Heise.de berichtet am 23.10.2018: „In Portugal ist die europaweit erste substanzielle Geldstrafe wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) verhängt worden. Die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hat am Montag bekanntgegeben, dass das Krankenhaus Barreiro Montijo 400.000 Euro bezahlen soll, berichtetPúblico. Der Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten.“
Auf ihrer Homepage wirbt die AOK PLUS für ihr Bonus-Programm: „Sie sind sportlich aktiv und nehmen gesundheitliche Vorsorge ernst? Sie engagieren sich zum Beispiel als Blutspender? Dann ist das AOK PLUS-Bonusprogramm genau das Richtige für Sie. Sammeln Sie Bonuspunkte und wandeln Sie diese in bares Geld um. Das ist gut für Ihre Gesundheit und Ihren Geldbeutel. Jeder AOK PLUS-Versicherte über 15 Jahren kann teilnehmen…“
Was die AOK ihren Versicherten nicht verrät wurde am 10.10.2018 durch einen Beitrag des MDR bekannt:
Gesundheitsdaten der Versicherten, die am Bonus-Programm teilnehmen, werden in die USA übertragen. Die AOK Plus begründetet dies gegenüber dem MDR mit mangelnden Alternativen: „Es gibt leider keinen deutschen Schrittzähler, der an Google und Co vorbeiführt.“
Durch eine Sicherheitslücke in der AOK Bonus-App ließen sich vermutlich seit Januar 2017 die Passwörter der Nutzer auslesen. Dadurch wurde der Zugriff auch auf andere Gesundheits- und Versichertendaten möglich. Die AOK Plus reagierte nach Angaben des MDR inzwischen auf die Recherchen. Sie habe eine aktualisierte Version der Bonus-App veröffentlicht und mitgeteilt: „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ,Schwachstelle’ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern“.
Dr. med. Stefan Streit, Facharzt für Allgemeinmedizin aus Köln, hat sich wiederholt mit kritischen Veröffentlichungen und Vorträgen zur Digitalisierung des Gesundheitswesens zu Wort gemeldet. Am 01.10.2018 hat er auf dieser Homepage einen umfangreichen Kommentar zum Spannungsfeld von ärztlicher Sprechstunde, E-Health-Gesetz und DSGVO veröffentlicht.
Mit freundlicher Genehmigung des Verfassers möchte die Redaktion dieser Homepage auf den Beitrag von Dr. Streit hinweisen.
Die Pressestelle des OLG Frankfurt teilt am 13.09.2018 mit: “Das Oberlandesgericht Frankfurt am Main (OLG) hat entschieden, dass es Google nicht generell untersagt werden darf, ältere negative Presseberichte über eine Person in der Trefferliste anzuzeigen, selbst wenn diese Gesundheitsdaten enthalten… Das durch die DS-GVO anerkannte ‘Recht auf Vergessen’ überwiegt entgegen einer Entscheidung des EuGH zum früheren Recht nicht grundsätzlich das öffentliche Informationsinteresse.”Skandalöses Urteil des Oberlandesgerichts Frankfurt: Begrenzung des Löschungsanspruch gegen Google auch bei sensiblen Gesundheitsdaten weiterlesen →
Bei vielen Ärzt*innen herrscht seit Inkrafttreten der DSGVO Unsicherheit, wie sich die neue Rechtslage auf das Verhältnis zu ihren Patient*innen auswirkt. Ein krasses Beispiel, wie eine Arztpraxis ihr (mangelhaftes) Verständnis der Datenschutz-Grundverordnung an einer Patientin exekutiert haben wir in einem Erfahrungsbericht dokumentiert.
Mit einem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 05.09.2018 müssten Unsicherheit, Verwirrung und rechtswidriges handeln jetzt ihr Ende finden: „Die Datenschutzaufsichtsbehörden des Bundes und der Länder sprechen sich dagegen aus, dass Ärztinnen und Ärzte oder andere Angehörige von Gesundheitsberufen die Behandlung ablehnen oder die Verweigerung der Behandlung androhen, wenn die Patientin oder der Patient die Informationen nach Art. 13 DSGVO nicht mit ihrer oder seiner Unterschrift versieht. Eine solche Praxis ist nicht mit der DSGVO vereinbar. Die Informationspflicht nach Art. 13 DSGVO bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte…“
In einem Statement des SBK-Vorstandsvorsitzenden Dr. Hans Unterhuber vom 03.09.2018 werden in besonders perfiden Art (und vermutlich wider besseren Wissens) Halbwahrheiten zu den geltenden Regelungen im Bezug auf Gesundheits- und Behandlungsdaten verbreitet. Dr. Hans Unterhuber schreibt: „Die EU-DSGVO gilt inzwischen seit rund 100 Tagen. Und auch nach dieser Zeit sind die Regelungen nicht unumstritten – aber sie haben ein Gutes geschafft: In ihnen wird der Grundsatz deutlich, dass zuvorderst der Dateninhaber über seine Daten bestimmt. Und niemand anderes. Für das Gesundheitswesen heißt das, dass der Versicherte bzw. Patient festlegen kann, wer seine Daten sehen darf und was derjenige damit machen kann. Das ist ein wichtiger Schritt hin zu mehr Transparenz und einem mündigen, selbstbestimmten Patienten. Deshalb ist es umso alarmierender, was gerade passiert. Ein Referentenentwurf zum 2. Datenschutz-Anpassungs- und Umsetzungsgesetz geht nun in die parlamentarische Abstimmung, in dem diese Errungenschaft mit einem Federstrich wieder gekappt wird. Der Versicherte darf, sofern diese Regelung verabschiedet wird, nicht selbst bestimmen, wer seine Daten sehen und nutzen darf. Er darf eine Einwilligung nur in den Fällen erteilen, in denen der Gesetzgeber es ausdrücklich erlaubt. Der Gesetzgeber schreibt dem Versicherten also künftig vor, wo er seine Datenhoheit ausleben darf und wo nicht. Das halten wir für eine Bevormundung unserer Versicherten…“
Die Redaktion dieser Homepage erreichte folgende – von uns anonymisierte – Nachricht: “Hi Datenschützer, möchte gern von Euch wissen, ob das wirklich in Ordnung ist: Habe zum neuen Quartal den praktischen Arzt gewechselt, mir wurde beim letzten Besuch die Datenschutzerklärung vorgelegt, die ich unterschreiben sollte. Dabei gab es zwei Häkchen. Beim Häkchen Weitergabe der ärztlichen Informationen an andere Ärzte / Stellen habe ich kein Häkchen gesetzt und NO geschrieben und der Ärztin erklärt, dass ich das nicht akzeptiere. Ich möchte die Arztbriefe … erst sehen wollen, dann werde ich sie weiterleiten. Auch bin ich nicht mit einer Weitergabe an X-Stellen ohne mein Wissen und Einverständnis einverstanden… Die Ärztin behauptet, ohne diese Zustimmung käme der Praxisbetrieb nicht klar, Sie hat mit ihrem Chef abgesprochen, ich müsse dieser Datenschutzerklärung zustimmen. Ohne diese Erklärung würden sie die weitere Behandlung verweigern. Und das, während gerade meine … werte und … medikamente neu eingestellt werden müssen. Ich habe um eine schriftliche Bestätigung gebeten… Habe dann bei der … Krankenkasse angerufen, die erklärt sich für nicht zuständig, auch keine Beschwerdestelle, denn da ginge es nur um den Datenschutz der Krankenkasse selbst. Die wollten mich an die KV verweisen – ist das nicht, den Bock zum Gärtner zu machen? Wer ist zuständig – habe ich Recht oder gilt die neue Datenschutzverordnung nicht für Ärzte?”Eine Arztpraxis exekutiert ihr (mangelhaftes) Verständnis der Datenschutz-Grundverordnung an einer Patientin – ein Erfahrungsbericht weiterlesen →
Das Landgericht Dessau-Roßlau hat mit Urteil vom 28.03.2018 (Aktenzeichen: 3 O 29/17) den Verkauf von Medikamenten über einen Online-Shop wegen eines Datenschutzverstoßes verboten.
Der Sachverhalt: Eine Apotheke hat über Amazon apothekenpflichtige Medikamente angeboten. Kunden, die diese Medikamente bestellen wollten, waren gezwungen, gegenüber Amazon Ihre Bestelldaten anzugeben. Amazon erlangte dadurch als Shop-Betreiber Kenntnis über die bestellten Medikamente. Da die Kunden lediglich den AGB und der Datenschutzerklärung zugestimmt hatten, eine ausdrückliche Einwilligung in die Verarbeitung der Medikamentendaten als Gesundheitsdaten aber nicht erteilten, machte die/der InhaberIn einer anderen Apotheke einen Verstoß gegen das Einwilligungserfordernis bei der Erhebung von Gesundheitsdaten nach § 4a Abs. 3 BDSG geltend, zuerst in Form einer Abmahnung, dann der Klage vor dem Gericht.
Dies geht aus einer Stellungnahme hervor, die die österreichische Bürgerrechtsorganisation epicenter.works zum geplanten Forschungsorganisationsgesetz (FOG) veröffentlicht hat. Dort wird mitgeteilt: „Zu den öffentlichen Registern, auf die ForscherInnen nun Zugriff bekommen sollen, gehören u.a. die elektronische Gesundheitsakte (ELGA), das Zentrale Melderegister, das Personenstandsregister und viele mehr…“ epicenter.works stellt dazu fest: „Diese Bestimmungen sind nicht mit der DSGVO konform und stellen Verletzungen des Grundrechts auf Datenschutz und des Rechts auf Achtung der Privatsphäre dar.“