[Das Digitale Versorgungsgesetz (DVG)] „Statt“ Gesundheitskarte: Smartphone-Kontrolle?

Dossier

"Meine Krankenakte gehört mir!"„… Nun also doch per Handy. Bundesgesundheitsminister Jens Spahn (CDU) sprach sich am Wochenende nach lang anhaltender Kritik dafür aus, die Gesundheitsdaten Millionen Versicherter nicht länger über die elektronische Gesundheitskarte (eGK) zu übermitteln. In Zukunft solle ermöglicht werden, dafür stattdessen Mobiltelefone zu nutzen, erklärte Spahn. (…) Doch darüber, ob die sensiblen Gesundheitsdaten in Form von Apps besser geschützt sind, bestehen Zweifel. Harsche Kritik kommt von der Bundesbeauftragten für Datenschutz, Andrea Voßhoff. Für gesetzliche Krankenkassen gebe es enge Schranken für das Sammeln solcher Gesundheitsdaten. „In einer nach deutschen Datenschutzstandards derart unsicheren Umgebung, mit der Apps verbunden sind, sollten sich Krankenkassen […] ihrer Verantwortung gegenüber den Versicherten bewusst sein“, schreibt sie in ihrem 25. Tätigkeitsbericht. Die Kassen versichern derweil unisono, vorsichtig mit den Gesundheitsdaten umzugehen…“ – aus dem Beitrag „Zieht die Regierung die Notbremse?“ von Sebastian Kränzle vom 13. Mai 2018 bei der taz online externer Link, worin die Reaktion auf Kritik und Pannen Thema ist. Siehe dazu:

  • Grundrechte-Report 2023: Zentralisierte Gesundheitsdaten New
    „… Unter der Ägide des damaligen Gesundheitsministers Jens Spahn beschloss der Deutsche Bundestag im Dezember 2019 das sogenannte Digitale-Versorgung-Gesetz (DVG). Auf dessen Grundlage wurden die Gesundheitsdaten aller 73 Millionen gesetzlich Versicherten im sogenannten Datentransparenzverfahren (DTV) seit Oktober 2022 zusammengeführt und zentral gespeichert. Begründet wurde das Vorhaben damit, dass dadurch neue Möglichkeiten für die medizinische Forschung, die Versorgungsforschung, die Gesundheitsberichterstattung und die Steuerung des Gesundheitswesens entstehen sollen. Auch wenn dies berechtigte Anliegen sind, dürfen die Grundrechte der Betroffenen bei der Umsetzung nicht auf der Strecke bleiben: Bei der Verarbeitung hochsensibler Gesundheitsdaten von Millionen Versicherten braucht es angemessene Schutzstandards und Widerspruchsrechte, beides fehlt im DVG. (…)Die Datentransparenzverordnung vom 26. Juni 2020 sieht vor, dass spätestens am 1. Oktober 2022 alle Versichertendaten von den gesetzlichen Krankenkassen zur Datensammelstelle, dem Spitzenverband Bund der Krankenkassen (BdK), fließen sollten. Zu jeder Person werden u. a. folgende Gesundheitsdaten als zusammenhängender Datensatz verarbeitet: Diagnosen, Behandlungen, Operationen, Arzneimittel, Zuzahlungen, Krankengeld-Informationen und viele andere Kosten- und Leistungsdaten sowie Geburtsjahr, Geschlecht und Postleitzahl. Für die beschriebenen Zwecke, insbesondere die medizinische Forschung, würde es genügen, wenn die Daten dezentral gespeichert und nur projektbezogen temporär zusammengeführt würden. Stattdessen werden die Gesundheitsdaten aller Versicherten nun zusätzlich zur Speicherung bei den Krankenversicherungen in einer zentralen Datenbank vollständig, gemeinsam und bis zu 30 Jahre lang vorgehalten. Eine solche zusätzliche zentrale Speicherung erhöht die Risiken eines Datenmissbrauchs oder eines unbefugten Datenzugriffs. Ein erfolgreicher Angriff oder eine Fehlbenutzung betreffen in einem zentralen System zudem potenziell schnell alle Daten und können verheerende Folgen haben für die Versicherten (Identifikation, Stigmatisierung und Arbeitsplatzverlust nach Veröffentlichung, Verletzung der Selbstbestimmung) und auch für den Betreiber (Haftungsansprüche). Zudem bedeutet eine unnötige Datenzentralisierung immer eine unverhältnismäßige staatliche Machtkonzentration, denn liegen die Daten einmal vor, können sie schnell auch für andere Zwecke verwendet werden, etwa für individualisierte Versicherungstarife oder gar zur Strafverfolgung. (…) Im Mai 2022 klagten die Informatikerin und Sprecherin des Chaos Computer Clubs, Constanze Kurz, und eine weitere Person mit Unterstützung der Gesellschaft für Freiheitsrechte (GFF) vor den Sozialgerichten Berlin und Frankfurt am Main gegen die zentrale Speicherung ihrer Gesundheitsdaten. Constanze Kurz befürchtet, dass die bestehenden konzeptionellen Sicherheitsmängel früher oder später zu einem gefährlichen Datenabgriff führen könnten. Der zweite Kläger hat eine seltene Krankheit und Sorge, trotz Pseudonymisierung seiner Daten leicht re-identifiziert zu werden. Im Oktober 2022 fand der erste Verhandlungstag in Berlin mit einer Anhörung von diversen Sachverständigen statt. Im Kern sehen die zwei klagenden Personen also schwere und unnötige grundrechtliche Risiken beim aktuellen Datentransparenzverfahren, etwa die IT-Sicherheitsrisiken durch Zentralisierung, die unzureichende Pseudonymisierung, die unklare Zweckbestimmung und die fehlende Widerspruchsmöglichkeit. (…) Abschließend bleibt die grundsätzliche Frage, ob das Datentransparenzverfahren angesichts seiner immensen Risiken für Grundrechtsverletzungen tatsächlich einen Beitrag zur besseren Gesundheitsversorgung leisten kann. Denn wenn die proklamiert missliche Gesundheitsdatenlage gar kein zentrales Nadelöhr der Gesundheitsversorgung wäre, so wäre das aktuelle Datentransparenzverfahren nicht nur aus Datenschutzsicht unverhältnismäßig, sondern auch ein weiterer Beleg dafür, wie sich politische Akteur*innen durch moderne Informationstechnik ablenken lassen von sozialpolitischen Problemen.“ Gastbeitrag von Rainer Rehak vom 19. Mai 2023 bei Netzpolitik.org externer Link aus dem Grundrechte-Report 2023
  • Gerichtsverfahren gegen Datensammlung der Krankenkassen – Eilanträge erfolgreich 
    „Die Gesellschaft für Freiheitsrechte e.V. (GFF) reichte am 3.5.2022 gegen die Sammlung von Gesundheitsdaten durch die Datensammelstelle des Spitzenverbands der Krankenkassen zwei Eilanträge bei Sozialgerichten in Berlin und Frankfurt ein. In beiden Verfahren haben die gesetzlich versicherten klagenden Personen jetzt erreicht, dass ihre Gesundheitsdaten bis zum Abschluss des Verfahrens nicht an die Datenstelle der Krankenkassen weitergegeben werden dürfen. Das ist ein wichtiger Erfolg. Bis zum 1. Oktober 2022 müssen die gesetzlichen Krankenkassen umfangreiche Gesundheitsinformationen aller 73 Millionen Versicherten zu Forschungszwecken in eine Datenbank einspeisen, die weitreichende und unnötige Sicherheitsrisiken aufweist. Es gibt keine Möglichkeit, der Weitergabe sensibelster Gesundheitsdaten zu widersprechen – auch nicht für besonders schutzbedürftige Menschen. Darin sieht die GFF Verstöße gegen das Grundrecht, selbst über die eigenen Daten zu bestimmen, und gegen das Datenschutzrecht der Europäischen Union. Mit ihren Verfahren will sie einen besseren Schutz der Daten erreichen und Missbrauch verhindern. „Niemand will Gesundheitsforschung verhindern. Aber das Gesetz sieht weder ausreichende Schutzstandards noch moderne Verschlüsselungsmethoden vor – das ist fahrlässig und gefährlich. Wenn Gesundheitsdaten einmal in falsche Hände geraten, kann das nicht mehr rückgängig gemacht werden“, sagt Bijan Moini, Jurist und Verfahrenskoordinator bei der GFF. (…) Perspektivisch zielen die Verfahren auf eine Klärung der Rechtslage durch das Bundesverfassungsgericht und/oder den Europäischen Gerichtshof ab…“ Blog-Beitrag von Jan vom 5. Juni 2022 bei patientenrechte-datenschutz.de externer Link
  • BVerfG: Eilantrag gegen Auswertung von Krankenversicherungsdaten bei offenen Erfolgsaussichten abgelehnt 
    „Mit heute veröffentlichtem Beschluss hat die 2. Kammer des Ersten Senats einen Antrag auf vorläufige Außerkraftsetzung des Vollzugs neu in das SGB V eingefügter Vorschriften abgelehnt, die die Nutzung von Daten gesetzlich Krankenversicherter in pseudonymisierter oder anonymisierter Form im Hinblick auf digitale Innovationen und für weitere Zwecke, unter anderem zur medizinischen Forschung, ermöglichen. Das Verfahren wirft schwierige verfassungsrechtliche Fragen auf, über die im Eilverfahren inhaltlich nicht entschieden werden kann. Die Kammer hatte deshalb aufgrund summarischer Prüfung im Rahmen einer Folgenabwägung zu entscheiden und den für die Prüfung der vorläufigen Außerkraftsetzung eines Gesetzes geltenden strengen Maßstab anzuwenden. Die Nachteile, die sich aus einer vorläufigen Anwendung der Vorschriften ergeben, wenn sich das Gesetz im Nachhinein als verfassungswidrig erwiese, sind nach Ansicht der Kammer zwar von erheblichem Gewicht. Sie überwiegen aber nicht deutlich die Nachteile, die entstünden, wenn die Vorschriften außer Kraft träten, sich das Gesetz aber später als verfassungsgemäß erwiese. Sachverhalt: § 68a Abs. 5 SGB V ermächtigt die gesetzlichen Krankenkassen dazu, versichertenbezogene Daten pseudonymisiert oder, sofern möglich, auch anonymisiert auszuwerten, um den Bedarf nach und mögliche Versorgungseffekte von digitalen Innovationen im Gesundheitsbereich zu evaluieren. Die §§ 303a ff. SGB V sollen die Nutzbarkeit bestimmter Gesundheitsdaten unter anderem für Forschungszwecke verbessern. Sie etablieren zu diesem Zweck ein Datentransparenzverfahren, in dem personenbezogene Daten der gesetzlich Versicherten wie Alter, Geschlecht oder Wohnort sowie bestimmte Gesundheitsdaten an den Spitzenverband Bund der Krankenkassen als Datensammelstelle übermittelt und von diesem anschließend an ein noch einzurichtendes Forschungsdatenzentrum weitergegeben werden. Dieser Vorgang wird von einem Pseudonymisierungsverfahren begleitet, wobei die Pseudonyme kassenübergreifend eindeutig einem bestimmten Versicherten zugeordnet werden. Das Forschungsdatenzentrum stellt den Nutzungsberechtigten auf Antrag die Datensätze grundsätzlich aggregiert und anonymisiert, gegebenenfalls aber auch pseudonymisiert oder in kleinen Fallzahlen zur Verfügung. Die Nutzungsberechtigten dürfen diese Daten unter anderem für die medizinische Forschung sowie für Planung, Analyse und Evaluation der Gesundheitsversorgung, aber auch zur Unterstützung politischer Entscheidungsprozesse und für Aufgaben der Gesundheitsberichterstattung nutzen. (…) Dass sich hier offene Fragen stellen, ergibt sich schon aus den im Gesetzgebungsverfahren vorgebrachten Bedenken der angehörten Sachverständigen wie auch seitens der Gesetzgebungsorgane…“ BVerfG- Pressemitteilung Nr. 29/2020 vom 30. April 2020 zum Beschluss 1 BvQ 1/20 vom 19. März 2020 externer Link

    • Anm.: Warum in diesem Fall, trotz aller Bedenken der Sachverständigen, ein erst Ende 2019 verabschiedetes Gesetz zur zentralen Sammlung von u.U. nur „pseudonymisierten“ Gesundheitsdaten Vorrang vor dem Datenschutz haben soll, ist nicht nachzuvollziehen. So lehnt die Kammer sogar den hilfsweisen Antrag, einer zuvor ausdrücklich schriftlich oder elektronisch Zustimmung gemäß § 36a Sozialgesetzbuch Erstes Buch, ab. Damit besteht überhaupt kein Schutz persönlicher Gesundheitsdaten mehr – außer der auf dem im Gesetz versprochene (doch Papier ist geduldig). Die Kammer nimmt allen Ernstes an: „Auch ein vom Antragsteller befürchteter missbräuchlicher Zugriff Dritter auf diese Daten kann nicht mit hinreichender Sicherheit als unmittelbar bevorstehend angenommen werden. Im Hinblick auf zu Unrecht erhobene und gespeicherte Daten könnten gegenüber den Nutzungsberechtigten zudem Löschungsanordnungen ergehen, sodass der eingetretene Nachteil nicht irreversibel wäre.“ Das ist völlig naiv. Sind die Daten erst einmal bei den pharmazeutischen Konzernen gelandet, oder wurden sie „geknackt“, gibt es keinen Weg mehr zurück. Die sensibelsten persönlichen Daten irren dann in unbekannten Gefilden umher (Schufa mal anders). Tatsächlich wäre bei unterstellter Verfassungskonformität durchaus eine spätere Speicherung für Forschungszwecke problemlos möglich. Es handelt sich hier letztlich nur um einen Verzicht auf Datenschutz, begründet mit der höchstrichterlichen Angst vor einen erheblichen „Eingriff in die Gestaltungsfreiheit des Gesetzgebers“. Wer braucht da noch ein Verfassungsgericht – außer ein Gesetzgeber, der gerne z.B. auch Bayer –  kostenlos? – Daten für die Forschung zur Verfügung stellt?
  • Die Humanistische Union kritisiert das Digitale-Versorgungs-Gesetz (DVG): Aushöhlung des Grundrechts auf informationelle Selbstbestimmung
    Mit den Stimmen der Großen Koalition hat der Deutsche Bundestag am Donnerstag, 7. November 2019, das Digitale-Versorgungs-Gesetz durchgewinkt. Die Bundesregierung will damit die Digitalisierung des Gesundheitswesens vorantreiben. Die Humanistische Union sieht in dem Vorhaben einen weiteren Schritt zur Aushöhlung von PatientInnenrechten. Die Digitalisierung vieler gesellschaftlicher Bereiche schreitet voran. Das birgt Chancen aber auch große Risiken, insofern der Datenschutz Schritt für Schritt ausgehöhlt wird. Die Humanistische Union warnt vor Datenmissbrauch, der in einer datengetriebenen Ökonomie zu Diskriminierung und Manipulation führen kann. Jetzt ist das Gesundheitswesen dran (…) „All das bereitet den Weg zum gläsernen Patienten.  Denn trotz aller verbaler Beteuerungen in Datenschutzerklärungen und von Politikerinnen und Politikern, wonach „Datenschutz uns wichtig ist“, findet Schritt für Schritt ein Abbau des Datenschutzes statt“, sagt Christiane Bodammer, Mitglied des Bundesvorstands der Humanistischen Union mit dem Schwerpunkt Datenschutz...“ Pressemitteilung vom 13.11.19 von und bei der HU externer Link
  • Vom Bundestag verabschiedet – Was das „Gesetz Digitale Versorgung“ bringt – Spahn öffnet Tür für Private 
    Der Bundestag hat zugestimmt: Das Gesundheitswesen geht online. Was sich mit dem neuen Gesetz für Versicherte ändert…“ Ein Überblick vom 07.11.2019 beim ZDF externer Link, siehe dazu:

    • Spahn öffnet Tür für Private: »Digitale-Versorgung-Gesetz« im Bundestag. Kritik an Datenhandel
      „… Spahn sicherte im ZDF erneut »Datenschutz auf höchstem Standard« zu. Im Mittelpunkt stehe die Forschung für Patienten und nicht, dass Unternehmen damit Geld verdienen. Achim Kessler, Sprecher für Gesundheitsökonomie der Linksfraktion im Bundestag, hielt im Gespräch mit jW dagegen: Die Kosten für digitale Gesundheitsanwendungen, wie Gesundheits-Apps, würden in Zukunft ohne wissenschaftliche Prüfung zwölf Monate lang von den gesetzlichen Krankenkassen erstattet. Krankenkassen sollten nach dem Willen Spahns unter Einsatz von zwei Prozent ihrer Finanzreserven zu Anteilseignern von IT-Konzernen werden können und selbst in Digitalprodukte investieren. »Diese Zweckentfremdung von Beiträgen der Versicherten als Spekulationskapital lehnen wir ab! Dieser Umstand und vor allem die massenhafte Weitergabe und Nutzung von sensiblen Gesundheitsdaten, der die Versicherten nicht widersprechen können, sind der Türöffner für den endgültigen Umbau der gesetzlichen Krankenversicherung zur Goldmine für die Gesundheitswirtschaft«, so Kessler. Die Unternehmensberatung Ernst & Young hatte im Juli frohlockt: »Neue Gesetze wie das beschlossene Pflegestärkungsgesetz oder das geplante Digitale-Versorgung-Gesetz bringen Bewegung in den Markt.«“ Kommentar von Simon Zeise in der  jungen Welt vom 08.11.2019 externer Link
  • Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf für das Digitale Versorgung-Gesetz 
    „In dieser Stellungnahme defniert der BfDI seinen Nachbesserungsbedarf zum Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale Versorgung-Gesetz – DVG) – BT-Drs. 19/13438 und gibt Vorschläge zur datenschutzfreunlichen Änderung verschiedener Punkte des Gesetzentwurfs…“ Stellungnahme vom 23.10.2019 am 07.11.2019 beim BfDI externer Link
  • Bundestag entscheidet über zentrale Gesundheitsdatenbank für Kassenpatienten
    Am Donnerstag soll der Bundestag ein Gesetz verabschieden, mit dem für Forschungszwecke eine zentrale Gesundheitsdatenbank über 73 Millionen gesetzliche Versicherte geschaffen werden soll. Die Daten sollen lediglich pseudonymisiert werden. Das damit verbundene Risiko ist nur einer von vielen Kritikpunkten an dem Vorhaben…“ Beitrag von Christopher Hamich vom 05.11.2019 bei Netzpolitik externer Link
  • Digitale-Versorgung-Gesetz: 7 Gründe, warum Spahns Gesundheitspläne für Patienten gefährlich sind
    Am Donnerstag soll der Bundestag über das Digitale-Versorgung-Gesetz abstimmen. Doch der Vorschlag des Gesundheitsministers hat eine soziale Schieflage, weicht den Schutz sensibler Daten auf und kann zur Diskriminierung von Risikogruppen führen…“ Beitrag von Markus Reuter vom 05.11.2019 bei Netzpolitik externer Link
  • „Terminservice- und Versorgungsgesetz“: Wie man Datenschutzabbau als Qualitätssicherung framet 
    „… Unbemerkt von der Öffentlichkeit hat Gesundheitsminister Spahn mit seinem „Terminservice- und Versorgungsgesetz“ einen weiteren Abbau von Datenschutzrechten der Bürger durchs Parlament gebracht. (…) Mit dem „Gesetz für schnellere Termine und bessere Versorgung“ (TSVG) verspricht Gesundheitsminister Spahn „bessere Angebote für gesetzlich Versicherte“. Unbekannt dürfte den gesetzlich Versicherten aber sein, dass zu den „besseren Angeboten“ in Zukunft gehört, dass ihre sensiblen Gesundheitsdaten auch ohne Pseudonymisierung für die „Qualitätssicherung“ leichter verfügbar gemacht werden. Damit entspricht Gesundheitsminister Spahn dem Wunsch des Gemeinsamen Bundesausschusses (G-BA), dessen Vorsitzender bereits im Dezember 2018 öffentlich seinem Ärger über die bisher geltenden Datenschutzregelungen Luft gemacht hatte: „Ich kann aber Qualitätssicherung nur betreiben, wenn ich den Patienten kenne, wenn ich also weiß, ob der Läuse, Flöhe und Fußpilz hat.“ (…) Anlass für den Unmut des G-BA-Vorsitzenden war ein vorangegangener Rechtsstreit beim LSG Berlin-Brandenburg, der zugunsten eines Suchtmediziners entschieden wurde: Der Arzt hatte mit Berufung auf bestehende Datenschutzregelungen erfolgreich dagegen geklagt, Behandlungsdokumentationen von namentlich bezeichneten drogenabhängigen Patienten ohne Pseudonymisierung zur „Qualitätssicherung“ herausgeben zu müssen. Spahns Gesetz ändert nun die betreffenden Datenschutzregelungen so ab, dass der direkte Zugriff auf nicht pseudonymisierte Patientendaten rechtssicher erleichtert wird.  Zusätzlich darf der G-BA in Zukunft vorsehen, dass Leistungserbringern (z.B. Ärzten, Psychotherapeuten, Krankenhäusern) Informationen über ihre Patienten aus anderen Quellen übermittelt werden. Damit kann z.B. ein vorbehandelnder Arzt/Krankenhaus in Zukunft Einblick in Behandlungsdaten nehmen, die in anderen nachbehandelnden Einrichtungen erhoben wurden. Das Gesetz wurde am 14. März 2019 vom Parlament beschlossen und ist bereits seit dem 11. Mai 2019 in Kraft getreten. (…) Neben „Sicherheit“ (Implantateregister-Errichtungsgesetz) und „Innovation“ (Digitale-Versorgung-Gesetz) ist „Qualitätssicherung“ der dritte Frame, der die Wahrnehmung des Abbaus von Datenschutzrechten erheblich erschwert. Alle drei Frames richten den Scheinwerfer auf einen der Bevölkerung zuteil werdenden Gewinn: Sicherheit, Innovation oder Qualität. Im Schatten dieses Scheinwerferlichts hingegen liegt das, was alle drei Frames ausblenden: den wirklich gravierenden Verlust informationeller Selbstbestimmung…“ Beitrag von Brigitta Engel vom 5. November 2019 bei Telepolis externer Link
  • Das „Digitale-Versorgung-Gesetz“ soll nicht nur „Gesundheits-Apps“ auf Kosten der Krankenkassen bringen. Sondern auch eine anzapfbare Mega-Datenbank mit sensiblen Daten aller gesetzlich Versicherten
    „Der Bundesgesundheitsminister Jens Spahn (CDU) hat sich auf den Digitalisierungszug gesetzt und will das Gesundheitswesen entsprechend modernisieren. Das verschafft ihm bei vielen ein irgendwie „modernes“ Image, deshalb muss ja heutzutage auch überall irgendwas mit dieser Digitalisierung draufstehen. Zum anderen aber, seien wir realistisch, geht es im Haifischbecken Gesundheitswesen immer auch und nicht selten ausschließlich um Geld, sehr viel Geld. Und im Kontext Digitalisierung erscheinen die Umrisse neuer Geschäftsmodelle und – wenn man schnell genug ist – die Aussicht auf mögliche Profite, die weit über dem liegen können, was „normale“ Unternehmen so erreichen. Dafür hat der umtriebige Minister ein eigenes Gesetzgebungsverfahren angestoßen und den Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) in die parlamentarische See geworfen (…) Dass Daten heutzutage einen Rohstoffcharakter haben wie in der industriellen Welt das Rohöl, das sollte nun bei jedem angekommen sein. Und dass zahlreiche überaus profitable Geschäftsmodelle auf das Schürfen, Auswerten und Verkaufen von Daten basieren, ist sicher auch keine neue Botschaft mehr. Vor diesem Hintergrund ist der Zugang zu möglichst umfangreichen und auf das einzelne Individuum heruntergebrochenen Datenbeständen von entscheidender Bedeutung. Nicht nur für die zahlreichen gewinnorientierten Geschäftsmodelle, sondern auch für die Forschung, die ebenfalls ein großes Interesse an möglichst umfassenden Datensätzen hat. Übrigens eine wunderbare Doppel-Gesichtigkeit des Anliegens, denn es gibt bekanntlich vorzeigbare Gesichter (wie „die“ Forschung) und andere, die man lieber im Dunkeln lassen möchte. (…) Da passt es dann doch ideal, dass das „Digitale-Versorgung-Gesetz“ neben dem Pampern der Gesundheits-App-Branche noch einen anderen Aspekt beinhaltet, dessen Bedeutung für die vor uns liegenden Jahre überhaupt nicht überschätzt werden kann und der weit über das Fördern einzelner Applikationen hinausreicht. So heißt es im vorliegenden Entwurf eines „Digitalen-Versorgung-Gesetzes“, dass man „eine bessere Nutzbarkeit von Gesundheitsdaten für Forschungszwecke ermöglichen“ wolle. Na, wer kann den da was gegen haben? Das dient offensichtlich einem ehrenwerten Anliegen und dem Fortschritt der Menschheit. (…) Besonders problematisch: Alle GKV-Versicherten werden hier in kollektive Datenhaft genommen, denn: Eine Möglichkeit für die Versicherten, der Weitergabe dieser hochsensiblen Daten zu widersprechen, sieht der Gesetzentwurf nicht vor…“ Beitrag von Stefan Sell vom 2. November 2019 auf seiner Homepage externer Link
  • Offener Brief an die Bundestagsabgeordneten: Keine zentrale Speicherung von Gesundheitsdaten! 
    Die Digitale Gesellschaft e.V. und der Verein Patientenrechte und Datenschutz e.V. richten sich in einem Offenen Brief an alle Bundestagsabgeordneten und warnen sie davor, am 7. November 2019 im Bundestag dem Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (DVG) zuzustimmen. Dieses Gesetz ebnet der zentralen Massenspeicherung von sensiblen Gesundheitsdaten den Weg. Bereits seit 2014 werden Routinedaten der Krankenkassen über das Informationssystem Versorgungsdaten (Datentransparenzverfahren auf Basis der §§ 303a bis 303e Sozialgesetzbuch V) aufbereitet. Nun sollen in einem Forschungsdatenzentrum nach § 303d die Gesundheitsdaten aller Versicherten gespeichert, ausgewertet und einer langen Liste von Nutzungsberechtigten zur Verfügung gestellt werden. Die Daten sollen im Forschungszentrum lediglich pseudonymisiert gespeichert werden. Die beiden zivilgesellschaftlichen Organisationen warnen, dass die Sicherheit bei einer zentralen Speicherung von sensiblen Daten weder technisch noch organisatorisch zu gewährleisten ist und schreiben: „Eine zentrale Datei von Gesundheitsdaten öffnet der Überwachung, der Kontrolle und der Sortierung von Menschen sowie der Diskriminierung bestimmter Risikogruppen Tür und Tor. Der politische und wirtschaftliche Missbrauch solcher Daten muss immer befürchtet und mitbedacht werden.“ Gefordert wird, das Konzept der Digitalisierung im Gesundheitswesen insgesamt zu überarbeiten, wobei drei Forderungen ins Zentrum gestellt werden: Dezentrale und nach Zwecken getrennte Verarbeitung von Gesundheitsdaten; Freiwilligkeit der Speicherung von Gesundheitsdaten der Versicherten ohne Hintertür  über die Krankenkassendaten; Grundvoraussetzung  für Datenweitergabe und Datenspeicherung muss eine funktionierende Telematik-Infrastruktur sein, die nicht aus Bequemlichkeitsgründen  Sicherheits- und Datenschutzlücken akzeptiert.“ Offener Brief vom 1.11.2019 bei Digitale Gesellschaft externer Link, siehe dazu:

    • Warnung vor „zentraler Massenspeicherung“ sensibler Gesundheitsdaten
      „… Die Vereine Digitale Gesellschaft sowie Patientenrechte und Datenschutz appellieren in einem am Freitag herausgegebenen Offenen Brief an alle Bundestagsabgeordneten, dem umstrittenen Regierungsentwurf für ein „Digitale-Versorgung-Gesetz“ (DVG) nicht zuzustimmen. Die Initiative „ebne der zentralen Massenspeicherung von sensiblen Gesundheitsdaten den Weg“, warnen die Bürgerrechtler. Dabei sei die Sicherheit „weder technisch noch organisatorisch zu gewährleisten“, wie ständig Nachrichten über Datenlecks und Forschungen zur Re-Identifizierung von Betroffenen in Datensätzen zeigten. (…) Die Bürgerrechtler fordern in dem Schreiben, „das Konzept der Digitalisierung im Gesundheitswesen insgesamt zu überarbeiten“. Gesundheitsdaten müssten „grundsätzlich dezentral und nach Zwecken getrennt verarbeitet werden“. Sie dürften nicht durch die Hintertür ohne das informierte Plazet der Betroffenen gesammelt werden, indem Krankenkassen etwa ihnen für die Abrechnung vorliegende Informationen für andere Ziele als die vorgesehenen verwendeten. Grundvoraussetzung dafür, einschlägige Daten weiterzugeben und aufzubewahren, müsse ferner „eine funktionierende Telematik-Infrastruktur sein, die nicht aus Bequemlichkeitsgründen Sicherheits- und Datenschutzlücken akzeptiert“. (…) Die Volksvertreter sollen am Donnerstag über den Entwurf und einen möglichen Änderungsantrag aus dem Gesundheitsausschuss abstimmen. Im Kern geht es dabei auch um das nicht minder umstrittene Vorhaben, neue digitale Angebote wie Gesundheits-Apps auf Rezept im großen Stil für Patienten verfügbar zu machen, sowie mehr Videosprechstunden einzuführen…“ Beitrag von Stefan Krempl vom 1. November 2019 bei heise online externer Link
  • Spahn will Millionen Versicherten-Daten für Forschung freigeben 
    Gesundheitsminister Jens Spahn (CDU) will eine gigantische Datenbank mit sämtlichen Behandlungsdaten von allen gesetzlich Versicherten aufbauen. Obwohl das Gesetz schon kommende Woche beschlossen werden soll, sind die Pläne in der Öffentlichkeit bisher unbekannt. Datenschützer sind entsetzt. Die Gesundheitsdaten der 73 Millionen gesetzlich Versicherten sollen künftig ohne ihr Einverständnis für die Forschung verwendet werden können. Das sieht ein bisher in der Öffentlichkeit nicht beachteter Passus im sogenannten Digitale-Versorgungs-Gesetz von Gesundheitsminister Jens Spahn (CDU) vor, das bereits in der kommenden Woche im Bundestag beschlossen werden soll. Danach müssen die gesetzlichen Krankenkassen die persönlichen Daten sowie sämtliche Behandlungsdaten aller Versicherten an den Spitzenverband der Kassen melden, der sie dann der Forschung zur Verfügung stellt. Damit entstünde eine der umfangreichsten Datensammlungen in der Bundesrepublik. Eine Möglichkeit für die Versicherten, der Weitergabe dieser hochsensiblen Daten zu widersprechen, sieht der Gesetzentwurf nicht vor…“ Artikel von Tim Szent-Ivanyi vom 02.11.2019 beim RND externer Link
  • Der fleißige Herr Spahn:  Mit Vollgas gegen den Datenschutz. Wie man Datenschutzabbau im Gesundheitswesen als Sicherheitsmaßnahme framet  
    „… Das Gesetz, das am 26. September vom Parlament beschlossen wurde externer Link und medial in Verkennung seiner Tragweite überwiegend als Ausdruck staatlicher Fürsorge gegenüber Implantatträgern vermittelt wurde, sieht vor, ohne Einwilligung des betroffenen Bürgers umfassende Gesundheitsdaten in einem staatlichen Register zu erfassen sowie in vielfältiger Art kontinuierlich weiterzuverarbeiten und weiterzugeben, ohne zu den jeweiligen Nutzungen eine Einwilligung des Bürgers einholen zu müssen. Auf diese Weise werden Datenschutzrechte ausgehebelt, die sich aus den Grundrechten ableiten und damit zu den Abwehrrechten des Bürgers gegen den Staat gehören. Die Tragweite des Gesetzes kann man nur dann ermessen, wenn man weiß, dass Gesundheitsdaten nicht nur zu den dem Datenschutz unterliegenden personenbezogenen Daten gehören (auch in pseudonymisierter Form), sondern darüber hinaus aufgrund ihrer existenziellen Bedeutung für den Menschen rechtlich als sog. sensible Daten unter besonderen Schutz stehen. (Art. 9 Abs. 1 DSGVO). Sie dürfen deshalb grundsätzlich nicht verarbeitet werden. (…) Tatsächlich beruft sich Spahn auf ein schutzwürdiges Allgemeininteresse (öffentliche Gesundheit, Abwehr von Risiken, Qualitätsverbesserung von Medizinprodukten, Rückrufaktion bei fehlerhaften Implantaten). Die Verpflichtung zur Registrierung sei deswegen erforderlich, da bereits jetzt jeder 10. Patient die freiwillige Teilnahme am Endoprothesenregister Deutschland „verweigert“. Die Teilnehmerquote betroffener Patienten liege „lediglich bei 90 %“, was „erhebliche Auswirkungen“ auf die Validität der Daten und Belastbarkeit der Auswertungsergebnisse habe. Eine Freiwilligkeit der Teilnahme würde somit „die Zweckerreichung in erheblichem Maße gefährden“. (…) Spahns Patientendatenregistergesetz hat sämtliche „strukturellen Hürden“ erfolgreich aus dem Weg geräumt: Das Einwilligungserfordernis wird unter Berufung auf ein wichtiges Allgemeininteresse beseitigt. Die Gebote der Datenminimierung und Zweckbindung werden v.a. durch die Koppelung einer Vielzahl von z.T. nicht hinreichend konkretisierten Zweckbeschreibungen des Registers umgangen. Und schließlich wird durch den Ausschluss des Widerspruchsrechts der Kontrollverlust des Bürgers hinsichtlich seiner sensibelsten Daten praktisch besiegelt…“ Beitrag von Brigitta Engel vom 16. Oktober 2019 bei Telepolis externer Link

    • Wie man Datenschutzabbau als Versorgungsinnovation framet – Der fleißige Herr Spahn: Mit Vollgas gegen den Datenschutz – Teil 2
      „… Das am 27. September in erster Lesung beratene „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ sieht vor, dass gesetzliche Krankenkassen durch inhaltliche Kooperation mit Unternehmen und durch den Erwerb von Anteilen an Investmentfonds direkt an der Entwicklung und Erprobung von digitalen Medizinprodukten beteiligt werden sollen. Zu diesem Zweck sollen sie die rechtliche Grundlage dafür erhalten, 1. ohne Einwilligung der Versicherten die personenbezogenen Daten von rund 72 Millionen gesetzlich versicherter Bürger für eine versichertenbezogene Bedarfsanalyse auszuwerten, 2. Digitalprodukte (niedriger Risikoklasse) ohne Nachweis eines medizinischen Nutzens und ohne ärztliche Verordnung in einer Erprobungsphase für den Einsatz an Versicherten nach deren Einwilligung testen zu dürfen sowie 3. ohne Einwilligung der Versicherten eine umfassende Datensammlung an den Spitzenverband Bund der Krankenkassen zu schicken. Dieser reicht die Einzeldatensätze pseudonymisiert an ein staatliches „Forschungszentrum“ weiter, das wiederum u.a. für die endgültige Zulassung der Digitalprodukte zuständig ist. Hier werden die Daten abermals ohne Einwilligung der Versicherten zu vielfältigen Zwecken verarbeitet und (auf Antrag auch pseudonymisiert) einer Vielzahl von Interessengruppen zur Nutzung zugänglich macht. Der Bundesrat schlägt Alarm. In seiner Stellungnahme warnt er eindringlich vor „erhebliche[n] Risiken für die Persönlichkeitsrechte der Versicherten“, vor der „Gefahr der Diskriminierung“ durch „individuelle Gesundheitsprofile“ sowie vor dem „Reidentifikationsrisiko“. Es bestünden „ganz erhebliche Zweifel“ an der Verhältnismäßigkeit der vom Gesetz vorgesehenen Datenverarbeitung. (…) Dass im Interesse eines zentralen staatlichen Zugriffs auf sensible Gesundheitsdaten zunehmend Datenschutzgrundsätze ausgehebelt werden (s. auch sog. Implantateregister-Gesetz), ist nicht unproblematisch, bedenkt man, dass Datenschutzrechte von den Grundrechten abgeleitet werden und damit zu den Abwehrrechten gegen den Staat zählen. Mindestens genauso bedenklich aber ist aus der Perspektive einer demokratischen Gesellschaft, dass eine notwendige gesellschaftliche Debatte hierüber ausbleibt…“ Beitrag von Brigitta Engel vom 30. Oktober 2019 bei Telepolis externer Link
    • Der  beschlossene Gesetzestext externer Link zur Zwangs-Erfassung aller Implantate und Prothesen in Deutschland:  Entwurf eines Gesetzes zur Errichtung des Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch (Implantateregister-Errichtungsgesetz – EIRD)(Drucksache 19/13589). Das Gesetz wurde am 26. September vom Parlament beschlossen. Es bedarf nicht der Zustimmung durch den Bundesrat und soll am 01. Januar 2020 in Kraft treten. Das Digitale Versorgungsgesetz (DVG) soll am 7./8.11.19 im Bundestag verabschiedet werden. Die wesentlichen Unterlagen findet man hier: https://www.bundestag.de/dokumente/textarchiv/2019/kw42-pa-gesundheit-dvg-660398 externer Link
    • Die wesentlichen Regelungen sind: Es sollen ein paar dutzend Millionen EUR Versichertengelder abgezweigt werden, um Gesundheits-Apps zu finanzieren, ohne dass diese zuvor irgendeinen Nutzen beweisen müssen. Man soll sie mit dem Handy aus den Appstores runterladen können. Sie sollen sofort nach Fertigstellung – ohne Nutzennachweis – von Ärzten auf Kosten der Krankenversicherung verschrieben werden können. Die Hersteller dürfen selbst festlegen, was die Apps kosten sollen. Alle Daten, die die Krankenkassen aus der Versorgung haben, über ihre Versicherten, sollen die Krankenkassen im Klartext – mit der Krankenversichertennummer, Alter, Geschlecht, den versichertenbezogen zugeordneten Wohnorten der Versicherten – komplett an den Spitzenverband Bund der Krankenkassen liefern. Dort hat man dann alle Diagnosen (ICD-10), alle Behandlungen aller Versicherten bei allen Ärzten aus vielen Jahren, alle Krankschreibungen, alle Verschreibungen von Medikamenten und die Umzugshistorien von über 80 Millionen Menschen zentral beisammen. Personenbezogen, über jede/n von uns. Dort werden die IDs durch Pseudonyme ersetzt. Dieser „pseudonymisierte“ Bestand (mit Alter, Geschlecht und Wohnorten) wird der Forschung zur Verfügung gestellt, u.a. sollen alle Universitäten dort Daten beziehen können.
  • Massive Datenschutzmängel in der Gesundheits-App Ada 
    „… „Der Schutz Ihrer Daten, Privatsphäre und personenbezogenen Daten ist für (uns) sehr wichtig.“ Solche Sätze liest man mittlerweile in so vielen Datenschutzerklärungen, dass der Eindruck entsteht, sämtliche Unternehmen wären zu Datenschutzvorreitern geworden. Aktuelle Analysen wecken jedoch arge Zweifel an der Ernsthaftigkeit dieser Formulierungen. Der obige Satz stammt aus der Datenschutzerklärung zur App „Ada“, entwickelt von der deutschen Ada Health GmbH mit Hauptsitz in Berlin. Ada ist eine Art Chat-Programm, das den Nutzer nach Symptomen befragt, auf mögliche Erkrankungen hinweist und gegebenenfalls rät, einen Arzt aufzusuchen. Bekannt wurde die kostenlose App unter anderem, weil die Techniker Krankenkasse mit dem Unternehmen kooperiert, sodass die App Versicherten der TK passende Angebote unterbreiten kann. In den App-Stores von Google und Apple rangiert sie unter den populärsten Gesundheits-Apps. Über bedenkliche Formulierungen in der Datenschutzerklärung von Ada Health haben wir bereits in der c’t 17/2019 berichtet. Inzwischen sah sich der Experte für IT-Sicherheit Mike Kuketz das tatsächliche Verhalten von Ada unter Android an – insbesondere welche Daten Ada wann wohin überträgt – und beschrieb gravierende Probleme. (…) Das Verhalten und die Reaktionen von Ada zeigen, dass in puncto Datenschutz bei Gesundheits-Apps offenbar großer Nachholbedarf besteht. Das sieht auch die große Mehrheit der deutschen Bevölkerung so, wie eine Studie des Büros für Technikfolgenabschätzung beim Deutschen Bundestag ergab: Mehr als 80 Prozent der Deutschen wünschen sich, dass für Gesundheits-Apps „verbindliche Standards für Qualität, Datenschutz und Datensicherheit etabliert werden“, dass „die Einhaltung datenschutzrechtlicher Anforderungen durch App-Hersteller und App-Store-Betreiber stärker kontrolliert werden sollte“ und dass „App-Hersteller und App-Store-Betreiber Selbstverpflichtungen eingehen sollten, um die Privatsphäre von App-Nutzern besser zu schützen.“ Vor diesem Hintergrund sollte nicht zuletzt Gesundheitsminister Jens Spahn den Entwurf des Digitale-Versorgung-Gesetz (DVG) nachbessern, das künftig eine Kostenerstattung der Krankenkassen von Gesundheits-Apps auf Rezept vorsieht. Der Gesetzentwurf wurde nach einer ersten Lesung Ende September zur Nachverhandlung in die Ausschüsse gegeben.“ Beitrag aus c’t 22/2019 bei heise online externer Link. Siehe auch:

  • [Digitale-Versorgung-Gesetz] Warum Sie bei Medizin-Apps unbedingt das Kleingedruckte lesen sollten 
    Medizin-Apps sollen laut digitalem Versorgungsgesetz DVG künftig von den Krankenkassen erstattet werden. Der im DVG verankerte Datenschutz hat jedoch weiterhin Lücken.Gesundheitsminister Spahn drückt aufs Tempo. Er will die Digitalisierung des Gesundheitssystems vorantreiben und setzt Herstellern, Krankenkassen und Ärzten ambitionierte Termine für die Umsetzung. Doch selbst Experten halten diese für wenig realistisch – es sei denn, man mache bei einigen aufwendig umzusetzenden Vorgaben Abstriche. Dazu gehören etwa der Nachweis der klinischen Wirksamkeit oder auch der Datenschutz. Das Bundeskabinett hat nun den Entwurf des „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (Digitale-Versorgung-Gesetz, DVG) beschlossen. Bevor es im Januar 2020 in Kraft treten kann, muss es noch den Bundestag passieren. Einer der Kernpunkte sind Änderungen und Ergänzungen im fünften Sozialgesetzbuch. Nach den neuen Paragrafen 33a und 139e sollen Krankenkassen künftig die Kosten für Gesundheits-Apps erstatten, die Patienten von Ärzten verschrieben wurden. Solche Apps müssen zuvor vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zertifiziert und in ein neues Verzeichnis für digitale Gesundheitsanwendungen aufgenommen werden. Als Grundlage für diese CE-Zertifizierung (die sich der Hersteller im Unterschied zu Haushaltsprodukten nicht einfach selbst ausstellen kann) gilt die EU-Medizinprodukteverordnung (MDR). Sie trat bereits am 25. Mai 2017 in Kraft. Allerdings gilt bis zum 26. Mai 2020 noch eine Übergangsregelung nach der älteren und nicht so rigiden Medizinprodukterichtlinie (MDD). Hersteller von Medizin-Apps stören sich vor allem an der neuen Regel 11 der MDR. Sie besagt, dass jede Software, die für diagnostische oder therapeutische Zwecke herangezogen wird, mindestens in die Risikoklasse IIa eingestuft werden soll. Bislang genügte für solche Apps oftmals die Klasse I, die deutlich geringere Anforderungen stellt und beispielsweise kein Qualitätsmanagement vorschreibt…“ Artikel von Hartmut Gieselmann vom 09.08.2019 bei c`t externer Link
  • Warnung vor Spahn-Plan – Experte: Cloud macht Patientendaten zu leichten Beute 
    „Die elektronische Patientenakte kommt und mit ihr die Gesundheitscloud. Und beide haben laut Experten erhebliche Sicherheitsmängel. (…) „Die entscheidende Frage bei der elektronischen Patientenakte ist doch, wer Befunde und Medikationspläne mitlesen oder sogar Gesundheitsdaten verändern kann“, gibt der Computerwissenschaftler Professor Hartmut Pohl von der Gesellschaft für Informatik zu bedenken. Der Sicherheitsexperte Martin Tschirsich hat eine alarmierende Antwort auf diese Frage: „Wenn das so umgesetzt wird, wie es sich abzeichnet, werden unsere medizinischen Daten überhaupt nicht sicher sein“. Tschirsich kritisiert nicht nur die im gemeinsamen Grundkonzept von Ärzten, Kassen und Ministerium vorgesehene zentrale Speicherung der Patientendaten. (…) „Viel dramatischer ist die geforderte Verfügbarkeit von Patientendaten auf Smartphones und Tablets“, urteilt Martin Tschirsich. Das sieht die Gesellschaft für Informatik genauso. „Smartphones und Tablets laufen mit Betriebssystemen, die erfahrungsgemäß von Angreifern ausnutzbare Sicherheitslücken enthalten“, warnt Sicherheitsforscher Hartmut Pohl. Für sensible Daten wie medizinische Diagnosen, Medikamentenverordnungen oder Röntgenbilder sind Mobilgeräte nach dem Urteil zahlreicher Sicherheitsexperten schlicht verboten. Doch Bundesgesundheitsminister Jens Spahn will genau das…“ Beitrag von Peter Welchering vom 5. Januar 2019 bei ZDF heute externer Link
  • All Your Gesundheitsakten Are Belong To Us. „So sicher wie beim Online-Banking“: Die elektronische Patientenakte kommt – für alle. 
    Plötzlich geht alles ganz schnell: Online-Behandlungen und elektronische Gesundheitsakten sind dieses Jahr für Millionen Krankenversicherte Wirklichkeit geworden. Zu einem hohen Preis: Bereits einfache Angriffe lassen das Sicherheitskonzept der Apps und Plattformen zusammenbrechen. Warum das so ist, welche kritischen Fehler Vivy & Co. gemacht haben und wie das möglicherweise verhindert werden kann, das soll dieser Vortrag zeigen – denn in spätestens drei Jahren sollen auch die Gesundheitsdaten aller übrigen Versicherten zentral gespeichert und online abrufbar sein. (…) Nach Jahren des Wartens geht dabei alles ganz schnell. „Diese Maßnahmen dulden keinen Aufschub“, sagt Spahn. Und macht uns alle damit zu Beta-Testern in Sachen Gesundheit. Mit fatalen Folgen: Unsere streng vertraulichen Gesundheitsdaten liegen für alle sichtbar im Netz. In diesem Vortrag zeige ich an fünf konkreten Beispielen, welche fahrlässigen Entscheidungen die Online-Plattformen und Apps der Anbieter aus dem Bereich Gesundheitsakte und Telemedizin so angreifbar machen und demonstriere, wie einfach der massenhafte Zugriff auf unsere vertraulichen Gesundheitsdaten gelang. Zur Debatte steht, was angesichts dieser neuen alten Erkenntnisse zu tun ist – und was wir besser bleiben lassen.Zusammenfassung und Audio des Vortrags von Martin Tschirsich am 27.12.2018 beim 35. Chaos Communication Congress externer Link Audio Datei
  • Datenschutzrechtliche Beurteilung des Einsatzes von mobilen Applikationen (“Apps”) in Bereich der gesetzlichen Krankenversicherungen durch das Bundesversicherungsamt 
    Das Bundesversicherungsamt (BVA) führt die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung. Es hat bereits am 20.01.2017 alle bundesunmittelbaren Sozialversicherungsträger (dazu zählen auch bundesweit tätige Krankenkassen) per E-Mail seine  datenschutzrechtliche Beurteilung des Einsatzes von mobilen Applikationen (“Apps”) zukommen lassen. Da diese Bewertung dem Großteil der ca. 70 Mio. Menschen in Deutschland, die in einer gesetzlichen Krankenkasse versichert sind, bislang nicht bekannt sein dürfte, die Erhebung, Speicherung und Verarbeitung von Gesundheits-, Bewegungs- und anderen Daten durch diese Apps aber eine hohe datenschutzrechtliche Relevanz hat, hat sich die Redaktion dieser Homepage entschieden, diese Stellungnahme hier externer Link kommentarlos zu veröffentlichen, um sie einer Bewertung durch eine kritische Öffentlichkeit  zugänglich zu machen.“ Beitrag vom 21. November 2018 bei patientenrechte-datenschutz.de externer Link
  • Prestigeprojekt mit Macken: Forscher fanden schwere Sicherheitslücken in Gesundheits-App Vivy 
    100.000 Versicherte haben eine neue Gesundheits-App heruntergeladen, um mit ihren Ärzten digital und sicher Dokumente auszutauschen. IT-Sicherheitsforscher sahen sich das Prestigeprojekt einiger Krankenkassen und der Allianz-Versicherung genauer an. Sie fanden eine große Anzahl an Lücken und Lecks, die teils auch Laien ausnutzen könnten. Auch die Verschlüsselung konnten sie umgehen. (…) Martin Tschirsich sagte netzpolitik.org, dass „der Austausch von Gesundheitsdaten anhand der Metadaten in großem Maßstab nachvollzogen werden“ konnte. Die Kommunikationspartner ließen sich identifizieren. Metadaten sind nicht trivial: Allein die Aussage darüber, wer zu welchem Zeitpunkt welchen Arzt besucht, und welchen Titel ausgetauschte Dokumente tragen, kann Schlüsse zulassen. Für das massenhafte Auslesen der Metadaten brauchten die Sicherheitsexperten keine Spezialsoftware. Die Brute-Force-Methode gehört zum Standardwerk auch laienhafter Angreifer. Technisch versierte Angreifer hätten mehr als nur Metadaten abgreifen können…“ Artikel von Leon Kaiser vom 30.10.2018 bei Netzpolitik externer Link, siehe dazu auch:

    • Gesundheits-App Vivy: Macher versuchen, Berichterstattung zu korrigieren 
      „Unsere Berichterstattung über Sicherheitslücken bei der App Vivy hat bei den Verantwortlichen zu einer harschen Reaktion geführt: Der Redaktion von netzpolitik.org werden Falschaussagen vorgeworfen. Bei einer Prüfung stellte sich allerdings heraus, dass nicht alle Angaben von Vivy der Wahrheit entsprechen. (…) Die Anmerkungen von Vivy haben wir geprüft und bei entstehenden Fragen den Forschern der Firma modzero, die die Sicherheitslücken gefunden hatten, vorgehalten. Dabei zeigt sich, dass sich die App-Hersteller gegenüber ihren eigenen schriftlichen Aussagen in Widersprüche verstricken und es mit der Wahrheit nicht allzu genau nehmen. Für ein Unternehmen, das eigentlich froh sein kann, wenn Sicherheitsforscher eine beträchtliche Anzahl gefundener Sicherheitslücken in einem von tausenden Menschen genutzten Produkt mit sehr sensiblen Daten melden, ist ein solches Verhalten irritierend. (…) Im Grunde ist der traurige Fall der Vivy-App ein Musterbeispiel dafür, wie Verantwortliche für Sicherheitslücken nicht mit IT-Vorfällen umgehen sollten. Wenn sich Profis daran machen, Sicherheitsprobleme in einem Produkt den Betroffenen zu melden, dann hätten die App-Macher in erster Linie die Verantwortung – schon gegenüber ihren Kunden – die Probleme abzustellen. Und gleichzeitig ernsthaft zu reflektieren, was man am eigenen Handeln strukturell ändern könnte, um künftig solche IT-Sicherheitsprobleme zu vermeiden. Die Fehler lieber bei den anderen zu suchen und zusätzlich den Berichterstattern unwahre Tatsachenbehauptungen vorzuwerfen, sollte vielleicht nicht die erste Prioritität sein, wenn man selbst für diese Fehler verantwortlich ist.“ Stellungnahme von Leon Kaiser vom 31. Oktober 2018 bei Netzpolitik externer Link
  • „Das ist #Spahnsinn“ – Datenschützer kritisieren die Pläne von Gesundheitsminister Spahn zur elektronischen Übertragung von Krankheitsdaten 
    Seit wenigen Tagen liegt ein Referentenentwurf des Terminservice- und Versorgungsgesetzes (TSVG) vor. Datenschützer und Patienten sind alarmiert: „Bundesgesundheitsminister Spahn will eine auf zentralen Servern liegende ‚elektronische Patientenakte‘ mit Zugriff sowohl über die Gesundheitskarte und ihre Telematikinfrastruktur, als auch über das Internet.“ erklärt Dr. Silke Lüder vom Bündnis „Stoppt die E-Card“. „Das bedeutet eine gigantische Sammlung sensibler Daten auf einem zentralen Server – für Datendiebe ein extrem attraktives Ziel mit hohem finanziellen Wert. Patienten, deren Daten dort gespeichert werden, werden quasi enteignet“, ergänzt Dr. Elke Steven, Geschäftsführerin von „Digitale Gesellschaft“. Außerdem bergen beide Zugriffswege Risiken (…) Der nun zusätzlich vorgesehene Zugang per Smartphone oder Tablet über das Internet bedeutet offene Schnittstellen in der Telematikinfrastruktur, welche aus Sicherheitsgründen als geschlossenes Netz geplant war. Damit vervielfältigt sich die Gefahr unbefugter Zugriffe auf die elektronischen Patientenakten. (…) die Patienten sollen ihre Zustimmung auch pauschal auf anderen Wegen oder nur gegenüber der Krankenkasse erklären können. Dies macht es schwer nachvollziehbar, ob tatsächlich eine Einwilligung vorliegt oder ob sie eventuell sogar widerrufen wurde. Außerdem soll eine „elektronische Arbeitsunfähigkeitsbescheinigung“ (eAU) eingeführt werden. Das bedeutet, dass alle Angaben, die bisher vom Versicherten auf Papier an die Krankenkasse geschickt wurden, künftig unter Angabe der Diagnose über eine Telematikinfrastruktur geleitet werden sollen. Der Versicherte hat so keine Möglichkeit, sich gegen diese elektronische Übertragung sensibler Daten zu entscheiden…“ Gemeinsame Pressemitteilung vom 20.8.2018 bei Patientenrechte und Datenschutz e.V. externer Link von mehreren unterstützenden Organisationen, zu denen auch LabourNet Germany gehört
  • Das ist #Spahnsinn! Datenschützer kritisieren Pläne zur elektronischen Patientenakte 
    Gesetzlich Krankenversicherte sollen ihre Patientenakte auch auf dem Handy einsehen können. Den rechtlichen Rahmen dazu will der Bundesgesundheitsminister Jens Spahn in Kürze vorlegen. Der Frankfurter Allgemeinen Zeitung  sagte er vor wenigen Tagen externer Link: „Versicherte sollen auch per Tablet und Smartphone auf ihre elektronische Patientenakte zugreifen können“. Das sei nicht das Ende der elektronischen Gesundheitskarte, aber eine zusätzliche, patientenfreundliche Option. Dr. Bernhard Scheffold, Physiker und Software-Entwickler, einer der Vorsitzenden des Vereins Patientenrechte und Datenschutz e. V., erklärt dazu: “Gesundheits- und Behandlungsdaten auch noch online zugänglich zu machen und damit für das Internet zu öffnen, wäre ein inakzeptables Sicherheitsrisiko, weil damit eine Vielzahl von Angriffs- und Zugriffsmöglichkeiten für Hacker, Geheimdienste und andere an diesen Daten interessierten Organisationen geschaffen würden.” (…) Der Verein Patientenrechte und Datenschutz e. V. bewertet den neuen Vorstoß von Minister Spahn als #Spahnsinn. Er soll davon ablenken, dass es seit mehr als 10 Jahren nicht gelungen ist, mit der elektronischen Gesundheitskarte und der Telematik-Infrastruktur im Gesundheitswesen Strukturen zu schaffen, die den Versicherten nutzen, zugleich aber auch ihre sensiblen Daten umfassend vor Zugriffen interessierter Dritter zu schützen. Die von Spahn angedachte Smartphone-Version der elektronischen Patientenakte wird lediglich die Kosten für Versicherte und ihre Krankenkassen deutlich in die Höhe treiben…“ Pressemitteilung vom 23. Juli 2018 von und bei Patientenrechte und Datenschutz e. V. externer Link
  • Marburger Bund pocht auf Datenschutz bei elektronischer Patientenakte
    Daten über die eigenen Blutwerte, Krankheiten und Medikamente auf Handy oder Tablet? Ärzte sind ein bisschen skeptisch. Angesichts von Plänen für eine elektronische Patientenakte auch auf Handys und Tablets pochen Ärzte auf Einhaltung des Datenschutzes. Eine Weitergabe von Patientendaten an Krankenkassen, Arbeitgeber und andere Dritte müsse ausgeschlossen sein, forderte der Ärzteverband Marburger Bund in einem vorliegenden Positionspapier externer Link …“ Meldung vom 23.07.2018 bei heise news externer Link
  • Digitalisierung im Gesundheitswesen: Gesundheitsminister Spahn plant eigenes Datenschutzgesetz 
    „Jens Spahn will die digitale Patientenakte schnell einführen. Doch es gibt Bedenken. Darum plant er ein Datenschutzgesetz für das Gesundheitswesen. (…) Bevor Jens Spahn Gesundheitsminister wurde, hatte er eine klare Meinung zu Bedenkenträgern bei der digitalen Medizin. „Datenschutz ist was für Gesunde“, schrieb er im Vorwort eines Buchs, das er 2016 mit zwei Ärzten veröffentlichte. Als Minister äußert sich Spahn zurückhaltender. Doch der CDU-Politiker ist weiterhin davon überzeugt, dass die Chancen der Digitalisierung im Gesundheitswesen die Risiken deutlich übersteigen. Ganz ausblenden lassen sich Datenschutzdebatten in Deutschland allerdings nicht. Diese Erfahrung macht Spahn jetzt mit seinem „Digitale-Versorgung-Gesetz“. Nach Informationen des Handelsblatts gliedert der Minister nach Vorbehalten des Justizministeriums Regelungen zur geplanten elektronischen Patientenakte aus. Sie sollen stattdessen in einem eigenen Datenschutzgesetz kommen, das Spahn nach der Sommerpause vorlegen will. (…) Welche Vorgaben zur Datensicherheit dort verankert werden sollen, blieb zunächst unklar. Im Mai war allerdings bekannt geworden, dass wichtige Datenschutzeinstellungen zum Start der elektronischen Patientenakte fehlen werden…“ Beitrag von Gregor Waschinski vom 5. Juli 2019 beim Handelsblatt online externer Link
  • Bei Spahns Patientenakte wird Datenschutz erst nachgeliefert
    „Unter dieser Überschrift meldet die Süddeutsche Zeitung am 21.05.2019: „Die elektronische Patientenakte, die von Januar 2021 an für jeden Patienten in Deutschland zur Verfügung stehen soll, wird zunächst eine entscheidende technische Einschränkung haben. Anders als geplant wird es für Patienten am Anfang nicht möglich sein auszuwählen, welche ihrer persönlichen Informationen ein Arzt, Apotheker oder Therapeut einsehen darf und welche nicht. So wird etwa ein Physiotherapeut, der Einblick in die elektronischen Daten des Orthopäden braucht, auf diese Weise zum Beispiel auch über einen Schwangerschaftsabbruch seiner Patientin informiert. Oder ein Apotheker erfährt automatisch auch von der Psychotherapie seines Kunden…“ (…) Auf der Homepage der gematik werden zwar Erfolgsmeldungen veröffentlicht, Informationen zu dem von der Süddeutschen Zeitung benannten Problem sind dort aber nicht zu finden. Stattdessen platte Sprüche. (…) Die versprochene informationelle Selbstbestimmung – „Der Patient bleibt Herr seiner Daten“ (Jens Spahn) – sieht anders aus als das, womit Herr Spahn und die gematik die Versicherten beglücken wollen. Deshalb: Finger weg von Spahns elektronischer Patientenakte! Wer solche handwerklichen Fehler bewusst in Kauf nimmt, hat jeden Anspruch auf Seriosität verloren.“ Blog von Klaus-Peter Powidatschl vom 21. Mai 2019 bei patientenrechte-datenschutz.de externer Link
Kurzlink: https://www.labournet.de/?p=132109
nach oben