutz und Informationsfreiheit – Prof. Kelber – statt, die man Online verfolgen konnte. Sie war äußerst interessant. Das Veranstaltungsprogramm ist hier.

Im ersten Vortrag beschrieb Dr. Susanne Ozegowski, die neue Leiterin der Abteilung für Digitalisierung und Innovation im Bundesministerium für Gesundheit (BMG), ihre Strategie in Bezug auf die Bereitstellung von Gesundheitsdaten für Forschungszwecke. Man weiß jetzt, dass sich das BMG auch weiterhin “im Rausch der Daten” befindet. Dort gilt die weitestmögliche Verbreitung der Gesundheitsdaten der Versicherten über elektronische Medien nach wie vor als Patentrezept zur Lösung der meisten Menschheitsprobleme, wie schon unter Jens Spahn. Selbst wenn der EU-“Gesundheitsdatenraum“, der von der EU-Kommission geplant ist, und der im Parlament und Rat der EU derzeit beraten wird, kommt –  Frau Ozegowski will trotzdem noch das geplante “Gesundheits-Datennutzungsgesetz” auf den Weg bringen, das dieser Regelung vorgreifen soll, damit es schneller geht. Nach dem Motto, 80 Millionen Patientenakten für alles Mögliche bereitstellen ist gut, 540 Millionen Patientenakten sind noch besser.

Im nächsten Vortrag stellte der bayerische Landesbeauftragte für Datenschutz Prof. Dr. Petri die EU-Verordnung zum Gesundheitsdatenraum und seine Kritik daran vor. Die Verpflichtungen aller Stellen, die über Patientendaten verfügen, gehen ihm zu weit, die Informations- und Widerspruchsrechte der Betroffenen nicht weit genug.

Es schlossen sich moderierte Diskussionen an, die wir hier nicht wiedergeben können. Interessant war, dass überregionale Forschungsvorhaben durch die Tatsache behindert wurden, dass wir in Deutschland 17 Datenschutz-Aufsichtsbehörden haben. Es überwog der Eindruck, dass eine sinnvolle Forschung mit Patientendaten nach derzeitigem Rechtsstand problemlos möglich sei, zumindest wenn man die Aufsichtsbehörden rechtzeitig kontaktiert. Seltsam waren behauptete maßlose Forderungen von KI-Forschenden, die angeblich gegen ein Widerspruchsrecht der Betroffenen wären, damit ihre Daten nicht verzerrt werden. Denn sie müssten immer 100 % haben. Aber 100 % von was? Das blieb offen!

Die Aufzeichnung der Veranstaltung ist hier. Bei Interesse an Forschungsdaten ansehen!

Abzock-Masche von CGM und Gematik läuft weiter

Wir hatten von der  “endlosen Realsatire” berichtet, dass aus unseren Krankenversicherungs-Beiträgen 400 Mio EUR verwendet werden sollen, um in allen deutschen Arztpraxen Router auszutauschen: “Konnektoren”, über die die Arztpraxen mit der Telematik-Infrastruktur verbunden sind. Sie benötigen diese Konnektoren vor allem, um einmal im Quartal die Elektronische Gesundheitskarte aller Patient:innen online zu überprüfen. Anfangs hatte die Koblenzer Firma CGM (Compu Group Medical) das Monopol für diese Konnektoren, später kamen andere Hersteller dazu. Die Konnektoren, die jetzt ausgetauscht werden sollen, sind die von CGM. Abzock-Masche von CGM und Gematik läuft weiter weiterlesen