Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Patientenakte (ePA). Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.

Die ePA ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der ePA gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten in der ePA stellen. Die ePA ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.

Zugriff auf die ePA kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die ePA-App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.

Datenschutzrechtlich ist an der ePA zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die ePA einzuschränken, müssen Versicherte ePA-App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist.  Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die ePA birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.

Seit Februar dieses Jahres ist die KI-Kompetenz für alle Personen verpflichtend, die KI-Systeme im Arbeitsalltag einsetzen.

Die notwendige KI-Kompetenz ist abhängig von den technischen Kenntnissen, Vorerfahrungen, die Ausbildung und Schulung der jeweiligen Person und den Einsatzbereich des KI-Systems und letztlich der Rolle des Arbeitgebers (Betreiber oder Anbieter von KI).

Mit dieser Kompetenz soll sichergestellt sein, dass die Anwender die Risiken der Nutzung von KI für sich selbst und für diejenigen verstehen, die vom Einsatz der KI betroffen sind. Demnach benötigen beispielsweise Anwender aus dem Bereich HR und IT-Sicherheit mehr Kompetenz als ihre Kollegen aus anderen Bereichen.

KI-Kompetenz beinhaltet ein grundlegendes Verständnis von Künstlicher Intelligenz sowie deren Chancen und Risiken. Darüber hinaus benötigt der Anwender ein grundlegendes Wissen über das Gesetz zur Künstlichen Intelligenz, das Datenschutzrecht und über die zusätzlichen Anforderungen weiterer betroffener Rechtsbereiche, wie dem Urheberrecht und dem Geschäftsgeheimnisgesetz.

Wie alle anderen Schulungen, die aus Compliance-Gründen erfolgen, kann für die Schulung zur KI-Kompetenz ein Schulungskonzept erstellt werden. Zunächst sollte das Basiswissen für alle vermittelt werden und später themen- bzw. tätigkeitsspezifischen Vertiefungen angeschlossen werden.

Erster Schritt ist die Identifikation von KI im Unternehmen. Viele bereits im Unternehmen seit Jahren verwendete Anwendungen (wie zum Beispiel Microsoft Office) werden durch KI erweitert. Danach sollte ermittelt werden, welche Risiken diese Anwendungen bergen; welche Mitarbeitenden direkt mit dem System arbeiten und welches Vorwissen diese Mitarbeitenden haben.

Neben den Schulungen sollte eine Richtlinie für den Umgang mit KI-Systemen erstellt werden, in denen Standards definiert werden und Vorgehensweisen und Verhaltensregeln für die Nutzung von KI sowie ein zentraler Ansprechpartner für Fragen rund um KI festgeschrieben werden.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird umbenannt. Hintergrund ist die sprachliche Anpassung des Wortes „Telemedien“. Diese heißen nun „digitale Dienste“. Dementsprechend wird das Gesetz in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, kurz TDDDG. Das Gesetz regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.

Darüber hinaus wird das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG gilt für alle Online-Diensteanbieter und betrifft somit fast jeden Webseitenbetreiber.

Sofern die Gesetze in der Datenschutzerklärung und im Impressum angegeben sind, ist die Bezeichnung zu ändern. Es besteht jedoch keine gesetzliche Pflicht zur Angabe des Paragraphen. Inhaltlich hat sich nichts geändert.

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) für den Einsatz von „Microsoft 365“ erarbeitet.

Die vorgegebene Auftragsverarbeitungsvereinbarung von Microsoft entspricht in Ihrer derzeitigen Form nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Die von den Aufsichtsbehörden erarbeitete Handreichung soll den datenschutzechtlich Verantwortlichen helfen, die Problemfelder zu erkennen und auf vertragliche Änderungen hinzuwirken.

Die Handreichung kann hier abgerufen werden: https://www.lfd.niedersachsen.de/download/199434