Schlagwort-Archive: Gesundheitsdaten

2.500 € Schadensersatz wegen unerlaubter Veröffentlichung von Gesundheitsdaten in einer Stellenausschreibung

Das hat das Verwaltungsgericht Stuttgart mit Urteil vom 20.06.2024 (Aktenzeichen: 14 K 870/22) entschieden.

Was ging dem voraus?

Eine Stadtverwaltung in Baden-Württemberg machte eine Stellenausschreibung, in der u. a. folgende Passagen enthalten waren: „Aufgrund eines amtsärztlichen Gutachtens zur Untersuchung der Dienstfähigkeit des bisherigen Amtsinhabers hat der Gemeinderat der Stadt P. der Einleitung eines Verfahrens zur Versetzung in den Ruhestand wegen festgestellter Dienstunfähigkeit sowie der Wiederbesetzung der Amtsleiterstelle zugestimmt. Deshalb suchen wir eine/n neue/n Leiter/in des
Hauptamts
… Die Stelle ist in Besoldungsgruppe A 13 ausgewiesen. Eine Einweisung in die Planstelle bzw. Beförderung kann erst nach Abschluss des Verfahrens zur Versetzung des bisherigen Amtsinhabers in den Ruhestand erfolgen…“
2.500 € Schadensersatz wegen unerlaubter Veröffentlichung von Gesundheitsdaten in einer Stellenausschreibung weiterlesen

Bundesgesundheitsministerium plant Verknüpfung der Daten aus der elektronischen Patientenakte (ePA) mit mehr als 400 Registern mit Gesundheitsdaten

In Deutschland gibt es derzeit mehr als 400 Register mit Gesundheits- und Behandlungsdaten. Geführt werden sie von Forschungseinrichtungen, Krankenhäusern, öffentlichen Einrichtungen und privatwirtschaftlich organisierten Gesellschaften und Vereinen. Die Strukturen und Formen sind unterschiedlich. Nur wenige davon sind spezialgesetzlich geregelt oder basieren auf allgemeinen gesetzlichen Grundlagen. Die meisten stützen sich bei der Datenverarbeitung auf Einwilligungen. Manche stammen aus abgeschlossenen Forschungsvorhaben, andere werden auf Patienteninitiative oder von Fachgesellschaften zu bestimmten Erkrankungen betrieben; nicht alle werden noch aktiv genutzt. Ihre Rechtsgrundlagen basieren neben der DSGVO auf einer Vielzahl unterschiedlicher Bundes- und Landesgesetze (z. b. den unterschiedlichen Krankenhausgesetzen der 16 Bundesländer). Die Register werden tw. bundesweit, tw. nur regional mit Daten befüllt und dienen unterschiedlichen Zwecken, z. B. Bundesgesundheitsministerium plant Verknüpfung der Daten aus der elektronischen Patientenakte (ePA) mit mehr als 400 Registern mit Gesundheitsdaten weiterlesen

Netzwerk Datenschutzexpertise: IT-Dienstleistungsunternehmen BinDoc betreibt illegale Krankenhausfalldatenbank

In einem Gutachten kommt das Netzwerk Datenschutzexpertise zu dem Ergebnis, dass der IT-Dienstleister BinDoc aus Tübingen unter Verletzung des Datenschutzes und des Patientengeheimnisses von Krankenhäusern pseudonymisierte Falldaten einsammelt und diese kommerziell weitervermarktet.

BinDoc-Eigenwerbung 

Krankenhäuser sind nach § 21 Krankenhausentgeltgesetz verpflichtet, diese Fall-Beschreibungen zu erstellen und für gesetzlich eng definierte Zwecke bereitzustellen. BinDoc bietet Krankenhäusern einerseits an, diese personenbeziehbaren hochsensitiven Gesundheitsdaten für eigene Wirtschaftlichkeits- und Marktanalysen auszuwerten und mit den Daten anderer Krankenhäuser zu vergleichen. Das Unternehmen speichert die Daten der Auftraggeber daher – in vorgeblich anonymisierter Form – um sie für eigene Analysen sowie für andere Auftraggeber zu nutzen.

Diese Dienstleistungen werden von einer Reihe prominenter Krankenhäuser in Anspruch genommen. Unter den Auftraggebern befinden sich sogar staatliche Stellen bis hin zum Bundesgesundheitsministerium. Es ist erstaunlich, wie sehr sich diese Auftraggeber offensichtlich auf die Behauptung des Unternehmens verlassen, es verarbeite nur anonymisierte Daten, obwohl diese Behauptung schon bei genauer Betrachtung der publizierten Dokumente offensichtlich falsch ist.

Tatsächlich verarbeitet BinDoc institutionsübergreifend bundesweit die Patientendaten in pseudonymisierter Form und speichert diese in einer Datenbank, in der nach eigenen Angaben ca. 17 Millionen Behandlungsfälle gespeichert sind. Wenig Zusatzwissen genügt, um die Falldaten zu reidentifizieren.

Karin Schuler vom Netzwerk Datenschutzexpertise: „Die Verantwortlichen der Krankenhäuser machen sich der Verletzung der ärztlichen Schweigepflicht strafbar. Die Speicherung in der zentralen Datenbank stellt eine massive Gefährdung der in den Krankenhäusern behandelten Patienten dar.“ Der Koautor des Netzwerks Thilo Weichert fordert: „Das illegale Vorgehen BinDocs muss grundlegend geändert werden. Krankenhäuser müssen ihre Praxis der Weitergabe der Patientendaten stoppen. Die eingeschaltete Datenschutzaufsicht – der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg – muss umgehend tätig werden.“

Quelle: Pressemitteilung des Netzwerk Datenschutzexpertise vom 26.06.2024

Das Gutachten des Netzwerks Datenschutzexpertise, auf das sich die Pressemitteilung stützt, finden Sie hier.


Eine Übersicht über illegale Zugriffe auf Gesundheits- und Behandlungsdaten und andere (kleinere und größere) Datenpannen im Umgang mit Gesundheits- und Behandlungsdaten finden Sie hier.

 

Deutsche Aidshilfe informiert zum selbstbestimmten Umgang mit der elektronischen Patientenakte (ePA)

Sechs Monate vor dem Start der elektronischen Patientenakte (ePA) FÜR ALLE, bzw. für Alle, die der ePA nicht individuell widersprechen, warnt die Deutsche Aidshilfe (DAH) vor möglicher Diskriminierung bei Zustimmung zu der Anlage einer ePA durch die jeweilige Krankenkasse.

Die Deutsche Aidshilfe (DAH) will mit den von ihr bereitgestellten Informationen Patient*innen mit einer Handreichung beim Umgang mit der ePA unterstützen. Sie will damit einen selbstbestimmten Umgang mit sensiblen Gesundheitsdaten befördern und Menschen die Möglichkeit eröffnen, sich vor Diskriminierung im Gesundheitswesen zu schützen. Da die Informationen für alle gesetzlich Krankenversicherten relevant sind, stellt die DAH die Handreichung unter einer freien Lizenz allgemein zur Verfügung und bietet damit eine leicht nutzbare Alternative zu den Pflichtinformationen der Krankenkassen. Deutsche Aidshilfe informiert zum selbstbestimmten Umgang mit der elektronischen Patientenakte (ePA) weiterlesen

Elektronische Patientenakte (ePA) und Europäischer Gesundheitsdatenraum: Gefahren für den Schutz von persönlichen medizinischen Daten – Informationsveranstaltung am 4. Juni in Frankfurt

Am 1. Januar 2021 wurde die ePA – die elektronische Patientenakte – als freiwillige Möglichkeit für alle Versicherten in der gesetzlichen Krankenversicherung eingeführt. Die Nachfrage danach war außerordentlich gering. Aktuell haben weniger als 2 % aller Versicherten bei ihrer Krankenkasse eine ePA angefordert. Wie viele davon die ePA bei ihrer Kontakten mit Ärzt*innen, Psychotherapeut*innen und Krankenhäusern aktiv nutzen, ist nicht bekannt.

Bundesgesundheitsminister Karl Lauterbach (SPD) und sein Vorgänger Jens Spahn (CDU), nahezu alle Bundestagsparteien, die Krankenkassen, die Pharmaindustrie, private und universitäre Forschungsinstitute und die IT-Gesundheitsindustrie waren damit unzufrieden. Mit einer Anfang 2024 beschlossenen Gesetzesänderung wurde dies verändert:

Am 15.01.2025 erhalten alle gesetzlich Versicherten, die zuvor nicht widersprechen, automatisch eine solche ePA. Außerdem sind alle Ärzt*innen, Psychotherapeut*innen und Krankenhäuser verpflichtet, die ePA mit dem Behandlungsdaten ihrer Patienten zu befüllen. Und auf diese Daten sollen auch interessierte private und universitäre Forschungsinstitute Zugriff erhalten. Elektronische Patientenakte (ePA) und Europäischer Gesundheitsdatenraum: Gefahren für den Schutz von persönlichen medizinischen Daten – Informationsveranstaltung am 4. Juni in Frankfurt weiterlesen

Erfolgreicher Cyberangriff auf Kliniken und anderere Sozialeinrichtungen in Bayern

Die Katholische Jugendfürsorge der Diözese Augsburg (KJF) , ein führender Anbieter von Gesundheits-, Sozial- und Bildungsdienstleistungen in Bayern, warnt nach einem professionellen Cyberangriff vor möglichen Identitätsdiebstahl und Datenmissbrauch.

Ein kürzlich erfolgter Hackerangriff hat die KFJ schwer getroffen. Der Angriff, der Mitte April entdeckt wurde, richtete sich gegen IT-Infrastrukturen in mehr als 80 sozialen Einrichtungen, darunter insgesamt neun Kliniken in mehreren Städten Bayerns. In einer Stellungnahme der KJF wird u. a. mitgeteilt: Erfolgreicher Cyberangriff auf Kliniken und anderere Sozialeinrichtungen in Bayern weiterlesen

Vorsicht vor Online-Gentests!

Datenschutzverstöße sind die Regel bei Gentests, die Kund*innen ohne ärztliche Beratung erwerben können. Das erklären das Gen-ethische Netzwerk (GeN) und das Netzwerk Datenschutzexpertise in einer gemeinsamen Pressemitteilung vom 19.03.2024.

Mehrere deutsche und internationale Firmen bieten Online-Gentests unbehelligt auf dem deutschen Markt an, obwohl sie gegen geltendes Datenschutzrecht verstoßen. Zu diesem Schluss kommt ein aktuelles juristisches Gutachten von Dr. Thilo Weichert vom Netzwerk Datenschutzexpertise. Der gemeinnützige Verein Gen-ethisches Netzwerk (GeN) nimmt das Gutachten zum Anlass, um potenzielle Kund*innen dringend vom Erwerb von sog. Direct-to-Consumer-Gentests abzuraten – egal ob diese Aussagen über Abstammung, Lifestyle oder Gesundheit versprechen. Vorsicht vor Online-Gentests! weiterlesen

Opt-Out-Patientenakte und künstliche Intelligenz (KI) – Datenfluss aus der ärztlichen Praxis in die elektronische Patientenakte (ePA)

„Die ePA wird zukünftig automatisch bereitgestellt werden… Pflichten zur Datenübermittlung für Behandelnde kommen hinzu. Der Gesundheitsminister Prof. Dr. Karl Lauterbach spricht bereits davon, Praxisgespräche KI-gestützt in Form von strukturierten Daten weiterzuleiten.

Wie sind die geplanten Änderungen und Visionen einzuordnen?

Dieser Frage widmet sich ein Beitrag von Dr. Andreas Meißner in der ärztlichen Fachzeitschrift NeuroTransmitter. Opt-Out-Patientenakte und künstliche Intelligenz (KI) – Datenfluss aus der ärztlichen Praxis in die elektronische Patientenakte (ePA) weiterlesen

Digitale Bankrotterklärung: Das Gesundheitssystem in Deutschland sei auf Cyberangriffe nicht vorbereitet, erklärt ein Vertreter der Siemens-Betriebskrankenkasse (SBK)

Quelle: Ärztenachrichtendienst (ÄND) 

Das Gesundheitssystem sei nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet, beklagte Christian Ullrich, IT-Bereichsleiter der SBK Siemens-Betriebskrankenkasse (SBK), bei einer Veranstaltung zum Thema Cybersicherheit im Gesundheitswesen.“

Herr Ullrich muss es wissen. Denn die SBK war eine der Krankenkassen, die Anfang 2023 von Angriffen auf Bitmarck betroffen waren, den IT-Dienstleister eine große Zahl gesetzlicher Krankenkassen. Cyber-Security-Experten meldeten, dass dabei Daten abgeflossen und bereits im Darknet aufgetaucht seien. In einem Beitrag vom 23.01.2023 auf heise.de wurde berichtet: „Der bösartige Akteur, der die Daten im digitalen Untergrund zum Verkauf anbietet, behauptet, dass er etwa Zugriff auf Passwort-Hashes, persönliche Kundeninformationen, VIP-Kundeninformationen und persönliche Daten von Führungspersonal sowie Nutzer- und Angestellten-Informationen habe. Den Unternehmensangaben nach jongliert Bitmarck mit den Daten von 30.000 Angestellten der gesetzlichen Krankenversicherungen – und denen von 25 Millionen Versicherten. In einem Untergrund-Forum bietet der Einbrecher die Datenbank an. Sie soll mehr als eine Million Datensätze umfassen, und im 350 MByte großen Paket seien Dateien im .csv-, .html-, .pdf-, .img- und .xlsx-Format enthalten.“

Beachtenswert ist der Duktus in der Aussage des Vertreters der SBK: Er sagt lt. ÄND nicht aus, dass das deutsche Gesundheitssystem auf Betriebsunterbrechungen infolge von Cyberangriffen schlecht vorbereitet sei. Nein, seine Aussage ist eindeutig: „Das Gesundheitssystem sei nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet“.,

Und diesem System sollen alle gesetzlich krankenversicherten Menschen in Deutschland ab Beginn des Jahres 2025 mit den Mitteln gelinden Zwangs (eine sehr milde Bewertung der Wirkungen der opt-out-Patientenakte) ihre Gesundheits-, Behandlungs- und genetischen Daten anvertrauen? Danke, Nein!