Schlagwort-Archive: Datenschutz

Offener Brief an Bundesgesundheitsminister Lauterbach mit der Forderung nach Stopp der Telematik-Infrastruktur im Gesundheitswesen

Das Bündnis für Datenschutz und Schweigepflicht (BfDS), ein Zusammenschluss von Ärzt*innen aus München und Südbayern, hat einen Offenen Brief an Bundesgesundheitsminister Karl Lauterbach veröffentlicht, unter den es weitere Unterzeichner*innen sucht.

Bereits eingangs wird die zentrale Forderung an den Minister benannt: Der Stopp der Telematik-Infrastruktur im Gesundheitswesen. Und mit einem entsprechenden Appell endet der Brief: Offener Brief an Bundesgesundheitsminister Lauterbach mit der Forderung nach Stopp der Telematik-Infrastruktur im Gesundheitswesen weiterlesen

Stellungnahme des Bundesdatenschutzbeauftragten zu einem Datenschutzverstoß der Telematik-Infrastruktur

Dem Bundesdatenschutzbeauftragten (BfDI) wurde von Hinweisgebern gemeldet, dass es im Zusammenspiel von elektronischen Gesundheitskarten und den Konnektoren der Telematik-Infrastruktur zu Datenschutzverstößen gekommen sein soll. Dazu haben den BfDI viele Fragen erreicht, von denen die häufigsten auf der Homepage des BfDI beantwortet werden.

Zu folgenden Problembereichen wird vom BfDI Stellung genommen:

Zu der Frage Liegt ein Datenschutzverstoß vor? stellt der BfDI fest: Bei den gespeicherten Seriennummern der eGK-Zertifikate von gesperrten elektronischen Gesundheitskarten handelt es sich um personenbezogene Daten. Die Speicherung dieser Daten erfolgte ohne Rechtsgrund und ist somit unzulässig. Zudem ermöglicht allein die Speicherung im Konnektor einen (unbefugten) Zugang der Nutzenden beziehungsweise der von ihnen beauftragten Administratoren zu den gespeicherten Seriennummern der eGK-Zertifikate gesperrter Gesundheitskarten. Auf diese Weise wird die Möglichkeit eröffnet, dass diese Daten an Dritte weitergegeben werden können. Somit liegt eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO vor.“

Wegen massiver Datenschutzprobleme: Kassenzahnärztlichen Vereinigung Bayerns fordert Stopp der Telematikinfrastruktur

Am 25.02.2022 Februar wurde durch einen Beitrag auf heise online bekannt, dass es bei der Telematikinfrastruktur (TI) massive Datenschutzprobleme gibt. Einige Konnektoren zeichnen personenbezogene Daten von Patienten auf und verstoßen damit gegen die Datenschutzgrundverordnung (DSGVO) sowie die Spezifikationen, wie sie von der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben sind. Die Kassenzahnärztliche Vereinigung Bayerns (KZBV) fordert Konsequenzen:…den weiteren Ausbau der TI jetzt unverzüglich stoppen. Wegen massiver Datenschutzprobleme: Kassenzahnärztlichen Vereinigung Bayerns fordert Stopp der Telematikinfrastruktur weiterlesen

Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen

Einer gesetzlich krankenversicherte Klägerin wurde vom Oberlandesgericht (OLG) Düsseldorf ein Schmerzensgeld i. H. v. 2.000 € zuerkannt, da ihre Krankenkasse die von ihr erbetenen Unterlagen – ohne die E-Mail oder den Dateianhang zu verschlüsseln oder zu pseudonymisieren – versehentlich an die E-Mail-Adresse eines unbeteiligten Dritten gesandt hatte. Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen weiterlesen

Datenschutzrechtliche Pflichten aus einem ärztlichen Behandlungsvertrag – oder: Wie in Kliniken rechtswidrige Zugriffe auf Patient*Innen- und Behandlungsdaten stattfinden

Mit dieser Thematik musste sich das Landgericht Flensburg auseinander setzen. Kläger war der Chefarzt der Inneren Abteilung eines Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 in der kardiologischen Abteilung des gleichen Krankenhauses behandelt. Im Zeitraum seiner Behandlung griffen Mitarbeiter*innen der Krankenhauses etwa 150-mal auf seine Patienten- und Behandlungsdaten zu. Nach Wiederaufnahme seiner Tätigkeit erhielt der Kläger Kennnis davon. In einem Gespräch mit dem betrieblichen Datenschutzbeauftragten des Krankenhauses analysierte der Kläger die erfolgten Zugriffe und identifizierte einige der Zugriffe als datenschutzrechtlich fragwürdig bzw. illegal. Der Kläger forderte das Krankenhaus auf, ihm Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Er wandte sich zudem mit einer Beschwerde an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Bei seinen Recherchen stellte der Kläger auch fest, dass es bis Mai 2019 an mehreren Computern des Krankenhauses möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe eines Patient*innen-Namens den Koronarfilm und die bei diesem durchgeführte Dilatation der Herzkranzgefäße einzusehen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können.

Die (zwischenzeitlich gewechselte) Geschäftsführung des Krankenhauses erklärte im Nachhinein: Das Ergebnis der Prüfung der Zugriffe hat ergeben, dass die vier genannten Zugriffe zum Zwecke der Behandlung von Dr. S. nicht erforderlich waren. Aus datenschutzrechtlicher Sicht wurden alle vier Zugriffe von unserem Datenschutzbeauftragten als nicht zulässig bewertet. Dieser Sachverhalt wurde jedoch von der zum Zeitpunkt des aufgenommenen Verstoßes verantwortlichen Geschäftsführung z.T. anders bewertet. … Die Zugriffe waren aus meiner heutigen Sicht nicht zulässig.“

Der Kläger begehrte Schadensersatz und Schmerzensgeld wegen unberechtigter Zugriffe auf seine Patientendaten. Diesem Anspruch lehnte das Landgericht Flensburg mit Urteil vom 19.11.2021 (Aktenzeichen: 3 O 227/19) zwar u. a. wg. Verjährung der Ansprüche ab. In den Leitsätzen seines Urteils stellt das Gericht aber unmissverständlich fest: Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen…“


Dass der sorglose bzw. fahrlässige Umgang mit Zugriffrechten von Krankenhaus-Beschäftigten auf Patient*Innen- und Behandlungsdaten kein Einzelfall sind, machen Beispiele aus Thüringen, Frankfurt und Offenbach deutlich.

Hackerangriff auf Klinikverbund Medizin Campus Bodensee

Der Klinikverbund Medizin Campus Bodensee im Bodenseekreis (Baden-Württemberg) ist seit 13.01.2022 von einem Hackerangriff betroffen. In den Kliniken Friedrichshafen und Tettnang fiel die komplette Informationstechnik aus. In einer Pressemitteilung erklärt die Klinikleitung:

In den frühen Morgenstunden des heutigen Tages (13. Januar) wurde das IT-System des Medizin Campus Bodensee (MCB) gehackt. Von diesem cyber-kriminellen Angriff ist der Klinikverbund, sind also das Klinikum Friedrichshafen und die Klinik Tettnang, nach der ersten Bestandsaufnahme hauptsächlich administrativ betroffen. Vorsorglich wurden alle Server und Geräte heruntergefahren, um eine weitere Verbreitung der Schadsoftware zu verhindern. Hackerangriff auf Klinikverbund Medizin Campus Bodensee weiterlesen

Mainz: Rechtswidrige Nutzung von Kontaktdaten der LUCA-App durch Polizei und Staatsanwaltschaft – Landesdatenschutzbeauftragter leitet aufsichtsrechtliches Verfahren ein

Die Mainzer Polizei hat bei Ermittlungen zu einem Sturz mit Todesfolge ohne rechtliche Grundlage auf Daten der Luca-App zugegriffen. Das haben Recherchen des SWR ergeben.

Nachdem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon Kenntnis erlangte, hat er umgehend aufsichtsrechtliche Verfahren eingeleitet. Dabei sollen insbesondere die Umstände geklärt werden, die ungeachtet der eindeutigen Rechtslage  zu der datenschutzrechtlich unzulässigen Abfrage und Nutzung der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen wurden an Polizei und Staatsanwaltschaft versandt. Mainz: Rechtswidrige Nutzung von Kontaktdaten der LUCA-App durch Polizei und Staatsanwaltschaft – Landesdatenschutzbeauftragter leitet aufsichtsrechtliches Verfahren ein weiterlesen

Umfrage der Siemens-Betriebskrankenkasse zur elektronischen Patientenakte: Ein Musterbeispiel manipulativer Fragen und Bewertungen

Unter dem Titel Je mehr Kontakt mit dem Gesundheitssystem, umso offener für Digitalisierung“ veröffentlichte die Siemens-Betriebskrankenkasse (SBK) am 20.12.2021 in einer Pressemitteilung Ergebnisse einer von ihr in Auftrag gegebenen und bezahlten Umfrage zur Nutzung der elektronischen Patientenakte (ePA). Danach sollen „rund drei Viertel der chronisch beziehungsweise langfristig Erkrankten (74 Prozent) und älteren Menschen ab 55 Jahren (72 Prozent)… der Auffassung“ sein, „dass der Schutz von gesundheitsbezogenen Daten so gestaltet sein muss, dass ein digitaler Austausch von Daten zwischen Ärzt*innen und weiteren Akteur*innen des Gesundheitswesens unkompliziert möglich ist.“

Tatsächlich bewegt sich auch zu Beginn des Jahres 2022 nicht nur bei der SBK die Zahl der Inhaber*innen von ePA‘s im Promillebereich: Umfrage der Siemens-Betriebskrankenkasse zur elektronischen Patientenakte: Ein Musterbeispiel manipulativer Fragen und Bewertungen weiterlesen

Sicherheitslücke in elektronischer Patientenakte der Techniker Krankenkasse

Auf heise online wurde am 30.12.2021 als Vorabdruck ein Beitrag aus der Zeitschrift c‘t veröffentlicht, der auf schwerwiegende Sicherheitsmängel bei der elektronischer Patientenakte (ePA) der Techniker Krankenkasse (TK), die TK-Safe, hinweist.

Im Beitrag wird u. a. festgestellt: Ende November bekamen wir einen anonymen Tipp, dass die Android-Version 3.15.0 (Produktversion 3.1.0.13) der TK-App es über ihre Funktion TK-Safe erlauben würde, eigentlich verbotene Zip-Container in die ePA zu laden. Bei der anschließenden Prüfung gelang es uns tatsächlich, eine Zip-Datei in die ePA hoch- und wieder herunterzuladen. Eigentlich sollte die App einen solchen Upload durch eine Typ-Prüfung der Datei verhindern. Dazu kontrolliert sie aber offenbar nur dessen MIME-Typ in den Metadaten. Um dies zu umgehen, konstruierten wir einen Zip-Container ‚Röntgenbilder.zip‘, fügten die zusätzliche Endung ‚.txt‘ an und luden sie auf Google Drive hoch. Dieses stufte die Datei anhand der Dateinamensendung als MIME-Typ ‚text/plain‘ ein. Anschließend entfernten wir die .txt-Endung wieder aus dem Namen und konnten ‚Röntgenbilder.zip‘ vom Google Drive über TK-Safe als ‚Dokument ohne besondere Form‘ in die ePA hochladen… Aufgrund einer Sicherheitslücke… gelang es uns, eine verbotene Zip-Datei in die ePA hochzuladen.“ Sicherheitslücke in elektronischer Patientenakte der Techniker Krankenkasse weiterlesen

Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA)

Ein Versicherter, der Mitglied der DAK-Gesundheit ist, hat dem Verein Patientenrechte und Datenschutz e. V. und der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur anonymisierten Veröffentlichung ein Schreiben überlassen, das er zu diesem Thema an das Bundesamt für Soziale Sicherung (BAS) gerichtet hat. Das BAS hat die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung.

In seinem Schreiben erklärt der Versicherte: „… als Mitglied der DAK-Gesundheit habe ich erwogen, ggf. die elektronische Patientenakte (ePA) der DAK zu beantragen. Beim Blick in die Bedingungen, die ich dafür akzeptieren müsste, habe ich aber gestutzt. In den ‚Allgemeinen Nutzungsbedingungen der DAK-Gesundheit zur Nutzung des Identifizierungs- und Access-Management-Tools (IAM)‘“ –  damit kann bei der DAK elektronische Patientenakte (ePA) beantragt werden – habe ich gelesen“: Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA) weiterlesen