§ 25b SGB V wurde im März 2024 durch das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG) in das SGB V eingefügt. Er gibt den Krankenkassen das Recht, die bei ihnen vorliegenden Abrechnungsdaten ärztlicher Leistungen, mit denen den Krankenkassen auch die ICD-Codesbekannt werden, auszuwerten und ihre Versicherten auf die Ergebnisse dieser Auswertung hinzuweisen, soweit die Auswertungen der Erkennung von seltenen Erkrankungen, Krebserkrankungen, schwerwiegenden Gesundheitsgefährdungen, die durch die Arzneimitteltherapie entstehen können, Erkennung einer noch nicht festgestellten Pflegebedürftigkeit, ähnlich schwerwiegender Gesundheitsgefährdungen oder der Erkennung von Impfindikationen für Schutzimpfungen dienen. Der Gesetzgeber räumt damit den Krankenkassen bei den genannten (potentiellen) Gesundheitsrisiken das Recht ein, unabhängig von den von den Versicherten konsultierten Ärzt*innen eigene Empfehlungen an ihre Versicherten abzugeben. Das sieht so aus, als würde der Gesetzgeber den Krankenkassen mehr an Erkenntnissen zutrauen als den unmittelbar behandelnden medizinischen Fachkräften.Techniker Krankenkasse (TK) versendet einschüchternde Schreiben an Versicherte weiterlesen →
SRF (Schweizer Rundfunk und Fernsehen) meldet am 23.01.2025: „Schweizer Spitäler sind leichte Ziele. IT-Sicherheitsexperten konnten Patientendaten einsehen und ins Herz der Kliniksysteme eindringen. Die Schwachstellen seien ‚offensichtlich und leicht auszunutzen‘… Schweizer Spitäler und Kliniken setzen bei ihrer IT primär auf drei Anbieter: Bei all diesen habe es kritische Sicherheitsmängel gegeben, so der Bericht…“
Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet wegen eines rechtswidrigen Austauschs personenbezogener Daten. „Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kund*innen in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, erläutert die Landesdatenschutzbeauftragte, Bettina Gayk. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt weiterlesen →
Mutmaßliche Hacker erpressen offenbar einen Praxiskonzern, bei dem 130.000 Patienten registriert sind, mit gestohlenen digitalen Patientendaten. Das berichtet die taz am 22.01.2025 unter Berufung auf Meldungen des Dänischen Rundfunks.
Der Dänische Rundfunk teilt am 21.01.2025 auf seiner Internet-Präsenz mit:
Wer oder was ist die D-Trust GmbH? Sie ist ein Tochterunternehmen der Bundesdruckerei. In seiner Selbstdarstellungerklärt das Unternehmen: „Die D-Trust GmbH ist ein Unternehmen der Bundesdruckerei-Gruppe… Technologisch ausgereifte Lösungen machen uns zu einem Vorreiter für sichere digitale Geschäftsprozesse und Identitäten. So stärken wir das Vertrauen in die Digitalisierung… Ob digitale Zertifikate, elektronische Signaturen oder andere IT-Lösungen – für unsere Kunden und Partner stellen wir rechtssichere und zertifizierte Vertrauensdienste her, die den höchsten Sicherheitsstandards moderner Infrastrukturen entsprechen…“
Ganz anders klingt die Information zu einem „Datenschutzvorfall“ am 13.01.2025: „Die D-Trust GmbH ist Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden. Der Angriff wurde am 13.1.2025 festgestellt. Dabei sind möglicherweise personenbezogene Daten von Antragstellern entwendet worden.“ Und weiter – die üblichen Beruhigungspillen, die nach jeder Datenpanne bzw. jedem Hackerangriff verteilt werden: „Nach Aufdecken des Angriffs hat die D-Trust umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen. Die entsprechenden Aufsichtsstellen wurden benachrichtigt, die Betroffenen werden individuell informiert. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären…“ D-Trust GmbH: „Sicherheitsvorfall“ mit Folgen für den Schutz medizinscher Daten? weiterlesen →
„Ab dem 15.01.2025 können zunächst nur Leistungserbringende, die in den Modellregionen an der Pilotphase teilnehmen, auf die ePA der Versicherten zugreifen. Das bedeutet im Umkehrschluss, dass Praxen und andere medizinische Einrichtungen in den Modellregionen und auch bundesweit bis auf wenige Ausnahmen noch nicht darauf zugreifen können. Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt.“ Das stellt die gematik in ihrem Sondernewsletter ePAvom 18.01.2025 fest unter der Überschrift „Die Pilotphase der ePA für alle beginnt ab 15. Januar: Was bedeutet das?“
Satire wider Willen?
Einsicht in die Realitäten?
Oder haben die verantwortlichen Redakteur*innen bei der Endredaktion des Newsletters nicht aufgepasst?
In der Frankfurter Rundschau vom gleichen Tag kamen prominente Kritiker der ePA zu Wort; mit präzisen Kritikpunkten:
Dr. Andreas Meißner, Psychiater und Psychotherapeut: „Was auch die Schweigepflicht bedroht: Ein Schutz vor Beschlagnahme der ePA-Daten durch Ermittlungsbehörden ist bisher nicht vorgesehen, anders als bei der Gesundheitskarte. Die Schweigepflicht aber, daran muss aktuell erinnert werden, ist von grundlegender Bedeutung für das Vertrauensverhältnis im Behandlungsraum.“
Dr. Bernd Hontschik, Chirurg: „Laut Gesundheitsministerium wird die ePA ‚den Austausch und die Nutzung von Gesundheitsdaten zwischen allen behandelnden leistungserbringern verbessern‘… Zu den Risiken sagt das Ministerium nichts.“ (Beitrag nur in der Printausgabe der FR)
Dr. Thilo Weichert, Jurist, Mitglied des Vorstands der Dt. Vereinigung für Datenschutz (DVD): „Es gibt keine völlige Sicherheit vor internen und externen Angriffen bei einer digitalen Datenverarbeitung… Dies gilt erst recht für ein komplexes System wie das der ePA mit tausenden Gesundheitseinrichtungen, knapp hundert Krankenkassen und mehr als hundert Softwaresystemen… Vor Abschluss der zusätzlich zu installierenden Schutzmaßnahmen sollte selbst der Pilotbetrieb nicht starten.“ (Beitrag nur in der Printausgabe der FR)
Dr. Michael Hubmann, Präsident des Berufsverbandes der Kinder- und Jugendärzte (BVKJ): „Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen. Bis die Rechte von Kindern und Jugendlichen in akzeptabler Weise verwirklicht sind, können wir Patienten und deren Eltern nur empfehlen, sich aktiv gegen die ePA zu entscheiden.“
Unmittelbar vor dem für den 15.01.2025 geplanten Start der elektronischen Patientenakte (ePA) haben sich mehr als 20 Verbände von Ärzt*innen, Datenschützer*innen, Verbraucherschützer*innen sowie Gesundheitsinitiativen und Selbsthilfegruppen von Patient*innen mit einem Offenen Brief an Bundesgesundheitsminister Karl Lauterbach (SPD) und gefordert:
„Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden“
Der Verein Patientenrechte und Datenschutz e. V. hat den Offenen Brief unterzeichnet.
Mit diesen Worten zitiert der WDR in einem Beitrag vom 12.01.2025 Oliver Huth, Landesvorsitzender des Bunds Deutscher Kriminalbeamter (BDK). Nach CDU-Generalsekretär Carsten Linnemann, der kurze Zeit nach dem Anschlag in Mageburg in einem Interview des Deutschlandfunks forderte „Es reicht nicht aus, Register anzulegen für Rechtsextremisten und Islamisten, sondern in Zukunft sollte das auch für psychisch Kranke gelten“ (Interview – ab 4:20 Min.) , ist das eine weitere Stimme, die Zugriff der Polizei auf Gesundheitsdaten fordert.
Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) seit ihrer Einführung im Jahr 2020. Mit der Umstellung von Opt-In auf Opt-Out soll – beginnend mit dem 15.01.2025 – die Patientenakte „für alle“ kommen. Vielfältig war die Kritik. Nicht nur der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hat während und nach seiner Amtszeit wiederholt wegen datenschutzrechtlicher Mängel und Problemen mit der technischen Infrastruktur der ePA vor der Einführung Mitte Januar gewarnt. Auch seine Nachfolgerin, die neue Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider stellte auf der Homepage der BfDIEnde November 2024 unmissverständlich fest: „Die Ausgestaltung der ePA verstößt gegen die DSGVO“. Diese Warnungen blieben im politischen und medialen Raum weitgehend folgenlos. Anders eine erneute Analyse der aktuellen Ausgestaltung der ePAund ihrer (Daten-)Sicherheit beim 38C3 Ende Dezember 2024.Reagiert Gesundheitsminister Lauterbach auf die Kritik an der elektronischen Patientenakte? Kommt jetzt eine Moratorium für die ePA? weiterlesen →