"Gesundheitsnetz" als verantwortungsfreie Zone
Wer ist datenschutzrechtlich Verantwortlicher fĂźr die Telematik-Infrastruktur fĂźr die eGK?
"Das ist #Spahnsinn" mussten wir vor einem Jahr feststellen, als Minister Spahn den Referentenentwurf des Terminservice- und Versorgungsgesetzes (TSVG) vorstellte. DatenschĂźtzer und Patienten waren alarmiert: "Bundesgesundheitsminister Spahn will eine auf zentralen Servern liegende âelektronische Patientenakteâ mit Zugriff sowohl Ăźber die Elektronische Gesundheitskarte (eGK) als auch Ăźber das Internet. Wir sahen darin eine gigantische Sammlung sensibler Daten auf einem zentralen Server - fĂźr Datendiebe ein extrem attraktives Ziel.
Die Datenschßtzer Rhein-Main weisen nun darauf hin, dass diese Pläne nun 1:1 Realität werden sollen. An diesem Netzwerk, die mehrere Plattformen und Zonen umfasst, sind zahlreiche Unternehmen, Konsortien und Rechenzentren beteiligt. Unvorstellbare Mengen vertraulicher Patientendaten soll die Telematik-Infrastruktur (TI) nach ihrer Fertigstellung ßbermitteln, speichern, verarbeiten.
Nach der DSGVO gehĂśrt zu jeder Verarbeitung von personenbezogenen - und hier auch noch äuĂerst sensiblen - Daten eine "verantwortliche Stelle". Diese mĂźsste selbst nach dem alten BDSG  eine "Vorabkontrolle" durchfĂźhren lassen. Die TI wurde jedoch ohne jegliche datenschutzrechtliche Vorab-PrĂźfung ausgerollt und bereits als erste Anwendung der Versichertenstammdatenabgleich in Betrieb genommen. Diesen Punkt kritisiert auch der Bundesbeauftragte fĂźr den Datenschutz und die Informationsfreiheit in seinem Tätigkeitsbericht 2017/18 (dort S. 59).
Wer ist die "verantwortliche Stelle"?
Scheinbar ist bis jetzt noch nicht einmal geklärt, wer die datenschutzrechtliche Stelle fßr die TI eigentlich ist. Ist es die gematik mbH?
Damit beginnen die Probleme fĂźr die Ărzte in der Bundesrepublik. Dr. med. Silke LĂźder, Stellvertretende Bundesvorsitzende der Freien Ărzteschaft e.V. stellt fest: âWir sind ja gehalten, fĂźr unsere Praxen eine Datenschutz-Folgenabschätzung zu machen. Nur: Wie sollen wir einschätzen, welchen Risiken Patientendaten ausgesetzt sind, wenn wir sie in die Telematik-Infrastruktur Ăźbermitteln? DafĂźr gibt es ja gerade keine Datenschutz-Folgenabschätzung. Und angesichts der organisierten Verantwortungslosigkeit seitens der Betreiber kĂśnnen Ărzte nur zu dem Schluss kommen, ihre Praxen nicht anschlieĂen zu lassen.â
Deshalb fordern fordern Datenschutz-Organisationen:
Feststellung der datenschutzrechtlich verantwortlichen Stelle fßr die TI zwecks Benennung eines Datenschutzbeauftragten und Durchfßhrung einer Datenschutz-Folgenabschätzung
Erstellung einer Datenschutzfolgenabschätzung fßr die TI und jede ihrer Anwendungen
Der Bericht dieses Datenschutzbeauftragten sollte verĂśffentlicht werden.
Aufhebung von Sanktionen gegen Ărzte, die ihre Praxen aufgrund von Datenschutzbedenken nicht an die TI angeschlossen haben
Klare Haftungsregelungen zur Entschädigung Betroffener, deren Daten aus der TI oder (unter Ausnutzung der TI) aus den angeschlossenen âPrimärsystemenâ der Ărzte, Apotheken und Krankenhäusern entwendet wurden
Solange die Voraussetzungen fĂźr einen rechtskonformen Betrieb nicht vorliegen, darf die TI nicht betrieben werden.
Diese Forderungen werden getragen von
Aktion âStoppt die e-Cardâ, Digitale Gesellschaft e.V., Freie Ărzteschaft e. V. (FĂ), Patientenrechte und Datenschutz e.V., dieDatenschĂźtzer Rhein Main
Mehr dazu bei https://ddrm.de/spahns-gesundheitsnetz-als-verantwortungsfreie-zone/
und https://www.aktion-freiheitstattangst.org/de/articles/6990-20190823-gesundheitsnetz-als-verantwortungsfreie-zone.htm