rating service  security service privacy service
 
2012/10/15 Alte und neue Fallen im ELGA-Ministerratsentwurf
Hochgejubelte Koalitionseinigung zu ELGA hält nicht was sie verspricht - x-te Version des ELGA-Gesetzes enthält weiterhin kein klares Datenschutz- und Datensicherheitskonzept - Opt-Out-Lösung für Patienten ist offensichtlich Mogelpackung - WKO hat das letzte Wort bei Gesamtkonzeption von ELGA - ELGA-Datenverwaltung ist intransparent und erinnert an Facebook, nicht an eine vertrauliche Gesundheitsdaten-Speicherung

ELGA-Ministerratsentwurf mit neuen Grauslichkeiten

Seit fast zwei Jahren jagt ein ELGA-Entwurf den anderen, die fehlerhafte Grundkonzeption blieb unverändert, auch im von Bundesminister Stöger euphorisch präsentierten Ministerratsentwurf.

Weiterhin gibt es keine klare Trennung zwischen der verpflichtenden Speicherung von Gesundheitsdaten zu Behandlungs- und Haftungszwecken und der zusätzlichen Speicherung zu Informationszwecken für künftige Behandlungen (den sogeannten ELGA-Gesundheitsdaten).

Ergebnis ist ein intransparentes Gesetz, bei dem nicht klar ist, welche Daten tatsächlich wo gespeichert werden und wer darauf zugreifen wird.


Zwang zur Speicherung aller ELGA-Daten durch die Hintertür

Während medial die Opt-Out-Lösung für Patienten gefeiert wird (§ 15 Abs. 2), steht wenige Paragraphen weiter (§ 20 Abs. 1) genau das Gegenteil: "ELGA- Gesundheitsanbieter haben ELGA-Gesundheitsdaten zu speichern".

"Haben", also die Gesundheitsanbieter sind zur Speicherung verpflichtet, ohne Rücksicht auf den Patientenwillen. Die Patienten-Opt-Out-Lösung wird zur Mogelpackung. Will der Patient kein ELGA, dann sind die Daten trotzdem im ELGA-System verfügbar, nur er und seine behandlenden Ärzte sehen sie nicht.

Wem so ein System nützt? ELGA soll nicht bloß einzelne Behandlungen unterstützen, die Patientendaten sollen auch für Steuerungs- und Forschungszwecke verwendet werden. Eine - gut versteckte - Bestimmung erlaubt die generelle Verwendung von ELGA-Daten zur Unterstützung der Tätigkeit von Gesundheitsdienstleistern (§ 14 Abs. 2 Z 1 lit. c). Jede x-beliebige "Forschungseinrichtung", die zur "Unterstützung" von Gesundheitsanbietern gegründet wird, hat vollen Zugriff auf alle ELGA-Daten!


WKO hat das letzte Wort bei ELGA-System

Eine besonders bedenkliche Grauslichkeit wurde zuletzt in den ELGA-Entwurf hineingeschummelt und ist offenbar der Preis für die VP-Zustimmung. Wie ELGA funktionieren soll, welche Sicherheitsmaßnahmen tatsächlich gelten, was tatsächlich protokolliert werden soll, entscheidet die Wirtschaftskammer Österreich (§ 13 Abs. 6).

Gesundheitsversorgung und Gesundheitspolitik werden damit rein wirtschaftlichen Standes-Interessen untergeordnet.


Facebook-ELGA - Intransparente und starre ELGA-Datenverwaltung

Neben dem unechten Opt-Out (§ 15) enthält das Gesetz weitere widersprüchliche Bestimmungen. Der Patient soll einzelne elektronische ELGA-Verweise UND ELGA-Gesundheitsdaten löschen dürfen (§ 16 Abs. 2 lit. a), gleichzeitig wird aber jede Änderung der ELGA-Daten ausgeschlossen (§ 20 Abs. 1).

Weiters kann der Patient ELGA-Daten immer wieder ein- und ausblenden. Weltweit existiert kein System, das über lange Zeiträume für Millionen Patienten und Befunde zuverlässig darstellen kann, welcher Gesundheitsdienstleister tatsächlich wann welche Daten einsehen konnte. Nutzungs- und Haftungsfragen sind somit ungelöst.

Hans G. Zeger, Mitglied des Datenschutzrates: "Das ganze System erinnert an die Privatsphäreeinstellungen von Facebook, die für Benutzer nicht durchschaubar sind. Mit dem Unterschied, dass statt Urlaubsfotos und Freizeit-Statusmeldungen für nahe und entfernte 'Freunde', hochsensible Krankheitsdaten für tausende Gesundheitsanbieter freigeschalten werden."

Während auf EU-Ebene versucht wird, dem Prinzip "Privacy by default" zum Durchbruch zu verhelfen, geht Österreich mit ELGA den gegenteiligen Weg. "Privacy by default" bedeutet die Geheimhaltung persönlicher Informationen als Standard und die Freigabe als ausdrückliche Ausnahme.

Auch die starren Speicherfristen widersprechen den medizinischen Erfordernissen. Während ELGA-Daten von Toten noch zehn Jahre (!!) nach "Kenntnis des Todes" bereit gehalten werden, sollen die Gesundheitsdaten der Lebenden nach ein bis zehn Jahren gelöscht werden, unabhängig ob es sich um eine jahrzehnte lange chronische Krankheit oder bloß um eine kurzfristige Gesundheitsstörung handelt.

Hans G. Zeger: "Sinnvoll wäre ein einfaches ELGA-Konzept, bei dem jeder Patient seine Gesundheitsdaten für spätere Behandlungs- und Informationszwecke getrennt von der bestehenden Behandlungsdokumentation bei einem vertrauenswürdigen Systembetreiber verschlüsselt hinterlegen kann. Zugang zu diesen Daten hätte nur jener Arzt, den der Patient für eine Behandlung freischaltet. Für Notfallszwecke könnten zusätzlich noch ein Vertrauensarzt und sonstige Vertrauenspersonen einen Zugriff erhalten."


Sicherheitsbestimmungen bloß als Placebo

An zahllosen Stellen wird im ELGA-Gesetz die Datensicherheit beschworen, doch meist bloß als Verweis auf die Sicherheitsbestimmungen nach dem DSG 2000. Im DSG 2000 steht jedoch nur, dass zu einer Datenverarbeitung angemessene Schutzmaßnahmen zu ergreifen sind. Was angemessen ist, muss im Einzelfall definiert werden. Genau diese Klarstellungen fehlen im ELGA-Gesetz.

In anderen Fällen sind so viele Ausnahmen vorgesehen, dass letztlich jeder Gesundheitsanbieter weitermachen kann wie bisher, von einem einheitlichen Datenschutz kann keine Rede sein.

Nicht einmal die verschlüsselte Speicherung der ELGA-Gesundheitsdaten ist im Gesetz verpflichtend vorgesehen. Weitere Details siehe http://ftp.freenet.at/ges/elga-ds-ministerratsdentwurf-kommen...


Fehlende Verantwortlichkeit

Besonders problematisch ist die Rolle der "ELGA-Systempartner" (§ 2 Z 11). Diese sind laut Gesetz zwar für vieles zuständig, aber - mangels Rechtspersönlichkeit - nicht im Sinne des DSG 2000 verantwortlich. Es gibt für das ELGA-System keinen Gesamtverantwortlichen ("Auftraggeber")!


Umsetzung fraglich - ELGA ein Millionengrab?

Das Gesetz soll zwar mit 1.1.2013 in Kraft treten, enthält jedoch großzügige Übergangsfristen. So sollen zahnmedizinische Daten erst ab 2022 zur Verfügung stehen, Daten die nicht bloß in der Zahnbehandlung, sondern auch für viele Operationen- und Herzerkrankungen von zentraler Bedeutung sind.

Selbst der wenig ambitionierte Zeitplan ist fix, das Gesundheitsministerium behält sich vor, alle Beginnzeiten auf einen späteren Zeitpunkt zu verschieben. Die Erfahrungen mit dem ELGA-Vorgänger, dem Gesundheitstelematikgesetz (GTelG) haben gezeigt, dass selbst sieben Jahre nach Verabschiedung des GTelG keine verpflichtende Umsetzung gelang.

Internationale Vergleiche zeigen, dass Projekte zur elektronischen Patientenakte wesentlich teurer sind, als die veranschlagten 130 Millionen, realistische Schätzungen beginnen bei 500 Millionen. Bundesminister Stöger hat sich auch gleich eine Hintertür eingebaut und nur die Kosten bis 2017 bekannt gegeben, ohne verbindlich darzustellen, was bis dahin umgesetzt wird.

Internationale Vergleiche zeigen auch, dass ausschließlich Systeme die auf Freiwilligkeit des Patienten beruhen angenommen werden und funktionieren. In diesem Sinn ist das ELGA-Gesetz der Startschuss für die Verschwendung vieler Dutzend Millionen.

mehr --> Datenschutz- und Datensicherheitskommentar zum ELGA-Ministerratsentwurf
andere --> Regierungsvorlage ELGA-Gesetz
andere --> Parlamentarisches Begutachtungsverfahren zum ELGA-Gesetz

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster