Schlagwort-Archive: DSGVO

Blog

Was dürfen Unternehmen über Gesundheitsdaten von Beschäftigten wissen und was dürfen sie damit tun?

Ein Kommentar

Ein Thema, das viele erkrankte Beschäftigte berührt und verunsichert. Und bei dem Unternehmen auch Missbrauch betreiben.

Bekanntester Fall aus diesem Jahr: Die deutsche Niederlassung von Elon Musks Autofabrik Tesla in Grünheide (Brandenburg). Das Unternehmen soll nach Angaben der IG Metall eine nennenswerte Zahl von Beschäftigten nach Krankschreibungen aufgefordert haben, Ärzte von ihrer Schweigepflicht zu entbinden und Diagnosen offenzulegen. Lohn soll in dem Zusammenhang zurückgefordert oder einbehalten worden sein. Was dürfen Unternehmen über Gesundheitsdaten von Beschäftigten wissen und was dürfen sie damit tun? weiterlesen

Blog

Hessische Landesregierung beabsichtigt Überwachung psychisch kranker und suchtkranker Menschen

3 Kommentare

Das geht aus einem Gesetzentwurf der Fraktionen von CDU und SPD für ein Zweites Gesetz zur Änderung des Psychisch-Kranken-Hilfe-Gesetzes“
(PsychKHG) vom 17.06.2025 (Landtags-Drucksache 21/2392) hervor.

  1. Zum einen soll § 1 PsychKHG ergänzt werden um den Satz: Eine psychische Störung im Sinne dieses Gesetzes ist auch eine mit dem Verlust der Selbstkontrolle einhergehende Abhängigkeit von Suchtstoffen.“
  2. Zum anderen soll § 28 PsychKHG um einem Absatz 4 ergänzt werden mit folgendem Wortlaut: „Erfolgte die Unterbringung aufgrund einer Fremdgefährdung und besteht zum Zeitpunkt der Entlassung aus medizinischer Sicht die Sorge, dass von der untergebrachten Person ohne ärztliche Weiterbehandlung eine Fremdgefährdung ausgehen könnte, sind… die für den Wohnsitz oder gewöhnlichen Aufenthaltsort zuständige örtliche Ordnungsbehörde und Polizeibehörde von der bevorstehenden Entlassung unverzüglich zu unterrichten. Mit der Entlassungsmeldung sind die notwendigen Informationen für eine Gefährdungseinschätzung zu übermitteln…“

Im Ergebnis bedeutet dies: Psychisch Kranke und suchtkranke Menschen in Hessen müssen künftig damit rechnen, dass sowohl das örtliche Ordnungsamt als auch die örtlich zuständige Dienststelle der Landespolizei über ihre Gesundheits- und ggf. Behandlungsdaten unterrichtet werden. Hessische Landesregierung beabsichtigt Überwachung psychisch kranker und suchtkranker Menschen weiterlesen

Blog

Großbritannien: IT-Dienstleister im Gesundheitswesen vernachlässigt jahrelang Sicherheitslücken – Bußgeld i. H. v. 3,5 Millionen Euro

Schreibe einen Kommentar

Die Datenschutz-Aufsichtsbehörde in Großbritannien (Information Commissioner’s Office – ICO) hat am 26.03.2025 gegen ein britisches Unternehmen ein Bußgeld i. H. v. mehr als 3 Mio. britische Pfund (= 3,5 Mio. €) verhängt. Das Unternehmen bietet IT-Dienstleistungen für verschiedene Branchen an, darunter das Gesundheitswesen, Rechtsdienstleistungen und das Bildungswesen. 

Nach den Ermittlungen des ICO nutzten Hacker eine bekannte Sicherheitslücke, um sich Zugang zu den Systemen von AHC zu verschaffen. Dabei wurden personenbezogene Daten von 82.946 Personen exfiltriert, darunter medizinische Aufzeichnungen, Krankengeschichten, Patientenakten- und Versicherungsnummern. Diese Daten gelten nach Art. 9 DSGVO (wie auch im britischen Datenschutzpendant) als besonders schutzwürdig.  Großbritannien: IT-Dienstleister im Gesundheitswesen vernachlässigt jahrelang Sicherheitslücken – Bußgeld i. H. v. 3,5 Millionen Euro weiterlesen

Blog

Gibt es ein Recht auf Berichtigung von Arztbriefen?

Schreibe einen Kommentar

Dazu nimmt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Tätigkeitsbericht für 2025 (dort Abschnitt 4.5.3) Stellung. Nachfolgend dokumentieren wie diesen Beitrag im Wortlaut.

„Ärztinnen und Ärzte dokumentieren medizinische Feststellungen u. a. in Arztbriefen, Entlassungs- oder Befundberichten. Mehr oder weniger detailliert können diese neben den Stammdaten der Patientin oder des Patienten auch Angaben zur Biografie, der Anamnese, über bereits gesicherte und vermutete Diagnosen und zu erfolgten und empfohlenen Behandlungen enthalten. Dies sind sensibelste Gesundheitsdaten, mithin besondere Kategorien schützenswerter Daten. Gibt es ein Recht auf Berichtigung von Arztbriefen? weiterlesen

Blog

Riesiges Datenleck bei ZAR-Reha-Kliniken entdeckt

Schreibe einen Kommentar

Unter dem Dach der Nanz medico GmbH & Co. KG sind mit dem Begriff ZAR (Reha Zentren für ambulante Rehabilitation) mehr als 30 ambulante Rehabilitationszentren in Deutschland vereint. Die Eigenwerbung lautet: „Deutschlands Nr. 1 für ambulante Reha“.

Am 30.01.2025 meldete heise.de: Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte.“ Aus dem Beitrag geht hervor, wie das Problem bekannt wurde: Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen. Der Komfort hatte jedoch ungewollt einen hohen Preis: Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat… Hackerkenntnisse waren zur Einsicht der Daten nicht nötig… Beim Aufruf der URL des Servers, von dem die App die Termine lud… wurden automatisch Informationen über weitere Pfade auf dem Server übertragen. Unter diesen Pfaden waren personenbezogene Daten ohne Zugangskontrolle abrufbar – weiterhin über eine ungeschützte Klartext-Verbindung. Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden… Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück. Über welchen Zeitraum der Zugriff möglich war und wer auf die Daten zugegriffen hat, ist bislang unklar.“ Riesiges Datenleck bei ZAR-Reha-Kliniken entdeckt weiterlesen

Blog

Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt

Schreibe einen Kommentar

Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet wegen eines rechtswidrigen Austauschs personenbezogener Daten. „Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kund*innen in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, erläutert die Landesdatenschutzbeauftragte, Bettina Gayk. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt weiterlesen

Blog, Telematik-Infrastruktur

​Thilo Weichert: Kritik an der geplanten Gesundheitsdatenforschung und am Forschungsdatenzentrum Gesundheit (FDZ)

Schreibe einen Kommentar

Das Bundesgesundheitsministerium hat am 11.11.2024 den Entwurf einer Verordnung zur Umsetzung der Verfahren beim Forschungsdatenzentrum Gesundheit vorgelegt, bei der nach Bewertung von Dr. Thilo Weichert (früherer Datenschutzbeauftragter in Schleswig-Holstein, jetzt Mitglied im Netzwerk Datenschutzexpertise, im Vorstand der Deutschen Vereinigung für Datenschutz und im Vorstand von Digitalcourage) der Datenschutz und die Wahrung des Patientengeheimnisses auf der Strecke bleiben. ​Thilo Weichert: Kritik an der geplanten Gesundheitsdatenforschung und am Forschungsdatenzentrum Gesundheit (FDZ) weiterlesen

Blog

Medatixx, ein Anbieter von Praxissoftware, eröffnet Ärzt*innen und Psychotherapeut*innen die Möglichkeit, gegen Cash anonymisierte (?) Gesundheits- und Behandlungsdaten ihrer Patient*innen zu verkaufen

Ein Kommentar

Medatixx, ein in Eltville im hessischen Rheingaukreis ansässiges Unternehmen, das Anbieter von Praxissoftware für Praxen von Ärzt*innen und Psychotherapeut*innen ist, eröffnet seit Ende 2022 den Inhaber*innen der genannten Praxen die Möglichkeit, gegen eine monatliche Aufwandsentschädigung von – je nach Anzahl der beteiligten Behandler*innen – 30,00 bis 40,00 € anonymisierte Gesundheits- und Behandlungsdaten ihrer jeweiligen Patient*innen zu verkaufen. Darüber – und über eine, leider ohne Antwort gebliebene, Anfrage an den Hesischen Datenschutzbeauftragten – haben wir bereits in einem Beitrag im November 2022 mit der gleichen Überschrift informiert.

Quelle: Homepage von medatixx

Auf der Homepage von medatixx wird dazu aktuell u. a. wie folgt für dieses „Angebot“ geworben: „x.panel ermöglicht Anwenderinnen und Anwendern einer Praxissoftware von medatixx eine datenschutzkonforme und anonymisierte Übermittlung von ambulanten Versorgungsdaten. Die Anonymisierung startet bereits lokal in der Praxissoftware; die Daten werden in einer sicheren Umgebung gesammelt und ausgewählten Datenempfängern für Forschungs- und statistische Zwecke zur Verfügung gestellt. Eine Zurückführung auf die einzelne Praxis, die behandelnde Ärztin und den behandelnden Arzt oder die einzelne Patientin und den einzelnen Patienten ist nicht möglich“.

Durch einen Bericht im Ärztenachrichtendienst (ÄND) vom 19.10.2024 wurde dieses Thema einem breiteren Kreis kritischer Ärzt*innen, Psychatherapeut*innen und Versicherten bekannt. Auch Mitglieder der Redaktion dieser Homepage haben dazu erneut recherchiert und fanden auf der Homepage vom medatixx den Text einer „Ergänzungsvereinbarung zum Praxissoftwarepflegevertrag der medatixx GmbH & Co. KG .

Medatixx, ein Anbieter von Praxissoftware, eröffnet Ärzt*innen und Psychotherapeut*innen die Möglichkeit, gegen Cash anonymisierte (?) Gesundheits- und Behandlungsdaten ihrer Patient*innen zu verkaufen weiterlesen

Blog

Das Recht auf kostenlose Erstkopie der Patientenakte kann durch eine nationale Regelung nicht eingeschränkt werden! Datenschutzaufsichtsbehörden sehen Handlungsbedarf

Schreibe einen Kommentar

Das geht aus einer Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11.09.2024 hervor. Sie verweisen auf ein Urteil des Europäischen Gerichtshofs (EuGH) vom 26.102023 (Aktenzeichen: C-307/22), mit dem sich der EuGH mit nationalem deutschen Recht im Verhältnis zur DSGVO auseinandersetzt, konkret zum Verhältnis

Das Recht auf kostenlose Erstkopie der Patientenakte kann durch eine nationale Regelung nicht eingeschränkt werden! Datenschutzaufsichtsbehörden sehen Handlungsbedarf weiterlesen

Blog

Videoüberwachung in ärztlichen Praxisräumen: Von manchen erwünscht, aber unzulässig

Schreibe einen Kommentar

Wiederholt hat der Weser-Kurier aus Bremen dieses Thema aufgegriffen, zuletzt am 06.09.2024 mit einem Streitgespräch zwischen dem kommissarischen Landesdatenschutzbeauftragten in Bremen, Steffen Bothe, und dem Vorstandsvorsitzenden der Kassenärztlichen Vereinigung Bremen, Bernhard Rochell.

2023 kam es laut Polizei zu drei Fällen von gefährlicher und schwerer Körperverletzung in Arztpraxen. In neun angezeigten Fällen ging es um einfache Körperverletzung und drei Mal um Bedrohung. Zudem wurden 113 Diebstähle in Praxisräumen angezeigt“, informiert der Weser-Kurier. Videoüberwachung in ärztlichen Praxisräumen: Von manchen erwünscht, aber unzulässig weiterlesen