Dienstag, 14. Januar 2020

Datenschutz: Anscheinend gelten Gesetze nur für die kleinen Leute

In der Antwort auf eine aktuelle Anfrage der FDP-Bundestagsfraktion teilt das Bundesgesundheitsministerium mit: Für die Telematikinfrastruktur (TI) gebe es bisher keine Datenschutzfolgenabschätzung. Die Freie Ärzteschaft fordert aus diesem Anlass erneut und entschieden, die Einführung der TI zu stoppen und die Pflicht der Ärzte sowie Psychotherapeuten zum Anschluss an die TI zurückzunehmen. "Jede Verarbeitung von sensiblen persönlichen Daten erfordert vorab eine Datenschutzfolgenabschätzung, und das verpflichtend", sagte FÄ-Vize Dr. Silke Lüder mit Verweis auf die Datenschutzgrundverordnung (DSGVO) am Montag in Hamburg.

Das gelte vor allem, wenn "bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" bestehe, wie es in dem Gesetz heißt. Lüder betont: "Das ist bei der Telematikinfrastruktur sicher der Fall. Immerhin sollen in dem Netz medizinische Daten von 70 Millionen gesetzlich versicherten Bundesbürger gespeichert werden." Diese Datenschutzfolgenabschätzung hätte vor Einführung der TI und vor der gesetzlichen Verpflichtung der Arzt- und Psychotherapiepraxen zum Anschluss an die TI durchgeführt werden müssen - dies hätten auch der Bundesdatenschutzbeauftragte sowie die Kassenärztliche Bundesvereinigung mehrfach eingefordert. "Geschehen ist allerdings nicht - und das ist ein Skandal", macht die FÄ-Vize klar. "Gelten die Datenschutzgesetze für Bundesgesundheitsminister Jens Spahn etwa nicht?"

mehr:
- Telematikinfrastruktur: Gelten die Datenschutzgesetze nicht für Gesundheitsminister Spahn? (Freie Ärzteschaft e.V., presseportal.de, 13.01.2020)
siehe auch:
Ungeschützte Patientendaten My body, my data (Svenja Bergt, taz, 29.12.2019)
CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk (erdgeist, CCC, 27.12.2019)
[Petition] Gesundheitsdaten in Gefahr – Keine zentrale Datenspeicherung sämtlicher Patientendaten; Anschluss von Arzt- und Psychotherapiepraxen an die Telematik-Infrastruktur auf freiwilliger Basis (labournet.de, 21.12.2019)
„DR KI“ & APPS AUF REZEPT – Ein Spiel mit der Gesundheit? (Lea Sommerhäuser, IT-Zoom, 18.12.2019)
Project Nightingale: Google-Krankheits-View, der transatlantische Bruder der Telematik (Post, 14.11.2019)
Jens Spahn vs. Datenschutz: Mit dem Kopf durch die Wand! (Post, 28.05.2019)
Wer braucht die zentrale Patientendatei? (Annette Hauschild, Helmut Lorscheid, Telepolis, 20.11.2018)
Datenschützer kritisieren neue Gesundheitsdatenbank (BR24, 07.11.2018)
Elektronische Gesundheitskarte, digitale Transformation und unsere Zukunft in der Obhut von Bertelsmann (Post, 06.04.2016)

==========
Safe Harbor (englisch für „sicherer Hafen“, teilweise auch: Safe-Harbor-AbkommenSafe-Harbor-Pakt) ist ein Beschluss der Europäischen Kommission auf dem Gebiet des Datenschutzrechts aus dem Jahr 2000. Durch den Beschluss sollte es Unternehmen ermöglicht werden, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.[1] Die Bezeichnung als „Abkommen“ rührt daher, dass dieses Vorgehen mit den USA abgesprochen worden war. Die Safe-Harbor-Entscheidung ist vom Europäischen Gerichtshof (EuGH) am 6. Oktober 2015 für ungültig erklärt worden.[2][3] Seit dem 1. August 2016 kann eine Nachfolgeregelung angewendet werden, die den Namen EU-US Privacy Shield trägt.[4]
Unabhängig hiervon besteht eine ähnliche Vereinbarung der Vereinigten Staaten mit der Schweiz, die den gleichen Zweck in Bezug auf den Datenverkehr zwischen diesen beiden Staaten verfolgt (U.S.-Swiss Safe Harbor Framework).[5] Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sieht darin jedoch wegen des Urteils des EuGH mittlerweile keine ausreichende Grundlage für die Übermittlung von personenbezogenen Daten in die USA mehr[6] und hat den Bundesrat gebeten, die Vereinbarung aufzukündigen.[7]
[Safe Harbor, Wikipedia, abgerufen am 14.01.2019]
==========

mein Kommentar:
Wer heutzutage noch ein Abkommen mit den USA schließt, gehört verprügelt!
Im Zuge der Recherchen wurde bekannt, dass mutmaßlich mehrere US-Töchter des Bertelsmann-Konzerns auf der „U.S.-EU SAFE HARBOR LIST“ zu finden sind, auf der ca. 5.500 US-amerikanische Unternehmen aufgeführt werden, die Safe Harbor beigetreten sind.

  • Auf Seite 14 der alphanumerisch sortierten Liste findet sich die Eintragung „Arvato Digital Services LLC and its wholly-owned U.S. subsidiaries Arvato Entertainment LLC and Arvato Services LLC“.

  • Auf Seite 20 dieser Liste findet sich zudem die Eintragung „Bertelsmann, Inc.“.

Da keine einschlägigen Informationen zu Arvato Systems GmbH in Gütersloh und Safe Harbor zu finden waren, ging am 08.10.2015 ein Schreiben an die arvato Systems GmbH. In diesem Schreiben wird um die Beantwortung folgender Fragen gebeten:

  • Ist / Sind „Arvato Digital Services LLC and its wholly-owned U.S. subsidiaries Arvato Entertainment LLC and Arvato Services LLC“ sowie „Bertelsmann, Inc.“ Unternehmen der Unternehmensgruppe Bertelsmann Arvato oder Tochterunternehmen der arvato Systems GmbH?
  • Wenn dies der Fall ist: Werden Daten Ihres Unternehmens zu diesen Unternehmen in den USA ausgelagert, dort gespeichert und verarbeitet, die im Zusammenhang stehen mit Metadaten und Cloudspeicher-Lösungen und dem von der gematik beauftragten „Aufbau der zentralen Infrastruktur“ „im Rahmen der Einführung der eGK, Erprobung Online-Rollout (Stufe 1, Los 3)…“?
  • Wenn dies der Fall sein sollte: Welche Art von Daten wurden und werden in den USA ausgelagert, dort gespeichert und verarbeitet?
  • Werden Daten Ihres Unternehmens ggf. zu anderen, nicht zur Unternehmensgruppe Bertelsmann gehörenden, – aber auf der Internetseite „U.S.-EU SAFE HARBOR LIST“ genannten Unternehmen in den USA ausgelagert, dort gespeichert und verarbeitet, die im Zusammenhang stehen mit Metadaten und Cloudspeicher-Lösungen und dem von der gematik beauftragten „Aufbau der zentralen Infrastruktur“ „im Rahmen der Einführung der eGK, Erprobung Online-Rollout (Stufe 1, Los 3)…“?
  • Wenn dies der Fall sein sollte: Welche Art von Daten wurden und werden an diese anderen Unternehmen in den USA ausgelagert, dort gespeichert und verarbeitet?
  • Welche rechtlichen und tatsächlichen Schlussfolgerungen zieht arvato Systems aus dem Urteil des EuGH vom 06.10.2015 für die Auslagerung von Datenbeständen des Unternehmens in die USA?
[die Datenschützer RheinMain, Die arvato Systems GmbH, die elektronische Gesundheitskarte (eGk), das Safe-Harbor-Abkommen und das Urteil des EuGH vom 06.10.2015, 09.10.2015 – Textformatierung bzw. Hervorhebungen im Original]

Elektronische Gesundheitskarte: Ärzte sind keine Hilfspolizisten (Post, 14.02.2014)
Gesundheitspolitik: Was derzeit wirklich passiert (Wolfgang Lieb, NachDenkSeiten, 11.02.2008)
x