Übers Ziel hinausgeschossen!
Nach diversen Skandalen, die innerhalb der letzten 30 Jahre Medizinprodukte, genauer Implantate betrafen, macht es durchaus Sinn, zu medizinischen Implantaten, darunter versteht man
– Herzklappen und andere kardiale Implantate,
– implantierbare Defibrillatoren,
– Herzschrittmacher,
– Neurostimulatoren,
– Cochlea Implantate,
– Brust Implantate,
– Gelenk-Endoprothesen für Hüfte, Schulter und Knie,
– Bandscheibenprothesen,
– Wirbelkörper-Ersatz-Systeme und
– Stents,
ein Register zu führen, um Rückverfolgen zu können, wenn die Implantate Probleme machen.
Das ist außerdem eine Vorgabe aus der Medizinprodukteverordnung 2017/745 der EU.
Was allerdings am 26.09.2019 vom Bundestag, auf Initiative des Bundesgesundheitsministers Hr. Spahn, beschlossen wurde, das „Implantateregister-Errichtungsgesetz – EIRD“, schießt weit über das Ziel hinaus.
Das Ziel dürfte klar sein: Patientenschutz!
Die Erfassung der Daten in dem geplanten Register ist sehr umfangreich, es sind Daten zur Identifikation des Patienten, Daten der Versorgungsprozesse, die Anamnese, Befunde, Indikationen, Voroperationen, Körpergröße, Körpergewicht, Aufnahmedatum, Datum der Operation und Datum der Entlassung. Daten zur Nachsorge und den Ergebnissen der Behandlung.
Die Daten dürfen pseudonymisiert für „wissenschaftliche Zwecke“ weiterverarbeitet und weitergegeben werden. Es wird keine Einwilligung eingeholt, Datenminimierung und Zweckbindung werden nicht beachtet, das Widerspruchsrecht ist nicht wahrnehmbar.

Dass dieses Gesetz ohne die Beratung oder Anwesenheit des BfDI Hr. Ulrich Kelber (er wurde zur Anhörung nicht eingeladen) durchgeboxt wurde und nicht zustimmungspflichtig durch den Bundesrat ist, gibt dem Ganzen einen Wermutstropfen. Es tritt am 01.01.2020 in Kraft. Der Herr Gesundheits-minister arbeitet schnell.

Gegen diese Datenverarbeitung kann der betroffene Patient also keine Betroffenenrechte nach DSGVO geltend machen und die Verarbeitung ist, unter Berufung auf Art. 23 DSGVO, verpflichtend. Die Beschränkung des Rechts auf informationelle Selbstbestimmung der Betroffenen hält der Bundesgesundheitsminister für rechtens. Er beruft sich auf schutzwürdiges Allgemeininteresse wie öffentliche Gesundheit, Abwehr von Risiken, Qualitätsverbesserung von Medizinprodukten, Rückrufaktion bei fehlerhaften Implantaten. Er begründet die Verpflichtung u.a. damit, dass sich gezeigt habe, dass jeder zehnte Patient die freiwillige Teilnahme am Endoprothesenregister Deutschland verweigert. Das habe erhebliche Auswirkungen auf die Validität der Daten und Belastbarkeit der Auswertungsergebnisse.
Und es lässt darauf schließen, dass der deutsche Patient durchaus nicht unkritisch ist, was die Verarbeitung von Gesundheitsdaten angeht.
Wie kommt Hr. Spahn darauf, dass die geplante Datenverarbeitung, die kein Implantate-Register sondern ein umfassendes Patienten-Daten-Register ist, so dem Patientenschutz dient?
Dient sie nicht eher der Gesundheits-Industrie, die an den Daten großes Interesse hat?
Und welche Konsequenzen hat eine Datenpanne?
Was sagt Hr. Kelber dazu?

Noch mehr Ausverkauf von Gesundheitsdaten – per App sogar freiwillig und auf Rezept!
Wieder der Herr Spahn: Er möchte Gesundheits- Apps, die Medizinprodukte darstellen, nun von Ärzten verschreiben lassen:
„Nachdem die App vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf Sicherheit, Funktionstauglichkeit, Qualität, Datensicherheit und Datenschutz geprüft wurde, wird sie ein Jahr lang vorläufig von der gesetzlichen Krankenversicherung erstattet. In dieser Zeit muss der Hersteller beim BfArM nachweisen, dass seine App die Versorgung der Patienten verbessert. Wie viel Geld der Hersteller erhält, verhandelt er dann selbst mit dem GKV-Spitzenverband.“ Quelle: Internetseite des BMG
Leider haben die Gesundheits-Apps massive Datenschutzmängel. Die Gesundheits-App Ada z. B. übermittelt Symptome der Nutzer an die Analyse-Firma Amplitude in die USA, die Nutzerverhalten analysiert, Daten werden an die Werbefirma Adjust weitergeleitet und das Facebook-SDK (Software Developer Kit – ermöglicht Tracking) wird genutzt. Das British Medical Journal veröffentlichte eine Untersuchung nach deren Ergebnissen 80% von 24 getesteten Gesundheits-Apps Daten an Dritte weitergeben. Man kann nur hoffen, dass das BfArM akribisch prüft.
Außerdem:
„Große Datenmengen sind die Voraussetzung für medizinischen Fortschritt. Wir sorgen dafür, dass in einem Forschungsdatenzentrum die bei den Krankenkassen vorliegenden Abrechnungsdaten pseudonymisiert zusammengefasst werden und der Forschung auf Antrag anonymisierte Ergebnisse übermittelt werden. Damit stehen der Wissenschaft zukünftig in einem geschützten Raum aktuellere und mehr Daten für neue Erkenntnisse zur Verbesserung der Gesundheitsversorgung zur Verfügung.“
Quelle: Interneteite des BMG

Da ergeben sich viele Fragen. Big Data im Gesundheitswesen, sehr interessant für etliche große Player. Wer ist „die Forschung“? Laut Gesetzentwurf auch „sonstige Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung“. Verkauft unser Staat unsere Gesundheitsdaten an die Gesundheits- und Pharmaindustrie? Ja, irgendwie schon, in § 303f SGB V wird das Gebühr genannt, die vom Bundesministerium für Gesundheit festgelegt wird.
Die Industrie wird einen Weg finden, ihre Interessen in Form von „unabhängiger wissenschaftlicher Forschung“ zu verfolgen.

Datenschutz für Kinder – Arbeitspapier wurde veröffentlicht
Die internationale Arbeitsgruppe für Datenschutz in der Telekommunikation (IWGDPT), eine Arbeitsgruppe aus Datenschutzbehörden, Regierungsstellen, internationale Organisationen und Wissenschaftlern, die sich mit Datenschutz im Internet befasst, hat ein Arbeitspapier zum Datenschutz für Kinder herausgeben.
Die Arbeitspapiere der Arbeitsgruppe haben keine rechtliche Bedeutung, da sie aber von Experten mit excellenten Branchenkenntnissen erarbeitet werden, sind sie richtungsweisend.
Sie raten zu folgenden Maßnahmen:
– Online-Dienste für Kinder müssen eine Einwilligung der Eltern einholen, es sei denn, es gibt eine      weitere Rechtsgrundlage aufgrund der keine Einwilligung nötig ist.
Zum Wohl des Kindes soll eine Ausnahme für z.B. Kinderhotlines gemacht werden, um die Sicherheit des Kindes zu gewährleisten, wenn die Eltern eine Bedrohung darstellen.
– Personenbezogene Daten von Kindern sollen auf Elternverlangen gelöscht werden, um Nachteile für die Zukunft zu vermeiden, solange dem keine Aufbewahrungspflichten entgegenstehen.

Verwaltungsgericht Hamburg – Urteil zu biometrischer Datenbank der Hamburger Polizei
Beim G20 Gipfel in Hamburg 20127 wurde von der Polizei die Gesichtserkennungssoftware „Videmo 360“ (GAS) eingesetzt. Mit den Daten wurde eine biometrische Datenbank angelegt, in der sich die Daten einer sechsstelligen Anzahl von Bürgern befinden. Wie viele Datensätze es genau gibt, kann die Polizei selbst nicht sagen.
Die Daten wurden, veranlasst durch eine Kampagne der Bild-Zeitung, entweder von Privatpersonen hochgeladen oder sie stammen aus polizeieigenen Videoaufnahmen, öffentlichen Verkehrsmitteln und den Medien.
Die massenhafte biometrische Erfassung von Bürgern wurde ohne Unterschied und ohne Anlass durchgeführt.
Der Hamburger Landesbeauftragte für Datenschutz und Informationsfreiheit Prof. Johannes Caspar äußerte sich dazu wie folgt:
„Es gibt kein Gesetz, das Strafverfolgungsbehörden erlaubt, Massen von Video- und Bildsequenzen aus ganz unterschiedlichen zeitlichen und örtlichen Bezügen zu sammeln und biometrische Gesichts-IDs von abgebildeten Personen ohne Tatverdacht zu erstellen, für unbestimmte Zeit zu speichern und wiederholt mit Gesichtern von einzelnen Tatverdächtigen abzugleichen.“
Er ordnete die Löschung der Datenbank an, die aufgrund des Bildmaterials erstellt wurde und die biometrischen Daten eines Bürgers unter einer ID erfasst. Dazu sagte er:
„Wenn bereits die Teilnahme an einer Versammlung oder die Fahrt mit der S-Bahn ausreicht, um auf unbestimmte Zeit in eine biometrische polizeiliche Datenbank zu kommen, ist die freie Gesellschaft in Gefahr.“
Dagegen klagte der Hamburger Innensenat vor dem Verwaltungsgericht Hamburg.
Das Urteil, für das noch keine Begründung vorliegt:
„Der Datenschutzbeauftragte hätte die Datenverarbeitung der Polizei in der konkret praktizierten Form in den Blick nehmen und eigene Feststellungen zu einem Verstoß gegen Vorschriften des Datenschutzes treffen müssen. Die Anordnung ist zudem ermessensfehlerhaft, weil der Datenschutzbeauftragte die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften durch normkonkretisierende Auflagen zu kompensieren, nicht in Betracht gezogen und seiner Entscheidung einen fehlerhaften Bewertungsmaßstab zugrunde gelegt hat. Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es in dieser Konstellation nicht.“
Das Gericht folgte damit der Argumentation des Innensenats, hier müsse § 48 BDSG gelten:
„Absatz (1): Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist.“
Allerdings handelt es sich hier nach DSGVO und nach dem Hamburgischen Justizvollzugsdaten-schutzgesetz (HmbJVollzDSG) um Daten, deren Verarbeitung mit Erlaubnisvorbehalt verboten ist:
„Die Justizvollzugsbehörden dürfen personenbezogene Daten nur verarbeiten, wenn dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder zwingend voraussetzt.“
Der Hamburger Datenschutzbeauftragte erinnerte nach dem Urteil in seiner Pressemitteilung an die Rechtsprechung des Bundesverfassungsgerichts zum Kfz-Screening, das als Grundrechtseingriff gewertet wurde. Wobei die KFZ-Kennzeichen, die nicht gesucht wurden, sofort gelöscht wurden. Die biometrischen analysierten Gesichter unbescholtener Bürger aber über einen unbestimmten Zeitraum in der Datenbank der Hamburger Polizei bleiben.
Das Verwaltungsgericht Hamburg hielt das nicht für vergleichbar.
Dazu der Hamburger Landesbeauftragte für Datenschutz und Informationsfreiheit Prof. Johannes Caspar:
„Das Gericht sieht offenbar in der Generalklausel des § 48 BDSG, die in pauschaler Form die Verarbeitung besonderer Kategorien von Daten, wozu u.a. auch biometrische Daten gehören, regelt, eine hinreichende Grundlage für die massenhafte Erstellung von Gesichtsprofilen zur Strafverfolgung – gerade auch von unbeteiligten Personen. Damit ist im Prinzip der Weg frei, zur Strafverfolgung künftig alle erdenklichen Daten aus dem öffentlichen Raum zu sammeln und daraus biometrische Profile zu generieren, ohne dass konkrete gesetzliche Vorgaben eine unabhängige Kontrolle zur Sicherung von Rechten Betroffener ermöglichen. Es steht zu befürchten, dass sich eine entsprechende Praxis nicht nur in Hamburg, wo die zuständige Innenbehörde bereits weitere Einsatzfelder in Betracht zieht, sondern auch in den Zuständigkeitsbereichen des Bundes und anderer Länder Deutschlands etabliert.“
Auch der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski warnte, angesichts der Proteste in Hong Kong, wo auch Gesichtserkennungssoftware eingesetzt wird:
„Die Verwandlung des menschlichen Gesichts in ein weiteres Objekt der Messung und Kategorisierung durch automatisierte Prozesse, die von mächtigen Unternehmen und Regierungen kontrolliert werden, berührt das Recht auf Menschenwürde – selbst ohne die Gefahr, dass es als Werkzeug zur Unterdrückung durch einen autoritären Staat eingesetzt wird. (…) In Kombination mit anderen öffentlich zugänglichen Informationen und den Techniken von Big Data könnte dies natürlich die individuelle Meinungs- und Vereinigungsfreiheit beeinträchtigen. In Hongkong ist das Gesicht zu einem Schwerpunkt geworden. Das Tragen von Masken war eine Reaktion auf den Einsatz von Gesichtserkennung und wurde wiederum nach einem neuen Gesetz verboten.“

H&M – Geheime Ordner mit Daten zu Mitarbeitern entdeckt
Angestellte des Kundencenters von H&M stießen auf einen Ordner, in dem Gesprächsnotizen aufbewahrt wurden. Es ging um Gespräche mit den Mitarbeitern und es wurden Fakten zum Privatleben, zur Beziehung und zur Fitness und Belastbarkeit des Mitarbeiters festgehalten.
Ein kleiner Kreis von Führungskräften hatte Kenntnis davon und nutze die Daten. Wie lange das schon Praxis war, ist nicht bekannt. Die Geschäftsführung sagte dazu:
„Die Gesprächsnotizen können in Einzelfällen aber auch sensible Arten personenbezogener Daten enthalten, zum Beispiel Informationen zum Gesundheitszustand oder zu persönlichen Umständen, die eine Schichtanpassung notwendig gemacht haben.“
Natürlich ist das arbeitsrechtlich und datenschutzrechtlich sehr bedenklich. Das Argument der besseren Arbeitsplanung wurde bereits durch die Löschung der Ordner entkräftet, denn es geht scheinbar auch leicht ohne. Erforderlichkeit dieser Datenverarbeitung ist somit nicht gegeben.
Eine Rechtsgrundlage für diese Datenverarbeitung gibt es nicht, da keine schriftliche Einwilligung eingeholt wurde, die im Arbeitsverhältnis sowieso anfechtbar wäre. Transparenz gab es nicht, die Mitarbeiter hatten keine Ahnung. Ob das Need-to-now-Prinzip eingehalten wurde, darf bezweifelt werden, wenn mehrere Führungskräfte Zugriff auf alle Daten hatten.
H&M hat schnell reagiert und den Vorfall den Behörden gemeldet. Den Beschäftigten wurde Einblick in ihre Akte gewährt und die Ordner zeitnah gelöscht. Führungskräfte sollen nun sensibilisiert und geschult werden. Wie sich die Angelegenheit auf das Arbeitsklima und die vertrauensvolle Zusammenarbeit mit Vorgesetzten auswirkt, wird H&M zu bewältigen haben.
Das Bußgeld wurde von der Behörde noch nicht festgelegt.

14,5 Mio. Euro Bußgeld für die Deutsche Wohnen SE
Der mit 100.000 Wohnungen größte Immobilienbesitzer in Berlin, wurde zu diesem Bußgeld verdonnert, weil er die Mieterdaten in einem Archivsystem speicherte, in dem keine Löschung möglich war. Das hatte zur Folge, dass Daten von Mietern auch nach Ende des Mietverhältnisses blieben. Im System wurden Daten wie, Steuer-, Sozial- und Krankenversicherungsdaten, Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, sowie Kontoauszüge gespeichert. Das Archivsystem wurde bewusst so angelegt, die Daten über einen langen Zeitraum zu halten.
Die Berliner Datenschutzbeauftragte:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist.“
Der Mangel wurde bereits 2017 festgestellt, aber bis zu einer Überprüfung in 2019 nicht behoben. Der Bußgeldbescheid ist noch nicht rechtskräftig und die Deutsche Wohnen SE kündigte an, dagegen vorzugehen.