Pressemitteilung des Bundesdatenschützers:

Elektronische Patientenakte

verstößt gegen europäische Datenschutzregeln

Datum 19.08.2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber weist auf die Folgen einer europarechtswidrigen Verarbeitung personenbezogener Gesundheitsdaten als Folge des Patientendaten-Schutz-Gesetzes (PDSG) hin: Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte. Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte (ePA) ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO).

Der BfDI hat in seinen Stellungnahmen während des Gesetzgebungsverfahrens mehrfach darauf hingewiesen, dass Patientinnen und Patienten bei Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen. Hier weist das vom Deutschen Bundestag beschlossene PDSG, das derzeit im Bundesrat beraten wird, Defizite auf: Gesundheitsdaten offenbaren intimste Informationen über die Bürgerinnen und Bürger. Deswegen sind sie in der europaweit geltenden DSGVO auch besonders geschützt. Sollte das PDSG unverändert beschlossen werden, muss ich die meiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde. Außerdem bereite ich in diesem Zusammenhang weitere Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen. Nach der DSGVO stehen mir dazu neben Anweisungen auch Untersagungen zur Verfügung.

Das PDSG sieht nur für Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA vor, nämlich eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können. Und selbst diese Möglichkeit soll es erst ein Jahr nach Einführung der ePA geben. Das bedeutet, dass 2021 keine Steuerung auf Dokumentenebene vorgesehen ist. Die Nutzerinnen und Nutzer werden in Bezug auf die von den Leistungserbringern in der ePA gespeicherten Daten zu einem „Alles oder Nichts“ gezwungen. Jede Person, der die Versicherten Einsicht in diese Daten gewähren, kann alle dort enthaltenen Informationen einsehen. Beispielsweise könnte der behandelnde Zahnarzt alle Befunde des konsultierten Psychiaters sehen.

Dass es die für den Start der ePA am 1.1.2021 maßgebenden Spezifikationen den Krankenkassen nicht ermöglichen, ihren Versicherten über die gesetzlichen Vorgaben hinausgehend einen sogenannten feingranularen Zugriff auf die von den Leistungserbringern gespeicherten Inhalte der ePA zu gewähren, sieht der Bundesbeauftragte mit Unverständnis: Digitalisierung kann niemals Selbstzweck sein. Der Schutz der Versicherten und ihrer Gesundheitsdaten muss immer im Vordergrund stehen.

Darüber hinaus ist im PDSG für die Menschen, die das so genannte Frontend auf Handy oder Tablet nicht nutzen können oder wollen, keine eigenständige Einsicht in die ePA und auch keine Prüfung von erfolgten Zugriffen auf die Daten geregelt. Ab 2022 soll alternativ für diese Frontend-Nicht-Nutzenden eine vertretende Person die Steuerung und Einsicht vornehmen können, der die Versicherten dann aber volle Kontrolle über ihre Daten einräumen müssten.

Der BfDI stellt sich entschieden gegen diese Ungleichbehandlung beim Grundrecht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung: Die ePA ist ein wichtiger Schritt zu weiteren Verbesserungen in der Gesundheitsversorgung. Die dabei anfallenden Gesundheitsdaten benötigen ein Datenschutzniveau, wie es die DSGVO vorschreibt und wie es seit Jahren in Deutschland für die ePA fest vereinbart war. Das PDSG in seiner aktuellen Form wird dem nicht ausreichend gerecht. Als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenkassen werde ich deshalb mit den mir zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass diese Krankenkassen mit der von ihnen angebotenen ePA nicht gegen europäisches Recht verstoßen.

Ein weiterer Kritikpunkt ist das Authentifizierungsverfahren für die ePA, mit dem sich Versicherte per Frontend anmelden. Dieses ist bisher aus Datenschutzsicht nicht ausreichend sicher und entspricht nicht den Vorgaben der DSGVO. Der BfDI bereitet entsprechende Warnungen und Weisungen vor, damit die Krankenkassen nur nach Nutzung eines nach Stand der Technik hochsicheren Authentifizierungsverfahrens Zugriffe auf Gesundheitsdaten erlauben. Dies gilt insbesondere für Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte (so genannte alternative Authentifizierungen), für die eine gewährte Übergangsfrist im Mai 2021 abläuft.

Der BfDI ist zuständig für 65 gesetzliche Krankenkassen. Eine Liste der betroffenen Krankenkassen ist auf der Internetseite des BfDI abrufbar.

 


BVerfG prüft Spahns's Gesundheitsdaten-Zugriffe

Das BVerfG hatte am 19. März 2020 einen Eilantrag eines GKV-Versicherten gegen die Auswertung von seiner Versicherungsdaten abgelehnt. Begründet wurde die Entscheidung damit, dass das Verfahren schwierige  Fragen aufwerfe, über die im Eilverfahren inhaltlich nicht entschieden werden könne. Das BVerfG hält die Argumente des Klägers aber für so gewichtig, dass es sie nun im Rahmen einer Verfassungsbeschwerde prüfen will.

Auch der Bundesdatenschützer hatte gegen mehrere Regelungungen zur zentralisierten Erhebung und Speicherung von Patientengeheimnissen Protest eingelegt. Die Bundesregierung hat das nicht beeindruckt und der Bundestag hat den Gesetzen des Ex-Pharma-Lobbyisten Spahn mehrheitlich zugestimmt, die eine Aufweichung der Arzt- und  Patientengeheimnisse vorsehen. Pressemitteilung des BVerfG

Foto: Rainer Lück 1RL.de / CC BY-SA 3.0 DE                                Karlsruhe, den 30.4.2020


Das neue Gold der Pharmaindustrie:

 individuelle Gesundheitsdaten! 

Der derzeitige Gesundheitsminister Spahn handelt, als wäre er immer noch Lobbyist der datenhungrigen Pharmamanager (siehe unten).

Jetzt schlagen er und sein Berater Drosten vor,  ein Kontakt-Tracking per App gesetzlich  zu erlauben.

Spahn will weitere individuelle Daten sammeln. So mit der Corona-App, mit der man zum Beispiel sehen kann, wer mit wem vieviel Stationen in der S-Bahn gefahren ist .Wozu soll das gut sein?

Für die Seuchenbekämpfung?

Das wäre völliger Unsinn!

 

Links die Aussagen zu einer teuren Insidertagung beim Euroforum/Handelsblatt)

Keine zentralisierte Sammlung und Speicherung

von Patienten- und Arztgeheimnissen!

Beschlussvorlage für Patienten- und Ärzteorganisationen und andere auf dem Boden unseres Grundgesetzes Stehende.

 

Wir..................... kritisieren die Versuche des Bundesgesetzgebers, durch mehrere Gesetze die Sammlung und zentralisierte Speicherung von Patienten- bzw. Arztgeheimnissen zu legitimieren.

Ärztinnen und Ärzte werden durch mehrere kurz nacheinander vom Bundesgesundheitsminister eingebrachte Regelungen verpflichtet, ihre ärztliche Schweigepflicht zu mißachten.

Sie werden damit genötigt, gegen grundgesetzlich in Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs.1 garantierte Persönlichkeitsrechte zu verstoßen und die ihnen anvertrauten, sehr persönlichen Daten dem privaten Missbrauch auszusetzten.

 

Deshalb fordern wir von allen Verantwortungsträgern in Parlamenten und Regierungen, sich unverzüglich für eine Normenkontrolle entsprechend der durch unsere Verfassung gegebenen Möglichkeiten einzusetzen.

Gesundheitsdaten im Internet sind nicht sicher, nicht rückholbar und können wirtschaftlich und politisch leicht missbraucht werden.

 

 

Hintergrund:

Ärzte und in Praxen und Kliniken Beschäftigte im Gesundheitswesen haben gelernt, die Geheimnisse ihrer Patientinnen und Patienten zu schützen. Nur deswegen können sich diese zurecht anvertrauen. Wer seine Schweigepflicht bricht, kann sogar strafrechtlich belangt werden, denn wer Hilfe in Anspruch nimmt, braucht den besonderen Schutz seiner Privatsphäre. Aus dem Bundesgesundheitsministerium kommen in den letzten Jahren in rascher Folge Gesetze zur Abstimmung, die erzwingen, dass Arzt- und Patientengeheimnisse über die Gematik weiteren Institutionen mit privaten Primärinteressen und den durch Wettbewerb mit Sekundärinteressen belasteten Krankenkassen anvertraut werden müssen.

 

Beispielhaft für derart legitimiertes Sammeln von Arzt- bzw. Patientengeheimnissen seien genannt:

  • Einsatz von Apps zum Sammeln von Versichertendaten auf Kassenkosten (DVG)
  • elektronische Arbeitsunfähigkeitsbescheinigung (TSVG)
  • Elektronisches Rezept (GSAV)
  • elektronische Heil- und Hilfsmittelverordnung (DVG)
  • Vollständige individuelle Krankheitsdaten für den Morbi-RSA (GKV-FKG)
  • Elektronische Patientenakte (DVG+ PDSG)
  • Zugriff auf Krankenakten möglicher Organspender (GZSO)
  • Patientendaten bei Implantat-Anwendungen (EIRD)
  • zentralisierte Impfdatensammlung (§13, Abs. 5, IFSG ab 1.3.2020)
  • Immunitätsnachweis (IFSG)
  • zentralisiertes Melderegister für übertragbare Krankheiten (IFSG und Gesetz zur Modernisierung der epidemiologischen Überwachung übertragbarer Krankheiten  )
  • Infektionsschutz als Rechtfertigung für Totalüberwachung (
  • Tracking App

 

Die Schlagwörter „Digitalisierung“ und „technischer Fortschritt“ werden benutzt, um einen möglichst schnellen Zugriff auf Arzt- und Patientengeheimnisse zu legitimieren. Dieses geschieht, obwohl uns immer wieder vor Augen geführt wurde, wie lückenhaft der Datenschutz ist. Auch steht fest, dass eine nachhaltige Pseudo- oder Anonymisierung bei zentralisierter Datenhaltung unmöglich ist. (z.B. ESV Prof. Dr. Dominique Schröder bei der Anhörung zum DSV, Protokoll S. 17 und Vorträge beim letzten CCC-Kongress)

 

Es sind aber nicht nur die inzwischen bekannte Unsicherheit der derzeit verwendeten Technologien und das bestehende Chaos von Verantwortlichkeiten, welche das In-Kraft-Setzen dieser Gesetze unverantwortbar machen.

 

Vielmehr fehlt auch jeder gesundheitsrelevante Nutzen-Nachweis. Die Diskussion beim IQWIG und Veröffentlichungen aus den Reihen der wissenschaftlichen Vertreter evidenzbasierter Medizin geben hierfür überzeugende Belege (z.B. G. Antes, Deutsche Cochrane). Ein großer Nutzen wird lediglich immer wieder von vielen primär wirtschaftlich motivierten Organisationen und den ihnen verbundenen Autoren vorgetragen.

 

Der Zweck dieser Zugriffe auf persönliche Daten und der mögliche Nutzen für die Betroffenen werden durchgehend nicht konkret, sondern nur sehr allgemein dargestellt. Als potenzielle Datennutzer werden im DVG-Gesetzentwurf zum Beispiel Behörden, Einrichtungen der Selbstverwaltung, Forschungseinrichtungen oder Universitätskliniken genannt. Dass die Industrie keinen Zugriff habe, ist eine verharmlosende Behauptung, sind doch viele Forschungsvorhaben im Gesundheitsbereich industriefinanziert oder werden dort ausgewertet. Dabei wird aus dem erklärten Datenhunger großer Unternehmen mit ihren vielfältigen und gigantischen Technologien zur Datenanalyse bei Kongressen, Insider- Zusammenkünften und Fachveröffentlichungen dort kein Hehl gemacht.

 

Zudem wurden unkritische Teile der Ärzteschaft, wie auch die gesetzlichen Krankenkassen mit Vorteilen für deren Privat- bzw. Wettbewerbsinteressen geködert.

 

Krankenkassen verwerten ihre vielfältigen Daten bereits jetzt, um ihre wirtschaftliche Position im Kassenwettbewerb zu optimieren. Big Data würden vielen Krankenversicherungen z.B. zur Risiko-Stratifizierung und für noch gezieltere Positionierung auf dem „Versicherungsmarkt“ nutzen können. Das bedeutet Rosinenpicken, Diskriminierung „schlechter“ Risiken und fördert die Spaltung unserer Gesellschaft.

 

Durch den wenig transparenten Vertragswettbewerb der Kassen mit Pharmaunternehmen und Leistungserbringern ergeben sich weitere, für eine bedarfsgerechte Versorgung nachteilige Absprachemöglichkeiten zulasten von bestimmten Patientenpopulationen und zulasten des Gemeinwohls.

 

Die hierdurch bestehenden Risiken für den Schutz der Persönlichkeit (Art. 2 GG) und damit auch für neue Angriffe auf die Menschenwürde sind offensichtlich. Angesichts der bisherigen streng an der Verfassung ausgerichteten Praxis im Datenschutzrecht ist diese Gesetzgebung ein grundrechtlicher Erdrutsch.

 

Außerdem muss angesichts dieser aufeinander abgestimmten und von Lobbyisten medial verharmlosten Zugriffe nach Interessenkonflikten bei deren Initiatoren gefragt werden dürfen.

 

Der amtierende Bundesgesundheitsminister, der schon als MdB im Gesundheitsausschuss Anteile an einem auf die Gesundheitswirtschaft spezialisierten Lobby-Unternehmen besaß, hat sich im TSVG bereits die Macht über die technische Ausgestaltung der digitalen „Datenautobahn“ durch seine Stimmenmehrheit in der Gematik gesichert. Er hat sodann mit Herrn Leyck-Dieken einen ehemaligen Top-Manager der Pharmaindustrie dort zum Chef berufen.

 

Dieser hat als eine seiner ersten Amtshandlungen der skeptischen Ärzteschaft per offiziellem Schreiben mitgeteilt, dass diese weder zivilrechtliche noch strafrechtliche Konsequenzen zu befürchten hätten, wenn sie sich an die besagten neuen Gesetze halten würden. Zur Erinnerung: Auch die Ärzte, welche früher in Deutschland die Diagnosen ihrer psychisch kranken Patienten meldeten, handelten gesetzeskonform!

 

Die rasch aufeinander folgenden, vielfältigen und technisch-fachlich komplexen gesetzgeberische Zugriffe auf unsere Persönlichkeitsrechte haben große Teile der Öffentlichkeit, der Ärzteschaft und der Opposition offensichtlich überfordert.

Die seuchenhygienisch begründeten Überwachungs- und Zwangsmaßnahmen im Rahmen einer Angstkampagne zu Covid-19 boten einen weiteren Vorwand, immunologische Befunde und Kontaktdaten flächendeckend erfassen zu dürfen. Die Bedenken des Bundesdatenschutzbeauftragten wurden jeweils weitestgehend ignoriert.

 

In der wachsamen Ärzteschaft, in Patientenorganisationen und bei verantwortungsbewussten Datenschützern wächst der Widerstand gegen diese Übergriffe auf Persönlichkeitsrechte.


Patientendaten sind besonders schutzwürdig
Nach Artikel 4 Nr. 15 der Datenschutzgrundverordnung (DSGVO) sind Gesundheitsdaten "personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen."
Sie gehören, wie  biometrische und genetische Daten, zur Kategorie personenbezogener Daten nach Artikel 9 DSGVO, die einer besonderen Schutzbedürftigkeit unterliegen.
Gesundheitsdaten sind keine Schufa-Daten, sie können auch nach Jahren noch relevant sein und benötigen daher auch langfristig einen stärkeren Schutz.
nachträgliche Bemerkung 16.9.2020
Deshalb habe ich bereits im Herbst 2018 in einem offenen Brief den mir persönlich bekannten Bundespräsidenten gebeten, diese Gesetze, die zu einer faktischen Aufhebung der ärztlichen Schweigepflicht führen und die jetzt vom Bundesdatenschützer heftig kritisiert werden, nicht zu unterzeichnen und somit ihr In-Kraft-Treten zu verhindern.
Der Text des Briefes an Fank-Walter Steinmeier ist hier noch einmal abgedruckt:

 Berlin, den 8.11.2018

 

Sehr geehrter Herr Bundespräsident,


als Ärzte und als in Praxen und Kliniken Beschäftigte im Gesundheitswesen haben wir gelernt, die
Geheimnisse unserer Patienten zu schützen.
Nur deswegen können sich diese uns zurecht anvertrauen.
Wenn wir unsere Schweigepflicht brechen, können wir dafür ins Gefängnis kommen, denn wer sich
hilfesuchend an uns wendet, der braucht den besonderen Schutz seiner Privatsphäre.


Selten waren Sorgen um unser gemeinsames höchstes Gut - die Würde des Menschen und die
grundgesetzlich garantierten Persönlichkeitsrechte – so berechtigt wie in den letzten Monaten.
Seit Amtsantritt des derzeitigen Gesundheitsministers kommen aus seinem Hause in rascher Folge
Gesetze zur Abstimmung durch die Legislative, in denen die Persönlichkeitsrechte von Patienten
und Versicherten im wahrsten Sinne des Wortes zu Markte getragen werden.


Es fällt auf, das unter dem Begriff „Digitalisierung“ in mehreren Gesetzen der Zugriff auf
Patientendaten und Gesundheitsdaten für eine zentralisierte Datenspeicherung und -verarbeitung
legitimiert werden soll. Dieses geschieht, obwohl uns international vielfach die starke Lückenhaftigkeit des Datenschutzes einerseits und der erklärte Datenhunger großer Konzerne mit ihren vielfältigen und gigantischen Technologien zur Datenanalyse andererseits immer wieder vor Augen geführt wurden.
Die hierdurch bestehenden Risiken für den Schutz der Persönlichkeit (Art. 2 GG) und damit auch
für neue Angriffe auf die Menschenwürde sind unschwer erkennbar.


Beispielhaft für legitimiertes Datensammeln seien genannt:
• Apps zum Sammeln von Gesundheitsdaten auf Kassenkosten (DVG)
• elektronische Arbeitsunfähigkeitsbescheinigung (TSVG)
• Elektronisches Rezept (GSAV)
• elektronische Heil- und Hilfsmittelverordnung (DVG)
• Vollständige individuelle Krankheitsdaten für den Morbi-RSA (GKV-FKG)
• Elektronische Patientenakte (DVG+ “eigenes Datenschutzgesetz“)
• Zugriff auf Krankenakten möglicher Organspender (GZSO)
• Patientendaten bei Implantat-Anwendungen (EIRD)
• Beginn einer zentralisierten Impfdatensammlung (Masernschutzgesetz)


Der Zweck dieser Zugriffe auf persönliche Daten und der mögliche Nutzen für die Betroffenen
werden durchgehend nicht konkret, sondern nur sehr allgemein dargestellt.
Als potenzielle Datennutzer werden im DVG-Gesetzentwurf zum Beispiel Behörden, Einrichtungen
der Selbstverwaltung, Forschungseinrichtungen oder Universitätskliniken genannt.
Dass die Industrie keinen Zugriff habe, ist eine plumpe Schutzbehauptung, sind doch die meisten
Forschungsvorhaben im Gesundheitsbereich industriefinanziert und werden dort ausgewertet.

Auch die Krankenkassen verwerten die ihre vielfältigen Daten bereits jetzt vor allem, um ihre
wirtschaftliche Position im Kassenwettbewerb zu optimieren.
Durch direkte Verträge einzelner Kassen mit Pharmaunternehmen und Leistungserbringern
ergeben sich weitere für eine bedarfsgerechte Versorgung nachteilige Absprachemöglichkeiten
zulasten von bestimmten Patientenpopulationen und zulasten des Gemeinwohls.

Angesichts der bisherigen streng an der Verfassung ausgerichteten Praxis im Datenschutzrecht ist
diese Gesetzgebung ein Staatsstreich.


Schwerwiegende Interessenkonflikte sind offensichtlich: Der amtierende Gesundheitsminister hat
sich im TSVG bereits die Macht über die technische Ausgestaltung der digitalen „Datenautobahn“
durch seine Stimmenmehrheit in der Gematik gesichert. Er hat sodann mit Leyck-Dieken einen ehemaligen Top-Manager der Pharmaindustrie dort zum Chef berufen. Dieser hat als eine der ersten
Amtshandlungen der skeptischen Ärzteschaft per offiziellem Schreiben mitgeteilt, dass diese weder
zivilrechtliche noch strafrechtliche Konsequenzen zu befürchten hätten, wenn sie sich an die
besagten neuen Gesetze halten würden.
Zur Erinnerung: Auch die Ärzte, die ihre psychisch kranken Patienten der NSVernichtungsmaschine
preisgaben, handelten gesetzeskonform!


Dieser massive gesetzgeberische Angriff auf die Prinzipien des Persönlichkeitsrechts
überrumpelt die Öffentlichkeit, die Ärzteschaft und die Opposition nahezu vollständig. Die Fristen
für Stellungnahmen sind zu kurz. Selbst eine Normenkontrollklage ist bisher nicht in Aussicht.
Es geht offenbar im Gesundheitsmarkt schon lange nicht mehr darum, was kranke Menschen
wirklich benötigen, sondern um das, was man ihnen verkaufen kann.


Spahn versucht durch partikuläre Vorteilsofferten die Ärzteschaft und die gesetzlichen
Krankenkassen auf seine Seite zu ziehen. Die Lobby-Gesetze werden auch deshalb nicht zu mehr
Gesundheit, sondern zu höheren Beiträgen für alle Versicherten führen.
In der wachsamen Ärzteschaft wächst der Widerstand gegen diesen Angriff auf
Persönlichkeitsrechte. Wir hoffen, Sie als Hüter der Verfassungsmäßigkeit unserer Gesetzgebung
für die anstehenden Konflikte weiter sensibilisiert zu haben und werden diesen Prozess weiter
kritisch begleiten.


Hochachtungsvoll,


Wolfgang Wodarg