ARGE Daten warnt vor verfassungswidriger ELGA-Verordnung

Die ARGE Daten ortet unter anderem eine "Schrebergartenlösung" bei der ELGA-Ombudsstelle anstatt einer gesetzeskonformen bundesweiten Vereinheitlichung. [...]

Mit der Elektronischen Gesundheitsakte (ELGA) sollen in Zukunft alle Gesundheitsdaten, jedes Patienten, österreichweit, elektronisch abrufbar sein. Ende Oktober schickte der Bundesminister für Gesundheit eine Verordnung zu ELGA (ELGA-VO) in Begutachtung. Neben der Festlegung von technischen Formaten, wie Gesundheitsdaten in ELGA gespeichert werden müssen, regelt die ELGA-VO die Einrichtung einer Widerspruchstelle, einer Serviceline und einer ELGA-Ombudsstelle.

Die Aufgaben der Widerspruchstelle beschränken sich der ARGE Daten zufolge im Wesentlichen auf die Entgegennahme und Bestätigung von Widersprüchen bzw. Widerrufen. Personen die sämtliche oder nur einen Teil ihrer Gesundheitsdaten nicht (mehr) oder doch (wieder) in ELGA speichern möchten können sich zu diesem Zweck an die Widerspruchstelle wenden. Die Aufgaben der Widerspruchstelle sollen vom Hauptverband der österreichischen Sozialversicherungsträger wahrgenommen werden.

Die Serviceline soll sowohl telefonisch als auch schriftlich zur Beantwortung sämtlicher Fragen zu ELGA zur Verfügung stehen. Bei Unklarheiten zur Wahrung von TeilnehmerInnenrechten oder bei Fragen zu den Folgen eines Widerspruches sollen die Mitarbeiter der Servicestelle Auskunft geben. Die Aufgaben der Servicestelle sollen ebenfalls vom Hauptverband wahrgenommen werden.

Die Ombudsstelle soll Personen informieren und beraten, darüber hinaus auch konkrete Unterstützungsleistungen wie etwa rechtliche Unterstützung bei Rechtsfragen zum elektronischen Gesundheitsakt und bei dessen Benutzung bieten.

EINHEITLICHE BETREUUNG AUSGESCHLOSSEN
Die Aufgaben der ELGA-Ombudsstelle sollen die Patientenanwälte übernehmen. Patientenanwälte sind von den Bundesländern eingerichtet und haben Streitfälle zwischen Patienten und Krankenhausbetreibern zu schlichten. In einigen Bundesländern sind sie auch für Streitfälle mit Pflegeheimen und/oder niedergelassenen Ärzten zuständig.

Aufgrund dieser unterschiedlichen Kompetenzen seit damit eine bundesweit einheitliche Betreuung von ELGA-Teilnehmern ausgeschlossen, warnt die ARGE Daten. Je nach Bundesland wäre eine Beratung einmal „besser“, einmal „schlechter“. Zur Klärung von Streitfällen dürfe die Patientenanwaltschaft nicht auf ELGA-Daten zugreifen. Die ELGA-Ombudsstelle hätte hingegen Zugriff auf sämtliche ELGA Inhalte.

Bei der Betrauung der Patientenanwaltschaft mit Aufgaben der ELGA-Ombudsstelle könnte also die Situation entstehen, dass ein und dieselbe Person im Rahmen der Tätigkeit als ELGA-Ombudsstelle Kenntnis von Daten erlangt, die sie für die Arbeit der Patientenanwaltschaft nicht wissen darf. Ein Interessenskonflikt der durch die Einrichtung einer bundesweit einheitlichen, unabhängigen ELGA-Ombudsstelle verhindert werden könnte, wie sie ARGE Daten fordert.

VERFASSUNGSWIDRIG?
Die Betrauung einer Einrichtung der Länder mit Aufgaben die per Gesetz Bundessache sind, ist laut ARGE Daten außerdem „verfassungsrechtlich höchst bedenklich“. Sie bezweifelt, dass die Patientenanwaltschaft Aufgaben der ELGA-Ombudsstelle rechtskonform wahrnehmen darf.

Aufgrund der Bestimmungen darf die ELGA-Ombudsstelle, nach einer einmaligen Überprüfung der Identität des ELGA-Teilnehmers, bis zu 28 Tage auf sämtliche Daten des elektronischen Gesundheitsakts zugreifen. „Eine sehr weitreichende Berechtigung die Missbrauch durch innere und äußere Täter nicht ausschließt“, mahnt ARGE Daten in einer Aussendung. Sie fordert daher, dass Mitarbeiter der ELGA-Ombudsstelle ELGA-Teilnehmer über sämtliche bevorstehende Zugriffe auf den elektronischen Gesundheitsakt informieren müssen und ein Zugriff nur nach ausdrücklicher Zustimmung erfolgen darf.

Technische Sicherheitsmaßnahmen lasse der Entwurf zudem völlig vermissen. Die Verordnung des Bundesministers für Gesundheit bleibe beschränkt auf das Zitieren von Datenschutzvorschriften und das Unterzeichnen von Verschwiegenheitserklärungen. „Dies ist unter der Beachtung des § 14 DSG 2000 unzureichend. § 14 DSG 2000 verlangt angemessene technische Datensicherheitsmaßnahmen“, so die ARGE Daten weiter.

Fehlende technische Schutzmaßnahmen böten ebenfalls eine Angriffsfläche für Täter von innen und außen. Aufgrund der umfassenden Zugriffsmöglichkeit der ELGA-Ombudsstelle sei es im Zweifel unmöglich zu beweisen, ob ein Zugriff auf Gesundheitsdaten durch die ELGA-Ombudsstelle wirklich unbedingt notwendig war oder nicht.

Aus diesem Grund fordert die ARGE DATEN, dass bestehende Sicherheitsmaßnahmen die bei der Verwendung von ELGA durch Krankenhäuser oder Ärzte Schutz vor Missbrauch bieten, auch bei der ELGA-Ombudsstelle zum Einsatz kommen. Es müsse ELGA-Teilnehmern erstens möglich gemacht werden, ausschließlich einem Mitarbeiter ihres Vertrauens Zugriff auf die ELGA zu gewähren. Zweitens müsse es ermöglicht werden, dass bestimmte ELGA-Gesundheitsdaten auch gegenüber der ELGA-Ombudsstelle ausgeblendet werden können. „Beides Sicherheitsmaßnahmen die das ELGA-System bereits bietet und die somit ohne zusätzliche Kosten auch bei der ELGA-Ombudsstelle angewendet werden können“, schreibt die ARGE Daten in ihrer Aussendung, und zieht folgenden Schluss: „Der vorliegende Verordnungsentwurf entspricht nicht den gesetzlichen Mindestanforderungen des GTelG 2012 sowie den Bestimmungen des Bundes-Verfassungsgesetzes (B-VG). Auch der Stand der Technik bleibt von der Verordnung unberücksichtigt. Der Entwurf ist daher abzulehnen.“ (pi/rnf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*