2004/11/30 Votum Separatum zum Gesundheitstelematikgesetz
abgegeben von Dr. Hans G. Zeger im Rahmen der außerordentlichen Sitzung des Datenschutzrates vom 30.11.2004
Der vorliegende Entwurf zum automatisierten Datenaustausch zwischen Gesundheitseinrichtungen stellt eine Gefährdung der Patientenrechte dar, entspricht nicht dem EU-üblichen Datenschutzniveau, widerspricht der üblichen medizinischen Praxis, ist unnötig teuer und ineffizient.
Zur "Gefährdung der Patientenrechte"
Das Datenschutzgesetz regelt zwar grundsätzlich einige Aspekte der Privatsphäre von Menschen, ist jedoch nur subsidär anzuwenden. Dies bedeutet insbesondere für die einfachgesetzlichen Regelungen, dass nachfolgende Gesetze, wie das Gesundheitstelematikgesetz, Vorrang gegenüber einer Reihe von Datenschutzbestimmungen haben.
Durch das Fehlen jeglicher Kontroll- und Informationsmechanismen sind die Betroffenen nicht mehr in der Lage festzustellen, wer auf die Gesundheitsdaten überhaupt zugreifen darf und wer tatsächlich aus welchen Gründen zugegriffen hat. Durch den weit gefassten Begriff der Gesundheitsdiensteanbieter erhalten auch Gruppierungen Zugriff auf diese Daten, bei denen nicht das Heilungsinteresse an oberster Stelle steht. Durch das Fehlen einer vollständigen Dokumentationspflicht aller Datenübermittlungen (wer hat warum welche Gesundheitsdaten abgefragt) kann der Patient nicht einmal im Nachhinein feststellen lassen, wer seine Gesundheitsdaten erhalten hat.
Gerade die letzten Entscheidungen der Datenschutzkommission zeigen dramatisch, dass immer mehr Datenverarbeiter verschiedene Lücken im Datenschutzgesetz ausnutzen, um die Herkunft und die Weitergabe von Daten zu verschleiern. Das Gesundheitstelematikgesetz hat in keinster Weise auf diese Lücken reagiert.
Wer tatsächlich in der Liste der Gesundheitsdiensteanbieter enthalten ist wird vor der Öffentlichkeit und den Patienten geradezu in geheimbündlerischer Weise verborgen.
Zum "mangelhaften (EU-widrigen) Datenschutzniveau"
Die Verwendung von Gesundheitsdaten unterliegt EU-weit umfassenden Verarbeitungsbeschränkungen. Die Verwendung ist ohne Zustimmung des Betroffenen nur unter ganz beschränkten Bedingungen zulässig. Dazu gehört keinesfalls ein durch das Telematikgesetz geschaffener dezentraler Informationsdatenverbund mit bloß vagen Aufgabenbestimmungen ("Entwicklung und Steuerung der Gesundheitstelematik", "Informationsmanagement für Angelegenheiten der Gesundheitstelematik"). Es handelt sich um Worthülsen ohne jegliche Aussagekraft.
Auch das Fehlen der Informationspflicht der Patienten bei jeder Datenweitergabe widerspricht der EG-Richtlinie Datenschutz.
Zum "Widerspruch zur medizinischen Praxis"
Die Vorstellung durch ungehemmten Austausch medizinischer Daten bessere Behandlungen zu erreichen ist eine Illusion. Tatsächlich sind viele medizinische Informationen nur sehr kurzzeitig gültig und kontextbezogen. Höchstens für die Analyse von Zeitreihen bei einzelnen Krankheiten sind alte medizinische Rohdaten verwertbar. Das bisher angewandte System der Arztbriefe und kollegialen Konsultation erweist sich als höchst effizient, da damit der Befundausstellende Arzt gezwungen wird, sich auf die wesentlichsten Merkmale und Aspekte zu konzentrieren. Bei komplexeren Fragestellungen werden jedoch durch die kollegiale Konsultation nicht bloß Daten von einer medizinischen Einrichtung zur anderen transportiert, wie es das Gesundsheitstelematikgesetz vorsieht, sondern in der Konsultation auch ein Informations- und Wissensaustausch stattfindet, der auch zu völlig neuen Aspekten führen kann. Der bloße Datenaustausch, wie er im Telematikgesetz geregelt wird, stellt dabei nur einen untergeordneten technischen Nebenaspekt dar.
Es sollte jedoch Grundsatz bleiben, dass Gesetze Kernbereiche regeln und nicht bloß technische Hilfstätigkeiten.
Zu "Kosten und Effizienz"
Auch aus sicherheitstechnischer Sicht ist das Gesetz abzulehnen. Die wenigen und letztlich vagen Sicherheitsbestimmungen ließen sich besser auf Grund bestehender Gesetze, allenfalls im Erlassweg (soweit behördliche gesundheitsbezogene Datenverwendungen betroffen sind) regeln.
Die verpflichtende Verwendung von sicherheitstechnischen Mindeststandards wie im Gesetz irreführend angemerkt, wird schon durch die EG-Richtlinie Datenschutz in der Telekommunikation auf einem wesentlich höheren Niveau vorgeschrieben.
Hier werden nicht Sicherheitsmaßnahmen auf einem Mindestniveau, sondern gemäß dem Stand der Technik verlangt. Die Überwachung des Vollzugs dieser EU-Verpflichtung obliegt seit 2003 der Datenschutzkommission und dem Bundeskanzler.
Sowohl im Rahmen von Einzelregistrierungen von Gesundheitsdatenanwendungen, als auch im Zuge der Verordnung von Standardanwendungen müssen nunmehr bestimmte technische Sicherheitsmaßnahmen beim Gesundheitsdatenaustausch vorgeschrieben werden.
Eine zusätzliche gesetzliche Bestimmung, die noch dazu eine komplizierte und umständliche Führung eines Gesundheitsdienstleisterregisters vorsieht, führt zu keiner Verbesserung in der IT-Sicherheit und verursacht bloß unnötige zusätzliche Kosten.
Zusammenfassung
In diesem Sinne wird angeregt den Entwurf zum Gesundheitstelematikgesetz ersatzlos zu streichen.
mehr --> http://www.parlament.gv.at/portal/page?_pageid=908,731734&SUCHE=J&_dad=portal&_s...
|
