Das Bundesinnenministerium will Behörden erlauben, automatisierte Systeme mit Daten aus Asyl- und Aufenthaltsverfahren – darunter Daten zur gesundheitlichen Situation einzelner betroffener Menschen – zu trainieren. Dabei geht es nicht nur um das Bundesamt für Migration und Flüchtlinge (BAMF) oder Ausländerbehörden, sondern auch um die Polizei. Netzpolitik.org hat den Entwurf eines Gesetzes zum Einsatz künstlicher Intelligenz in der Migrationsverwaltung (KI-Migrationsverwaltungsgesetz – KIMVG) veröffentlicht. Gesetzentwurf zum KI-Einsatz bei Asyl- und Visumsverfahren sieht auch Zugriff auf Gesundheitsdaten vor weiterlesen
Schlagwort-Archiv: DSGVO
Bundesverwaltungsgericht setzt privaten Krankenversicherungen klare Grenzen bei der Verarbeitung von Gesundheitsdaten
Private Krankenversicherungen dürfen Diagnosen, die sie aus eingereichten Rechnungen ihrer Versicherten zur Erstattung erhalten, nicht ohne Einwilligung der Versicherten für die Empfehlung von Vorsorgeprogrammen auswerten. Das entschied das Bundesverwaltungsgericht (BVerwG) mit Urteil vom 06.03.2026 (Aktenzeichen: 6 C 7.24).
Der Anlass: Eine Krankenversicherung hatte die zur Kostenübernahme eingereichten Rechnungen ihrer Versicherten dahingehend analysiert, ihnen passende Vorsorgeprogramme (z. B. zur Vorbeugung von Rückenleiden oder Coaching beim Umgang mit Diabetes oder Asthma) zu empfehlen. Bundesverwaltungsgericht setzt privaten Krankenversicherungen klare Grenzen bei der Verarbeitung von Gesundheitsdaten weiterlesen
Hackerangriff auf Ameos-Klinikkonzern – Patient*innen-Daten in Gefahr: Die Konzernleitung agiert rechtswidrig
AMEOS gehört neben Helios und Sana zu den größten privaten Klinik-Betreibern im deutschsprachigen Raum. „AMEOS sichert die Gesundheitsversorgung in den Regionen: An über 50 Standorten in unseren Krankenhäusern, Poliklinika, Reha-, Pflege- und Eingliederungseinrichtungen sind wir Vorreiter in Medizin und Pflege. AMEOS steht für eine umfassende und zukunftssichere Versorgung der breiten Bevölkerung in regionalen Netzwerken. Denn für AMEOS gilt: vor allem Gesundheit.“ So die Selbstdarstellung des AMEOS-Klinikkonzernauf seiner Homepage.
Am 09.07.2025 erklärte die AMEOS Gruppe in einer Pressemitteilung lapidar: „Netzwerkstörung bei AMEOS – Eine zentrale, selbst vorgenommene Abschaltung der Netzwerke hat zu Einschränkungen bei der Verfügbarkeit digitaler Dienste in den AMEOS Einrichtungen in Deutschland geführt. Die AMEOS IT identifizierte am Montagabend einen Angriff und schaltete vorsorglich alle digitalen Systeme ab. Seitdem arbeiten die Experten der IT-Services mit höchster Priorität an der Wiederinbetriebnahme…“ Was sich so harmlos liest, hatte offensichtlich tiefgehende Auswirkungen. Nicht nur in der Versorgung von Patient*innen und Pflegeheim-Bewohner*innen sondern auch im Bezug auf deren Gesundheits- und Behandlungsdaten. Mit hoher Wahrscheinlichkeit gelang es den Betreiber*innen des Hackerangriff, auf diese Daten in großem Umfang Zugriff zu erhalten. Hackerangriff auf Ameos-Klinikkonzern – Patient*innen-Daten in Gefahr: Die Konzernleitung agiert rechtswidrig weiterlesen
Was dürfen Unternehmen über Gesundheitsdaten von Beschäftigten wissen und was dürfen sie damit tun?
Ein Thema, das viele erkrankte Beschäftigte berührt und verunsichert. Und bei dem Unternehmen auch Missbrauch betreiben.
Bekanntester Fall aus diesem Jahr: Die deutsche Niederlassung von Elon Musks Autofabrik Tesla in Grünheide (Brandenburg). Das Unternehmen soll nach Angaben der IG Metall eine nennenswerte Zahl von Beschäftigten nach Krankschreibungen aufgefordert haben, Ärzte von ihrer Schweigepflicht zu entbinden und Diagnosen offenzulegen. Lohn soll in dem Zusammenhang zurückgefordert oder einbehalten worden sein. Was dürfen Unternehmen über Gesundheitsdaten von Beschäftigten wissen und was dürfen sie damit tun? weiterlesen
Hessische Landesregierung beabsichtigt Überwachung psychisch kranker und suchtkranker Menschen
Das geht aus einem Gesetzentwurf der Fraktionen von CDU und SPD für ein „Zweites Gesetz zur Änderung des Psychisch-Kranken-Hilfe-Gesetzes“
(PsychKHG) vom 17.06.2025 (Landtags-Drucksache 21/2392) hervor.
- Zum einen soll § 1 PsychKHG ergänzt werden um den Satz: „Eine psychische Störung im Sinne dieses Gesetzes ist auch eine mit dem Verlust der Selbstkontrolle einhergehende Abhängigkeit von Suchtstoffen.“
- Zum anderen soll § 28 PsychKHG um einem Absatz 4 ergänzt werden mit folgendem Wortlaut: „Erfolgte die Unterbringung aufgrund einer Fremdgefährdung und besteht zum Zeitpunkt der Entlassung aus medizinischer Sicht die Sorge, dass von der untergebrachten Person ohne ärztliche Weiterbehandlung eine Fremdgefährdung ausgehen könnte, sind… die für den Wohnsitz oder gewöhnlichen Aufenthaltsort zuständige örtliche Ordnungsbehörde und Polizeibehörde von der bevorstehenden Entlassung unverzüglich zu unterrichten. Mit der Entlassungsmeldung sind die notwendigen Informationen für eine Gefährdungseinschätzung zu übermitteln…“
Im Ergebnis bedeutet dies: Psychisch Kranke und suchtkranke Menschen in Hessen müssen künftig damit rechnen, dass sowohl das örtliche Ordnungsamt als auch die örtlich zuständige Dienststelle der Landespolizei über ihre Gesundheits- und ggf. Behandlungsdaten unterrichtet werden. Hessische Landesregierung beabsichtigt Überwachung psychisch kranker und suchtkranker Menschen weiterlesen
Großbritannien: IT-Dienstleister im Gesundheitswesen vernachlässigt jahrelang Sicherheitslücken – Bußgeld i. H. v. 3,5 Millionen Euro
Die Datenschutz-Aufsichtsbehörde in Großbritannien (Information Commissioner’s Office – ICO) hat am 26.03.2025 gegen ein britisches Unternehmen ein Bußgeld i. H. v. mehr als 3 Mio. britische Pfund (= 3,5 Mio. €) verhängt. Das Unternehmen bietet IT-Dienstleistungen für verschiedene Branchen an, darunter das Gesundheitswesen, Rechtsdienstleistungen und das Bildungswesen.
Nach den Ermittlungen des ICO nutzten Hacker eine bekannte Sicherheitslücke, um sich Zugang zu den Systemen von AHC zu verschaffen. Dabei wurden personenbezogene Daten von 82.946 Personen exfiltriert, darunter medizinische Aufzeichnungen, Krankengeschichten, Patientenakten- und Versicherungsnummern. Diese Daten gelten nach Art. 9 DSGVO (wie auch im britischen Datenschutzpendant) als besonders schutzwürdig. Großbritannien: IT-Dienstleister im Gesundheitswesen vernachlässigt jahrelang Sicherheitslücken – Bußgeld i. H. v. 3,5 Millionen Euro weiterlesen
Gibt es ein Recht auf Berichtigung von Arztbriefen?
Dazu nimmt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Tätigkeitsbericht für 2025 (dort Abschnitt 4.5.3) Stellung. Nachfolgend dokumentieren wie diesen Beitrag im Wortlaut.
„Ärztinnen und Ärzte dokumentieren medizinische Feststellungen u. a. in Arztbriefen, Entlassungs- oder Befundberichten. Mehr oder weniger detailliert können diese neben den Stammdaten der Patientin oder des Patienten auch Angaben zur Biografie, der Anamnese, über bereits gesicherte und vermutete Diagnosen und zu erfolgten und empfohlenen Behandlungen enthalten. Dies sind sensibelste Gesundheitsdaten, mithin besondere Kategorien schützenswerter Daten. Gibt es ein Recht auf Berichtigung von Arztbriefen? weiterlesen
Riesiges Datenleck bei ZAR-Reha-Kliniken entdeckt
Unter dem Dach der Nanz medico GmbH & Co. KG sind mit dem Begriff ZAR (Reha Zentren für ambulante Rehabilitation) mehr als 30 ambulante Rehabilitationszentren in Deutschland vereint. Die Eigenwerbung lautet: „Deutschlands Nr. 1 für ambulante Reha“.
Am 30.01.2025 meldete heise.de: „Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte.“ Aus dem Beitrag geht hervor, wie das Problem bekannt wurde: „Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen. Der Komfort hatte jedoch ungewollt einen hohen Preis: Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat… Hackerkenntnisse waren zur Einsicht der Daten nicht nötig… Beim Aufruf der URL des Servers, von dem die App die Termine lud… wurden automatisch Informationen über weitere Pfade auf dem Server übertragen. Unter diesen Pfaden waren personenbezogene Daten ohne Zugangskontrolle abrufbar – weiterhin über eine ungeschützte Klartext-Verbindung. Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden… Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück. Über welchen Zeitraum der Zugriff möglich war und wer auf die Daten zugegriffen hat, ist bislang unklar.“ Riesiges Datenleck bei ZAR-Reha-Kliniken entdeckt weiterlesen
Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt
Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet wegen eines rechtswidrigen Austauschs personenbezogener Daten. „Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kund*innen in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, erläutert die Landesdatenschutzbeauftragte, Bettina Gayk. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt weiterlesen
Thilo Weichert: Kritik an der geplanten Gesundheitsdatenforschung und am Forschungsdatenzentrum Gesundheit (FDZ)
Das Bundesgesundheitsministerium hat am 11.11.2024 den Entwurf einer „Verordnung zur Umsetzung der Verfahren beim Forschungsdatenzentrum Gesundheit„ vorgelegt, bei der nach Bewertung von Dr. Thilo Weichert (früherer Datenschutzbeauftragter in Schleswig-Holstein, jetzt Mitglied im Netzwerk Datenschutzexpertise, im Vorstand der Deutschen Vereinigung für Datenschutz und im Vorstand von Digitalcourage) der Datenschutz und die Wahrung des Patientengeheimnisses auf der Strecke bleiben. Thilo Weichert: Kritik an der geplanten Gesundheitsdatenforschung und am Forschungsdatenzentrum Gesundheit (FDZ) weiterlesen