2003/06/04 Sensible Medizindaten - Datenschutzkommission 'genehmigt' unsicheren Datentransfer
Medikamentenabrechnung der Apothekerkammer arbeitet mit Uralt-Internet-Technologie - Rundschreiben der Kammer 'berät' bei Abgabe irreführender Datenschutzregistrierungen - Genehmigung der Datenschutzkomission (DSK) durch falsche Angaben erreicht - DSK verletzt ihre Aufsichts- und Kontrollpflichten - Arbeiterkammer und Hauptverband der Sozialversicherungen gefordert
Elektronische Medikamentenabrechnung der Apothekerkammer
Wie schon am 7. Mai berichtet, werden sensible Patientendaten von den Apotheken ungesichert mit der Uralttechnologie ftp über das Internet übertragen.
Rundschreiben der Apothekerkammer 'berät' Mitglieder
Jede personenbezogene Datenverarbeitung ist bei der Datenschutzkommission zu registrieren. Theoretisch, falls die Datenschutzkommission ihrem gesetzlichen Auftrag nachkommt, müßte dann geprüft werden, ob die Registrierung den gesetzlichen Grundlagen entspricht und ob die gemäß DSG 2000 erforderlichen Sicherheitsmaßnahmen tatsächlich durchgeführt werden.
Uns liegt nunmehr ein Rundschreiben der Apothekerkammer zur Medikamentenverrechnung vor, in dem ein Herr Dr. Nowatschek anbietet, bei der Abgabe der DVR-Anträge zu beraten. Diese Anträge werden nunmehr so umgeändert, dass die Patienten, als Hauptbetroffene der Datenverarbeitung aus der Registrierung verschwinden.
Hans G. Zeger, Mitglied des Datenschutzrates: 'Getreu nach dem Motto, wo keine Patienten genannt werden, können auch keine sensible Daten anfallen, werden in geradezu skandaläser Weise Schutzinstrumente der Bürger unterlaufen.'
So werden die Patientendaten nicht als Daten der Patienten sondern als Daten der 'Krankenkassen' registriert. Mit diesem Trick versucht die Apothekerkammer eine sensible Datenverarbeitung zu verschleiern.
Hans G. Zeger: 'Eine groteske und offensichtlich rechtswidrige Vorgangsweise. Dies wäre dasselbe, als ob die Angaben einer Einkommenssteuererklärung als Daten des Finanzamts oder die Kontostände eines Wertpapierdepots als Daten der Bank und nicht des Betroffenen deklariert würden.'
Datenschutzkommission (DSK) spielt mit
Der Trick der Apothekerkammer funktioniert freilich nur, weil die Datenschutzkommission ihre Prüf- und Kontrollpflichten verletzt. Schon eine oberflächliche Prüfung des Antrags hätte ergeben, dass Angaben zu den Patienten fehlen und daher wären alle Anträge der Apotheken als unvollständig zurückzuweisen gewesen.
Hans G. Zeger: 'Sobald sensible Daten, wie Gesundheitsangaben oder Medikamente verwendet werden, ist die DSK verpflichtet eine sogenannte Vorabkontrolle zur technischen Sicherheit durchzuführen. Diese Verpflichtung muß in jedem Fall wahrgenommen werden und kann nicht nach Belieben unterbleiben.'
Es handelt sich um eine sogenannte Muß-Bestimmung, die die DSK nicht nach Belieben außer Kraft setzen kann.
Genehmigung der DSK entgegen vorhandenen Wissensstand erteilt
Uns liegt nunmehr eine DSK-Genehmigung mit Datum 20. Mai 2003 (also zwei Wochen nach unserer Aussendung) vor, in der die Medikamentenabrechnung ohne Angaben zum Hauptbetroffenen, dem Patienten bzw. 'Versicherten' erteilt wurde.
Irrtum oder Unkenntnis der Sachlage sind auszuschließen, da zu diesem Zeitpunkt schon die Vorbehalte der ARGE DATEN zum gesamten System bekannt waren und auch die Datenschutzkommission darauf hätte reagieren MÜSSEN.
Hans G. Zeger: 'Neben der verpflichtenden Vorabkontrolle muß die Datenschutzkommission auch dann tätig werden, wenn in der Öffentlichkeit begründete Verdachtsmomente für den unsicheren Betrieb einer Datenverarbeitung bekannt werden.'
Damit werden die Kontrollpflichten der DSK, offenbar bewußt, entgegen den Interesssen der Bürger verletzt.
Arbeiterkammer und Hauptverband gefordert
Vielen ist nicht bekannt, dass die Datenschutzkommission nicht nur nach fachlichen Kriterien besetzt ist, sondern auch ein Spiegelbild der 'östereichischen Realverfassung' darstellt, also sozialpartnerschaftlich besetzt ist. Unter anderem sollte die Arbeiterkammer die Interessen der Arbeitnehmer, Konsumenten und Patienten vertreten.
Hans G. Zeger: 'Angesichts der skandalösen DSK-Entscheidung muß die Arbeiterkammer aktiv werden. Es bestehen eine Fülle von rechtlichen und sachlichen Möglichkeiten, gegen diese DSK-Entscheidung vorzugehen.'
Auch der Hauptverband ist gefordert. Es kann nicht im Interesse des Hauptverbandes liegen, dass sensible Patientendaten ungesichert über das Internet verbreitet werden.
Hans G. Zeger: 'Leider schwieg bisher der Hauptverband zu dieser unsicheren Datenverarbeitung. Im Gegensatz dazu fühlte sich der Hauptverband verpflichtet, sich über den Sozialversicherungsnummern-Check der ARGE DATEN zu beschweren.'
Unter http://www2.argedaten.at/static/svnr.html kann jeder eine bliebige Sozialversicherungsnummer auf ihre formale Korrektheit überprüfen. Notwendig ist dieser Dienst unter anderem deswegen, weil immer mehr Behörden die SV-Nummer ungeprüft für ihre Zwecke verwenden (siehe Bildungsevidenz: http://www2.argedaten.at/php/cms_monitor.php?question=PUB-TEX...)
|
