Hallo Forum,
ich bin Psychotherapeut und muss für Psychotherapie-Langzeitanträge Berichte für einen Gutachter bzw. eine Gutachterin schreiben. Nun bin ich an eine Gutachterin gelangt die mir sehr zu denken gibt.
Nicht nur dass auf der Webseite dieser Gutachterin (die in div politischen Ausschüssen tätig ist) 23 Tracker vorhanden sind, die eventiuelle Pat. die ihre Webseite besuchen ausspionieren sonderrn Frau S. bedient sich der MS-Cloud zur Speicherung der gutachterlichen Berichte. Folgende Fußzeile ( bei der ich nur einen Teil kopiert habe da der ander Teil Pat. Daten enthält) befindet sich unter ihrem Bericht an mich : https://praxisXXXXXX-my.sharepoint.com/pers al/XXX_dr-XXXXX_de/Documents/Dokumente/gemeinsam/Gutachten …
Ich bin mir nun nicht sicher wie das zu bewerten ist und ob ich dagegen vorgehen sollte.
ich schreibe einen Bericht für einen Gutachter. Der geht in einen speziellen verschlossenen Umschlag, in einem Brief, per Post an die Krankenkasse die diesen nicht öffnen darf und an einen Gutachter bzw. Gutachterin per Post weiterleitet. In diesem Fall liest die Gutachterin den Bericht und sendet mir per Post die Bewertung über den Pat. per Post zu.
So ist das Prozedere. Bei mir liegt also nichts in irgendeiner Cloud!
Die Bewertung mit den Pat.-Daten hat die Gutachterin nun als ganz persönliche Lösung in die MS-Cloud gelegt.
Die Krankenkasse bekommt dann nur von der Gutachterin mitgeteilt wie viele Sitzungen sie befürwortet und keinen Bericht (aus Daternschutzgründen).
Damit wäre das Sache der Krankenkasse, da diese anscheinend den Gutachter/die Gutachterin beauftragt.
Du könntest die KK oder die zuständige Datenschutzbehörde darüber informieren. Aber der Hinweis, das hier Daten in der Cloud verarbeitet werden, dürfte alleine nicht ausreichen.
von den Trackern sind vermutlich alle Besucher der Webseite betroffen und können sich beschweren, vom Speichern bei MS wohl nur begutachtete Patienten.
Das ist korrekt. Aber da kommt es auch drauf an, welche und wie die eingebunden werden.
Ich bin davon ausgegangen, das die Webseite hier nur das problematische Datenschutzverständnis belegen sollte.
Die Patienten von Hallo werden mutmaßlich eher nicht - im Kontext des Gutachtens - auf die Webseite zugreifen.
Ja, und sie werden als Betroffene aber auch gar nichts von der Betroffenheit wissen, da die Patienten ja gar nicht wissen, wer der Gutachter ist (?)
Von daher ist das
schon fies.
Vielleicht kann man ja bei einer Datenschutzorganisation nachfragen, wie man bei sowas am besten vorgeht. Denn was ich hier gelesen habe, ist das auch mit den Datenschutzbehörden nicht so einfach, es richtig zu machen, so dass es nicht von denen einfach mehr oder weniger liegengelassen wird.
Ich finds gut, dass Du da so engagiert bist!!! Es sind schließlich sehr sensible Daten! Und es ist ein Unding, dass man als Patient dem so ausgeliefert ist, auch bei anderen Gesundheitsdingen (Stichwort doctolib) und oftmals gar keine Alternative hat.
@Hallo kann gerne mit mir Kontakt aufnehmen. Und wenn die Größe 1 keine Datenschutzorganisation sein soll: ich würde gerne eine Artikel 80 Organisation aufbauen - wer macht mit?
nochmal zum Verständnis:
die Gutachterin schreibt ein Gutachten über einen Menschen, den sie nie persönlich gesehen hat und mit dem sie nie ein Wort gewechselt hat. Allein auf der Basis der Daten des antragstellenden Psychotherapeuten.
Ist das so? OK, das müssen wir hier nicht bewerten.
Könnte nun nicht der Patient von dem Therapeuten und/oder von der KK die Herausgabe der Information fordern, welche Daten an wen gegangen sind (DSGVO) ? Und so wenigstens erfahren, wer der Gutachter ist.
das seit jahrzehntelang gängige Verfahren in der Psychotherapie ist, dass alle Langzeittherapien (über 24 Sitzungen) Gutachterplichtig sind. Der entspr. Psychotherapeut erstellt demzufolge einen Bericht über das gesamte Leben des Pat. Weil das wirklich das gesamte Leben beinhaltet darf nicht einmal die Krankenkasse diesen Bericht lesen sondern nur ein externer Gutachter der wiederum den Menschen nicht kennt. Um so wichtiger, dass mit diesen hochsensiblen Daten extrem datenschutzkonform umgegangen wird.
Das Verfahren ist immer wieder angegriffen worden und unter Psychotherapeuten ziemlich umstritten.
Das peinliche ist, dass die Gutachterin die diese Daten in eine MS-Colud legt (Name ist mir natürlich bekannt) auch noch im Bundestag und und anderen Gremien ziemlich aktiv ist.
Erfährt ein Gutachterin denn den Namen oder sonstwie direkt identifizierende Informationen? Die dann auch in der Cloud landen könnten?
Wenn nicht, ist es zwar ein bisschen besser, aber die ganze Lebensgeschichte identifiziert ja schon in den entsprechenden Händen… Und gerade MS, was ja eh dominierend ist (ich denke da grade an den Blogbeitrag vor ein paar Monaten, dass die Agentur für Arbeit Microsoft 365 einführt) .
Ist die Gutachterin denn nur für sich tätig oder gehört sie einer Organisation an (medizinischer Dienst oder so)?
Was sagen denn Psychotherapeutenorganisationen dazu? (wobei ich fürchte, dass die die Problematik bzgl. Datenschutz nicht so verstehen). Vielleicht Datenschutz- und Pssychotherapeutenorganisation parallel befragen/informieren.
der Bericht an die Gutachterin läuft unter einer Chiffre Nummer. Die ist der Anfangsbuchstaben des Nachnahmens und das Geburtsdatum 6 stellig.
Ein Identifikation ist also ziemlich leicht möglich.
Die übergeordnete Stelle wäre wohl die Psychotherapeutenkammer.
Ist das hier bekannt? https://www.kbv.de/html/dsgvo-in-der-praxis.php
Vielleicht gibt das was her. Geht um Regelungen bzgl. DSGVO in Arzt- und Psychotherapiepraxen. Ich vermute, das ist übertragbar.
Hallo Toughy,
Ja, das besonders schöne ist, dass die Dame ehemalige Vorsitzende des Beratenden Fachausschusses für Psychotherapie der KBV, Mitglied im G-BA. war/ist.
Vorab, dies ist keine Rechtsberatung, sondern das sind meine Überlegung zum Datenschutz im Gesundheitswesen.
Wenn ich bezüglich eines Gutachtens mit der Gutachterin zusammenarbeitest, wäre wir wahrscheinlich beide für meinen Patienten i.d.R. Verantwortliche Stellen im Sinne der DS-GVO, die Daten untereinander austauschen. Hierfür gilt es für die Datensicherheit die DS-GVO zu beachten. Insbesondere sind die Artt. 9 (Besondere Kategorien), 24 (Verantwortlicher), 25 Datenschutz by Design/Default) und 32 (Datensicherheit) maßgebend.
Weiterhin sind Im Gesundheitswesen die einschlägigen Regelungen in SGB V und DigiG zu beachten. Regelungen zur IT-Sicherheit und Cloud finden sich in §§ 390ff SGB V.
Ich würde mich mit der Gutachterin in Verbindung setzen und auf sie auf die fragwürdige Umsetzung von Datenschutz und IT-Sicherheit hinweisen. Gleiches gilt für den Einsatz von M365, vor allem vor dem Hintergrund des Einsatzes von Copilot in M365 und anstehend für SharePoint.
Ob im konkreten Fall eine Datenschuzverletzung vorliegt müsste ein Prüfung der näheren Umstände ergeben. Hier müsste z.B. geprüft werden, um welche Tracking-Technologien geht es auf der Webseite. Diese wären gegen DS-GVO und TDDDG zu prüfen. Was den M365-Einsatz betrifft, so muss gegen DS-GVO und DigiG und insbesondere SGB V geprüft werden.
Wenn es in diesem Zusammenhang um meine Patienten ginge, würde ich auf jeden Fall aktiv werden, da es meine Patienten beträfe und somit mich auf jeden Fall etwas angeht.
Auch würde ich mich gegen eine nicht datenschutzkonforme Webseite wehren und ggf. die Aufsichtsbehörde darüber in Kenntnis setzen. Ich würde aber vorher dem/der Seitenbetreiber/-in die Möglichkeit zur Korrektur einräumen.
In einem solchen Fall ginge es nicht nicht nur um Datenschutz, sondern um Patientenschutz, Verletzung von Privatgeheimnissen und somit auch um Strafrecht § 203 StGB
Gedanken dazu:
Die offenen Punkte bei MS 365 (inkl. Sharepoint) sind Telemetriedaten und die Connected Experiences.
Die Vertraulichkeit und Sicherheit der Daten (Patientenakte) im Onlinespeicher (Sharepoint) in der Auftragsdatenverarbeitung gemäß Art. 28 DSGVO wird, abseits von Mindermeinungen, mittlerweile nicht mehr in Frage gestellt. Microsoft hat 2024 die Verträge noch zwei Mal aktualisiert.
In dem beschriebenen Fall geht es Dir ja nicht um die Gutachterin als Betroffene, sondern den Patienten. Telemetrie & co sollten hier keine spielen.
Psychotherapeuten untereinander sind keine AV.
Ansonsten, wenn jemand gegen den Datenschutzverstößt kann jeder dagegen vorgehen.
Nur Betroffenenrechte kann i.d.R. nur der Betroffene geltend machen!
@Sudoman
Der Einsatz von M365 durch die Gutachterin an sich stellt einen eigenen Sachverhalt dar. Inwieweit der Einsatz von M365 im Gesundheitswesen datenschutzkonform gestaltet werden könnte, würde ich absolut in Frage stellen.
Da sowieso eine AV durch Microsoft einschlägig wäre müsste hier noch auf die besonderen Umstände der Verarbeitung von Gesundheitsdaten geprüft werden und wenn nicht nach EU-Boundary gehandelt wird auch noch der Drittlandstransfer gerpüft werden.
In Bezug auf den Cloudeinsatz im Gesundheitswesen wüsste ich nicht ob Microsoft ein C5-Testat nachweisen kann.
Um soetwas wirklich richtig beurteilen zu können müsste man die näheren Umstände kennen, z.B.
wie erfolgt die Interneanbindung, wie sind die verschiedenen M365-Admin-Center eingestellt, wie ist das M365-Compliance-Center eingestellt, wird Verschlüsselung eingesetzt, etc.?
Eine DSFA wäre ebenfalls einschlägig. Welche TOM gibt es?