LNP336 Patientendatenschutzgesetz

Ein Logbuch:Netzpolitik Spezial zu den Plänen des Patientendatenschutzgesetzes (PDSG)

Wir unterbrechen die Krise für einen Blick in die Zeit, wo uns vielleicht wieder normale Themen interessieren könnten. Wir sprechen mit Martin Tschirsich und Christian Brodowski über Ihre bisherige Arbeit zu Themen rund um die Digitalisierung des Gesundheitswesens und die darauf erfolgten Rückmeldungen und gesetzliche Auswirkungen. Im Anschluss stellen sie ihre Erkenntnis zum neuen Patientendatenschutzgesetzes vor und welche Probleme sie damit haben.

Dauer: 1:08:42

avatar
Linus Neumann
avatar
Tim Pritlove
avatar
Martin Tschirsich
avatar
Christian Brodowski

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten morgen linus.
Linus Neumann
Guten morgen tim.
Tim Pritlove
Die wichtigste frage bist du noch gesund.
Linus Neumann
Weiß ich ja nicht.
Tim Pritlove
Logbuch netzpolitik nummer dreihundertsechsunddreißig in schneller folge nach der letzten sendung werfen wir hier noch eine weitere sendung rein ein schon längere zeit geplantes logbuch. Spezial ein wenig außerhalb der reihe also in der wilden zeiten linus in wilden zeiten.
Linus Neumann
Ja ja das aber ist schönes wetter draußen haben wir noch nix mehr.
Tim Pritlove
Ob das so gut ist das wissen wir alle noch nicht so genau.
Linus Neumann
Haben wir nicht wirklich was von ja so ist das zuhause wieder eine eine fernsehsendung diesmal mit zwei hatten wir schon mal zwei remote gäste auf einmal ne ne.
Tim Pritlove
Nein nicht hier.
Linus Neumann
Oder in dem fall ja sogar drei also dich ja auch.
Tim Pritlove
Beziehungsweise dich je nachdem wir das zentrum des universums ist hier. Genau wir begrüßen einerseits den martin cheers ich hallo. Und außerdem haben wir noch den christian christian budowski hallo. Genau genannt zebra und wer fleißiger, chaos communication kongress gast teilnehmer oder zuschauer aus der ferne ist wird von euch schon einiges gehört haben oder eben auch logbuch netzpolitik martin war ja hier schon mal bei uns ihr macht eine ganze menge. Interessante dinge rund um die gesundheit allerdings nicht in der viren forschung.
Martin Tschirsich
Tja christian da sagst du was dazu.
Christian Brodowski
Ja richtig wir kümmern uns ein bisschen um können wir uns auch um sicherheit in der gesundheits- vor allem in der telematik infrastruktur. Das hat er im moment noch nichts mit viren zu tun aber ich hoffe dass wir da auch noch länger von elektronischen viren verschont bleiben. Ganz sicher bin ich mir aber nicht ich habe das lange hält.
Linus Neumann
Ihr habt beim kongress den vortrag gehalten der ja. Sehr viel aufmerksamkeit bekommen hatte auch weit über den kongress hinaus wo es im prinzip darum ging dass unberechtigte sich zugriff. Verschaffen können in dieses telematik system martin kannst du das noch mal ganz kurz zusammenfassen was da überhaupt genau das problem.
Martin Tschirsich
Ja klar wir haben ein vortrag gehalten über das thema oder unter der überschrift hacker hin oder her die elektronische patientenakte kommt. Die elektronische patientenakte ist quasi ein datenspeicher für jeden gesetzlich versicherten zurzeit noch indem er seine patientendaten ablegen kann. In denen auch ärzte dann die, patientendaten des versicherten eintragen können und diese akte die läuft auf der sogenannten telematik infrastruktur das ist ein sag mal wie ein speziale. Spezielles netzwerk dass alle arztpraxen krankenhäuser und gesundheitseinrichtungen verbindet untereinander und, darüber werden diese daten transportiert und in dieser patientenakte gespeichert und der zugang zu dieser akte der erfolgt über eine sogenannte chipkarte da haben wir die gesundheitskarte das ist der schlüssel für den versicherten dann haben wir den heilberuf ausweis und die den institutions ausweis das ist der zugang schlüssel für den den arzt oder eben die institution die gesundheits- institution und diese zugangs schlüssel, die sind voraussetzungen für den automatisierten zugriff auf diese patientenakte und wer diesen schlüssel besitzt plus eine pin. Der kann dann auf dieses konto zugreifen auf das auf die patientenakte und wir haben herausgefunden dass die thematik zwar. Die thematik ist die organisation die diese spezifikation entwickelt die die drängt darauf oder schreibt ihn ihr sicherheitskonzepten dass die. Schlüssel herausgabe entsprechend sicher sein muss denn wenn ich so einen schlüssel besitzer dann kann ich auf diese daten zugreifen wir haben herausgefunden dass diese schlüssel quasi nicht wahllos an jeden verschickt werden der sich online da einen antrag zusammenklicken und es eben keine identifizierung gibt das heißt nochmal zusammengefasst die schlüsselaufgabe, die ist sehr unsicher und man kann dann auf diese akten zugreifen indem man sich einfach einen schlüssel kommen lässt von, einem arzt oder einem versicherten unter kenntnis beispielsweise allein von name anschrift und geburtsdatum einer person kann man den schlüssel dann beziehen, das ist natürlich ein riesiges loch und das haben wir präsentiert und auch versucht damit sozusagen ein bisschen mehr awareness zu schaffen dass dass es nicht nur um die reine it-sicherheit, dass die systeme in sich sicher sind also wenn ich den schlüssel habe dass die verschlüsselung korrekt umgesetzt ist sondern dass auch die schlüssel ausgabe die prozesse drumherum stimmen müssen denn ansonsten ist da einfach die einfachste eingriffsmöglichkeiten auf dieses system gegeben.
Linus Neumann
Das tatsächlich so eine klassische erkenntnis die im im bereich der it-sicherheit ne dass sie also die leute diskutieren denn am ende viel über irgendwelche technischen dinge. Machen sich aber gar nicht die des des des angemessene ausmaß an gedanken darüber dass die prozesse das eben auch widerspiegeln müssen also ein klassischer fall von ist das jetzt sicher ja das ist sicher. Und nicht daran denken wie man welche voran nahmen die sicherheit dieses systems hat mich würde noch kurz interessieren wenn ich jetzt mir so eine karte organisiert hätte kann ich damit auf die daten aller deutschen patientinnen zugreifen oder wie wie wie spiegelt dieses system das wieder also was, muss ich dann machen um auf um auf daten zugreifen zu können.
Martin Tschirsich
Zunächst einmal muss ist das immer nur versicherten individuell das heißt aktenkundig sind voneinander isoliert es gibt keinen über, greifen den zugriff auf mehrere konnten auf einmal das gibt es nicht diese zugangskarte beispielsweise die gesundheitskarte. Nur den zugang frei für das aktienkonto zu diesem versicherten mit dieser versicherten nummer ich kann aber leistungserbringung also ärzten oder, allen möglichen anderen teilnehmern des gesundheitswesens die wir für den zugriff auf die akte berechtigt sind zugriff erteilen auf seine akte, das heißt konkret ich gebe nicht eine person den zugriff sondern ich gebe eine institution den zugriff. Die person gebundenen zugriffe zur zeit noch nicht realisiert sind oder sie waren zumindest mal angedacht ist hat sich aber jetzt nicht in der aktuellen umsetzung so ergeben sondern es wird eben die institution zum zugriff freigeschaltet durch den versicherten also man gibt. Der arztpraxis das recht auf seine eigene akte zugreifen zu können und jetzt stellt man sich vor das arztpraxen sehr sehr viele patienten haben und die alle diese arztpraxis das recht geben auf diese eigene akte zugreifen zu dürfen und dann, ist natürlich dieser zugang schlüssel der arztpraxis diese institutions karte oder auch genannt die ist dann natürlich sehr wertvoll in händen eines angreifers weil die dann eben den zugriff auf all diese freigegebenen akten ermöglicht, das heißt wir haben schon nicht die möglichkeit auf alle akten zugreifen zu können aber auf alle, die einer institution freigegeben sind indem wir uns diesen schlüssel diese institution besorgen.
Christian Brodowski
Da sprechen wir also von fünfstelligen patientenzahlen.
Linus Neumann
Im falle eines eines eines krankenhauses oder.
Christian Brodowski
Im fall einer arztpraxis beim krankenhaus sind sicherlich mehr da sind das eher sechsstellig bei unikliniken wahrscheinlich auch siebenstellig sind schwierige patienten.
Martin Tschirsich
Wobei man einschränken muss dass dieser zugriff durch den patienten nur für maximal ich glaube was steht im aktuellen psg hundertachtzig tage christian.
Christian Brodowski
Nee achtzehn monate habe ich war das längste was ich bis jetzt gelesen habe.
Martin Tschirsich
Das heißt maximal kann man diese zucker für achtzehn monate freigeben und dann muss er durch den versicherten erneut freigegeben werden der zugriff das heißt es nach gewisser zeit läuft also diese zugangs berechtigung durch den leistungsabbringer auch wieder ab. Reduziert den das schadensausmaß hier um ein kleines kleines bisschen zumindest.
Linus Neumann
Aber es wäre ja im zweifelsfall so dass ich als angreifer mir die daten runterladen und behalte oder oder wie muss ich mir das.
Martin Tschirsich
Richtig also mit zugriff auf diese akte über diese diese karte und pin die man sich da als angreifer auf den namen eines arztes beziehen oder bestellt kann ich dann diese dokumente herunterladen also zugriff bedeutet immer dass ich die dokumente herunterladen ein schlüssel und mir dann anschaue und dann habe ich sie also bei mir, lokal vorliegen und was da noch ein bisschen problematisch ist wir haben das ja praktisch durchgeführt diese diesen diesen hack natürlich christian war derjenige der sagt der arzt als arzt die verantwortung übernommen hat dafür dass das auch alles sicher abläuft aber auf seinen namen haben wir diese karte bestellt, es gab keinerlei informationen an christian das hier eine karte ausgehändigt wurde an jemanden der nicht christian ist, es kann passieren oder vorkommen oder hätte vorkommen können dass so ein zugriff durch einen dritten unbemerkt über einen langen zeitraum erfolgt. Das ist natürlich schwierig weil ich dann über einen langen zeitraum alle neu. Neue freigeschalteten akten mir anschauen kann auch wenn diese freischaltung nur auf wenige stunden oder tage begrenzt ist.
Christian Brodowski
Dazu muss man auch sagen dass natürlich nicht nur das runterladen diese information möglich ist sondern auch löschung oder veränderungen der informationen. Es ist deutlich einfacher eine folge karte also ein arzt aus was hat eine gültigkeit dauer von zwei jahren in der regel und es ist sehr sehr viel einfacher eine folge karte zu bestellen als ein neu antrag, das heißt ein angreifer der nicht bemerkt wurde kann das eventuell über jahre jahrzehnte diese möglichkeit nutzen.
Linus Neumann
Ok und das war das war jetzt in dem fall ihr wart ja insgesamt ein vortrag zu dritt gehalten da war noch andre zilch dabei der glaube ich im bereich des identitäten da. Ohnehin schon längere zeit kritik geübt hat oder wenn was war dessen rolle.
Martin Tschirsich
Der andre der hat schon seit ich glaube zehn jahren quasi fast jährlich ein experiment durchgeführt und das da wie folgt aus, er sucht sich ein gesetzlich versicherten der ihm vertraut also gut befreundeten kollegen und. Bestellt auf dessen namen eine gesundheitskarte bei einer der großen kassen und so weiter und zeigt damit auf dass die herausgabe dieser gesundheitskarte. Was er zukünftig der schlüssel des versichert. Sein soll für den zugang dieser patientenakte dass der schon seit vielen vielen jahren unsicher ist also er hat quasi das was wir jetzt auf institutions arzt ebene gezeigt haben schon für den versicherten seit vielen jahren jährlich wiederholt demonstriert. Da wurde auch teilweise berichtet darüber im fernsehen schon es hat auch medial gewiss verbreitung gefunden ist dann aber ein bisschen in vergessenheit geraten das problem besteht aber weiter fort und besteht auch heute noch fort, das ist insbesondere deswegen spannend weil die reaktion natürlich jetzt alle sehr überstürzt waren und lauteten ja das wird sofort abgestellt es ist sein das darf nicht passieren aber wir wissen dass dieses problem schon seit seit vielen vielen jahren so existiert und ungeachtet dessen diese karte die gesundheitskarte sozusagen immer weiter aufgewertet wird für immer mehr funktionen und immer mehr zugänge über diese karte ermöglicht werden. Deswegen war der andere dabei und er hat diese geschichte die da dahinter steht also wie lange das schon gerd und wo die probleme eigentlich liegen also in dieser aufsplitterung unseres gesundheitswesens dass wir hier verschiedene verbände und spitzenverbände haben die in dieser gemacht einfluss ausüben, hat der dargelegt und erzählt wie es dazu überhaupt kommen konnte zu diesem äh ich sag mal so offensichtlichen aber doch unbeachtet ein problem.
Linus Neumann
Jetzt war das bei dir martin nicht der. Nicht der erste vortrag zu gesundheitsdaten du hattest ja das jahr davor beim kongress auch schon die diese. Ja wie soll man sagen privatwirtschaftlichen apps und so auseinander genommen insbesondere die patienten aktivist wie aber auch viele andere. Anbieter bei denen du dann wieder viele schwachstellen gefunden hast in deinem vortrag vorletztes jahr hattest du so eine hochrechnung gezeigt mit diesem mit diesem daten oder du hast die die bedeutung von gesundheitsdaten betont im sinne von ne wenn jetzt irgendwie eine bank gehackt wird und da wird geld hin und her bewegt dann kann man das notfalls rückgängig machen da gibt's irgendwelche oder sind verluste die. Ja in irgendeiner form kompensiert sind während das bei patientendaten wenn solche daten verloren sind das ist nicht kompensieren da kann man nicht sagen ach so das war jetzt mal so, aber die sind ja jetzt wieder die sind jetzt wieder sind jetzt wieder sicher oder die stimmen nicht mehr ne ich habe ja gar keine chronische bronchitis mehr oder so ne das ist denke ich zeigt eben, das war ein sehr schönes beispiel dafür warum diese daten so sensibel sind und wie unglaublich wichtig deren schutz ist warum man da eben auch keinerlei. Scherze machen darf.
Martin Tschirsich
Richtig der vergleich liegt ja da oder lag ja nahe damals war glaube ich die diese die einführung da habt ihr auch schon darüber berichtet dieser zwei-faktor-authentifizierung und verschiedene maßnahmen zur sicherheit dieser online das online-banking gerade aktuell. Um um den vergleich aufzuzeigen das online-banking, im vergleich zu unserer aktuellen ich sage mal oder landschaft doch schon deutlich sicherer ist wobei es eigentlich umgekehrt sein muss das eigentlich unsere gesundheitsanbieter sicherer sein müssten als, das online-banking oder online-banking apps und der zukunft darauf weil wir dort wie du ja schon sagtest mit daten hantieren die auch in vielen vielen jahren dann noch gültigkeit haben und wo es auch viel schwieriger ist da jetzt ein ich sage mal ein ausgleich für zu schaffen wenn schadeneintritt wenn wenn wir irgendwie eine transaktion haben die nicht an den intendiert empfänger geht kann ich das einfach ausgleichen. Wenn die gesundheitsdaten an jemanden anderen gehen dann ist es sehr schwer dann nachzuweisen dass dann in ein paar jahren wieder außen schaden entstanden ist weil ich auf der karriereleiter auf einmal nicht weitergekommen, also es ist einfach sehr schwer diesen schaden nachzuweisen das ist sehr schwer ihn auszugleichen und die möglichkeit mit gesundheitsdaten jemanden zu schaden besteht halt sehr lange fort auch vielleicht dreißig vierzig jahren noch man muss allein an diese onlinekurs analysen denken diese datenschätze die sind ja dauerhaft gütig und nicht nur für mich selber sondern auch für meine verwandten die die da. Ich sage mal genetisch sehr ähnlich sind da lassen sich schlüsse daraus ziehen.
Christian Brodowski
Also die gültigkeit von gesundheitsdaten oder des schadens potenzial wird auf hundert bis hundertdreißig jahre geschätzt weil da auch theoretisch die enkelkinder noch was von haben können schützen zum beispiel nehme ich immer gerne die figuren, die chinesen sind ja der meinung dass sie eine besondere behandlung benötigen, aus dem genetischen code den man vielleicht mal irgendwo zu forschungszwecken hingeschickt hat lässt sich natürlich leicht die ethnische zugehörigkeit auch ablesen und daraus können dann den enkelkindern noch nachteile entstehen.
Linus Neumann
Jetzt hast du. Jetzt habt ihr diesen vortrag gehalten im dezember und was ist eigentlich seitdem passiert welche reaktionen hat das hervorgerufen und welche besserung wurden vorgenommen und welche nicht. Du hattest ja glaube ich einen vortrag darüber gehalten.
Christian Brodowski
Genau also martin und ich hatten dort einen vortrag zu vorbereitet und wir hatten ja mal so ein bisschen die die pressesachen gesammelt es gab zunächst mal hatten wir eine responsible des claudia gemacht die sachen wurden also vorher an die thematik weitergegeben, andere beteiligte institutionen sodass die quasi zum zeitpunkt unseres vortrages schon eine ausgabe stopp und ein bestellstopp für diese karten, erwirkt hatten. Es gab dann ein großes presse-echo mit tagesschau heute journal printmedien werden insbesondere mit dem spiegel mit zwei journalistinnen zusammengearbeitet. Die hatten das in einem eine publikation mit reingemischt wo sie auch für einen also es war natürlich ein bisschen publikums wirksamer einen augenarzt seine karten bei einem käseladen um die ecke dann abholen konnte bei dem haben sie quasi unsere sache nochmal nachgebaut das war sehr wirksam es gab eine kleine posse mit dem handelsblatt die dann ein artikel wieder zurückziehen mussten aufgrund auch eines tweets von erd- geist. Wo wir dementiert haben dass wir eine komplette sperrung oder der komplette rückholaktion fordern. Dieser stopp wurde allerdings bestellstopp wurde relativ schnell wieder aufgehoben wobei einige bestellbar möglichkeiten einfach eingeschränkt wurden also insbesondere die die von uns publiziert wurden als als unsicher dargestellt worden die wurden einfach nicht mehr ermöglicht also dieses zweiseitige kammerpräsident und banking verfahren mittlerweile sind aber einige dieser bestell verfahren auch schon wieder online was wir problematisch sehen was aber in der öffentlichkeit glaube ich nicht so angekommen ist wir haben natürlich nur die sachen an dem vortrag publiziert die wir auch selber durchgeführt haben und sind allerdings während des ganzen prozesses noch dinge aufgefallen die ebenfalls schwachstellen sind die wir aber nicht selber angegriffen und deswegen auch nicht in der großen gut großer reichweite publiziert haben. Daran ist zum teil noch nichts geändert worden.
Linus Neumann
Okay also mittelprächtigem ergebnisse.
Martin Tschirsich
Ja wir können darauf eigentlich auf die notwendigen maßnahmen verweisen die wir auch in unserem vortrag ja schon aufgezeigt haben im vorteil haben wir ganz am ende noch so eine eine folie hoffnung präsentiert aber gesagt haben folgendes muss jetzt gemacht werden weil, um um diese probleme, abzustellen auch langfristig erstmal muss geprüft werden ob unberechtigte zulassung entzogen werden müssen also zulassung von diesen kartenanbietern und herausgebern.
Linus Neumann
Man würde jetzt einfach allen institutionen sagen pass auf folgende karten sind auf euch registriert guckt mal ob das ob die richtig sind oder.
Martin Tschirsich
Eigentlich hätte man also was was wir festgestellt haben dass die karten empfänger oder die diejenigen diese, zertifikat nehme wurden nicht identifiziert bei der karten herausgabe das heißt man hätte eigentlich alle nochmal neu identifizieren müssen wie auch immer, präsident oder so etwas das wäre eine möglichkeit um festzustellen die karte liegt tatsächlich beim zertifikat nehme oder sie liegt bei jemand anderem das wäre eine möglichkeit um diesen schaden einzugrenzen und festzustellen welche karten sind wirklich, dort wo sie hingehören und dann hätten diese zuverlässigen also die karten beantragung und herausgabe prozesse nochmal entsprechend im schutzbedarf, spezifiziert werden müssen also wir haben ja gesehen dass die einzelnen sektor organisationen wie die kassenärztlichen bundesvereinigung oder bundesärztekammer als karten herausgeber, dort einige dinge so spezifiziert haben dass sie im grunde genommen. Unsicher waren also ohne identifikation beispielsweise solche karten herausgegeben haben und das müsste neu spezifiziert werden dann muss. Grundlegend haben wir gefordert diese gesundheitskarte nicht nur als versicherungs nachweis sondern auch als identitäten nachweis etabliert werden wenn man sie als identität nachweis verwendet. Es ist ein logischer schluss und diese diese grundlegende ursache die wir da identifiziert haben haben wir zusammengefasst in dem in dem begriff organisierte verantwortungslosigkeit und dieser begriff stammt nicht von uns sondern wer hinter vorgehaltener hand redet man im bmw auch davon organisierte verantwortungslosigkeit dass eben jeder sektor oder jede sagte organisation oder jede gesellschaft hatte gemacht, sich selber versucht aus der verantwortung rauszuhalten ohne das übergreifende bild also die prozesse die wirklich von a nach b durchgehen über verschiedene organisationen hinweg, ohne die verantwortung für diese sicherheit im gesamtsystem zu übernehmen das war das das grundlegende problem dass wir. Als wo wir als maßnahmen vorgeschlagen haben dass hier eine eine wirklich. Also eine unabhängige stelle geben muss die auch die die möglichkeit hat hier durchzugreifen und die. Ordnungsgemäß umsetzung unabhängig zu prüfen also nicht dass die die gesetzlichen krankenkassen in ihrem spitzenverband sagen sonst aber zu aufwendig hier die einzelnen versichern zu identifizieren das muss komfortabel gehen die bundes ärztekammer die sagte naja unsere mitglieder wo wir das jetzt auch nicht zumuten sich alle neu zu identifizieren sondern es muss eben eine unabhängige stelle geben die dir dass die gesamt sicherheit das gesamte system im blick hat und da nicht auf einzelne befindlichkeit rücksicht nimmt das war die maßnahmen die wir vorgeschlagen haben und wie sie eben schon gesagt hat na ja, die wurden herzlich angenommen diese vorschläge geändert hat sich jetzt etwas aber, ich will dazu ein beispiel geben also wir haben beispielsweise die ausgabe der gesundheitskarte, als problematisch festgestellt bei der aok hatte der andere zilch eine gesundheitskarte auf den namen eines anderen versicherten bestellt. Dazu muss man bei der aok einfach ein e-mail musste man dahin schicken und im anhang der e-mail musste man ein formular. Als eingescannt dokument anhängen und in diesem formular steht dann der name vorname und vielleicht noch die krankenversicherungsnummer dieses versicherten. Und dann die neue adresse dieses formular mit dieser adressänderung wird dann per e-mail an die aok geschickt und dann ändert sich die adresse für diesen versicherten, problem ist sie prüfen nicht wer diese adressänderung für anlass das heißt jeder der im besitz dieser daten name vorname krankenversicherungsnummer und vielleicht noch alte adresse ist der kann dann die daten ändern in eine neue adresse, und sich dann an diese neue adresse der neue gesundheitskarte schicken lassen das war einfach per e-mail möglich und jetzt hat die aok natürlich reagiert sie haben das jetzt geändert. Und zwar wie folgt jetzt kann man das nur noch per webcam formular hoch senden wenn ich mir per e-mail. Und das heißt es wurde etwas getan sie wissen auch bescheid aber die lösung ist das natürlich noch nicht ja also es hat sich im grunde genommen nichts geändert an der aktuellen situation dass wir keine identifikation haben.
Linus Neumann
Aber mal aber man hat was gemacht.
Martin Tschirsich
Es gab auch noch eine reaktion vom der regierung also die grünen meine ich hatte eine kleine anfrage gestellt an die bundesregierung. Und gefragt wie es denn aussieht ob da jetzt die zulassung entzogen werden muss. Die zulassung der karten herausgeber und die antwort der bundesregierung war dann. Naja zugelassenen anbietern kann die zulassung entzogen werden aber nur sofern diese die zulassungsbescheinigung nicht mehr erfüllen allerdings waren die vom c demonstrierten schwachstellen bisher nicht gegenstand der zulassungsbescheinigung und deswegen. Logische schlussfolgerung muss auch die zulassung nicht erzogen werden. Das ist natürlich wenn man sich das mal vor augen führt was das bedeutet ist es natürlich vollkommener schwachsinn also dass die aussage sagt quasi der bundesregierung dass das was wir demonstriert haben dass die. Schlüssel vergabe. Einfach wahllos erfolgt ohne identifikation der schlüsselnummer oder zertifikaten immer dass das bisher nicht bedingung war der zulassung für diese karten herausgeber deswegen kann die zusammen auch nicht entzogen werden und deswegen dürfen wir die karten weit herausgeben. Ist natürlich zu einfach also das bett nicht die ursache sondern das befreit nur von jeglicher verantwortung oder oder oder schuld die jetzt hier ein ich sage mal jemand tragen würde. Da sehen wir dass wir noch nicht durchgedrungen sind mit dem was wir gesagt haben auf unserem vortrag.
Linus Neumann
Schönes beispiel für organisierte verantwortungslosigkeit.
Christian Brodowski
Die einladung von herrn spahn sollte man vielleicht noch kurz erwähnen also der hat ja reagiert auf unseren vortrag dass er gesagt hat ja wir setzen uns mit den verantwortlichen etc zusammen und wird sie über uns bitten die elektronische patientenakte weiter auf die probe zu stellen und der challenge da den pc das haben wir nicht positiv wahrgenommen sondern das war so eine art umarmung oder vereinnahmung strategie und deswegen haben wir diesen treffen auch eine absage erteilt, es hat martin mittwoch mitte februar gemacht oder eine februar für uns alle. Ob es noch ein treffen geben wird muss man sehen im moment steht natürlich andere dinge im vordergrund.
Linus Neumann
Das thema ist natürlich sowas passiert gerne der c zeigt irgendwo einen fehler, und dann liest du rucki zucki auf einmal in den nachrichten. Jens spahn verpflichtet ne oder stellt jetzt c in einer expertengruppe und arbeitet mit dem c zusammen und alle alle wissen dass nur irgendwie der cfc hat noch nichts gemerkt ne und das ist natürlich leider eine sehr ja eine sehr durchschaubare strategie sich eben ja die leute dann zu umarmen und irgendwie ja auch quasi in eine. Position zu drängen ja ihr macht jetzt mit ihr müsst jetzt ihr helft uns jetzt bei den die diese sachen zu beheben und bestätigt dann dass es nachher sicher ist ja und das quasi. Die aufgezeigten versäumnisse umbiegen zu wollen in eine. In irgendwie in einen vorteil dass man jetzt am ende eine zertifizierung vom c bekommt oder so ja und dem muss natürlich dann. Eine absage erteilt werden was natürlich nicht heißt dass das der c gerne berät und mitmacht aber nicht wenn das quasi von vornherein als eine. Ja als der rettung gezogen wird bevor überhaupt irgendein treffen stattgefunden hat das geht natürlich so nicht insofern. Muss man dann da dem herrn spahn sagen nee arbeitet erstmal durch was für euch gesagt haben es gibt ja ausreichend dokumentation response und vorträge und behebt mal und dann kann man sich auch mal unterhalten so ne aber nicht damit jens spahn damit für sich werben kann sondern damit das gesundheitssystem. Oder dieses technische system verbessert wird denn das ist ja das dem ich denke alle beteiligten sich hier verpflichtet fühlen. Jetzt haben wir im bereich gesundheitsdaten ein gerade ein neues gesetzgebungsvorhaben. Auf dem tisch liegen und da geht es um das patienten datenschutzgesetz oder patienten datenschutzgesetz ich weiß noch nicht mal wie man's ausspricht worum genau geht es da denn jetzt.
Martin Tschirsich
Also das patienten datenschutzgesetz sieht vor dass. Beispielsweise die also die einführung der patientenakte ich greife nochmal ein stück zurück die einführung der patientenakte sollte eigentlich eine digitale versorgungsgesetz abschließend geregelt werden, scheiterte es dann aber daran dass, zu dem zeitpunkt der geplanten einführung also erste januar einundzwanzig noch kein feind granularer zugriffs berechtigung konzept verfügbar sein wird auf die. Dokumente in dieser patientenakte das heißt als versicherte kann ich wenn ich da ein dokument einstellen diese akte dass nur entweder komplett freigeben allen. Leistungserbringung oder ärzten denen ich zugriff auf meine akte gegeben habe. Oder niemandem aber ich kann nicht sagen bitte nur der arzt aber der andere nicht der darf nur die dokumente abc sehen und der dritte arzt darf auch das dokument set sehen das. Gab der diskussion darüber ob der zahnarzt wirklich meine ganzen anderen medizinische dokumente sehen soll ja oder nein und da gab's dann auch teilweise ich sage mal fachliche gründe dafür warum das entweder sinnvoll ist oder nicht und. Da war dann die bedrohungslage so für die bundesregierung dass die verabschiedung des dvd das digitale versorgungsgesetz es zu scheitern drohte weil dieser teil, dieser feinkord zukunftsbereiche dort noch nicht enthalten war oder nicht geregelt wurde deswegen hat man das alles rausgenommen und ein eigenes gesetz verfrachtet des patienten datenschutzgesetz und das wurde jetzt verabschiedet aber patienten datenschutz, ist vielleicht ein teil dieses gesetzes aber das gesetz ist eigentlich viel mehr oder hat andere viele andere punkte wieder in in einem gesetzesvorhaben zusammen integriert ich gehe mal die wichtigsten punkte durch das erste ist natürlich die elektronische patientenakte, es geht um die funktion die diese akte bieten soll es geht um den zugriff über ein eine benutzeroberfläche das heißt also eine eine app für den versicherten dass der versicherte mit smartphone oder tablet auf seine akte zugreifen kann und dann natürlich dass der patient auch weiß wer der datenschutzrechtlich verantwortlich ist für diese daten das ist dann wieder der datenschutz teil dann geht es darum dass eine datenspuren ermöglicht werden soll also für sicher sie können dann ihre daten aus dieser akte der forschung zur verfügung stellen das wird in diesem gesetz zumindest schon mal. Initial ermöglicht eröffnet diese möglichkeit leistungsabbringer ärzte können. Rezepte ausstellen also elektronische verordnung das heißt dass patienten datenschutzgesetz regelt auch das kommende elektronische die elektronischen rezepte verordnung. Es wird auch. Der zugriff des leistungserbringung auf diese patientenakte geregelt also wie ärzte darauf zugreifen können welche vergütung sie bekommen wenn sie dort dokument einstellen oder dass sie keine vergütung bekommen in gewissen fällt und dann. Auch spannend wird jetzt neu wieder aufgenommen die verpflichtung für ärzte dass sie wenn der patient es wünscht. Die dokumente in dieser akte elektronische patientenakte stellen müssen das ist nämlich zwischenzeitlich im dvg rausgeflogen dieser passus dass ärzte verpflichtet sind diese patientenakte zu befüllen wenn der versicherte es wünscht und das wurde jetzt wieder mit aufgenommen also für den versicherten ist diese akte freiwillig nur ärzte oder. Berechtigte teilnehmer im gesundheitswesen müssen diese akte befüllen mit den dokumenten das versicherten auf wunsch des versicherten und. Es wird natürlich auch festgeschrieben diesen patienten ausschuss gesetz das den ärzten. Sanktionen thron wenn sie das nicht ermöglichen und da sind wir glaube ich jetzt bei zwei komma fünf prozent des honorar keine christian mehr sagen. Ja das sind so die die elemente dieses patienten datenschutzgesetz da ist noch einiges mehr drinne beispielsweise gibt es dann noch ein grünes rezept und da kann der christian sich auch noch mehr dazu sagen, es werden neue fristen eingeführt für die gesellschaft der telematik infrastruktur die auch sehr ambitioniert sind was die einführung dieser elektronischen patientenakte und das rezept ist diese. Über die kommenden jahre angeht. Und beschlagnahme schutz ist auch wieder drin also ist wirklich ein wie sagt man so eine art um die bus gesetz indem alles mögliche drin ist patienten datenschutz ist ein ja ein teil davon.
Linus Neumann
Und welche kritikpunkt oder welche welche herausforderung gibt es jetzt weil ich hatte den ein oder es wurde schon relativ, kontrovers diskutiert also es gab ja durchaus einige. Probleme die da angemeldet gemerkt wurden von den sachverständigen in der anhörung im im bundestag wie wie wird das denn aus der aus der ärzteschaft bewertet christian.
Christian Brodowski
Also man muss zwei sachen vorausschicken zum einen das ist ein entwurf der noch diskutiert wird also aktuell laufen tut das noch nicht, das heißt wir hatten noch keine möglichkeit diese die technischen details wirklich im realbetrieb anzuschauen das zweite muss man ganz grundsätzlich sagen also es gibt das zitat aus diesem referentenentwurf vom einunddreißigsten ersten zwanzig dass die datenschutzrechtlichen verantwortlichkeit für die datenverarbeitung in der telematik infrastruktur lückenlos gesetzlich geregelt wird das ist natürlich nicht so also das was wir vorhin als. Institutionelle verantwortungslosigkeit bezeichnet haben das trifft leider auch hierzu also insbesondere paragraph dreihundertsieben geht's um datenschutzrechtlichen verantwortlichkeiten und da steht also in einem gesetzestext drin, dass die verarbeitung von personenbezogenen daten insbesondere in der verantwortlichkeit der leistungserbringung liegt leistungsabbringer sind ärzte aber auch andere institutionen des gesundheitswesens und da haben wir natürlich ein problem mit weil. Wir natürlich keine möglichkeit haben erstens bei uns gegen diese komponenten zu wehren die wollen uns quasi gegen unseren willen in die praxen gestellt und das wird jetzt ab april mit zwei komma fünf prozent honorar abzug sanktioniert, also respekt an alle kollegen die das mitmachen und die eure daten schützen indem sie da einen haufen geld für auf den tisch legen und es gibt dann einen kommentar zu diesem gesetz, indem dann steht dass sich das schwerpunktmäßig auf die sicherstellung der bestimmungsgemäßen nutzung der komponenten, gemessen anschlusses und durchführung von updates bezieht allerdings steht das eben nicht im gesetz sondern nur irgendwo am rande an einem kommentar und ist deswegen auch juristisch eher schwierig zu bewerten. Das heißt wenn jetzt wirklich ein daten schaden durch den patienten entsteht und der seinen arztbrief im internet findet dann ist der arzt natürlich der erste auf den er zugeht und sagt hey pass auf was ist damit man man nazis und meinen daten passiert also der der arzt hat in jedem fall den den ärger und die mitverantwortung für eine sache dir eigentlich selber überhaupt nicht einsehen nicht verhindern und nicht steuern kann.
Linus Neumann
Also strenggenommen die ärzte sagen einfach okay wir wir sind verpflichtet diese systeme einzusetzen die systeme sind im prinzip entziehen sich auch unserer hoheit und wir sollen aber jetzt verantwortlich für deren sicherheit sein das ist quasi. Dass die die die kritik aus der aus der aus den heilberufen.
Christian Brodowski
Das ist einer der der kritikpunkte die wir daran haben ja das ist hast du gut formuliert.
Martin Tschirsich
Wobei die bvb, die sagt dazu genau zu diesem punkt ja dass die datenverarbeiter also in dem fall die ärzte muss ein verschulden für den eingetretenen schaden treffen nur dann haften sie auch problem ist nur das muss dann der arzt erstmal nachweisen dass ihm das verschulden hier nicht trifft sondern dass das ein fehlerhafter connector oder dass der installateur ein fehler gemacht hat der aber falsch behauptet hat dass er qualifiziert ist oder etwas derart also da bleibt viel bleiben viele fragezeichen und viel aufwand im falle eines schadens beim leistungsabbringer hängen bleibt.
Christian Brodowski
Da stecken der teufel auch in vielen details zum beispiel bei der installation kann sein durchaus passieren dass halt so ein wenig qualifizierter it, mensch da kommt das irgendwie anschließt sodass es funktioniert, der durchschnittliche arzt hat mich so viele kenntnisse dass er erkennen kann dass die firewall schlecht konfiguriert wurde oder dass dein system dadurch irgendwie beeinträchtigt wird oder ob das vielleicht sogar eine backdoor irgendwo installiert hat. Und es kann auch passieren dass der anbieter eben sagt ich unterschreibe dir nicht dass ich das richtige installiert habe und wenn sie nicht passt kannst du den anderen suchen, es gibt jetzt nicht so viel anbieter für praxis verwaltung systeme die noch ein it-support mit dazu anbieten und die telekom zum beispiel steigt langsam aus aus dem ganzen, und das heißt man hat auch gar nicht die möglichkeit sich mal eben einen neuen anbieter zu suchen der einem das dann vielleicht richtig macht. Und gerade zum beispiel telekom ist ein schöner schönes beispiel die haben jetzt einen rückruf aktion für ihre konnektoren gestartet. Und tauschen das die hardware aus das heißt es ist dahinter zu vermuten dass es probleme mit der hardware dort gab die aber vorher die entweder bewusst so ausgeliefert wurde oder bei der jetzt im nachhinein aufgefallen ist dass sie unsicher war und die aber eben als dezentrale komponente der de verantwortungsbereich des arztes steht.
Tim Pritlove
Also ich würde sagen das vielleicht nicht unbedingt die hardware sondern da die telekom ja unterschiedliche anbieter im vertrag hat kann es sein dass sie da einfach bei einem hersteller die hoffnung verloren haben und jetzt auf einen anderen hersteller wechseln.
Christian Brodowski
Die tendenz geht sowieso in die richtung dass die konnektoren gar nicht mehr zwangsläufig in den praxen stehen sollen sondern es ist jetzt auch möglich, dass quasi rechenzentren konnektoren in größerer menge hosten und die arztpraxis sich bei diesem connector verbindet. Wobei das eigentlich um eine verlagerung dieses problems ist. Das ist ja grundsätzlich eine schlechte idee gesundheitsdaten irgendwo übers internet zu schicken weil wir nicht wissen wie lange diese verschlüsselung die wir da verwenden überhaupt haltbar sein wird also man geht von fünf bis sieben jahren aus, und bei der haltbarkeit von gesundheitsdaten von über hundert jahren ist das vielleicht eher eine schlechte idee aber das trifft natürlich generell auf die telematik zu.
Martin Tschirsich
Wir haben natürlich genau zu diesem punkt in patienten datenschutzgesetz ein passus das heißt ein absatz im paragraph dreihundertzweiunddreißig sagt es geht darum dass ein arzt diese komponenten ja installiert bekommt er dann seine praxis durch den dritten dienstleister und er dann die verantwortung dafür übernehmen muss auch wenn dieser dienstleister da vielleicht fehler gemacht hat und dann erstmal nachweisen muss dass es nicht das eine. Kein verschulden da trifft und da gibt es dann extra einen passus der dann sagt dass diese erfüllung der anforderungen also, fachkundig sein muss der installateur und so weiter die muss der gegenüber den leistungserbringung auf verlangen auf geeigneter weise nachgewiesen werden und genau das ist das problem dass der christian schon sagt es ist ein hola also der bringt einfach kein vorteil in der praxis weil der installateur vor ort dann sagt na gut dann gehört zu jemand anderem es gibt keinen anderen und dann zahl halt eine zwei komma fünf prozent honorar abzug strafe weil du jemand findest der dir diese komponenten installiert, ist natürlich eine zwangssubventionen die die ärzte angebracht werden und zurecht nämlich an ist man darüber auch nicht erfreut.
Linus Neumann
Also so wie ich diese miliz also diese im sicherheitsbereich so etwas kenne würde ich jetzt vermuten dass die also im prinzip ist es ja sogar halbwegs gut wenn sie sagen in geeigneter weise weil damit wenigstens nicht von vornherein irgendeine form von monopol festgesetzt wird ja weil wenn sie jetzt sagen würden muss von dem und dem zertifiziert sein oder so dann hättest du sofort irgendeine irgendeine art der monopolisierung auf irgendeine bestimmte zertifizierung üblicherweise würde ich dann jetzt erwarten dass das bsi irgendeine richtlinie. Definiert die dann nachher mit einer verordnung zu einer geeigneten weise wird ja dass also der der it- bieter auf irgendeine form zertifiziert wird dass er mit diesen gesundheitsdaten umgehen kann also so das wäre jetzt meine vermutung dass das der dann am ende die regelung ist die man da versucht.
Martin Tschirsich
Eine zertifizierung gibt es tatsächlich oder ist geplant soweit ich da auf dem neusten stand bin was jetzt nicht mehr ganz hin kann letzte mir bekannte information dass die dort eine zertifizierung anbieten soll für dienstleister. Ich weiß nicht ob sich das weiterhin in der umsetzung befindet das war teil eines folgen des vorhabens hier in dem psg steht dass diese erfüllung der anforderungen also dieser nachweis wieder erbracht werden soll das bestimmt in sicherheit. Dingen die thematik also die gesellschaft für telematik. Die leistungsabbringer organisation also die ärztekammer bundesärztekammer oder kassenärztlichen bundesvereinigung die können da hinweise geben aus ihrer sicht nochmal sehe ich jetzt hier nicht dabei aber wäre natürlich sinnvoll jemand mit einzubeziehen der da schon erfahrung.
Christian Brodowski
So einen ganz wichtigen punkt der mir so aufgefallen ist bei der durchlesen des gesetzestexte also das ist schon oft involviert auch in diesem gesetz wird eine offene zusammenarbeit definiert zwischen der thematik also gesellschaft der telematik, und dem wobei da häufig steht dass das wie es ihnen, vorschlag also einen das recht hat etwas dazu zu sagen aber nur relativ selten steht dass entsprechende maßnahmen in einvernehmen mit dem bsi zu treffen sind, da muss man sich bei jedem paragraphen genau anschauen also wo das bsi wirklich nein sagen kann oder wo es nur etwas dazu sagen kann.
Linus Neumann
Ich glaube da sind die das ist ja auch die erfahrungen die wir damals bei der bei der wahl gemacht haben martin. Da sind die generell möglichkeiten des bsc immer relativ beschränkt ne die können eine ganze menge empfehlen aber irgendwelche wirklichen zugriffs, durchsetzungs möglichkeiten haben die leider dann doch nicht.
Martin Tschirsich
Richtig genau was ja auch hier das problem ist die spezifikation sind ja oft richtig und auch zu über detailliert und die wie es dann umgesetzt wird oder bei nachgeordnete organisationen dann umgesetzt wird da hakt es dann und da fehlt dann oder fehlte bislang. Nicht unbedingt die möglichkeit zum zugriff sondern vielleicht dieses verständnis dass wir da mal durchgreifen müssen das allein hat aber da tatsächlich keine möglichkeit zu zu durchzugreifen. Was auch noch spannend ist vielleicht hier im bezug auf diese, also die verantwortung in bezug auf die datenverarbeitung da beschweren sich jetzt die hersteller verbände also die die verbände der anbieter von diesen patientenakten beispielsweise die müssen ja ihre anwendung nach spezifikation der grammatik implementieren und dürfen davon auch nicht abweichen, aber dann die verantwortung übernehmen wenn da irgendein fehler drin ist also sie sind ja verantwortlich allein verantwortlich. Wenn wenn es da zu einem fehler kommt in der datenverarbeitung und haben aber keinen einfluss darauf wie sie diese daten verarbeiten also vor der spezifikation her und da fordern jetzt die hersteller vielleicht auch zu recht dass die thematik die verantwortung übernimmt im hinblick auf die spezifikation und die darin enthaltenen vorgaben hinsichtlich der gewährleistung von datenschutz und it-sicherheit also ein extra passus wollen sich die hersteller jetzt eintragen die anbieter von solchen diensten. Und es werden natürlich auch im interesse der ärzte darauf hinzuweisen dass das für sie genauso gilt dass wenn sie komponenten der telematik infrastruktur dezentral aufbau. In ihren arztpraxen um sich mit dieser zu verbinden beispielsweise dass dass ihr keinen einfluss darauf haben wie daran diese daten verarbeitet werden dass das eben ausgenommen wird explizit das hatte christian auch schon gesagt dass es im kommentar zwar steht aber im gesetz noch fehlt.
Linus Neumann
Das klingt ein bisschen nach genau dem fall den ihr da jetzt oder eine ähnlichkeit mit einem ähnlich gelagerten fall wie dem den ihr jetzt da schon mal gezeigt hat dass im prinzip sich alle an die regeln halten ist trotzdem eine schwachstelle gibt und jetzt ist die frage wer ist verantwortlich. Oder habe ich richtig verstanden.
Martin Tschirsich
Richtig und hier gerade aus sicht der ärzteschaft muss man sagen ist natürlich das schwächste glied einzelne leistungsabbringer der hat nicht wie beispielsweise den bitcoin als verband der, anbieter im hintergrund der dann hier auf dieses gesetzesvorhaben derart einfluss nimmt da muss man schauen dass jetzt die bundesärztekammer beispielsweise das vielleicht doch noch schafft in diesem referentenentwurf diese diesen passus da abzuändern.
Christian Brodowski
Es bleibt zu hoffen also im moment sind die erstens mit anderen dingen beschäftigt und zweitens mal ist kompetenz gerade in den ärzte gremien doch nur sehr punktuell vorhanden muss man leider sagen.
Tim Pritlove
Wenig überraschend und das müsste eigentlich auch nicht unbedingt so sein also wir sind da auch einfach schlecht beraten durch die regierung.
Christian Brodowski
Ja richtig und ärzte lassen leider auch sehr viel mit sich machen aber das ist ein anderes thema. Eine sache wo ich noch ansprechen wollte thema datenhoheit das hat auf der mein vortrag auf der hip auch zu einem ausführlichen diskussion geführt also bei mir schlagen da drei herzen in meiner brust, zum einen beschreibt ja der referentenentwurf dass eine patienten souveränität herrschen soll das heißt. Dass bei der versicherten geführten akte auch der versicherte die komplette hoheit über seine eigenen daten hat, da rüber da kann ich als patient also ich bin selber gesetzlich versichert sagen klar musst du sein absolut richtig absolut toll auch als informationssicherheit interessierter mensch kann ich sagen ja absolut richtig als arzt muss ich da leider dagegen sprechen wir haben ein problem das manchmal patienten auch versuchen ärzte sei es absichtlich oder halb unabsichtlich hinters licht zu führen, und ihnen daten vorzuenthalten. Insbesondere haben sie natürlich die möglichkeit in der elektronischen patientenakte auch wenn dieses granularer berechtigung konzept dann kommt dann dem arzt bestimmte arztbrief e oder informationen eben nicht zu zeigen, und ich hatte selber schon patienten die so eine art bei doktor probiert haben die mir also mir und dem operateur also allen beteiligten. Ärzten eben nicht gesagt haben das schwere erkrankungen vorliegen und die das als positiv bewertet haben so einzuschlafen und nicht mehr aufzuwachen genauso kann's patienten geben die vielleicht schadenersatzansprüche ansprüche erwirken wollen, indem sie halt dem arzt informationen vorenthalten es dann zu einem wie auch immer gearteten schaden kommt und sie danach schmerzensgeld oder schadenersatzansprüche anmelden, und behaupten na ja wieso da stand doch in meiner ehepaar und der arzt hat er relativ schlechte karten weil er natürlich schlecht beweisen kann dass zu diesem zeitpunkt zu dem er das eingesehen hat also zum beispiel bevor ich meine narkose angefangen habe eben eine bestimmte information für ihn nicht einsehbar war. Dazu kommt eben das in dem. Referentenentwurf auch steht dass die protokoll daten der gesundheitskarte nur für den versicherten bestimmt sind die darf also der arzt nicht einsehen und dazu kommt der beschlagnahme schutz das heißt selbst wenn der arzt in einem strafverfahren ist und auf die beschlagnahme dieser protokoll daten hinwirken möchte er sie eventuell nicht bekommt, und damit hat der arzt relativ schlechte karten die einzige möglichkeit die er hat das zu umgehen ist halt jedes mal wenn man zumindest dieses verzeichnis der dateien bekommt von den patienten davon einen screenshot zu machen und den irgendwo zu speichern und da ansonsten hätte der arzt wahrscheinlich ein problem nachzuweisen dass ihm bestimmte informationen nicht zur verfügung standen.
Martin Tschirsich
Thema beschlagnahme schutz das ist ein ganz wichtiges thema wir hatten. Früher schon ich kritisiert ich glaube auch zum teil auf dem kongress dass die arzt- akten solange sie in gewahrsam des arztes sind ein beschlagnahme schutz unterliegen das heißt. Sie dürfen da nicht durch die ermittler irgendwie beschlagnahmt werden wenn es von dem verfahren kommt praktisches beispiel es gab in berlin im fall eines, autofahrers der von der straße abgekommen ist mit hoher geschwindigkeit und ein passanten und passanten überfahren hat so tode gekommen sind, da wurde dann versucht auf die patientenakte zugriff zu nehmen um auszuschließen dass dieser fahrer eventuell epilepsie oder andere oder vielleicht auch ein alkoholische sucht oder irgendwo irgendwas leidet und das vielleicht heranzuziehen für das strafverfahren dieser zugriff wurde verwehrt und es gab auch keine möglichkeit für die ermittler auf diese akte zuzugreifen ohne einverständnis des patienten. Das ist ein ganz wichtiges schutzprinzip dieser medizinischen daten ich bin auch nicht verpflichtet im prozess oder gegenüber den ermittlern aussagen über einen eigenen gesundheit. Zustand zu machen oder meine eigene gesundheit dort zu offenbaren und das wird natürlich. Wenn diese daten jetzt sich außerhalb des gewahrsam des arztes befinden indem er seine kompletten bestände an informationen über diesen versicherten in die elektronische patientenakte hochlädt konterkariert. Dann, kann man natürlich sagen dass aktuell wenn ich mir beim arzt ein ausdruck eine kopie mein arzt akte geben lassen dass die auch nicht diesen beschlagnahme schutz unterliegt aber wir haben hier ja das bestreben, dass möglichst alle dokumente die der arzt mit den versicherten besitzt alle informationen dauerhaft und lebenslänglich in dieser patientenakte abgelegt werden sollen und diese patientenakte soll auch als instrument des austauschs zwischen ärzten und also. Dienen sodass sozusagen von einem arzt zum anderen die akten weitergegeben werden und solange sie sich aber in dieser patientenakte befinden unterliegen sie oder unterlagen sie dann nicht mehr diesen beschlagnahme schutz und hätten beschlagnahmen werden dürfen und das ist natürlich ein problem wenn wir. Statt im einzelfall wie jetzt das quasi zum regelfall machen möchten dass. Attacken wird sein gespielt auch dieser patientenakte liegen und deswegen hat man jetzt den beschlagnahmen schuss auch auf diese elektronische patientenakte ausgeweitet und das ist ein teil für diese patienten datenschutzgesetz das. Zeugnisverweigerungsrecht oder also von zur verweigerung des zeugnis berechtigten eingestellte dokumente in dieser patientenakte nicht beschlagnahmt werden dürfen. Das problem ist dass es natürlich wieder zu über spezifisch wenn ich jetzt also beispielsweise und das das. Interessanterweise hat es beispielsweise bitcom angemerkt ja jetzt nicht wenige patienten vertreter sind die haben gesagt wenn jetzt von einem angehörigen eines anderen halbe rufes der zwar schweigepflicht ist aber kein zeugnisverweigerungsrecht hat. Wie zum beispiel ein psychotherapeut den der patient von sich aus aufsucht. Der hat dann ein schweigepflicht aber kein zeugnisverweigerungsrecht recht über die in diesem. Patienten psychotherapeuten sitzungen angefallene daten wenn von diesem dann daten in diese patientenakte eingetragen werden dann unterliegen die nicht mit diesem diesem. Beschlagnahmen schutz also dieser dieser passus das nur von zeugnisverweigerungsrecht. Und es ist immer kontext abhängig ob auch ein arzt kann teilweise nicht zeugnisverweigerungsrecht sein wenn er mich irgendwo als patient auftritt es ist sehr schwer zu ermitteln wenn von diesen daten eingetragen werden dass sie nur dann eben diesen beschlagnahmen schutz unterliegen. Wenn wenn es tatsächlich im moment der eintragung derjenige zeugnis verweigern berechtigt war und das hat das das müsste noch ein bisschen angepasst werden dass sozusagen die daten allgemein die da drinne sind. Insbesondere also die von leistungserbringung eingetragenen daten diesen beschlagnahmen schutz unterliegen.
Christian Brodowski
Zumal der patient ja auch die möglichkeit hat eigene daten in die epa einzustellen.
Linus Neumann
Ach so ich kann ja auch noch selber sachen daten speichern oder was.
Christian Brodowski
Die würden beim leben auch nicht unterlegen.
Linus Neumann
Was würde aber das ok der fall wäre jetzt ich ich habe irgendwas gescannt und leg das da jetzt auch mal dazu um oder oder was wäre da der der anwendungszeit.
Christian Brodowski
Genau zum beispiel ich habe irgendeinen alten arztbrief zuhause gefunden oder jemanden aus dem ausland und scannt den selber ein und stelle ihn da dazu.
Linus Neumann
Dann würde ich fragen haben wir alle bereiche behandelt und dann würde ich noch mal so zur zusammenfassung bitten.
Martin Tschirsich
Ich finde es gibt noch zwei wichtige bereiche die wir noch nicht betrachtet haben das eine ist die reaktion auf den sechsunddreißig drei auf unseren vortrag, die hat dazu geführt dass wir hier einen eigenen absatz bekommen haben im psg und zwar heißt es da speziell in paragraph dreihundertelf aufgaben der gesellschaft telematik, die sicherheit der in der telematik infrastruktur genutzten identifikations- und authentifizierung verfahren, insbesondere der karten und ausweise sowie deren ausgabe zu koordinieren zu überwachen und bei sicherheitsmängel verbindlich vorgaben zu machen das ist jetzt, nach dem patienten datenschutzgesetz eine aufgabe der gesellschaft telematik geworden. Das ist erst mal erst mal dass sich das natürlich sehr schön an ja da muss man sich aber fragen war das denn vorher noch nicht aufgabe der thematik ja oder wessen aufgabe war das denn vorher für diese sicherheit sorge zu tragen und wenn man da ein bisschen auf den grund gehen dann sehen wir das eigentlich schon heute also, im sozialgesetzbuch steht dass die thematik verantwortlich ist für das erstellen und überwachende einhalten der vorgaben für den sicheren betrieb der telematik infrastruktur, und dazu gehört auch sicherstellen der notwendigen testen zertifizierung maßnahmen und festlegen die verfahren zur verwaltung gesetzlich geregelt der zukunftsgerechte lösung sowie der steuerung dieser zugriffe. Also das ist ein alibi passus der man jetzt aufgenommen hat wo man sagen kann hey der c hat's jetzt aufmerksam gemacht wir müssen ja auch die schlüssel verteilung sicher machen oder schreiben wir jetzt mal rein da sind wir nämlich so ein bisschen gesichtswahrend haben wir uns da wieder rausgezogen zu sagen jetzt haben wir das ja endlich mal gesetzlich definiert und danke für den hinweis und jetzt haben wir's gelöst dabei war das vorher genauso schon die verantwortung aber trotzdem fühlt man sich natürlich geehrt dass man hier einfluss auf dieses gesetz zu verfahren genommen hat gesetzgebungsverfahren indem man sich da widergespiegelt findet was man als forderung in diesem vortrag herum hat.
Linus Neumann
Aber die grundsätzliche forderung ich gucke mir gerade nochmal unsere pressemitteilung dazu an eine unabhängige zentrale stelle. Sollte für die informationssicherheit der telematik infrastruktur verantwortlich sein diese stelle sollte prozesse nicht nur vorgeben. Sondern auch ihre ordnungsgemäße umsetzung unabhängig prüfen und. Mir scheint jetzt die thematik nicht unbedingt die anforderungen unabhängig und prüfungen zu erfüllen oder weil das wären ja wiederum ihre eigenen prozesse oder würdest du sagen die forderung ist damit erfüllt.
Martin Tschirsich
Also laut dem absatz in dreihundertelf psg aufgaben der gesellschaft für telematik also dass die jetzt verbindliche vorgaben machen soll. Was sie auch vorher schon machen sollte das richtet sich ja an die gesellschaft der telematik infrastruktur und da sind wieder die einzelnen gesellschafter und die gesellschaft das sind das bmw der spitzenverband der gesetzliche krankenversicherung und und und und genau da hatten wir das problem, die sich untereinander nicht einig waren und die lösung kam. Also in bezug auf diese unabhängige stelle eine stelle die da vermittelt vorgaben machen kann wie kam er dadurch ins spiel dass sich das bmvg die mehrheit an der gesellschaft für telematik gesichert hat mit einundfünfzig prozent und. Neuerdings auch einfacher mehrheiten reichen in gremien der grammatik oder in dieser entscheidungsfindungs-prozess innerhalb der grammatik um dinge durchsetzen zu können das heißt das bmvg hatte schon also bundesministerium für gesundheit mit der übernahme der mehrheitsanteile in dieser gesellschaft für telematik sich diese möglichkeit eröffnet, als allein verantwortlicher durchzugreifen das ist aber jetzt nichts was dieser passus hier aufgreift oder was ich aus diesem neuen absatz in dreihundertelf aus dem peters ergibt. Wir haben noch einen zweiten wichtigen punkt das ist die datenspuren finde ich weil das ist ein ein gebiet das immer für ich sag mal. Sehr kontroverse debatten sorgt und zwar die möglichkeit ist versicherten seine daten zu spenden wobei datenspeicher ja auch schon ich sag mal. Werten der begriff ist ja das ist ja unschön wenn man die spende verweigert ja und wer spendet das ist erstmal etwas löblich sowas anerkennenswert ist das kann man so stehen lassen ist aber natürlich im rettender begriff und die daten spende wird im dsg so geregelt dass. Die in der elektronischen patientenakte gespeichert und gesundes gesundheitsdaten die über keinen personenbezogen verfügen dass die gespendet werden dürfen und zwar, musste versicherte einen einwilligen und dann fließen diese daten eben ab zur datenspuren es ist genau genau und sehr sehr einschränken geregelt wer dann auf diese gespendeten daten zugreifen darf, da gibt es auch schon forderungen von verschiedenen verbänden dass das auch bitte ausgeweitet werden soll auf pharmazieunternehmen und ähnliche weil die ja die eigentlichen forschungsleistungen sind in deutschland, momentan ist aber nicht der fall das problem ist nur ich kann diese spende zum einmal, zwar beenden also ich kann sagen jetzt stelle ich meine daten spende wieder ein aber die schon gespendeten daten die sind dann außerhalb meines einflussbereich das heißt ich enttäuscht wäre quasi, alle meine zukünftigen entscheidungs und konrad kontrollrechte an diesen daten und kann dir auch nicht wieder zurückgewinnen ja wenn ich es einmal gespendet habe ich habe also keinen keinen einfluss mehr darauf ich kann nicht sagen ich möchte jetzt meine daten wieder diese spende entziehen. Die sind dann.
Linus Neumann
Ja gut das kann ich bei einer normalen spende ja auch nicht.
Martin Tschirsich
Ja klar aber wir haben ja hier keine normale spende sondern der datenspeicher, und die analogie hört da ja auf und hier könnte man beispielsweise konzepte fordern dass ich meine daten der forschung zur verfügung stelle und irgendwann diesen zugriffs diese zukunftsrecht für forschungsvorhaben ja auch wieder entziehen also das ja möglichkeiten vorhanden, dann ist natürlich auch die frage diese daten sollen entweder pseudonym oder anonym weitergemeldet werden da gibt es zwei verschiedene möglichkeiten, es ist nur die frage wie realistisch ist und anonyme gesundheitsdaten ja das kann der christian vielleicht eher bewerten also dieses konzept der anonymisierung.
Christian Brodowski
Also anonymisierung von gesundheitsdaten genauso wie pseudonymisierung ist einfach nur bullshit also gesundheitsdaten sind sehr spezifische daten, wenn man weiß ich hatte am dreizehnten sechsten zweitausendsechzehn knie spiegelung und fordere kreuz von plastik links und hat noch drei allergien dann gibt es keinen anderen bundesbürger der dieselben konstellation hat, und wenn die diese konstellation auftritt mit späteren daten zu sammeln dann kommt vielleicht irgendwann bluthochdruck dazu oder asthma. Oder vielleicht sogar mal wie in jedem normalen arztbrief dazu eben patientendaten genannt werden name geburtsdatum vielleicht sogar versicherten nummer und anschrift. Dann sind diese daten damit sehr leicht die anonymisiert und zuordenbar und das ist ein großes problem und. Deswegen kann ich von der datenspeicher eigentlich nur abraten ja ich hätte noch eine kurze sache zu sagen wenn ihr noch darf. Also ich habe jetzt in letzter zeit sehr viele vorträge vor ärzten gehalten und war noch für sehr viel mehr angefragt die aber jetzt im moment ausfallen in allen diesen vorträgen rate ich den ärzten ihren patienten klarzumachen, dass die nutzung der elektronischen patientenakte und der anderen dienste momentan so unsicher ist, und dieses ganze konzept zu wenig ausgereift ist und wesentliche sicherheitsaspekte eben noch nicht mal angedacht worden, also zum beispiel gibt es keine abschätzung der folgen von daten schäden wer dafür aufkommt und wie die bearbeitet werden. Und das möchte ich eigentlich gerne meinen kollegen mit auf den weg geben dass die patienten halt über die. Elektronische patienten sagte so aufklären wie wir über ein nicht notwendigen medizinischen eingriff und ihren patienten eben explizit davon abraten.
Tim Pritlove
Gut jungs ich denke jetzt haben wir das ganz gut zusammengefasst, was ich ganz gerne nochmal, fragen wollte wieso eure eigene situation ist es wendet sich jetzt natürlich primär an zebra weil du bist ja im medizinischen bereich auch aktiv tätig und von daher ist bestimmt auch gerade ganz andere sorgen als datenschutzgesetz reform was ist denn deine realität gerade.
Christian Brodowski
Also ich bin ja alles das ist bin niedergelassen und mache viel ambulante anästhesie arbeite nebenbei aber auch noch manchmal auch intensivstationen, und im moment bin ich gerade dabei das so ein bisschen um zu schiften also die effektiven also planbaren oder verschiebbar ambulanten operationen die werden zunehmend verschoben. Die operationen oder die narkosen die dafür notwendig sind die man jetzt nicht sechs bis acht wochen aufschieben kann die führen wir trotzdem durch aber unter erhöhten sicherheitsmaßnahmen also eigenschutz und vor allem auch patientenschutz. Das sind zum beispiel leute mit zahnschmerzen gerade kinder leute mit nierensteinen oder ähnlichem die man jetzt nicht so lange warten lassen kann auch tumor patienten. Das führen wir weiter durchfahren das aber weiter runter und zum anderen bin ich in bereitschaft für die intensivstation in denen ich auch eingearbeitet. Das heißt ich bin in kontakt mit den dortigen chef und oberärzte und warte prinzip darauf dass die mich abrufen und eventuell, für die patienten beatmung auch brauchen.
Tim Pritlove
Und was so dein allgemeiner eindruck der aktuellen situation so überlastung technisch.
Christian Brodowski
Wir stehen noch kurz davor allerdings sind wir zeitlich etwas hinter italien und natürlich ein ganzes stück hinter china. Ob die zustände ähnliche werden kann ich noch nicht abschätzen aber das gesundheitswesen wird auf jeden fall sehr stark belastet werden. Wir haben den vorteil dass wir halt mehr vorlaufzeit hatten und auch gewisse infrastruktur auf die wir einfach zurückgreifen können, wir können uns besser vorbereiten daher hoffe ich dass es nicht so die ausmaße annimmt wie in china oder in italien oder wie es in spanien jetzt gerade losgeht.
Tim Pritlove
Ich denke die ganze debatten um gesundheitsdaten wird jetzt auch nochmal neu, belebt werden gerade im hinblick auf was man jetzt sozusagen epidemiologische erfassen kann also es gibt natürlich jetzt ein großes interesse daran bei möglichst vielen leuten zu wissen wie es ihnen geht das ist glaube ich eine ganz ganz neue debatte die wir da jetzt demnächst auch noch führen müssen und wo, dieses ganze für und wider datenschutz hin und nutzbarkeit der daten her nochmal auf eine ganz andere probe gestellt werden wird.
Christian Brodowski
Also epidemie logie und datenschutz oder nicht mehr datenschutz gab es einen artikel in der faz gestern den ich leider nicht ganz gelegen gelesen habe bevor hinter der paypal verschwunden ist. Wo eben auch zugriff auf mobilfunk daten und ähnliches gefordert wird und sehr weitgehende rechte für das bundesministerium für gesundheit gefordert werden die quasi per dekret, auch grundrechtseingriffen vornehmen können. Das scheint ein entwurf zu sein der diskutiert wird ich hoffe dass wir da bald mehr davon hören im moment haben wir natürlich das problem dass wir nicht mehr dagegen demonstrieren gehen können.
Tim Pritlove
Das ist genau das ist noch ein anderes thema gut das hatten wir jetzt hier gestern schon in der sendung mit thomas loipfinger als wir vor allem über die österreichische situation gesprochen haben alle gesetzlichen maßnahmen sollten zumindest ganz klar erstmal temporären charakter haben wenn sie denn jetzt sozusagen als absolut erforderlich angesehen werden damit man sie dann eben in zeiten wieder genauer diskutieren kann wo eben genau solche demokratischen prozesse wieder ausgelebt werden können.
Christian Brodowski
Also da sehe ich halt das problem dass das einfach die erfahrung aus der vergangenheit. Dass die staatslenker halt feststellen wie sehr wie einfacher sich es sich regieren lässt wenn man solche notstands hat, insofern liegt durchaus in deren interesse um sachen voranzubringen diesen notstand möglichst lange bestehen zu lassen und diese krise möglichst lange auszuleben. Und danach müssen wir noch gucken vor was zu einem staat wird entstehen.
Tim Pritlove
Ja da müssen wir auf jeden fall achtsam sein auch wenn ich jetzt an dieser stelle auf keinen fall den politikern unterstellen möchte dass das jetzt hier ein einziger. Zweck der existenz ist gerade sondern sie haben sicherlich auch genug an der backe so oder so erstmal vielen dank für euren beitrag. Was hast du noch was.
Linus Neumann
Auch mein dank man hat gesehen dass es jetzt wieder im prinzip eines von den themen die ja streckenweise dann sind noch so ein bisschen hypothetisch und das gibt 's alles noch nicht und man ne aber wie wird das in vielen jahren sein so dass das ein, sehr trockenes thema ist insbesondere sich dadurch diese spezifikation und so weiter zu lesen insofern echt mein. Dank und anerkennung dass ihr euch diesen themen widmet und da dranbleibt weiß irgendjemand muss es eben tun und dass es in weiten teilen sicherlich keine besonders, oder keine besonders angenehme aufgabe sich damit die ganze zeit auseinanderzusetzen und diese diskussion zu führen deswegen vielen dank dass ihr das tut, und vielen dank dass ihr euch hier die zeit genommen habt uns das alles mal zu erklären.
Christian Brodowski
Vielen dank dass ihr so coole podcasts machen.
Tim Pritlove
Ja nichts anderes.
Linus Neumann
Hallo.
Tim Pritlove
Also ich zumindest.
Christian Brodowski
Hätten wir alle mal was anständiges gelernt.
Tim Pritlove
Genau.
Linus Neumann
Ja und gerade gerade die anästhesisten jetzt das klingt klingt ja auch nach so einem langweiligen beruf der wird jetzt in den nächsten monaten dann doch sehr spannend denn wenn ich die medizinische lage da richtig verstehe sind das ja überall wo dann steht beatmung kapazitäten ärztinnen und ärzte die beatmung durchführen müssen das sind ja dann am ende die anästhesisten und anästhesisten die das dann, machen müssen die diese höchstbelastung dann bekommen neben natürlich den pflegekräften.
Christian Brodowski
Das ist ja fast richtig also zum einen möchte ich explizit die pflegekräfte erwähnen die da auch einen großen anteil an an der sache haben vor allem die so qualifiziert sind dass sie auch eine beatmung mal über eine strecke alleine führen können es sind nicht nur die beatmen können sicherlich gibt es auch internisten und hier wurden die auf intensivstation eingearbeitet sind. Aber gerade die niedergelassenen anästhesisten oder die im ruhestand die vielleicht auch schon länger nicht mehr auf der intensivstation gearbeitet haben, die werden da jetzt hoffentlich zumindest eine kurze einarbeitung oder wieder einarbeitung bekommen bevor sie auf beatmung patienten losgelassen werden, tatsächlich erwarten wir eben sehr viele patienten die auch über längere zeit beatmungspflege bleiben werden. Also die patienten in china hat eine mittlere dauern bis die denn also gerade die verstorben sind sind nach achtzehn tagen verstorben davon vierzehn beatmung tage. Also das ist was was ich was deutlich skalieren wird also die patienten werden sich quasi stapeln.
Tim Pritlove
Gut dann machen wir jetzt hier ein ende und bleibt gesund und wir sprechen uns sicherlich wieder wenn's neuigkeiten zu verkünden gibt nicht war alles klar.
Linus Neumann
Dann danke ich an dieser stelle noch kurz katharina tobias und christian.
Tim Pritlove
Ja und ich danke natürlich auch allen die ihre daueraufträge nicht kündigen und auch wenn das manche natürlich auch schon getan haben dass es sicherlich verständlich in dieser situation, mit der ebene sendet auf jeden fall weiter und ja haltet euch gesund und fern. Bis bald.
Linus Neumann
Bis bald tschau tschau.
Christian Brodowski
Lernen.
Aux

Shownotes

Gesundheitstelematik

Patientendatenschutzgesetz (PDSG)

Bonus Track

6 Gedanken zu „LNP336 Patientendatenschutzgesetz

  1. Moin,
    es gab (hier) doch mal das „kleine Buch der schönen Analogien“.
    Können wie da den folgenden Satz aufnehmen:

    Eine Datenspende (im Gesundheitsbereich) ist ein Dauer(spende)auftrag ohne Abbruchmöglichkeit.

    Die Daten leisten also kontinuierlich einen Mehrwert in verschiedensten Auswertungen etc., doch (wie bereits gesagt) stellen sie eine Aktions-Einbahnstraße dar.

    Passt das? Seht ihr das anders?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.