Datenschutzbehörde  Datenschutz Europa privacy service
 
Gesundheitsminister ignoriert gesetzliche Bestimmungen
Verordnungsentwurf des BMG ignoriert zentrale gesetzliche Bestimmungen - Pseudonym ist nicht Anonym - Missbrauch sensibler Gesundheitsdaten möglich - Stellungnahme der ARGE DATEN (http://ftp.freenet.at/privacy/gesetze/stellungnahme-dokuvo.pdf) zeigt Datenschutzprobleme auf - Verordnung lässt für ELGA Böses erahnen

Hintergrund

Zur langfristigen Beobachtung von Erkrankungen, zur Steigerung der allgemeinen und individuellen Behandlungsqualität aber auch zu Finanzierungszwecken verarbeitet das Bundesministerium für Gesundheit (BMG) Daten über Gesundheitsleistungen im ambulanten Bereich. Durch eine bundesweit einheitliche Dokumentation sollen zukünftig Doppelgleisigkeiten und Mehrfachbefundungen vermieden werden.

Seit 2010 werden in mehreren Bundesländern anonymisierte Daten über ambulante Gesundheitsleistungen erfasst und an das BMG übermittelt. Im Rahmen der letzten Gesundheitsreform wurde beschlossen, Daten zukünftig pseudonym zu verarbeiten. Dies soll es ermöglichen, Daten aus verschiedenen Spitalsambulanzen, Ambulatorien und den Hausärzten einem bestimmten Patienten zuzuordnen.


Pseudonym ist nicht Anonym

Pseudonymisierte Daten sind jedoch personenbezogene Daten. Anstelle des Names tritt ein Personenschlüssel (manche sprechen von "Verschlüsselung"). Wer weiß, wie dieser Schlüssel erzeugt wird, kann auf die Person zurückschließen. Bei anonymen Daten wäre eine derartige Identifizierung nicht möglich.

Laut DokuG-Gesetz ist es dem BMG nur erlaubt, unterschiedliche Leistungen einer Person zuzuordnen, ohne zu Möglichkeit zu erfahren, wer diese Person ist. Das BMG darf nur wissen, dass dieselbe Person eine Leistung empfangen hat, ob es Frau Müller oder Herr Mayer ist, ist irrelevant.

Bei Pseudonymen ist es technisch jederzeit möglich aus den Daten von Frau Müller bzw. Herrn Mayer deren Pseudonym zu errechnen und ihnen die beim BMG gespeicherten Daten zuzuordnen.

Um zu verhindern, dass medizinische Dokumentationsdaten einer Person missbraucht werden, muss sichergestellt werden, dass das Pseudonym einer Person nicht geknackt werden kann. Dazu, sieht das Gesetz zur Dokumentation im Gesundheitswesen (DokuG - http://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesno...) vor, dass der Algorithmus, der zur Generierung der Pseudonyme verwendet wird, nur einer vertrauenswürdigen unabhängigen Stelle bekannt sein darf. Ausdrücklich hält das Gesetz fest, dass weder dem BMG noch dem Hauptverband der österreichischen Sozialversicherungsträger (Hauptverband) bekannt sein darf, wie die Pseudonyme (die Personenschlüssel) erstellt werden.

Die Regelung technischer Details zur Pseudonymgenerierung überlässt das DokuG jedoch dem Bundesministerium für Gesundheit.


Stögers Verordnungsentwurf ignoriert gesetzliche Bestimmungen

Im Entwurf der Verordnung zur Dokumentation im ambulanten Bereich (DokuVO - http://ftp.freenet.at/privacy/gesetze/entwurf-dokuvo.pdf), der zur Begutachtung verschickt wurde, ignoriert der Bundesminister die zentrale gesetzliche Bestimmung zur Erstellung der Pseudonyme.

Bei der Konfiguration des technischen Geräts, mit welchem die Pseudonyme erzeugt werden soll ein Vertreter des BMG anwesend sein. Dieser kann, ausreichende Fachkenntnis vorausgesetzt, Kenntnis vom Algorithmus zur Pseudonymgenerierung erlangen.

Die geplante Regelung steht in direktem Widerspruch zum Gesetzesinhalt - ein Punkt auf den die ARGE DATEN in ihrer Stellungnahme (http://ftp.freenet.at/privacy/gesetze/stellungnahme-dokuvo.pdf) zum Verordnungsentwurf deutlich hingewiesen hat.

Als weitere Schutzmaßnahme sieht das DokuG vor, dass Pseudonyme nach der Generierung zu verschlüsseln sind. Dadurch soll gewährleistet werden, dass auch dem Hauptverband die Personenschlüssel nicht bekannt werden.

Diese Pflicht zur Verschlüsselung der Pseudonyme fehlt im Verordnungsentwurf. Somit kann auch der Hauptverband, dem die Identität der betroffenen Personen bekannt ist, Kenntnis von den Pseudonymen erlangen. Ein weiterer klarer Verstoß gegen das DokuG.


Fazit

Wesentliche Datenschutzbestimmungen des DokuG werden ignoriert, eine neue Möglichkeit zum Missbrauch medizinischer Daten wird vom Bundesminister geschaffen.

Statt sicher zu stellen, dass wichtige medizinische Daten 15 Jahren sicher aufbewahrt werden, werden neue Schlupflöcher zum Missbrauch geschaffen. Nicht einmal die eigenen Gesetze werden ordentlich umgesetzt, wie es der vorliegende Verordnungsentwurf zeigt, weshalb dieser abzulehnen ist.

Hans G. Zeger, Mitglied des Datenschutzrates: "In Österreich bedarf es gar nicht dem Wirken privater Marketingunternehmen um Patientendaten zu missbrauchen, BM Stöger, Gesundheitsministerium und ELGA organisieren sich das schon selbst. Wer sich heute darüber empört, das 350 Ärzte rechtswidrig Patientendaten zu Marketingzwecken auswerten und verkaufen, sei daran erinnert, dass im ELGA-Gesetz eine eigene Bestimmung geschaffen wurde, die genau diese Verwertung vorsieht."


Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster