Welches Unternehmen ist für die Telematik-Infrastruktur verantwortlich? Die gematik mbH? Solange das nicht geklärt ist, gehen Gesundheitsdaten in ein schwarzes Loch – das kann nicht sein.
Zur Zeit gibt es keinen datenschutzechtlich Verantwortlichen für die Telematik-Infrastruktur der Elektronischen Gesundheitskarte – so wie es die Datenschutzgrundverordnung fordert.
Mit der elektronischen Gesundheitskarte sollen hunderttausende Arzt-, Zahnarzt- und Therapeutenpraxen, Krankenhäuser, Apotheken und Krankenkassen im Gesundheitswesen vernetzt werden. Dazu dient die „Telematik-Infrastruktur“ (TI). An diesem Netzwerk, die mehrere Plattformen und Zonen umfasst, sind zahlreiche Unternehmen, Konsortien und Rechenzentren beteiligt. Unvorstellbare Mengen vertraulicher Patientendaten soll die TI nach ihrer Fertigstellung übermitteln, speichern, verarbeiten.
Über datenschutzrechtliche Vorgaben sahen die Konstrukteure des Netzwerks großzügig hinweg. Die Verarbeitung sensibler Daten in großem Umfang erforderte bereits nach dem Bundesdatenschutzgesetz eine „Vorabkontrolle“ durch die „verantwortliche Stelle“. Diese gab es jedoch nicht. Seit Inkrafttreten der europäischen Datenschutzgrundverordnung ist eine noch ausführlichere „Datenschutz-Folgenabschätzung – DSFA“ vorgeschrieben, die die Risiken und möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen bewertet. Die TI wurde jedoch ohne jegliche datenschutzrechtliche Vorab-Prüfung ausgerollt und bereits als erste Anwendung der Versichertenstammdatenabgleich in Betrieb genommen. Diesen Punkt kritisiert auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in seinem Tätigkeitsbericht 2017/18.(1)
„Wenn offensichtlich die datenschutzrechtlichen Bedingungen für die TI nicht erfüllt sind, müsste eine vorübergehende oder endgültige Beschränkung der Verarbeitung verhängt werden (Art 58 DSGVO).“ meint Dr. Elke Steven von der Digitalen Gesellschaft e.V. „Die Datenschutzfolgenabschätzung muss von einem unabhängigen, interdisziplinären Team erstellt werden, das sich um den Schutz der Grundrechte der Betroffenen kümmert.“
Für Ärzte ergäben sich handfeste Probleme, bemerkt Dr. med. Silke Lüder, Stellvertretende Bundesvorsitzende der Freien Ärzteschaft e.V.: „Wir sind ja gehalten, für unsere Praxen eine Datenschutz-Folgenabschätzung zu machen. Nur: Wie sollen wir einschätzen, welchen Risiken Patientendaten ausgesetzt sind, wenn wir sie in die Telematik-Infrastruktur übermitteln? Dafür gibt es ja gerade keine Datenschutz-Folgenabschätzung. Und angesichts der organisierten Verantwortungslosigkeit seitens der Betreiber können Ärzte nur zu dem Schluss kommen, ihre Praxen nicht anschließen zu lassen.“
Gesundheitsminister Spahn will nun mit der Brechstange alle grundsätzlichen Bedenken und Probleme aus dem Weg räumen. Mit dem vom Kabinett verabschiedeten „Digitale Versorgungs-Gesetz“, über das im Herbst das Parlament entscheiden muss, wird Wirtschaftsförderung auf Kosten der Versicherten betrieben. Auch daran ist Kritik notwendig.
In Bezug auf die Verantwortlichkeit für die TI fordern die Datenschutz-Organisationen:
- Feststellung der datenschutzrechtlich verantwortlichen Stelle für die TI zwecks Benennung eines Datenschutzbeauftragten und Durchführung einer Datenschutz-Folgenabschätzung
- Erstellung einer Datenschutzfolgenabschätzung für die TI und jede ihrer Anwendungen
- Der Bericht dieses Datenschutzbeauftragten sollte veröffentlicht werden.
- Aufhebung von Sanktionen gegen Ärzte, die ihre Praxen aufgrund von Datenschutzbedenken nicht an die TI angeschlossen haben
- klare Haftungsregelungen zur Entschädigung Betroffener, deren Daten aus der TI oder (unter Ausnutzung der TI) aus den angeschlossenen „Primärsystemen“ der Ärzte, Apotheken und Krankenhäusern entwendet wurden
- Solange die Voraussetzungen für einen rechtskonformen Betrieb nicht vorliegen, darf die TI nicht betrieben werden.
(1) https://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/27TB_17_18.html (S.59)
Unterstützende Organisationen:
Die Aktion „Stoppt die e-Card“ ist ein breites Bündnis von mehr als 50 Bürgerrechtsorganisationen, Datenschützern, Patienten und Ärzteverbänden. Die Bündnispartner sehen in der elektronischen Gesundheitskarte eine Gefahr für die ärztliche Schweigepflicht, die informationelle Selbstbestimmung der Bürger und für eine gute medizinische Versorgung. Das Bündnis ist seit 2007 aktiv.
Die Digitale Gesellschaft e.V. ist ein gemeinnütziger Verein, der sich seit seiner Gründung im Jahr 2010 für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt. Zum Erhalt und zur Fortentwicklung einer offenen digitalen Gesellschaft engagiert sich der Verein gegen den Rückbau von Freiheitsrechten im Netz und für die Realisierung digitaler Potentiale bei Wissenszugang, Transparenz, Partizipation und kreativer Entfaltung.
Die Freie Ärzteschaft e. V. (FÄ) ist ein Verband, der den Arztberuf als freien Beruf vertritt. Er wurde 2004 gegründet und zählt mehr als 2.000 Mitglieder: vorwiegend niedergelassene Haus- und Fachärzte sowie verschiedene Ärztenetze. Vorsitzender des Bundesverbandes ist Wieland Dietrich, Dermatologe in Essen. Ziel der FÄ ist eine unabhängige Medizin, bei der Patient und Arzt im Mittelpunkt stehen und die ärztliche Schweigepflicht gewahrt bleibt.
LabourNet Germany: Treffpunkt für Ungehorsame, mit und ohne Job, basisnah, gesellschaftskritisch
Der Verein Patientenrechte und Datenschutz e.V. ist ein Zusammenschluss von Versicherten der gesetzlichen Krankenkassen, der sich für die Wahrung der Patientenrechte im Zeitalter der Digitalisierung einsetzt. Dazu analysieren wir die Risiken, die sich aus der elektronischen Gesundheitskarte in Verbindung mit der geplanten digitalen Vernetzung im Gesundheitswesen (sog. „Telematikinfrastruktur“) sowie anderen Formen der Verarbeitung und Verwendung sensibler Patientendaten ergeben. Hieraus entwickeln wir Ansätze zur Minimierung dieser Risiken.
dieDatenschützer Rhein Main – eine lokale Gruppe des Arbeitskreis Vorratsdatenspeicherung und Partner der Aktion: Stoppt die e-Card!. Die aktuellen Arbeitsschwerpunkte sind u. a. die unzulässige Videoüberwachung des öffentlichen Raums; die elektronische Gesundheitskarte (eGK) und die Digitalisierung des Gesundheitswesens, der Sozialdatenschutz, z.B. bei Job-Centern und die Überwachung durch Geheimdienste und andere staatliche Stellen.