Der Vorstand von MEDI GENO Deutschland wartet auf den Fortgang der MEDI-Musterklagen beim Sozialgericht Stuttgart. Letzte Äußerungen des Bundesdatenschutzbeauftragten unterstützen die in den Musterverfahren vertretene Rechtsauffassung.
Die Klagen sind Anfang Januar 2020 beim Sozialgericht Stuttgart eingereicht und begründet worden, die Argumente zwischen den Musterklägern und der beklagten KV Baden-Württemberg wurden ebenfalls ausgetauscht. Die KV hat auch die Beiladung der Gematik zum Verfahren beantragt. „Wir warten nun auf einen Termin zur mündlichen Verhandlung durch das Sozialgericht“, erklärt Dr. Werner Baumgärtner, Vorstandsvorsitzender von MEDI GENO Deutschland. Gleiches gilt auch für die Musterverfahren zur unzureichenden Erstattung der Installations- oder Betriebskosten für Praxen, die den TI-Konnektor installiert haben.
Bereits in der Klagebegründung war infolge eines Beschlusses der Datenschutzkonferenz vom 12.09.2019 thematisiert worden, dass die fehlende Regelung der datenschutzrechtlichen Verantwortlichkeit innerhalb der TI mit den Vorgaben der Datenschutzgrundverordnung nicht vereinbar ist.
In den Entwurf zum Patientendatenschutzgesetz (PDSG) wurde dann eine Regelung zu den datenschutzrechtlichen Verantwortlichkeiten aufgenommen. „Danach liegt die Verantwortung für die zentrale Zone der Telematikinfrastruktur bei den jeweiligen IT-Anbietern und unverständlicherweise nicht bei der Gematik“, erinnert Baumgärtner. „Die Verantwortung soll ansonsten bei den Ärzten liegen. Diesen Vorschlag hat der Bundesrat im Mai jedoch kritisiert, weil der Gematik keine explizite datenschutzrechtliche Verantwortung zugeordnet wurde.“
In einer Gegenäußerung hat die Bundesregierung die Regelung aber für ausreichend gehalten, im weiteren Gesetzgebungsverfahren wurden die Bedenken nicht weiter berücksichtigt. Die zweite und dritte Lesung im Bundestag findet am 2. und 3. Juli statt. Eine Beschlussempfehlung des Gesundheitsausschusses liegt bis heute nicht vor. „Wir hoffen hier auf Beschlüsse im Sinne der betroffenen Praxen“, so Dr. Svante Gehring, stellvertretender Vorsitzender von MEDI GENO Deutschland und Chef der Ärztegenossenschaft Nord.
Der Bundesdatenschutzbeauftragte Ulrich Kelber übte zuletzt deutliche Kritik an Gesundheitsminister Spahn. Dessen „vorschnelle Gesetzentwürfe“ würden „das Vertrauen von Bürgerinnen und Bürger erschüttern“. Die Digitalisierung im Gesundheitswesen könne nur „mit einem hohen Datenschutz- und Datensicherheitsniveau“ gelingen.
Kelber äußerte sich auch zur TI und wies erneut darauf hin, dass es Aufgabe der Gematik als Betreibergesellschaft sei, eine Datenschutzfolgenabschätzung zu erstellen: „Aus der Verantwortlichkeit der Gematik GmbH für einen sehr wesentlichen Teil der TI ergibt sich allerdings die Unzuständigkeit der Leistungserbringer für diesen Teil der TI und damit auch die Unzulässigkeit der Durchführung einer Datenschutzfolgenabschätzung in dem Bereich, in dem die Gematik GmbH die Verantwortung trägt“, heißt es.
„Unser Vorstand begrüßt diese Position ausdrücklich, da sie der vorgetragenen Rechtsauffassung in unseren Musterklagen entspricht“, erklärt Baumgärtner.
Werden wir alle zu sehr mit einer Orientierung auf die Sicherheit der Telematikinfrastruktur
an sich, von wesentlichen anderen Frage abgelenkt?
Wie sieht es mit der Sicherheit von Innen heraus aus!
Zwang zur Umstellung auf Windows 10 ( bisher eigentlich für Firmen mit hohem Sicherheitsbedürfnis eher nicht zugelassen ) , Zwang zu 14-tägigem Update der Medikamentendatenbanken , Updates der PraxisVerwaltungsSysteme nur noch Online. Dies alles teils mit Direktanbindung ans Internet mit Programmen, die sich überhaupt nicht über Firewalls sperren lassen da die Systeme sonst nicht funktionieren!?
Telematik – ” Absichern mit Firewall und Virenscanner”?
Macht nur keinen Sinn, wenn die Praxen nicht garantieren können, das des Betriebssystem selbst , siehe:
https://netzpolitik.org/2018/politik-zur-datenschleuder-windows-10-aufsichtsbehoerden-muessen-handeln/
………………………….
Etwas deutlicher wurde das Bundesministerium der Justiz und für Verbraucherschutz (BMJV). Es teilte uns mit, dass es die DSGVO-Grundsätze Privacy-by-default und Datensparsamkeit durch den derzeitigen Ist-Zustand bei Windows 10 verletzt sieht. Auch das BMJV sieht die Aufsichtsbehörden in der Pflicht:
Aus verbraucherpolitischer Sicht wird es sehr kritisch gesehen, wenn die Nutzer nicht informiert werden, hier keine wirksame Einwilligung eingeholt wird und wenn es nicht die Möglichkeit gibt, die automatische Erfassung im Hintergrund abzuschalten. Besser noch müsste diese Erfassung by default ausgeschaltet sein und vom Nutzer erst ausdrücklich aktiviert werden. […] Hier können die Datenschutzbehörden prüfen und bei Verstößen mit allen wirksamen Mitteln des Datenschutzrechts dagegen vorgehen.
Bundestag: Opposition fordert Konsequenzen
Im Bundestag fallen die Reaktionen auf den Bericht des Bundesamtes sehr unterschiedlich aus. Wir hatten die Abgeordneten sowohl um eine Einschätzung der datenschutzrechtlichen Lage als auch der notwendigen politischen Konsequenzen, beispielsweise für den Einsatz von Windows 10 in öffentlichen Stellen, gebeten. Während sich OppositionspolitikerInnen wenig überrascht, aber empört zeigen, sind die Reaktionen aus der Regierungsfraktion verhalten.
und :
https://www.activemind.de/magazin/windows-10/
…………
Für den Nutzer bedeutet dies: Windows 10 Enterprise und damit auch die Education-Version können in Version 1909 datenschutzkonform konfiguriert werden. Das BayLDA stellt jedoch auch klar, dass sich dieses Ergebnis zunächst noch im realen Einsatz von Windows 10 bei Unternehmen bestätigten muss. Hingegen ist Windows 10 Pro für den Einsatz in Unternehmen aus datenschutzrechtlicher Sicht nicht statthaft, da bei dieser Telemetriedaten zwar reduziert, jedoch nicht komplett abgeschaltet werden können.
……………………………………………..
oder die Medikamentendatenbanken und die Praxisprogramme mittlerweile teils direkt ans Internet angeschlossen werden müssen.
https://medatixx.de/faq
VOM = Verordnungsmodul
…………………………………………………………………………………………………………………………….
………Unabdingbare Voraussetzungen für die Nutzung des VOM in x.comfort, x.concept, x.isynet / x.vianova und easymed sind ab dem 01.07.2020
ein SQL-Server,
eine dauerhafte, stabile und sichere Internetverbindung mindestens an dem Arbeitsplatz, an dem auch der Service-Provider installiert ist (für die Aktualisierung der Arzneimitteldatenbank),
und die Installation einer im Untergrund laufenden Technologiekomponente, des sogenannten Service-Providers (zur Kommunikation zwischen der Medikamentendatenbank und der Praxissoftware).
Bitte wenden Sie sich dazu an Ihren medatixx-Servicepartner. Anhand einer Checkliste stellt er gemeinsam mit Ihnen sicher, dass Ihre Praxis auch für die Zukunft gut aufgestellt ist.
……………………………………………………………………………………………………………
siehe auch :
Zitat aus :
https://www.coliquio.de/austausch/5f9d37e72e57a96a87f8f608
……………………………………………………………………………………………….
Auszug aus dem Chat:
Ich habe mir gestattet, Ihren Brief ein wenig zu ergänzen –
sollten Sie Teile übernehmen wollen, ich erhebe da kein copyright drauf … 😉
“Sehr geehrter Kollege Gassen,
die CompuGroup Medical Deutschland AG beabsichtigt, 2021 ihre Arzneimitteldatenbank von I:Fox auf die Verordnungssoftware Therafox Pro umzustellen. Dies wird dann ca. 25% aller deutschen Arztpraxen betreffen. Voraussetzung für die (obligate) Nutzung der Verordnungssoftware Therafox Pro ist nach den aktuell verfügbaren Informationen eine Anbindung aller Arbeitsplatzrechner an das Internet. Bei Verordnung eines Medikamentes wird dann zumindest die PZN des zur Rezeptierung vorgesehenen Medikamentes online an die IT-Infrastruktur der ifap GmbH übermittelt, um dort die Neben- und Wechselwirkungsprüfung vorzunehmen. Das Ergebnis wird anschließend auf den Arbeitsplatzrechner übermittelt. Nach meinem bisherigen Kenntnisstand erfolgt die Kommunikation ausserhalb der TIS. Aus ärztlicher Sicht ist es nach meinem Verständnis nicht möglich, zur Abschätzung des individuellen Neben- und des Wechselwirkungsrisikos mit bereits in der Historie verordneten Medikamenten auf den upload auch dieser Daten in die Infrastruktur der ifap GmbH zu verzichten. Nach Aussage der CompuGroup Medical Deutschland AG besteht keine Möglichkeit, dieser Datenübermittlung zu widersprechen. Damit fliessen vermutlich nicht nur Daten aus Arztpraxen in die Privatwirtschaft ab, die dieser eine minutiöse Analyse und Verwertung des Verordnungsverhaltens der betroffenen Teile der Ärzteschaft ermöglichen, sondern u.U. auch (evtl. anonymisierte oder pseudonymisierte) nach DSGVO-EU besonders geschützte Gesundheitsdaten unserer Patienten, welche der Übermittlung und Verarbeitung dieser Daten an resp. durch die Privatwirtschaft nicht einmal zugestimmt haben. Ich darf Sie auffordern, im Rahmen des Zertifizierungsprozesses der Verordnungssoftware Therafox Pro für den Einsatz in der vertragsärztlichen Versorgung durch die KBV auch diese Datenschutzaspekte detailliert bewerten zu lassen.
U.A.w.g.
Mit kollegialen Grüssen
……………………………………………………………………….
weiter heisst es :
……….. Inzwischen habe ich genaue Informationen über den Umfang der Datenübertragung auf den IFAP Server. Neben der Medikation des Patienten sind dies die Diagnosen, das Patientenalter in Jahren, die Allergien und eine Anfrage-ID, die sich aus der BSNR und der Patienten-ID aus dem Arztpraxissystem zusammensetzt. Also ist man jederzeit in der Lage, aus den Daten eine eine 100% genaue Zusammenstellung der Medikation jeder Arztpraxis zu erstellen. Laut Aussage von IFAP findet eine Anonymisierung der Daten und darauf aufbauende Tätigkeiten derzeit nicht statt. Aber derzeit heisst ja: morgen können wir uns das sehr gut vorstellen.
Und:
Allgemeinmedizin · 23. Dezember 2020, 0:30 Uhr
Warum nicht dieses Schreiben einfach mal auch an den Bundesdatenschutzbeauftragten. Wie schon in einem anderen Thread beschrieben, haben wir gerade mit Medatixx / EASYMED das gleiche Problem. Ein Schelm , wer Arges dabei denkt.
Allgemeinmedizin · 24. Dezember 2020, 18:06 Uhr
Habe ich gemacht, aber der ist dafür nicht zuständig. Dieser hat die Angelegenheit an den Datenschutzbeauftragten für Rheinland-Pfalz als zuständige Stelle für die CGM weitergegeben. Vielleicht ist aber auch Bayern zuständig, wegen des Firmensitzes der IFAP.
Wie soll dann eine kleine Praxis den Datenabfluss kontrollieren.
Firewall und Virenscanner machen, wie schon erwähnt, dann keinen Sinn, wenn die Systeme wegen der Funktionsfähigkeit selbst nicht per Firewall geblockt werden können.
Strafzahlungen für die Ärzteschaft – obwohl sich viele im Konfliktfeld DSGVO / Schweigepflicht und Zwangsanschluss an die Telematik und ( in vielen Fällen über die PVS – Firmen gefordert ) Direktanschluss ans Internet – aus Gewissensgründen zur Praxisaufgabe entscheiden?