Zum Inhalt springen

bfdi

Patientendaten PDSG ePA Datenschutz mangelhaft

Pati­en­ten­da­ten — neu­es Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

In sei­ner Pres­se­mit­tei­lung vom 19.08.2020 zum erfor­der­li­chen Schutz­ni­veau von Pati­en­ten­da­ten im Rah­men der aktu­el­len Gesetz­ge­bung infor­miert der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Prof. Ulrich Kel­ber über die euro­pa­rechts­wid­ri­ge Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Gesund­heits­da­ten als Fol­ge des zu erwar­ten­den Pati­en­ten­da­ten-Schutz-Geset­zes PDSG. Die­ses ist vom Bun­des­tag bereits beschlos­sen und befin­det sich momen­tan in Prü­fung beim Bundesrat. 

Pati­en­ten­da­ten als hoch­sen­si­bles Schutz­gut 

Bereits wäh­rend des Gesetz­ge­bungs­ver­fah­rens habe der BfDI wie­der­holt State­ments zur ‘vol­len Hoheit [der Pati­en­ten] über ihre Daten´ ein­ge­bracht. Die­ser Aspekt kom­me bei dem neu­en Gesetz zu kurz. Gesund­heits­da­ten beinhal­ten ‘intims­te Infor­ma­tio­nen´ der betrof­fe­nen Per­so­nen und sind von beson­ders hohem Schutzbedarf.

Maß­nah­men zum Schutz von Pati­en­ten­da­ten 

Es wür­den ‘auf­sichts­recht­li­che Maß­nah­men´ gegen die gesetz­li­chen Kran­ken­kas­sen ergrif­fen, sofern die­se das PDSG in aktu­el­ler Fas­sung umset­zen. Eine Ein­füh­rung der elek­tro­ni­schen Pati­en­ten­ak­te (ePA) ‘aus­schließ­lich nach den Vor­ga­ben des PDSG [in aktu­el­ler Fas­sung ver­sto­ße] an wich­ti­gen Stel­len´ gegen die DSGVO. Bei einer Beschlie­ßung des PDSG in der aktu­el­len Fas­sung  sei­en die der Auf­sicht des BfDI unter­lie­gen­den gesetz­li­chen Kran­ken­kas­sen (mit rund 44,5 Mil­lio­nen Ver­si­cher­ten) davor zu war­nen, dass die Ein­füh­rung der ePA aus­schließ­lich nach den Vor­ga­ben des PDSG euro­pa­rechts­wid­rig sei. Zudem sei­en ‘wei­te­re Maß­nah­men´ in Vor­be­rei­tung zu Abhil­fe einer euro­pa­rechts­wid­ri­gen Umset­zung der ePA. 

Pati­en­ten­da­ten in Zei­ten frag­wür­di­ger ‘Digi­ta­li­sie­rung´ 

Ein daten­schutz­recht­lich aus­rei­chen­der Zugriff auf die eige­ne ePA sei nur Nut­zern geeig­ne­ter End­ge­rä­te wie von Mobil­te­le­fo­nen oder Tablets mög­lich .. und das erst 1 Jahr nach Ein­füh­rung der ePA. Für das Jahr 2021 bedeu­te­te dies, dass eine Steue­rung auf Doku­men­ten­ebe­ne, d.h. eine doku­men­ten­ge­naue Kon­trol­le, wel­che Betei­lig­ten wel­che Infor­ma­tio­nen ein­se­hen kön­nen, nicht mög­lich ist. Damit wür­den voll­ende­te Tat­sa­che geschaf­fen und Berech­ti­gun­gen nicht daten­schutz­kon­form erteilt. So kön­ne bei­spiels­wei­se der ‘behan­deln­de Zahn­arzt [auf] alle Befun­de des kon­sul­tier­ten Psych­ia­ters´ zugrei­fen. Digi­ta­li­sie­rung kön­ne nie­mals Selbst­zweck sein. 

Benach­tei­li­gung Betrof­fe­ner bei Zugriff auf die eige­nen Pati­en­ten­da­ten 

Erfolg­te Zugrif­fe auf die Pati­en­ten­da­ten könn­ten ohne Nut­zung der ent­spre­chen­den Gerä­te nicht erfol­gen. Daher sol­le ab 2022  für die­se betrof­fe­nen Per­so­nen eine ver­tre­ten­de Per­son die Steue­rung und Ein­sicht vor­neh­men kön­nen — ent­spre­chen­des Ver­trau­ens­ver­hält­nis vor­aus­ge­setzt. Hier­in sieht der BfDI eine Ungleich­be­hand­lung hin­sicht­lich der infor­ma­tio­nel­len Selbstbestimmung. 

Es ist zu hof­fen, dass ein ent­spre­chen­des Daten­schutz­ni­veau recht­zei­tig eta­bliert wer­den kann. Auch beim Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Ver­ur­sa­cher von Daten­schutz­ver­let­zun­gen 

Ein c’t Arti­kel vom 28.08.2020 auf hei​se​.de titelt in die­sem Kon­text mit ‘War­um es bei künf­ti­gen Daten­pan­nen in der Medi­zin kei­ne Schul­di­gen geben wird´. Der Ent­wurf zum neu­en PDSG ent­las­se die Gema­tik aus der daten­schutz­recht­li­chen Gesamt­ver­ant­wort­lich­keit. Sep­tem­ber 2019 haben die Daten­schutz­be­hör­den beschlos­sen, dass die Gema­tik ‘daten­schutz­recht­lich allein­ver­ant­wort­lich für die zen­tra­le Zone der Tele­ma­tik-Infra­struk­tur (TI)´ sei. Indes sol­le die Gesell­schaft durch das neue Gesetz von der juris­ti­schen Gesamt­ver­ant­wort­lich­keit für den Daten­schutz, eben­die­ser Ver­ant­wort­lich­keit, ent­bun­den wer­den. Neben ‘kon­zep­tio­nel­len und regu­la­to­ri­schen Vor­ga­ben, Maß­nah­men zur Qua­li­täts­si­che­rung und zur Gefah­ren­ab­wehr´ tref­fe die Gema­tik für die Ver­ar­bei­tung der (Patienten)Daten kei­ne Ver­ant­wor­tung man­gels ‘ope­ra­ti­ver´ Betei­li­gung. Das deut­sche Gesund­heits­we­sen ste­he in kla­rer Abhän­gig­keit von der Gema­tik. Deren acht­wö­chi­ger Aus­fall von Mai bis Juli, bei dem weder sei­tens der Gema­tik noch ander­wei­tig öffent­li­che Infor­ma­tio­nen zu Ursa­chen und Ver­ant­wort­lich­kei­ten des Vor­falls gege­ben wur­de, mache dies deutlich. 

Kla­re Anti­zi­pa­ti­on mas­sen­haf­ter Ver­let­zun­gen des Schut­zes von Pati­en­ten­da­ten 

Somit wäre die Gema­tik auch von der Pflicht einer DSFA und der zuge­hö­ri­gen Beschrei­bun­gen poten­ti­el­ler Daten­schutz­ver­let­zun­gen und ihrer Aus­wir­kun­gen befreit. Kommt es zu einer Kom­pro­mit­tie­rung von Pati­en­ten­da­ten, muss dies nicht nur zunächst auf­fal­len, son­dern dann darf der Pati­ent sich — hin­rei­chen­de Gesund­heit vor­aus­ge­setzt — mit den zustän­di­gen Ärz­ten Aus­ein­an­der­set­zen und dann kann nach einem Ver­ant­wort­li­chen gesucht wer­den. Eine DSFA sei dem Geset­zes­ent­wurf zufol­ge allen­falls medi­zi­ni­schen Ein­rich­tun­gen mit mehr als 20 Mit­ar­bei­tern zuzumuten. 

Fazit und State­ment 

Mit dem neu­en PDSG wer­den vor allem die Ver­ur­sa­cher vor den Kon­se­quen­zen mas­si­ver Daten­schutz­ver­let­zun­gen geschützt. Dies zeigt zumin­dest einen aus­ge­präg­ten Rea­li­täts­sinn für die kata­stro­pha­len Zustän­de in Daten­schutz und Infor­ma­ti­ons­si­cher­heit im deut­schen Gesund­heits­we­sen. Der Autor des vor­lie­gen­den Bei­trags greift auf div. eige­ne Berufs­er­fah­run­gen im Gesund­heits­we­sen zurück. Die beschrie­be­nen Aspek­te bei der Gesetz­ge­bung zum neu­en PDSG lie­fern kei­ne Ver­bes­se­run­gen an der teil­wei­se bestehen­den grob fahr­läs­si­gen Hand­ha­bung von Pati­en­ten­da­ten im Gesund­heits­we­sen, son­dern besei­tigt die Trans­pa­renz noch weiter. 

Das heißt also — ver­bind­li­che Emp­feh­lung von Ihren Daten­schutz­be­auf­trag­ten 🙂 bit­te ein­fach die 5 a day Regel ein­hal­ten und gesund bleiben

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­filing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Darknet Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Bre­x­it, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Die mobile Version verlassen