rating service  security service privacy service
 
2013/11/29 Plant Gesundheitsminister verfassungswidrige ELGA-Verordnung?
Schrebergartenlösung bei ELGA-Ombudsstelle statt gesetzeskonformer bundesweiter Vereinheitlichung - ELGA-VO offenbart mangelnde Sicherheit der Patientendaten bei Ombudsstelle - Werden Gesundheitsdaten bald ausspioniert? - Verordnungsentwurf vermutlich verfassungswidrig

Mit der Elektronischen Gesundheitsakte (ELGA) sollen in Zukunft alle Gesundheitsdaten, jedes Patienten, österreichweit, elektronisch abrufbar sein. Ende Oktober schickte der Bundesminister für Gesundheit eine Verordnung zu ELGA (ELGA-VO) in Begutachtung.

Neben der Festlegung von technischen Formaten, wie Gesundheitsdaten in ELGA gespeichert werden müssen, regelt die ELGA-VO die Einrichtung einer Widerspruchstelle, einer Serviceline und einer ELGA-Ombudsstelle.

Die Aufgaben der Widerspruchstelle beschränken sich im Wesentlichen auf die Entgegennahme und Bestätigung von Widersprüchen bzw. Widerrufen. Personen die sämtliche oder nur einen Teil ihrer Gesundheitsdaten nicht (mehr) oder doch (wieder) in ELGA speichern möchten können sich zu diesem Zweck an die Widerspruchstelle wenden. Die Aufgaben der Widerspruchstelle sollen vom Hauptverband der österreichischen Sozialversicherungsträger (Hauptverband) wahrgenommen werden.

Die Serviceline soll sowohl telefonisch als auch schriftlich zur Beantwortung sämtlicher Fragen zu ELGA zur Verfügung stehen. Bei Unklarheiten zur Wahrung von Teilnehmerrechten oder bei Fragen zu den Folgen eines Widerspruches sollen die MitarbeiterInnen der Servicestelle Auskunft geben. Die Aufgaben der Servicestelle sollen ebenfalls vom Hauptverband wahrgenommen werden.

Die Ombudsstelle soll Personen informieren und beraten, darüber hinaus auch konkrete Unterstützungsleistungen bieten. Die Ombudsstelle bietet rechtliche Unterstützung bei Rechtsfragen zum elektronischen Gesundheitsakt und bei dessen Benutzung.


Schrebergartenlösung und Interessenskonflikte bei ELGA-Ombudsstelle?

Die Aufgaben der ELGA-Ombudsstelle sollen die Patientenanwälte übernehmen. Patientenanwälte bzw. -anwältinnen sind von den Bundesländern eingerichtet und haben Streitfälle zwischen Patienten und Krankenhausbetreibern zu schlichten. In einigen Bundesländern sind sie auch für Streitfälle mit Pflegeheimen und/oder niedergelassenen Ärzte zuständig.

Aufgrund dieser unterschiedlichen Kompetenzen ist damit eine bundesweit einheitliche Betreuung von ELGA-Teilnehmern ausgeschlossen. Je nach Bundesland wäre eine Beratung einmal "besser", einmal "schlechter".

Zur Klärung von Streitfällen, darf die Patientenanwaltschaft nicht auf ELGA-Daten zugreifen (§ 14 Gesundheitstelematikgesetz 2012 - GTelG 2012). Die ELGA-Ombudsstelle hat hingegen Zugriff auf sämtliche ELGA-Inhalte (§ 21 GTelG 2012).

Bei der Betrauung der Patientenanwaltschaft mit Aufgaben der ELGA-Ombudsstelle könnte also die Situation entstehen, dass ein und dieselbe Person im Rahmen der Tätigkeit als ELGA-Ombudsstelle Kenntnis von Daten erlangt, die sie für die Arbeit der Patientenanwaltschaft nicht wissen darf. Ein klarer Interessenskonflikt der nur - wie von der ARGE DATEN gefordert - durch die Einrichtung einer bundesweit einheitlichen, unabhängigen ELGA-Ombudsstelle verhindert werden kann.


Verordnungsentwurf verfassungswidrig?

Die Betrauung einer Einrichtung der Länder mit Aufgaben die per Gesetz Bundessache sind, ist auch verfassungsrechtlich höchst bedenklich. Daher wird bezweifelt, dass die Patientenanwaltschaft Aufgaben der ELGA-Ombudsstelle rechtskonform wahrnehmen darf.


Keine Informationspflicht oder Zustimmungsrecht bei ELGA-Ombudsstelle?

Aufgrund der Bestimmungen des GTelG 2012 darf die ELGA-Ombudsstelle, nach einer einmaligen Überprüfung der Identität des ELGA-Teilnehmers, bis zu 28 Tage auf sämtliche Daten des elektronischen Gesundheitsakts zugreifen. Eine sehr weitreichende Berechtigung die Missbrauch durch innere und äußere Täter nicht ausschließt.

Die ARGE DATEN fordert daher, dass Mitarbeiter der ELGA-Ombudsstelle ELGA-Teilnehmer über sämtliche bevorstehende Zugriffe auf den elektronischen Gesundheitsakt informieren müssen und ein Zugriff nur nach ausdrücklicher Zustimmung erfolgen darf.


Mangel an technischen Sicherheitsmaßnahmen

Technische Sicherheitsmaßnahmen lässt der Entwurf völlig vermissen. Die Verordnung des Bundesministers für Gesundheit bleibt beschränkt auf das Zitieren von Datenschutzvorschriften und das Unterzeichnen von Verschwiegenheitserklärungen. Dies ist unter der Beachtung des § 14 DSG 2000 unzureichend. § 14 DSG 2000 verlangt angemessene technische Datensicherheitsmaßnahmen.

Fehlende technische Schutzmaßnahmen bieten ebenfalls eine Angriffsfläche für Täter von innen und außen. Aufgrund der umfassenden Zugriffsmöglichkeit der ELGA-Ombudsstelle ist es im Zweifel unmöglich zu beweisen, ob ein Zugriff auf Gesundheitsdaten durch die ELGA-Ombudsstelle wirklich unbedingt notwendig war oder nicht.

Die Weitergabe von Gesundheitsdaten durch Mitarbeiter der ELGA-Ombudsstelle könnte lukrativ werden. Wie im Fall des Verkaufs von Exekutionsdaten durch Mitarbeiter der Justiz (knowhow.text.95512otn[Datensatz nicht vorhanden]) könnte es Jahre dauern bis ein Missbrauch aufgedeckt wird.

Auch für Angreifer von außen (z.B. Geheimdienste, Hacker, etc.) wäre eine ELGA-Ombudsstelle ohne technische Sicherheitsmaßnahmen ein lohnendes Angriffsziel.

Aus diesem Grund fordert die ARGE DATEN, dass all jene Sicherheitsmaßnahmen die bei der Verwendung von ELGA durch Krankenhäuser oder Ärzte Schutz vor Missbrauch bieten, auch bei der ELGA-Ombudsstelle zum Einsatz kommen. Es muss ELGA-Teilnehmern möglich sein, ausschließlich einem bestimmten Mitarbeiter seines Vertrauens Zugriff auf die ELGA zu gewähren. Zweitens muss es ermöglicht werden, dass bestimmte ELGA-Gesundheitsdaten auch gegenüber der ELGA-Ombudsstelle gesperrt werden können. Beide Sicherheitsmaßnahmen sind im ELGA-System vorgesehen und können  ohne zusätzliche Kosten auch bei der ELGA-Ombudsstelle angewendet werden.


Fazit

Der vorliegende Verordnungsentwurf entspricht nicht den gesetzlichen Mindestanforderungen des GTelG 2012 sowie den Bestimmungen des Bundes-Verfassungsgesetzes (B-VG)auch der Stand der Technik bleibt von der Verordnung unberücksichtigt. Der Entwurf ist daher abzulehnen.

mehr --> ELGA - zur Sicherheit OptOut!
mehr --> Was für den ELGA Widerspruch ("OptOut") tun?
mehr --> ELGA Verordnung 2013 mit Beschreibung des ELGA "Opt-Out"
mehr --> Stellungnahme der ARGE DATEN zur: ELGA-VO
mehr --> Entwurf: ELGA-VO
Archiv --> Anmerkungen zu den IT-Sicherheitsleitlinien von ELGA
Archiv --> Missbrauch von Patientendaten - die Fakten
Archiv --> Showdown im größten Justizdatenskandal der zweiten Republik
andere --> Geplantes ELGA-Gesetz gefährdet Patienten
andere --> Datenleck bei Tiroler Gebietskrankenkasse
andere --> RIS: Bundes-Verfassungsgesetz (B-VG)
andere --> RIS: Gesundheitstelematikgesetz 2012 (GTelG 2012)
andere --> Datenschutzgesetz 2000 (DSG 2000)

- Datenschutzrat - DVR - datenschutz-seminar.at - privacyday.at - datenschutz-seminare@at - Vorratsspeicherung - datenschutz tag - RFID - Web2.0 - informationelle Selbstbestimmung - datenschutz tagung - Österreichisches Datenschutzgesetz - DSG 2000 - Identität - data security - data protection law - Inhouse - Vienna
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster