Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Patientenakte (ePA). Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.

Die ePA ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der ePA gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten in der ePA stellen. Die ePA ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.

Zugriff auf die ePA kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die ePA-App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.

Datenschutzrechtlich ist an der ePA zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die ePA einzuschränken, müssen Versicherte ePA-App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist.  Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die ePA birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.

Die neue KI-Verordnung beinhaltet eine Pflicht der Betreiber und Anbieter von KI-Systemen, ihre Beschäftigten zu schulen. Diese Pflicht besteht unabhängig vom Risiko der KI-Systems bereits ab dem 02.02.2025. Schulungen zur KI-Kompetenz sind in das bestehende Schulungskonzept mit aufzunehmen und Mitarbeiter zu schulen.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird umbenannt. Hintergrund ist die sprachliche Anpassung des Wortes „Telemedien“. Diese heißen nun „digitale Dienste“. Dementsprechend wird das Gesetz in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, kurz TDDDG. Das Gesetz regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.

Darüber hinaus wird das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG gilt für alle Online-Diensteanbieter und betrifft somit fast jeden Webseitenbetreiber.

Sofern die Gesetze in der Datenschutzerklärung und im Impressum angegeben sind, ist die Bezeichnung zu ändern. Es besteht jedoch keine gesetzliche Pflicht zur Angabe des Paragraphen. Inhaltlich hat sich nichts geändert.

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) für den Einsatz von „Microsoft 365“ erarbeitet.

Die vorgegebene Auftragsverarbeitungsvereinbarung von Microsoft entspricht in Ihrer derzeitigen Form nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Die von den Aufsichtsbehörden erarbeitete Handreichung soll den datenschutzechtlich Verantwortlichen helfen, die Problemfelder zu erkennen und auf vertragliche Änderungen hinzuwirken.

Die Handreichung kann hier abgerufen werden: https://www.lfd.niedersachsen.de/download/199434