DSGVO ..... und andere lustige Sachen

Ich habe mich auch schon gefragt wie ich da rauf kommen soll

Die können ja wenigstens ne Leiter danebenstellen - ich hab mich voll abgequält

Und als ich oben draufstand stand da "TILT" auf dem Display und alle glotzen mich doof an

Die wußten bestimmt das die Waage kaputt war und haben mich trotzdem da hochklettern lassen

------------------------------------------------------------------------------

Und neulich beim Hausarzt haben die Sprechstundentussies mich doch tatsächlich bei meinem Namen aufgerufen

Ein Frechheit mich mit meinem echten Namen anzusprechen

Es wird Zeit das wir ab sofort den Neugeborenen Nummern statt Namen geben - um zukünftige Datenschutzverstöße von vornherein auszuschließen

Zitat von PHOENIX

Ich habe mich auch schon gefragt wie ich da rauf kommen soll

Die können ja wenigstens ne Leiter danebenstellen - ich hab mich voll abgequält

Das ist ja ungeheuerlich. Haste dich wenigstens bei der Marktleitung beschwert?

Es gibt tatsächlich 2,3 Ärzte in meinem Kundenstamm die Nummern vergeben und danach aufrufen...

Zitat von Sharky

Haste dich wenigstens bei der Marktleitung beschwert?

Ich WOLLTE das zumindest tun aber die ham mich einfach rausgeworfen. Sicher dachten die das ICH die Waage kaputt gemacht habe. Einer von denen die mich entsorgten hatte eine weiße Jacke unterm Arm wo die Ärmel-Enden noch zusammengenäht waren - daran kann ich mich noch gut erinnern. Der war mit seiner Schneiderausbildung bestimmt noch nicht fertig.

Zitat von Sharky

die Nummern vergeben und danach aufrufen

Ist es WIRKLICH schon so weit  

Dann ist das Ende schon sehr nah...

Damit nicht jeder der Werbung zustimmen muss...

Und auf zwei Beiträge verteilt, da mehr als 10000 Zeichen

Und warten muss man auch noch nach dem ersten Beitrag, bis man wieder schreiben darf.

Warum ist das Leben immer so schwer...

Geplante Massenspeicherung der Gesundheitsdaten: Widerspruch ist zwecklos

Die Pläne für einen Europäischen Gesundheitsdatenraum gehen zu weit, erklärt der bayerische Landesdatenschutzbeauftragte Thomas Petri im Interview.

In Zukunft sollen die Daten von 73 Millionen gesetzlich Versicherten aus Deutschland in einen gemeinsamen europäischen Gesundheitsdatenraum abfließen. Was es damit auf sich hat und wie der aktuelle Stand ist, erklärt der bayerische Landesdatenschutzbeauftragte Professor Thomas Petri im Interview.

heise online: Was erhofft sich die EU-Kommission mit einem Datenraum für Gesundheitsdaten?

Thomas Petri: Die EU-Kommission will die Nutzung und den Austausch der Gesundheitsdaten verbessern und effektiver gestalten. Man hofft, dass Europa damit wieder konkurrenzfähig zu den USA und Asien wird. Daher will man branchenspezifische Datenräume etwa für Mobilitäts- und Gesundheitsdaten schaffen. Dazu sollen jeweils eigene Regeln geschaffen und Mechanismen etabliert werden. Datenbesitzer sollen dann ihre Daten anderen, die diese Daten gebrauchen können, zur Verfügung stellen müssen. Die erste konkreten Regelungen liegen nun für den Europäischen Gesundheitsdatenraum vor.

Wie soll das geregelt werden und wie soll das funktionieren?

Petri: Der erste Bereich betrifft die sogenannte Primärnutzung von Gesundheitsdaten. Wenn ich jetzt beispielsweise als Patient in eine Klinik in Brüssel eingeliefert werde, soll diese Klinik über eine Kommunikationsinfrastruktur auf Daten zugreifen, die in Münchner Kliniken zum Abruf bereitgehalten werden. Dabei geht es um Schaffung von Interoperabilität und einer Infrastruktur, über die man solche Daten abrufen kann. Oder dass der Gesundheitsdienstleister A die Daten vom Gesundheitsdienstleister B bekommen kann.

Dazu müssen diese Daten, Formate und Anwendungen in gewisser Weise standardisiert sein. Man kann also jetzt nicht jegliche Daten verwenden, sondern es werden Kategorien gebildet, zum Beispiel elektronische Patientenakten, bildgebendes Material, Laborbefunde oder Verschreibungen.

Wie sieht das aus Patientensicht aus: Müssen sie die Daten freigeben?

Es ist vorgesehen, dass der Patient, falls er einen Datenzugriff nicht möchte, intervenieren kann. Man kann die Nutzung seiner Gesundheitsdaten im Bereich der Primärnutzung einschränken. Es ist allerdings etwas unklar, was das bedeutet im Hinblick auf Haftungstatbestände und auf Mehrkosten, die durch einen Widerspruch entstehen. Unter Umständen müssten schließlich Untersuchungen neu gemacht werden, die die Kommission durch den Datenraum ja gerade einsparen will.

Sollen etwaige Mehrkosten bei einem Widerspruch auf den abgewälzt werden, der sein Grundrecht auf informationelle Selbstbestimmung wahrnimmt?

Das könnte möglich sein. Also, wenn jetzt jemand – aus Sicht der Kommission – eine Extrawurst braten will und die Datennutzung einschränkt, muss dieser möglicherweise dafür dann auch diese Mehrkosten tragen. So lese ich den Kommissionsentwurf. Dazu gibt es einen Vorschlag, der diese Überlegungen anstellt.

Das wäre ja etwas ganz Neues – war der Widerspruch nicht bisher ein Recht, das man umstandslos in Anspruch nehmen konnte?

Das ganze Konzept ist auf Nutzung ausgerichtet: Die Daten sollen möglichst schnell von allen bei Bedarf genutzt werden können. Bei der Sekundärnutzung geht es zum Beispiel um Daten, die dem öffentlichen Gesundheitsdienst nützen, um die Entwicklung von Medizinprodukten und Gesundheitsdienstleistungen. Vereinfacht gesagt: Jeder, der was potenziell mit Gesundheit zu tun hat und ein halbwegs legitimes Interesse an der Verarbeitung von Gesundheitsdaten reklamieren kann, wird die Daten erhalten.

Wie sieht es mit Einschränkungen aus?

Es gibt einige Verbote, die missbräuchliches Verhalten verhindern sollen. So darf man etwa Gesundheitsdaten nicht bewusst dazu verwenden, um Patienten zu schaden. Man darf sie auch nicht rein zu Werbezwecken verwenden. Außerdem gibt es einen Katalog, der festlegt, wer die Daten bereitstellen soll. Er ist wesentlich größer als im Bereich der Primärnutzung.

Wer soll die Daten liefern?

Das sind die Dateninhaber, also Kliniken, Forschungseinrichtungen, Medizinprodukte-Hersteller und letztlich alle, die große Sammlungen von Gesundheitsdaten haben – ausgenommen sind nur Kleinstunternehmen. Die Dateninhaber sind verpflichtet, eine Art Überblick über die bei ihnen vorhandenen Datensätze zu erstellen und das den geplanten nationalen Zugangsstellen für Gesundheitsdaten zur Verfügung zu stellen.

Auf diese Weise soll also etwa in Deutschland das geplante Bundesregister damit befüllt werden?

Vermutlich. Jedenfalls wird es eine Art Register von Verarbeitungsorten geben, in dem Metadaten vorhanden sind, welche Daten vorhanden sind und das wird dann veröffentlicht. Und bei länderübergreifenden Fallkonstellationen gibt es dann natürlich auch noch eine länderübergreifende Plattformen, wobei der Zugriff über nationale Kontaktstellen organisiert wird. Forschende können dann bei den nationalen Zugangsstellen einen Antrag stellen. Dieser wird auf ein berechtigtes Interesse überprüft. Wenn das der Fall ist, fragen sie bei den Dateninhabern an, die über die gewünschten Daten verfügen. Diese Dateninhaber sind dann verpflichtet, die Daten der Zugangstelle als Klardaten zur Verfügung zu stellen.

Nicht pseudonymisiert, sondern personenbezogen?

Das heißt: der Datensatz mit den Informationen "Thomas Petri, geboren am …, Krebsdaten" wird dann an die Zugangsstelle übermittelt. Diese entscheidet ausgehend von dem Antrag, ob der Antragsteller anonymisierte Daten oder pseudonymisierte Krankheitsverläufe braucht. Dabei ist es in der datenschutzrechtlichen Debatte alles andere als klar, ob es überhaupt möglich ist, genetische Daten oder bestimmtes bildgebendes Material zu anonymisieren.

Können Sie genauer erklären, was unklar ist?

Das ist eine Art Hase-und-Igel-Spiel: Mal hat der De-Anonymisierer die Vorhand, mal ist es der Verarbeiter, der dann versucht, das beispielsweise mit Verrauschungsmethoden wieder hinzubiegen. Im Zweifelsfall werden diese Daten pseudonymisiert zur Verfügung gestellt. In der Regel gibt es da Anträge, die für offene Nutzungen von bis zu fünf Jahren gehen, die dann noch mal um weitere fünf Jahre auf maximal zehn Jahre verlängert werden können. Möglicherweise ist eine kleine Gebühr bezahlen.

Wie sieht es aus mit den Rechten der Patienten?

Im Prinzip ist es die Idee, dass man möglichst viel Datennutzung ermöglicht, um Wertschöpfung zu betreiben. Dementsprechend hat der Patient, der Versicherte, der Krebsregister-Registrierte nach dem Kommissionsentwurf kein Recht, diesen Datentransfers vom Dateninhaber zur nationalen Zugangsstelle oder von der Zugangsstelle zum Datenantrag-Nutzer zu unterbinden. Es ist kein Widerspruch vorgesehen.

Widerspruch ist zwecklos, weil er nicht vorgesehen ist? Was ist mit der DSGVO, die angeblich in Einklang gebracht werden soll?

Wenn Sie gesetzlich eine Verarbeitungsbefugnis schaffen, die als Übermittlungsflicht ausgestaltet ist, dann ist es nach der Datenschutzgrundverordnung so, dass Sie überhaupt keine Möglichkeit haben, das anzugreifen. Denn die Widerspruchsmöglichkeit, die der Artikel 21 nur für besonders gelagerte Einzelfälle vorsieht, entfällt bei Verarbeitungspflichten nach Artikel 6, Absatz 1, Buchstabe c. Sie haben nur dann ein Recht auf Widerspruch, wenn eine Verarbeitung auf Basis eines berechtigten Interesses nach Interessenabwägung erfolgt oder zur Aufgabenerfüllung bei öffentlichem Interesse – aber auch nur dann, wenn ein Ermessensspielraum besteht. Wenn nicht, sind wir wieder bei der Verarbeitungspflicht. Damit sind die Betroffenen, was die Gestaltung der Verarbeitungsprozesse anbelangt, völlig außen vor. Es gibt keine Möglichkeit, zu intervenieren.

Ist die Diskussion im Europäischen Datenschutzausschuss angekommen?

Er hat eine Stellungnahme dazu verabschiedet. Er hat eine engere Zweckbeschreibung angemahnt. Er hat darauf aufmerksam gemacht, dass das Problem des internationalen Datentransfers unbefriedigend gelöst ist. Er befürchtet, dass diese Daten auch die EU-Außengrenzen überschreiten werden. Das ist eine naheliegende Befürchtung, meine ich. Aber den Kernpunkt hat er unangetastet gelassen, nämlich dass die Betroffenen im Bereich der Sekundärnutzung kein Gestaltungsrecht haben. Das hat er nicht kritisiert.

In der Petersberger Erklärung hat die Datenschutzkonferenz von Bund und Ländern aber doch diese Mitwirkungsrechte eingefordert. Wo steht die Debatte jetzt?

Wir sind jetzt so weit, dass das Europäische Parlament und der Rat sich mit dem Vorschlag der Kommission befassen. Und da wird die Frage diskutiert, in welchem Umfang es geboten ist, den Betroffenenrechte auch im Bereich der Sekundärnutzung zu installieren. Aber da gibt es noch keine offiziellen Entwürfe. Im März ist ein erster Entwurf der Berichterstatter im Parlament zu erwarten. Parallel läuft auch die Diskussion im Rat. Dem Vernehmen nach wird da die Frage der Gestaltungsrechte als Widerspruchsrecht wohl auch ventiliert.

Also im Moment wird der Einsatz von ChatGPT sehr intensiv diskutiert. Würde die jetzige Regelung ausschließen, dass Sprachmodelle auf die Daten im Gesundheitsraum zugreifen dürfen?

KI-Anwendungen können Gesundheitsdaten nutzen, wenn sie zum Gesundheitssektor zugeordnet werden. Wenn es darum geht, Gesundheitsdienstleistungen zu fördern oder eine KI-Anwendung im Bereich der Gesundheitsversorgung zu entwickeln und zu trainieren, dann ist es nicht ausgeschlossen. Beispielsweise könnten computergestützten Psychotherapien verwendet werden, um Depressiven die Zeit zu überbrücken, bevor sie wieder face-to-face mit ihrem Psychotherapeuten Sitzungen halten können. Dass man so eine Anwendung mit pseudonymisierten Patientendaten trainiert, wäre durchaus denkbar.

Wenn anhand der Patientendaten ein digitaler Zwilling mit einem typischen Krankheitsprofil erstellt wird, wie kann sichergestellt werden, dass Unbefugte durch eine individuelle Krankheitsgeschichte keinen Zugriff auf die Daten der Person erhalten?

Da wählt der Vorschlag der Kommission einen Ansatz, den wir vom digitalen Versorgungsgesetz bereits auch schon kennen: Es ist der Versuch, das Problem teilweise technisch, teilweise rechtlich zu lösen. Man muss die technisch-organisatorischen Maßnahmen treffen, um das Risiko der Depseudonymisierung oder Deanonymisierung zu minimieren. Das wird begleitet mit der Anweisung, dass es dem verantwortlichen Datennutzer rechtlich verboten ist, eine solche Depseudonymisierung vorzunehmen.

Wie soll das Verbot durchgesetzt werden?

Hier werden Sanktionen angedroht, wobei man über die Wirksamkeit der Sanktionen trefflich streiten kann – es geht hier über Nutzungsausschlüsse. Parallel dazu natürlich auch Datenschutzverletzungen, die dann unter Umständen zu Sanktionen führen könnten, wenn man diese betreffenden Stellen erwischt. In der Praxis wird es daran wohl scheitern. Denn da muss man sich schon ziemlich dämlich anstellen, um erwischt zu werden. Das muss man einfach mal ganz nüchtern konstatieren.

Wer verdient an den Gesundheitsdaten?

Dazu gibt es noch eine Grundsatzfrage zu klären: Wer hat eigentlich die Verwertungslogik? Ist das sicher, wer die Befugnis zur wirtschaftlichen Verwertung hat: Ist das der Datenbesitzer, der Dateninhaber, der Produzent einer Anwendung oder von einem Produkt oder aber der datenschutzrechtlich Betroffene?

Nicht der Betroffene?

Das ist der Punkt: Diese Diskussion läuft ja auf der Sachebene an. In der Öffentlichkeit findet sie so gut wie gar nicht statt. Es gibt keine politische Diskussion, die im Licht der Öffentlichkeit stattfindet. Zugleich ist der Lobbydruck auf die Kommission und auf die Mitgliedsstaaten gewaltig. Zugegebenermaßen haben die Mitgliedstaaten sich allerdings jeweils auf der Öffnungsklausel in der DSGVO etwas ausgeruht, die ihnen erlaubt, den Datenschutz im Gesundheitssektor selbst zu regeln.

Was könnte der Grund gewesen sein, dass in Deutschland und anderen Ländern nichts passiert ist?

Ich möchte nicht ausschließen, dass die Staaten diese Öffnungsklauseln genutzt haben, um ihre Versorgungssysteme, ihre öffentliche Gesundheitsversorgung Systeme einfach so beizubehalten. Das hat dazu geführt, dass diese Gesundheitssysteme einfach nicht kompatibel miteinander sind. Es mag zwar punktuell Datenschutzprobleme geben, aber in allererster Linie ist das eine Schnittstellenproblematik der unterschiedlichen Strukturen in der Gesundheitsversorgung, wo man jahrelang, vielleicht jahrzehntelang nichts gemacht hat, um diese Unterschiede in der Gesundheitsversorgung zu beheben und etwas mehr Parallelität zu schaffen. Erst in den letzten Jahren ist man wirklich aufgewacht, obwohl das Thema schon bekannt war.

Wie hoch sehen Sie die Gefahr, dass die Daten in Folge von Cyberattacken auf Krankenhäuser missbraucht werden? Erhöht sich das Risiko, wenn jetzt noch diese Datenbereitstellungspflicht dazukommt?

Man kann darüber nur mutmaßen. Die Stellen werden ja nicht verpflichtet, Daten vorzuhalten, um sie dann bereitzustellen. Der Vorschlag knüpft an die vorhandenen Daten an. Es ist also nicht so, dass man auf Vorrat die Daten bereithält für den Fall der Fälle und damit das Risiko erhöht, dass Daten missbräuchlich abgegriffen werden. Die Frage ist eher, was bei den Datennutzern passiert. Dass diese möglicherweise mit den Daten etwas machen, was die Verordnung nicht erlaubt. Wie man das unterbinden will, ist mir schleierhaft. Als Aufsichtsbehörde kann ich vielleicht stichprobenartig kontrollieren und decke dann vielleicht einen Fall von tausend auf.

Wie haben Sie die Kontrollaktivitäten der Aufsichtsbehörden in Deutschland im Gesundheitswesen in den letzten Jahren erlebt?

Wir haben sehr viel Licht und Schatten. Wir prüfen die Kliniken relativ häufig, was in der Pandemie etwas zurückgefahren wurde. Es gibt jedenfalls Kliniken mit grundlegenden Defiziten. In einem Fall mussten wir anordnen, sehr schwerwiegende Sicherheitsmängel abzustellen. Die Klinik hat sogar gegen die Anordnung geklagt, um Zeit zu gewinnen – man kann ja nicht mit der Aufsichtsbehörde reden, darüber, dass man vielleicht ein paar Monate mehr braucht. Im Klageverfahren wurden sukzessive die Mängel abgestellt, sodass das Verfahren am Ende als erledigt erklärt werden konnte. Ich fürchte, das ist kein Einzelfall.

Galube nicht, das das so ohne Verfassungsbeschwerde durch geht.

Vorrausgesetzt, es findet kein Essen unter anderem im Kanzleramt statt...

Zitat von PHOENIX

Und neulich beim Hausarzt haben die Sprechstundentussies mich doch tatsächlich bei meinem Namen aufgerufen

Ein Frechheit mich mit meinem echten Namen anzusprechen

Moin,

wäre Dir "der Herr mit dem Potenzproblem is dran" lieber?

Gruß Olli

Besonders helle im Kopf sind die, die blinken, wenn sie schon halb abgebogen sind.

Und noch heller sind die, die erst blinken, wenn die Ampel grün wird. Das tickern des Blinkrelais ist eine unerträgliche Geräuschquelle während der Wartephase.

Dann besser erst GAR nicht blinken. Wer nix macht der macht auch nix falsch.

Machst‘s richtig - isses falsch!

Machst‘s falsch - isses auch nicht richtig!

Zitat von PHOENIX

Besonders helle im Kopf sind die, die blinken, wenn sie schon halb abgebogen sind.

Und noch heller sind die, die erst blinken, wenn die Ampel grün wird. Das tickern des Blinkrelais ist eine unerträgliche Geräuschquelle während der Wartephase.

Dann besser erst GAR nicht blinken. Wer nix macht der macht auch nix falsch.

Sieh mal in Zeiten des Stromsparens ist das genau richtig

Zitat von PHOENIX

Und noch heller sind die, die erst blinken, wenn die Ampel grün wird. Das tickern des Blinkrelais ist eine unerträgliche Geräuschquelle während der Wartephase.

Stört dich das? Kann dir doch egal sein wohin dann abgebogen wird.

Mich stört ehrlich gesagt gar nix - wenn mich irgendwas nervt trenne ich mich einfach davon - funktioniert seit Jahren prima. Was meinst du was und wer mir alles egal ist

Viele Vögel regen sich über den Stau vor dem Kreisverkehr auf sind aber selbst zu blöd beim Ausfahren den Blinker zu setzen und sind somit gleichwegs Ursache für den Stau über den sie gerade noch meckerten. Aber das übersteigt den Horizont von vielen Führerschein-Inhabern gewaltig. Verstehe ich nicht. Muss ich aber auch nicht

Am Kreisverkehr gibt es keine Ampel.

Aber hast schon recht.