Schlagwort-Archive: DSGVO

Stiftung Datenschutz: Nützliche Hinweise zum Thema besonders schützenswerte Daten i. S.d. Art. 9 DSGVO – dazu zählen auch Gesundheitsdaten

Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) normiert in Abs. 1, welche Kategorien von Daten grundsätzlich untersagt ist:

  • Rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten,
  • biometrische Daten,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Dieses grundsätzliche Verbot der Verarbeitung der genannten Datenkategorien wird in Art. 9 Abs. 2 ergänzt um Fallkonstellationen, in denen die Verarbeitung der genannten Daten zulässig sein kann und welche Voraussetzungen dafür vorliegen müssen.Die Stiftung Datenschutz hat dieser Thematik zwei gut verständliche Beiträge gewidmet:

Oberlandesgericht Düsseldorf: Gesundheitsdaten unverschlüsselt an falsche E-Mail-Adresse versandt – 2.000 € Schadenersatz

Was war passiert? Eine Frau (gesetzlich versichert) will zu einer privaten Krankenversicherung wechseln. Dazu benötigt sie Unterlagen, die ihre bisherige Krankenkasse über sie hat. Sie bittet diese, ihr alle vorhandenen Daten an ihre private E-Mailadresse zu senden. Dies tut die bisherige Krankenkasse – aber erstens unverschlüsselt und zweitens an eine falsche Mailadresse. Als die Krankenkasse nach diversen Anrufen und anderen Kontakten ihren Fehler feststellte, sandte sie die gesammelten Daten per Post an ihr (Noch)-Mitglied. Als Ausgleich für die „seelische Belastung angesichts des unsicheren Verbleibs seiner Daten“ forderte die Versicherte 15.000 Schadensersatz  Die Kasse wies diese Forderung zurück. Sie bot – ohne Anerkennung einer Rechtspflicht – als Ausgleich 500 € an. Der Versicherte reichte auf der Grundlage des Art. 82 DSGVO Klage ein.

In zweiter Instanz, vor dem Oberlandesgericht Düsseldorf (Aktenzeichen: 16 U 275/20) erzielte die Klägerin einen Teilerfolg:

  • Das Gericht bestätigte zunächst, dass die Kasse durch den Versand der Akte an die falsche Adresse einen Datenschutzverstoß begangen habe und daher Schadensersatz zahlen müsse.
  • Unbeanstandet ließ das Gericht aber den unverschlüsselten Versand der Daten. Denn durch ihre Anfrage habe sie der Kasse signalisiert, dass sie die Übersendung ihrer Daten in E-Mail-Form wünsche. Da sie keine besonderen Sicherheitsvorkehrungen angemahnt habe, habe sie damit rechnen müssen, dass die Kasse ihrem Wunsch entsprechend agiere. Damit habe sie faktisch eine Einwilligung in die unverschlüsselte Übersendung der Krankenakte erteilt.
  • Für ihre seelischen Belastungen infolge der Ungewissheit gestand ihr das Gericht einen Schadenersatzanspruch von 2.000 € zu.

Krankenkassen haben mehr kritische Daten über ihre Versicherten als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften.

Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten. Der Anfrage-Generator des Vereins Patientenrechte und Datenschutz e. V. hilft Ihnen dabei, eine entsprechende Anfrage zu erstellen. Nahezu 1.400 Menschen haben bisher davon Gebrauch gemacht.

 

Umfang der Auskunftserteilung nach Art. 15 DSGVO – ein Problem auch bei vielen Krankenkassen

Art. 15 der Europ. Datenschutz-Grundverordnung (DSGVO) enthält grundlegende Regelung zum Auskunftsrecht betroffener Personen bei Stellen, die Daten von ihnen verarbeiten und speichern.

Ihre Krankenkasse hat mehr kritische Daten über Sie, als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften. Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten.

Ein Anfrage-Generator, der vom Verein Patientenrechte und Datenschutz e. V. bereitgestellt wird, hilft dabei, solch eine Anfrage zu erstellen. Mehr als 1.300 Versicherte haben dieses Angebot bisher genutzt und Auskünfte beantragt. Nach Rückmeldungen, die beim Verein Patientenrechte und Datenschutz e. V. eingingen, sind die Auskünfte in einer nennenswerten Zahl von Fällen unzureichend.

In seinem 17. Tätigkeitsbericht zum Datenschutz hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zu dieser Problematik im Abschnitt 5.5.2 (ab S. 42) zu diesem Problem Stellung genommen: Umfang der Auskunftserteilung nach Art. 15 DSGVO – ein Problem auch bei vielen Krankenkassen weiterlesen

Hessischer Datenschutzbeauftragter: Digitale Medizin findet nur mit wirksamem Datenschutz ausreichendes Vertrauen

In einer Pressemitteilung zu ihrem 128. Kongress prangert die Deutsche Gesellschaft für Innere Medizin (DGIM) in einer unseriösen und reißerischen Form den Schutz von Gesundheits- und Behandlungsdaten an. Der übertriebene Datenschutz sei ein Risiko für die Gesundheit vieler Menschen und gefährde sogar Menschenleben. Damit macht sich dieser Verband von Ärzt*innen, die dem hippokratischen Eid verpflichtet sein müsste, zum Sprachrohr von Interessengruppen, die an der unbegrenzten Nutzung von Gesundheits- und Behandlungsdaten interessiert sind. DGIM-Kongress-Präsident Professor Dr. med. Markus M. Lerch, versteigt sich zu der Aussage: „Auf der rechtlichen Ebene ist eine der dringlichsten Baustellen unser Umgang mit Daten und mit der Datenschutz-Grundverordnung (DSGVO) im Gesundheitswesen – eine Verordnung, die zwar europaweit gilt, jedoch vor allem in Deutschland in einer Art und Weise ausgelegt wird, die mitunter Leib und Leben von Patientinnen und Patienten gefährdet“.

Für den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, war dies Anlass, in einer umfangreichen Stellungnahme dieses Datenschutz-Bashing detailliert zurückzuweisen. Hessischer Datenschutzbeauftragter: Digitale Medizin findet nur mit wirksamem Datenschutz ausreichendes Vertrauen weiterlesen

Stellungnahme des Bundesdatenschutzbeauftragten zu einem Datenschutzverstoß der Telematik-Infrastruktur

Dem Bundesdatenschutzbeauftragten (BfDI) wurde von Hinweisgebern gemeldet, dass es im Zusammenspiel von elektronischen Gesundheitskarten und den Konnektoren der Telematik-Infrastruktur zu Datenschutzverstößen gekommen sein soll. Dazu haben den BfDI viele Fragen erreicht, von denen die häufigsten auf der Homepage des BfDI beantwortet werden.

Zu folgenden Problembereichen wird vom BfDI Stellung genommen:

Zu der Frage Liegt ein Datenschutzverstoß vor? stellt der BfDI fest: Bei den gespeicherten Seriennummern der eGK-Zertifikate von gesperrten elektronischen Gesundheitskarten handelt es sich um personenbezogene Daten. Die Speicherung dieser Daten erfolgte ohne Rechtsgrund und ist somit unzulässig. Zudem ermöglicht allein die Speicherung im Konnektor einen (unbefugten) Zugang der Nutzenden beziehungsweise der von ihnen beauftragten Administratoren zu den gespeicherten Seriennummern der eGK-Zertifikate gesperrter Gesundheitskarten. Auf diese Weise wird die Möglichkeit eröffnet, dass diese Daten an Dritte weitergegeben werden können. Somit liegt eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO vor.“

Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen

Einer gesetzlich krankenversicherte Klägerin wurde vom Oberlandesgericht (OLG) Düsseldorf ein Schmerzensgeld i. H. v. 2.000 € zuerkannt, da ihre Krankenkasse die von ihr erbetenen Unterlagen – ohne die E-Mail oder den Dateianhang zu verschlüsseln oder zu pseudonymisieren – versehentlich an die E-Mail-Adresse eines unbeteiligten Dritten gesandt hatte. Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen weiterlesen

Finnland: Bussgeld von 608.000 € verhängt wg. gravierender Mängel bei der Verarbeitung von Gesundheits- und Behandlungsdaten

Cyberkriminelle erpressen eine finnische Psychotherapie-Firma mit gestohlenen Patientendaten. Als diese nicht zahlt, erpressen die Angreifer einfach die Patienten selbst. Diese Meldung der Süddeutschen Zeitung vom 29.10.2020 machte drastisch aufmerksam auf ein Problem, das für die Betroffenen existenzbedrohend werden kann: Der Diebstahl von Gesundheits- und Behandlungsdaten.

Was war passiert? Die Frankfurter Allgemeine Zeitung fasst in einem Beitrag vom 28.10.2020 zusammen: Am 21. Oktober interließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen – in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt – sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren…“ Finnland: Bussgeld von 608.000 € verhängt wg. gravierender Mängel bei der Verarbeitung von Gesundheits- und Behandlungsdaten weiterlesen

Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist…

dann werden unzulässige Zugriffe erleichtert. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.11 – ab S. 146) aufmerksam. Unter der Überschrift „Wenn der Expartner die Patientenakte ‚filzt‘“ wird über einen illegalen Zugriff von Krankenhauspersonal auf Patient*innen-Akten informiert. Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist… weiterlesen

Wenn ein Krankenhaus sagt: Eine Kopie der Gesundheits- und Behandlungsdaten gibt’s nie…

dann kann eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde helfen. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.13 – ab S. 150) aufmerksam.

Gemäß Art. 15 Abs. 3 DSGVO muss das Krankenhaus (beziehungsweise Klinikum oder der behandelnde Arzt) dem betroffenen Patienten auf Anforderung eine (kostenfreie) Kopie seiner personenbezogenen (Gesundheits-)Daten aushändigen. Stellt der/die betroffene Patient/in den Antrag auf eine Kopie seiner/ihrer verarbeiteten Daten elektronisch, so ist die Kopie in einem gängigen elektronischen Format zur Verfügung zu stellen . Wenn ein Krankenhaus sagt: Eine Kopie der Gesundheits- und Behandlungsdaten gibt’s nie… weiterlesen

Arbeitsgericht Dresden: 1.500 € Schadenersatz für unerlaubte Weitergabe von Gesundheitsdaten an Ausländerbehörde und Bundesagentur für Arbeit

Hat ein Betroffener Anspruch auf Schadens nach Art. 82 DSGVO, wenn seine Gesundheitsdaten durch den ehemaligen Arbeitgeber an Behörden (in diesem Fall: an die Ausländerbehörde und die Bundesagentur für Arbeit) unerlaubt weitergegeben werden? Zu dieser Frage hat das Arbeitsgericht Dresden mit Urteil vom 26.08.2020 (Aktenzeichen: 13 Ca 1046/20) Stellung genommen. Arbeitsgericht Dresden: 1.500 € Schadenersatz für unerlaubte Weitergabe von Gesundheitsdaten an Ausländerbehörde und Bundesagentur für Arbeit weiterlesen