Schlagwort-Archive: Gesundheitsdaten

Gesundheits- und Behandlungsdaten zunehmend bedroht durch Cyberattacken

Im Gesundheitswesen in Europa steigt die Bedrohung durch Hackerangriffe und andere kriminelle und/oder sicherheitsrelevante Vorfälle. Darauf weist die Agentur der Europäischen Union für Cybersicherheit (ENISA) in ihren ersten Bericht zu Cyberbedrohungen im Gesundheitssektor hin, der am 05.07.2023 – leider nur in englischer Sprache – veröffentlicht wurde.

Ausgewertet wurden 215 gemeldete Vorfälle in den Ländern der EU sowie in Großbritannien, Norwegen und der Schweiz aus dem Zeitraum Januar 2021 bis März 2023. Von den 215 Fällen waren 208 Cyberattacken, dazu kommen fünf Berichte zu gefundenen Schwachstellen und zwei Warnungen zu potenziellen Aktivitäten mit Auswirkungen auf den Gesundheitssektor. Hauptangriffsziele waren Krankenhäuser, gefolgt von Gesundheitsbehörden und -organisationen, die pharmazeutische Industrie, Gesundheitsforschung und Gesundheitsdienstleister. 23 der ausgewerteten Vorfälle wurden in Deutschland gemeldet. Gesundheits- und Behandlungsdaten zunehmend bedroht durch Cyberattacken weiterlesen

Bundestags-Petition gegen die geplante Opt-Out-Regelung der elektronischen Patientenakte (ePA) gestartet

WISPA, die Westfälische Initiative zum Schutz von Patientendaten, hat eine Bundestagspetition auf den Weg gebracht, mit der kurz und bündig (und richtigerweise) gefordert wird:

Der Deutsche Bundestag möge beschließen: Die elektronische Patientenakte (ePA) darf nur mit ausdrücklichem Einverständnis der betroffenen BürgerInnen angelegt werden (OPT IN).“

Die Petition an den Deutschen Bundestag hat die Nummer 150309. Sie ist derzeit noch nicht auf der Homepage des Bundestags-Petitionsausschusses veröffentlicht und kann daher noch nicht online unterzeichnet werden. Bereits jetzt besteht aber die Möglichkeit, die Petition auf Papier zu unterschreiben. Den entsprecheden Vordruck finden Sie hier als pdf-Datei. Bundestags-Petition gegen die geplante Opt-Out-Regelung der elektronischen Patientenakte (ePA) gestartet weiterlesen

Klinikverbund Gesundheit Nord (Geno) in Bremen: Hacker erbeuten mehrere zehntausend Patientendaten

Der Klinikverbund Gesundheit Nord (Geno) in Bremen ist Opfer einer großangelegten Hackerattacke geworden. Vom 10.-23.05.2023 war das Unternehmen mit 5 Standorten in Bremen deshalb offline. Wie das Regionalmagazin buten un binnen von Radio Bremen am 01.06.2023 berichtet, sollen die Kriminellen dabei an bis zu 100.000 Dateien von Patienten gelangt sein. Geradezu zynisch wirkt in diesem Zusammenhang die Erklärung der Klinikleitung auf ihrer Homepage: „Wir bedauern sehr, dass es zu dieser Situation gekommen ist. Datenschutz ist für uns ein hohes Gut, und wir nehmen das Thema IT-Sicherheit sehr ernst. Leider konnten wir diese Cyber-Attacke trotz aller Sicherheitsmaßnahmen nicht verhindern. Ihre Geschäftsführung der Gesundheit Nord“

Von den Servern der Bremer Kliniken seien Daten in einem erheblichen Umfang kopiert worden, sagte Geno-Pressesprecherin Karen Matiszik. Hauptsächlich Daten aus dem Klinikum Bremen-Ost – und zwar aus allen Bereichen. Diese Daten betreffen sowohl Patient*innen als auch Beschäftigte des Bremer Klinikverbundes. Darunter sind zum Beispiel Stammdaten, Befunde, Sitzungsprotokolle oder Urlaubspläne, so die Geno-Sprecherin.

Die Klinikleitung von Geno erklärt lt. Buten und binnen dazu: Die bisherigen Untersuchungen hätten ergeben, dass der Angriff „zunächst auf dem Endgerät eines externen IT-Dienstleisters stattgefunden hat, durch den die Täter sich Zugangsdaten zu unseren Systemen verschafft haben“. Durch den Diebstahl bestehe die Gefahr, dass „die abgeflossenen Daten durch unbefugte Dritte genutzt werden“. Das heiße, „dass jemand diese Daten nutzen könnte, um Ihnen zu schaden, beispielsweise um Sie zu diskriminieren, Ihren Ruf zu schädigen oder Sie finanziell zu schädigen.“ All diese Szenarien müssten nicht eintreten, „in jedem Fall bedeutet es den Verlust der Kontrolle über Ihre personenbezogenen Daten und den Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen“, schreibt die Geschäftsführung weiter. Auch auf den „schlimmsten Fall“ sollten sich Patientinnen und Patienten einrichten. Der „schlimmste Fall“ könne bedeuten, „dass Ihnen dadurch wirtschaftliche oder gesellschaftliche Nachteile“ entstehen „oder dass jemand versucht, mit Ihren Daten zu betrügen, in dem er beispielsweise sogenanntes Phishing betreibt, also Ihre E-Mail-Daten missbräuchlich nutzt“.


Eine Übersicht über Hackerangriff, Datenpannen und Datenlecks in Einrichtungen und Organisationen des deutschen Gesundheitswesens finden Sie hier.

Offener Brief an EU-Parlament: Sekundäre Gesundheitsdatennutzung nur mit Zustimmung der Betroffenen

Die Verordnung zum Europäischen Gesundheitsdatenraum (EHDS) soll Grundlage sein für interoperable digitale Gesundheitssysteme in der gesamten EU. Leider versagt der Verordnungsvorschlag der Europäischen Kommission beim Schutz der Patienten, wenn es um die „sekundäre Nutzung“ ihrer persönlichen medizinischen Daten durch Dritte für Forschung, Training von AI-Systemen und andere kommerzielle Zwecke geht. Nach dem gegenwärtigen Entwurf hätten Patienten kein Mitspracherecht bei der Nutzung ihrer Daten und würden nicht einmal darüber informiert, wer sie erhält.

Mehr als ein Dutzend Organisationen, die für die Rechte von Patienten, Angehörigen medizinischer Berufe, Menschen mit Behinderungen, Verbrauchern, Arbeitnehmern und Gewerkschaften sowie für digitale Rechte eintreten, haben sich daher in einem Schreiben an die Mitglieder des EU-Parlaments gewandt. Sie fordern die Einführung einer „Opt-in“-Zustimmungsregelung, d.h. dass Datennutzer die gültige Zustimmung der Patienten einholen müssen, deren persönliche medizinische Daten sie für sekundäre Zwecke nutzen möchten.

Patientenrechte und Datenschutz unterstützt diese Forderung und hat den offenen Brief mit unterzeichnet. Das Schreiben ist im (englischen) Wortlaut auf der Seite von EDRi nachzulesen (deutsche Übersetzung).

Auch in zweiter Instanz: Gerichtsverfahren gegen Datensammlung der Krankenkassen erfolgreich

Das 2019 in Kraft getretene Digitale-Versorgung-Gesetz (DVG) sieht vor, dass die Krankenkassen u.a. ärztliche Diagnosen, Daten zu Krankenhausaufenthalten und zu Medikamenten ihrer Versicherten an eine Datensammelstelle des Spitzenverbands der Krankenkassen übermitteln. Diese Daten wurden erstmals zwischen dem 1. August und dem 1. Oktober 2022 in einer Datenbank zusammengeführt. Sie sollen jährlich aufgestockt und bis zu 30 Jahre gespeichert werden. Privatversicherte werden nicht erfasst. Die Datenbank wird auf Antrag interessierten Forschungsinstituten und Firmen zur Verfügung gestellt. Für die Übermittlung der Daten werden lediglich Namen, Geburtstag und -monat der Versicherten entfernt. Es gibt zugleich keine Möglichkeit, der Weitergabe sensibelster Gesundheitsdaten zu widersprechen – auch nicht für besonders schutzbedürftige Menschen. Darin sieht die Gesellschaft für Freiheitsrechte e.V. (GFF) Verstöße gegen das Grundrecht, selbst über die eigenen Daten zu bestimmen, und gegen das Datenschutzrecht der Europäischen Union. Mit ihren Verfahren will sie einen besseren Schutz der Daten erreichen und Missbrauch verhindern. Die GFF reichte am 3.5.2022 gegen die Sammlung von Gesundheitsdaten durch die Datensammelstelle des Spitzenverbands der Krankenkassen zwei Eilanträge bei Sozialgerichten in Berlin und Frankfurt ein. In beiden Verfahren hatten die gesetzlich versicherten klagenden Personen im Jahr 2022 erreicht, dass ihre Gesundheitsdaten bis zum Abschluss des Verfahrens nicht an die Datenstelle der Krankenkassen weitergegeben werden dürfen. Das war ein wichtiger Erfolg.

Inzwischen liegt zu einer dieser beiden Klagen auch eine Entscheidung des Hessischen Landessozialgerichts vom 14.09.2022 (Aktenzeichen: L 8KR 168/22 DS B ER) vor. Im Tenor des Urteils stellt das Gericht fest, dass der Krankenkasse des Klägers im Wege der einstweiligen Anordnung vorläufig untersagt (ist), die den Antragsteller betreffenden, in § 303b Abs. 1 SGB V und § 3 Abs. 1 DaTraV bezeichneten Daten für das Berichtsjahr 2019 an den Spitzenverband Bund der Krankenkassen zu übermitteln.“ Auch in zweiter Instanz: Gerichtsverfahren gegen Datensammlung der Krankenkassen erfolgreich weiterlesen

EHDS, der „Europäische Gesundheitsdatenraum“ – das Ende der ärztlichen Schweigepflicht

Die EU-Kommission hat im Mai 2022 den Entwurf einer Verordnung über den europäischen Raum für Gesundheitsdaten vorgelegt, der es in sich hat. Danach sollen alle Bürgerinnen und Bürger automatisch elektronische Patientenakten  erhalten, ohne Möglichkeit zum Widerspruch. Sämtliche größeren Sammlungen von Patientendaten in der EU, z.B. bei Anbietern dieser Patientenakten, bei Krankenkassen, Privatversicherungen, Krankenhäusern und größeren Arztpraxen, sollen zur Nutzung u.a. durch die Pharma-Industrie freigegeben werden. Der Verordnungsentwurf wird derzeit im EU-Parlament und im Rat der EU diskutiert, die Verordnung soll im September 2023 verabschiedet werden und 2024 in Kraft treten.

Nicht nur Ärzte sollen Daten herausgeben, sondern z.B. auch Pflegedienste, Psychotherapeuten und ambulante Sozialpsychiatrie. EHDS, der „Europäische Gesundheitsdatenraum“ – das Ende der ärztlichen Schweigepflicht weiterlesen

Die Digitalisierung des Gesundheitswesens; ein „Haifischbecken mit vereinzelten Tintenfischen“

Wilfried Deiß, Hausarzt in Siegen, seit vielen Jahren ein außerordentlich kritischer Begleiter der Digitalisierung des Gesundheitswesens, hat im April 2023 unter diesem Titel eine Information (nicht nur) für seine Patient*innen veröffentlicht. Die Digitalisierung des Gesundheitswesens; ein „Haifischbecken mit vereinzelten Tintenfischen“ weiterlesen

Krankenkasse BIG direkt gesund durch Cyberangriff lahmgelegt

Am 28.03.2023 hat die Krankenkasse BIG direkt gesund festgestellt, dass ihre IT-Technik einem erfolgreichen Cyberangriff zum Opfer gefallen war. Das geht aus einer Stellungnahme der Krankenkasse vom 05.04.2023 hervor. Betroffen von dem Vorfall sind auch die ca. 513.000 Versicherte der Kasse, mindestens dadurch, dass die Krankenkasse für sie nicht erreichbar war und z. B. Krankengeld nicht auszahlen konnte.

Derzeit haben wir keinerlei Hinweise darauf, dass während des Zugriffs auf unsere Server Daten entwendet wurden“, erklärt die BIG direkt gesund, um ihre Versicherten zu beruhigen. Krankenkasse BIG direkt gesund durch Cyberangriff lahmgelegt weiterlesen

Bundesarbeitsgericht: Unternehmen kann von Beschäftigten keine vorformulierte datenschutzrechtliche Einwilligung vor Einleitung eines betrieblichen Eingliederungsmanagement (bEM) verlangen

Mit dieser Entscheidung vom 15.12.2022 (Aktenzeichen: 2 AZR 162/22) hat das Bundesarbeitsgericht (BAG) letztinstanzlich der Kündigungsschutzklage einer betroffenen Beschäftigten gegen eine krankheitsbedingte Kündigung stattgegeben und diese für unwirksam erklärt.

Die Klägerin war langzeitkrank. Ihr wurde vom Unternehmen ein betriebliches Eingliederungsmanagement (bEM) angeboten, verbunden mit der Aufforderung, eine vom Unternehmen vorformulierte datenschutzrechtliche Einwilligungserkärung unverändert zu unterzeichnen. Die Beschäftigte unterzeichnete diese nicht, sondern stellte Rückfragen und wählte eigene Formulierungen. In einem weiteren Gespräch wurde die Beschäftigte vom Unternehmen darauf hingewiesen, dass ohne ihre Unterschrift unter die vorformulierte Erklärung ein bEM-Verfahren nicht durchgeführt werden könne. Im weiteren Verlauf der Auseinandersetzung sprach das Unternehmen dann eine ordentliche krankheitsbedingten Kündigung aus. Dagegen wandte sich die Beschäftigte mit einer Kündigungsschutzklage. Letztinstanzlich stellte das BAG in seinem Urteil in Randnummer 16 fest: Die Beklagte durfte die Einleitung des bEM-Verfahrens nicht davon abhängig machen, dass die Klägerin die von der Beklagten vorformulierte Datenschutzerklärung über die Verarbeitung ihrer personenbezogenen sowie Gesundheitsdaten unterzeichnet.“

 

„Digitalisierte Gesundheit“ – Streitgespräch mit Dr. Andreas Meißner (München, Bündnis für Datenschutz und Schweigepflicht) am 27. April in Saarbrücken und online

Dr. Andreas Meißner (München, Bündnis für Datenschutz und Schweigepflicht), Ko-Autor des Buchs Digitalisierte Gesundheit, spricht am Do. 27.04.2023 um 19.00 Uhr in Saarbrücken.

Die Veranstaltung findet als Präsenz- & Online-Veranstaltung in Kooperation mit dem Gesundheitsforum Saarland e.V. und der Liberalen Stiftung Saar in der Villa Lessing in Saarbrücken statt. Alle notwendigen Informationen zur Veranstaltung finden Sie hier.
„Digitalisierte Gesundheit“ – Streitgespräch mit Dr. Andreas Meißner (München, Bündnis für Datenschutz und Schweigepflicht) am 27. April in Saarbrücken und online weiterlesen