GI-Radar 265: Der Umgang mit Gesundheitsdaten

 

Sehr geehrte Leserinnen und Leser,

in den Kurzmitteilungen geht u.a. um Viren – zur Abwechslung aber nicht um Covid19. Das Thema im Fokus setzt sich mit dem Umgang mit Gesundheitsdaten in der Praxis auseinander. In den GI-Mitteilungen finden Sie zwei Job-Angebote in den GI-Geschäftsstellen. Und das Fundstück hilft Ihnen beim Papiersparen im Homeoffice.

Wir wünschen Ihnen viel Spaß mit dieser Ausgabe!

auf gi-radar.de weiterlesen

Lernen versus Bildung + Tracking und Tracing + Roboter für Astronauten + Angriffe auf Großrechner + Tücken smarter Küchengeräte + Gesundheitsdaten in der Praxis + Stellenangebote bei der GI + GI-Webtalk: Warum gründen so wenige Frauen? + Sozialkreditsysteme in China + GI-Bewegungsmelder + ScanYourPDF

KURZMITTEILUNGEN

Lernen versus Bildung: nicht alles kann der Rechner kompensieren (NZZ). Auch wenn das Schlagwort „Digitale Bildung“ als positives (?) Schlagwort derzeit in aller Munde ist: Gerade Kinder und Jugendliche brauchen weiterhin in erster Linie Menschen, die sich mit ihnen beschäftigen und ihnen etwas beibringen. Dazu gehört unter anderem Kinder zu befähigen, zu eigenständigen Akteurinnen und Akteuren in den digitalen Kommunikations- und Interaktionswelten zu werden und ihre eigene Urteilskraft zu entwickeln. Rein digitale Bildung in Form von Lernplattformen kann dies nicht ersetzen. Ein Plädoyer für die Lehrenden.  weiterlesen

Tracking und Tracing: wie verschiedene Corona-Apps funktionieren (Deutschlandfunk). Bei den geplanten oder bereits eingesetzten Apps zur Corona-Pandemie gibt es verschiedene Ansätze. Wie die Apps funktionieren, was sie leisten können, was nicht und unter welchen Umständen, fasst der Deutschlandfunk zusammen.  weiterlesen

Kumpel Cimon erdet Astronauten (SZ). Der Weltraum ist der Traum vieler Menschen. Dass jedoch ein Flug dort hin nicht nur physisch, sondern auch psychisch äußerst anstrengend ist und die Astronauten im All durchaus emotionale Unterstützung gebrauchen können, war bislang kein großes Thema. Eine Münchner Universität hat nun einen Roboter entwickelt, der auch eine emotionale Komponente mitbringt.  weiterlesen

Lahmgelegte Forschung: Angriffe auf Großrechner (FAZ). Was Hänschen und Lieschen Müller durchaus häufiger passiert, hat nun auch die prominenten Forschungsrechner erwischt: ein Virus – aber ausnahmsweise nicht Corona. In den vergangenen Wochen wurden immer mehr Rechenzentren infiziert, ganze Sektionen von Forschung und Hochschulen waren lahmgelegt. Wann der Lehr- und Forschungsbetrieb wieder reibungslos läuft, ist noch offen.  weiterlesen

Ohne Update wird der Kühlschrank teuer (The Guardian, engl.). Smart Home und der selbständig bestellende Kühlschrank sind Schlagworte für die Neuorganisation des eigenen Umfeldes. Vieles lässt sich vereinfachen durch so genannte „smart devices“. Worüber weniger gesprochen wird ist, dass der eingebundene Kühlschrank regelmäßig Updates braucht, um ordnungsgemäß und sicher zu funktionieren. Aber nicht alle Hersteller bieten die Garantie, die Geräte zeit ihres Lebens mit aktueller Software zu versorgen.  weiterlesen

* Artikel ist ggf. nur mit deaktiviertem Adblocker lesbar.

THEMA IM FOKUS

Der Umgang mit Gesundheitsdaten in der Praxis. Gesundheitsdaten sind die sensibelsten Daten, die großflächig erfasst werden. Hier stellt sich eine nicht zu vernachlässigende Frage: Wo befindet sich die Linie zwischen Forschungsnutzen auf der einen Seite und Datenschutz sowie dem Recht auf informationelle Selbstbestimmung auf der anderen Seite?

Diese sowie weitere Fragen stellen sich in der Softwareentwicklung häufig im Zusammenhang mit der Thematik des maschinellen Lernens und den dazugehörigen cloudbasierten Angeboten, die im Gesundheitssektor vermehrt zur Anwendung kommen.

So berichtete der Guardian vergangenen November darüber, wie Google in Zusammenarbeit mit der amerikanischen Firma „Ascension“ durch das Projekt „Nightingale“ Zugriff auf bis zu 50 Millionen Patienten-Datensätze erhalten hatte – ohne deren Wissen oder Zustimmung (Guardian). Ziel des Projekts ist es, Ärztinnen und Ärzten, die nach Angaben von Studien mehr Zeit mit dem Lesen von Patientenakten verbringen als mit den Patienten selbst, einen effizienteren Überblick über die Krankheitshistorie und aktuelle Untersuchungen zu liefern. Ein beteiligter Google-Mitarbeiter machte den Vorfall in einem mittlerweile entfernten Whistleblower-Video öffentlich. Er berichtet, wie Beteiligte Zugriff auf Daten mit Klarnamen, Adressen und anderen sensiblen Informationen hatten und diese sogar privat hätten herunterladen können (Guardian). Google bestätigte zwar, dass einzelne Mitarbeiterinnen und Mitarbeiter Zugriff auf Patientendaten hatten, dementiert jedoch das berichtete Ausmaß und weist darauf hin, dass die Verarbeitung der Daten im Einklang mit den in den USA geltenden Datenschutzrichtlinien (HIPAA) und unter speziellen Verträgen mit Ascension erfolgte (Forbes).

Bereits 2017 klagte ein Patient gegen Google: In Zusammenarbeit mit der University of Chicago wurden die Möglichkeiten des maschinellen Lernens mit Patientenakten untersucht. Die Daten wurden damals zwar anonymisiert verarbeitet, geklagt wurde trotzdem. Die anonymisierten Daten enthielten Zeitstempel über Eintreffen und Verlassen des Krankenhauses. In Kombination mit Standortdaten von Android-Smartphones, Google Maps oder Waze soll eine Rückidentifizierung laut Klage möglich gewesen sein. Stand heute dauern die Verhandlungen immer noch an (courtlistener.com).

Auch andere bekannte Unternehmen stellen Softwarelösungen für den Gesundheitssektor bereit. So gibt es entsprechende Produkte von z.B. Microsoft, Apple, IBM und Amazon, die ebenfalls auf cloudbasierte Lösungen des maschinellen Lernens sowie Gesundheits-Apps setzen und somit ähnliche Problemstellen bieten könnten. Im deutschen Raum gibt es Angebote hingegen von verschiedenen Krankenkassen. Exemplarisch ist die Vivy-App zu nennen, bei der es 2018 zu Problemen im Umgang mit der Datenverarbeitung kam. Hier war es möglich, bereits ohne tiefere Programmierkenntnisse und mit einfachen Mitteln sensible Patientendaten zu erhalten (Videolink: media.ccc.de).

Bei einem Blick auf die Rechtslage fällt auf, dass notwendige rechtliche Vorgaben zu Genüge vorhanden sind. In den USA werden Gesundheitsdaten durch den Health Insurance Portability and Accountability Act (kurz: HIPAA) geschützt (hhs.gov). Die zugehörige Privacy Rule gilt seit April 2003 und schützt sogenannte Protected Health Information (PHI), wozu alle Daten zählen, die den Gesundheitsstatus, die Bereitstellung oder Bezahlung von medizinischer Versorgung einer identifizierbaren Person betreffen. (HIPAA Administrative Simplification Regulation Text March 2013, S. 16)

Hier gibt es Ähnlichkeiten zu den personenbezogenen Daten, wie sie in Europa mittels Datenschutzgrundverordnung (DSGVO) geschützt werden. Es besteht ein Auskunftsrecht über die eigenen verarbeiteten Daten, und ohne Rücksprache mit den Betroffenen dürfen die Daten nur unter besonderen Umständen an Dritte weitergeleitet werden. Zu diesen Umständen zählt insbesondere der breit gefächerte Begriff der sogenannten „health care operations“ (Definition siehe HIPAA Administrative Simplification Regulation Text March 2013, S. 78 §164.502(b)).

Die bestehenden Regelungen wurden 2009 durch den Health Information Technology for Economic and Clinical Health (kurz HITECH) Act und 2013 durch die Final HIPAA Omnibus Rule verschärft, um ein effektiveres Vorgehen gegen Verstöße zu ermöglichen. Trotz dieses soliden Grundgerüsts scheint es Probleme bei der konkreten Durchsetzung zu geben. ProPublica berichtete 2016 (propublica.org), dass es bei den meisten Beschwerden nicht zu einer Verfolgung mangels fehlender Schwere des Verstoßes kommt, sondern stattdessen lediglich auf freiwillige Einhaltung der Vorschriften durch die Unternehmen gesetzt wird (hipaajournal.com).

In Deutschland werden Gesundheitsdaten nach §22 des Bundesdatenschutzgesetzes in Verbindung mit Artikel 9 der DSGVO geschützt und sind definiert als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer Person, einschließlich der Einbringung von Gesundheitsleistungen beziehen, und aus denen Informationen über deren Gesundheitszustand hervorgehen (dsgvo-gesetz.de, §46 Abs. 13 BDSG). Zusätzlichen Schutz bieten das Kopplungsverbot und die Regelungen zur Erklärungsform.

Beim Kopplungsverbot darf das Zustandekommen von Verträgen nicht von der Erhebung abdingbarer Gesundheitsdaten abhängig gemacht werden. Die Erlaubnis zur Nutzung von Gesundheitsdaten kann nur erteilt werden, wenn diese zu Zwecken der Gesundheitsversorgung benötigt werden. Die betreffenden Daten dürfen lediglich von ärztlichem Personal oder Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen oder unter deren Verantwortung stehen, verarbeitet werden (goerg.de).

Es wird also deutlich, dass die Frage nach dem Datenschutz und dem Recht auf informationelle Selbstbestimmung nicht zwingend an den fehlenden Verordnungen scheitert, sondern oftmals an deren Umsetzung. Die Entwicklung passender Softwarelösungen und der Umgang der zuständigen Personen mit den Daten sind nur zwei Beispiele für Probleme, die hier auftreten können. Werden Gesundheitsdaten an unbefugte Dritte weitergegeben, sind unter anderem eine Weiterverarbeitung zum personalisierten Anbieten von medizinischen Produkten möglich, sowie Einschränkungen bei z.B. Krankenversicherungen denkbar. Da beim Thema Gesundheit der Fokus der Betroffenen häufig nicht auf dem Schutz der eigenen Daten liegt, ist es für uns als Gesellschaft umso wichtiger, im ethischen Diskurs auf die Umsetzung der vorhandenen Regelungen zu achten und eine korrekte Umsetzung aller Maßnahmen einzufordern.

Da durch die Verwendung neuer Technologien immer wieder ethisch fragwürdige Situationen entstehen, würden wir uns freuen, gemeinsam einen Diskurs zu genau solchen Fragen zu gestalten. Verlinken Sie uns gerne auf Twitter unter #RedaktionSozioinformatik.

Diesen Beitrag haben Sarah Groos, Lasse Cezanne, Johannes Korz aus unserer Redaktion Sozioinformatik zusammengestellt. Vielen Dank!

GI-MELDUNGEN

Unterstützung in den Geschäftsstellen gesucht: IT-Administration und Controlling. In unseren beiden Geschäftsstellen sind Positionen vakant. Für Bonn suchen wir jemanden, der sich um unsere IT-Administration kümmert, in Berlin wird Projekt-Controlling benötigt.  weiterlesen

Warum gründen so wenige Frauen? Der GI-Webtalk. Frauen gründen viel seltener als Männer. Warum eigentlich? Fehlt es an Ideen, an Mut, oder stehen tradierte Rollenbilder im Weg? Die GI geht gemeinsam mit Gründerinnen dieser Frage nach.  weiterlesen

Sozialkreditsysteme in China: ein Fachgespräch. Die Fachgruppe „Internet und Gesellschaft“ veranstaltet am 24. Juni ein öffentliches Fachgespräch zum Thema „Sozialkreditsystem(e) in China“ und was sie von Organisationen wie Payback, Schufa etc. unterscheiden, die für Menschen in Europa selbstverständlich und für viele unverdächtig sind. Informationen und Anmeldung finden Sie hinter dem Link.  weiterlesen

Wo waren Sie? Wo sind Sie? Der GI-Bewegungsmelder. Viele unserer Mitglieder verändern sich immer wieder beruflich. Wenn Sie dies stolz verkünden möchten, ist unser Bewegungsmelder genau das Richtige: Hier können Sie Ihren Positionswechsel anzeigen und schauen, wo es Ihre Kolleginnen und Kollegen hin verschlägt.  weiterlesen

 

Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. In den vergangenen Tagen hat der Deutschlandfunk ein großes Feature zum Thema Gesichtserkennung gemacht und GI-Präsident Hannes Federrath zitiert.

FUNDSTÜCK

Scan your PDF! Sind Sie auch schon einmal aufgefordert worden, ein Dokument oder Formular auszudrucken, zu unterschreiben, wieder einzuscannen und per E-Mail an den Empfänger zu schicken? Informatikerinnen und Informatikern sträuben sich bei solchen Prozessen die Nackenhaare. Kein Wunder, dass einige dazu übergegangen sind, ihre Unterschrift als Vektorgrafik gleich am Rechner einzufügen – und sich die händische Unterschrift und nicht zuletzt Papier zu sparen. Wehe nur, man gerät an pedantische Zeitgenossen, die nach einer solchen Abkürzung die Rechtsverbindlichkeit anzweifeln. Der Schwindel ist ja leicht erkennbar, da solchermaßen erzeugte Dokumente keine „Scan-Spuren“ enthalten. Zum Glück gibt es auch für dieses Problem eine Lösung. Der Dienst ScanYourPDF nimmt ein PDF entgegen und erzeugt daraus ein PDF, das aussieht wie gescannt. Der Source-Code ist verfügbar, sodass Sie sensible Dokumente auf dem eigenen Rechner verarbeiten können.   Zum Fundstück (scanyourpdf.com, engl.)

Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!

 

Dies war Ausgabe 265 des GI-Radars. Zusammengestellt hat sie Dominik Herrmann, der Ihnen versichert, dass diese Ausgabe auch ohne Unterschrift und Stempel gültig ist. Die Mitteilungen hat GI-Geschäftsführerin Cornelia Winter zusammengetragen. Das nächste GI-Radar erscheint am 26. Juni 2020.

Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) zukommen lassen.