Schlagwort-Archive: Patientendaten

Datenschutzrechtliche Pflichten aus einem ärztlichen Behandlungsvertrag – oder: Wie in Kliniken rechtswidrige Zugriffe auf Patient*Innen- und Behandlungsdaten stattfinden

Mit dieser Thematik musste sich das Landgericht Flensburg auseinander setzen. Kläger war der Chefarzt der Inneren Abteilung eines Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 in der kardiologischen Abteilung des gleichen Krankenhauses behandelt. Im Zeitraum seiner Behandlung griffen Mitarbeiter*innen der Krankenhauses etwa 150-mal auf seine Patienten- und Behandlungsdaten zu. Nach Wiederaufnahme seiner Tätigkeit erhielt der Kläger Kennnis davon. In einem Gespräch mit dem betrieblichen Datenschutzbeauftragten des Krankenhauses analysierte der Kläger die erfolgten Zugriffe und identifizierte einige der Zugriffe als datenschutzrechtlich fragwürdig bzw. illegal. Der Kläger forderte das Krankenhaus auf, ihm Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Er wandte sich zudem mit einer Beschwerde an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Bei seinen Recherchen stellte der Kläger auch fest, dass es bis Mai 2019 an mehreren Computern des Krankenhauses möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe eines Patient*innen-Namens den Koronarfilm und die bei diesem durchgeführte Dilatation der Herzkranzgefäße einzusehen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können.

Die (zwischenzeitlich gewechselte) Geschäftsführung des Krankenhauses erklärte im Nachhinein: Das Ergebnis der Prüfung der Zugriffe hat ergeben, dass die vier genannten Zugriffe zum Zwecke der Behandlung von Dr. S. nicht erforderlich waren. Aus datenschutzrechtlicher Sicht wurden alle vier Zugriffe von unserem Datenschutzbeauftragten als nicht zulässig bewertet. Dieser Sachverhalt wurde jedoch von der zum Zeitpunkt des aufgenommenen Verstoßes verantwortlichen Geschäftsführung z.T. anders bewertet. … Die Zugriffe waren aus meiner heutigen Sicht nicht zulässig.“

Der Kläger begehrte Schadensersatz und Schmerzensgeld wegen unberechtigter Zugriffe auf seine Patientendaten. Diesem Anspruch lehnte das Landgericht Flensburg mit Urteil vom 19.11.2021 (Aktenzeichen: 3 O 227/19) zwar u. a. wg. Verjährung der Ansprüche ab. In den Leitsätzen seines Urteils stellt das Gericht aber unmissverständlich fest: Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen…“


Dass der sorglose bzw. fahrlässige Umgang mit Zugriffrechten von Krankenhaus-Beschäftigten auf Patient*Innen- und Behandlungsdaten kein Einzelfall sind, machen Beispiele aus Thüringen, Frankfurt und Offenbach deutlich.

Finnland: Bussgeld von 608.000 € verhängt wg. gravierender Mängel bei der Verarbeitung von Gesundheits- und Behandlungsdaten

Cyberkriminelle erpressen eine finnische Psychotherapie-Firma mit gestohlenen Patientendaten. Als diese nicht zahlt, erpressen die Angreifer einfach die Patienten selbst. Diese Meldung der Süddeutschen Zeitung vom 29.10.2020 machte drastisch aufmerksam auf ein Problem, das für die Betroffenen existenzbedrohend werden kann: Der Diebstahl von Gesundheits- und Behandlungsdaten.

Was war passiert? Die Frankfurter Allgemeine Zeitung fasst in einem Beitrag vom 28.10.2020 zusammen: Am 21. Oktober interließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen – in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt – sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren…“ Finnland: Bussgeld von 608.000 € verhängt wg. gravierender Mängel bei der Verarbeitung von Gesundheits- und Behandlungsdaten weiterlesen

Umfrage der Siemens-Betriebskrankenkasse zur elektronischen Patientenakte: Ein Musterbeispiel manipulativer Fragen und Bewertungen

Unter dem Titel Je mehr Kontakt mit dem Gesundheitssystem, umso offener für Digitalisierung“ veröffentlichte die Siemens-Betriebskrankenkasse (SBK) am 20.12.2021 in einer Pressemitteilung Ergebnisse einer von ihr in Auftrag gegebenen und bezahlten Umfrage zur Nutzung der elektronischen Patientenakte (ePA). Danach sollen „rund drei Viertel der chronisch beziehungsweise langfristig Erkrankten (74 Prozent) und älteren Menschen ab 55 Jahren (72 Prozent)… der Auffassung“ sein, „dass der Schutz von gesundheitsbezogenen Daten so gestaltet sein muss, dass ein digitaler Austausch von Daten zwischen Ärzt*innen und weiteren Akteur*innen des Gesundheitswesens unkompliziert möglich ist.“

Tatsächlich bewegt sich auch zu Beginn des Jahres 2022 nicht nur bei der SBK die Zahl der Inhaber*innen von ePA‘s im Promillebereich: Umfrage der Siemens-Betriebskrankenkasse zur elektronischen Patientenakte: Ein Musterbeispiel manipulativer Fragen und Bewertungen weiterlesen

Unbefriedigende Antwort des BSI auf eine Anfrage zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx

Am 09.11.2021 meldete die gematik auf ihrer Homepage: „Wie die medatixx GmbH auf ihrer Webseite erklärt, ist das Unternehmen Opfer eines Cyberangriffs geworden, bei dem wichtige Teile der internen IT-Systeme verschlüsselt wurden. Die medatixx GmbH ist ein Anbieter von Praxissoftware für Ärzte und betreut in diesem Kontext viele Kunden…“ Offensichtlich sind bei Medatixx durch den Hackerangriff größere und schwer zu lösende Probleme entstanden. Unbefriedigende Antwort des BSI auf eine Anfrage zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx weiterlesen

Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist…

dann werden unzulässige Zugriffe erleichtert. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.11 – ab S. 146) aufmerksam. Unter der Überschrift „Wenn der Expartner die Patientenakte ‚filzt‘“ wird über einen illegalen Zugriff von Krankenhauspersonal auf Patient*innen-Akten informiert. Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist… weiterlesen

E-Rezept vor dem (vorläufigen) Aus?

Am 20.12.2021 meldet das Internet-Magazin Apotheke adhoc: Das Bundesgesundheitsministerium (BMG) sagt die für den 1. Januar geplante verpflichtende Einführung des E-Rezepts ab. In einem Schreiben an die Gesellschafter der Gematik… erklärte das Ministerium am Montag, dass es die Voraussetzungen für eine sichere flächendeckende Einführung in zwei Wochen nicht gegeben sieht. Es soll nun vorerst weiter getestet werden…“

Auf der Homepage der gematik ist diese Information noch nicht zu finden. Dort wird das e-Rezept noch immer ohne jeden Ansatz von Kritik gefeiert. E-Rezept vor dem (vorläufigen) Aus? weiterlesen

Setzt Karl Lauterbach Jens Spahns desaströsen Aktionismus fort? Datenschützer fordern überlegtes Vorgehen bei der elektronischen Patientenakte

Eine gemeinsame Stellungnahme von Bündnis für Datenschutz und Schweigepflicht, Deutsches Psychotherapeuten-Netzwerk, dieDatenschützer Rhein-Main, Gen-ethisches Netzwerk, Labournet, Patientenrechte und Datenschutz e.V. und WISPA Westfälische Initiative zum Schutz von Patientendaten: Setzt Karl Lauterbach Jens Spahns desaströsen Aktionismus fort? Datenschützer fordern überlegtes Vorgehen bei der elektronischen Patientenakte weiterlesen

Wenn ein Krankenhaus sagt: Eine Kopie der Gesundheits- und Behandlungsdaten gibt’s nie…

dann kann eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde helfen. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.13 – ab S. 150) aufmerksam.

Gemäß Art. 15 Abs. 3 DSGVO muss das Krankenhaus (beziehungsweise Klinikum oder der behandelnde Arzt) dem betroffenen Patienten auf Anforderung eine (kostenfreie) Kopie seiner personenbezogenen (Gesundheits-)Daten aushändigen. Stellt der/die betroffene Patient/in den Antrag auf eine Kopie seiner/ihrer verarbeiteten Daten elektronisch, so ist die Kopie in einem gängigen elektronischen Format zur Verfügung zu stellen . Wenn ein Krankenhaus sagt: Eine Kopie der Gesundheits- und Behandlungsdaten gibt’s nie… weiterlesen

Anfrage an das BSI zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx GmbH & Co. KG

Am 09.11.2021 meldete die gematik auf ihrer Homepage: Wie die medatixx GmbH auf ihrer Webseite erklärt, ist das Unternehmen Opfer eines Cyberangriffs geworden, bei dem wichtige Teile der internen IT-Systeme verschlüsselt wurden. Die medatixx GmbH ist ein Anbieter von Praxissoftware für Ärzte und betreut in diesem Kontext viele Kunden…“

Medatixx ist nach der CMG CompuGroup der zweitgrößte Anbieter von Software für die Praxen von Ärzt*innen und Psychotherapeut*innen und soll in diesem Segment einen Marktanteil von 25 % haben. Auch die Software für die in den Praxen eingesetzten Konnektoren zum Anschluss an die Telematik-Infrastruktur wird von medatixx angeboten.

Offensichtlich sind bei Medatixx durch den Hackerangriff größere und schwer zu lösende Probleme entstanden. Anfrage an das BSI zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx GmbH & Co. KG weiterlesen

Baden-Württemberg: Erneuter erfolgreichen Cyber-Angriff auf Krankenhäuser und Reha-Einrichtungen

Das melden die Badischen Neuesten Nachrichten am 21.09.2021: Die SRH Holding, die in der Region einige Kliniken betreibt, ist Opfer eines Cyberangriffs geworden. Wie ein Sprecher des SRH-Klinikums in Karlsbad-Langensteinbach am Dienstag auf Nachfrage erklärte, habe man bereits am Montagvormittag alle Einrichtungen vorsorglich vom Netz genommen, die an ein Rechenzentrum in Karlsruhe angeschlossen sind. Darunter waren laut dem Kliniksprecher neben dem Krankenhaus in Karlsbad auch die SRH-Gesundheitszentren in Waldbronn, Dobel und Bad Herrenalb, die zusammen rund 800 Betten für Reha-Patienten haben… In den Einrichtungen werde seither offline gearbeitet, die komplette Patientendokumentation schriftlich erledigt. Absprachen erfolgten telefonisch…“ Baden-Württemberg: Erneuter erfolgreichen Cyber-Angriff auf Krankenhäuser und Reha-Einrichtungen weiterlesen