20190823 "Gesundheitsnetz" als verantwortungsfreie Zone

23.08.2019 "Gesundheitsnetz" als verantwortungsfreie Zone
Sorry, most articles are not available in English yet

Wer ist datenschutzrechtlich Verantwortlicher für die Telematik-Infrastruktur für die eGK?

"Das ist #Spahnsinn" mussten wir vor einem Jahr feststellen, als Minister Spahn den Referentenentwurf des Terminservice- und Versorgungsgesetzes (TSVG) vorstellte. Datenschützer und Patienten waren alarmiert: "Bundesgesundheitsminister Spahn will eine auf zentralen Servern liegende ‚elektronische Patientenakte‘ mit Zugriff sowohl über die Elektronische Gesundheitskarte (eGK) als auch über das Internet. Wir sahen darin eine gigantische Sammlung sensibler Daten auf einem zentralen Server - für Datendiebe ein extrem attraktives Ziel.

Die Datenschützer Rhein-Main weisen nun darauf hin, dass diese Pläne nun 1:1 Realität werden sollen. An diesem Netzwerk, das mehrere Plattformen und Zonen umfasst, sind zahlreiche Unternehmen, Konsortien und Rechenzentren beteiligt. Unvorstellbare Mengen vertraulicher Patientendaten soll die Telematik-Infrastruktur (TI) nach ihrer Fertigstellung übermitteln, speichern, verarbeiten.

Nach der DSGVO gehört zu jeder Verarbeitung von personenbezogenen - und hier auch noch äußerst sensiblen - Daten eine "verantwortliche Stelle". Diese müsste selbst nach dem alten BDSG eine "Vorabkontrolle" durchführen lassen. Die TI wurde jedoch ohne jegliche datenschutzrechtliche Vorab-Prüfung ausgerollt und bereits als erste Anwendung der Versichertenstammdatenabgleich in Betrieb genommen. Diesen Punkt kritisiert auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in seinem Tätigkeitsbericht 2017/18 (dort S. 59).

Wer ist die "verantwortliche Stelle"?

Scheinbar ist bis jetzt noch nicht einmal geklärt, wer die datenschutzrechtliche Stelle für die TI eigentlich ist. Ist es die gematik mbH?

Damit beginnen die Probleme für die Ärzte in der Bundesrepublik. Dr. med. Silke Lüder, Stellvertretende Bundesvorsitzende der Freien Ärzteschaft e.V. stellt fest: „Wir sind ja gehalten, für unsere Praxen eine Datenschutz-Folgenabschätzung zu machen. Nur: Wie sollen wir einschätzen, welchen Risiken Patientendaten ausgesetzt sind, wenn wir sie in die Telematik-Infrastruktur übermitteln? Dafür gibt es ja gerade keine Datenschutz-Folgenabschätzung. Und angesichts der organisierten Verantwortungslosigkeit seitens der Betreiber können Ärzte nur zu dem Schluss kommen, ihre Praxen nicht anschließen zu lassen.“

Deshalb fordern fordern Datenschutz-Organisationen:

Feststellung der datenschutzrechtlich verantwortlichen Stelle für die TI zwecks Benennung eines Datenschutzbeauftragten und Durchführung einer Datenschutz-Folgenabschätzung
Erstellung einer Datenschutzfolgenabschätzung für die TI und jede ihrer Anwendungen
Der Bericht dieses Datenschutzbeauftragten sollte veröffentlicht werden.
Aufhebung von Sanktionen gegen Ärzte, die ihre Praxen aufgrund von Datenschutzbedenken nicht an die TI angeschlossen haben
Klare Haftungsregelungen zur Entschädigung Betroffener, deren Daten aus der TI oder (unter Ausnutzung der TI) aus den angeschlossenen „Primärsystemen“ der Ärzte, Apotheken und Krankenhäusern entwendet wurden
Solange die Voraussetzungen für einen rechtskonformen Betrieb nicht vorliegen, darf die TI nicht betrieben werden.

Diese Forderungen werden getragen von
Aktion „Stoppt die e-Card“, Digitale Gesellschaft e.V., Freie Ärzteschaft e. V. (FÄ), Patientenrechte und Datenschutz e.V., dieDatenschützer Rhein Main

Mehr dazu bei https://ddrm.de/spahns-gesundheitsnetz-als-verantwortungsfreie-zone/