Gesundheitsdaten in der Cloud

Größe: px
Ab Seite anzeigen:

Download "Gesundheitsdaten in der Cloud"

Transkript

1 Gesundheitsdaten in der Cloud Ursula Widmer Dr. Widmer & Partner, Rechtsanwälte Bern Zusammenfassung Cloud Computing ist auch im Gesundheitsmarkt ein bedeutendes Thema. Allerdings gelten für Gesundheitsdaten besondere rechtliche Rahmenbedingungen betreffend Geheimhaltung, Datenschutz und Datensicherheit. Dies stellt besondere Anforderungen an die Vertragsgestaltung zwischen Auftraggeber und Cloud-Anbietern. Die massgeblichen rechtlichen Regelungen sind allerdings nicht einheitlich, sondern variieren je nachdem, ob Bundesrecht oder kantonales Recht anwendbar ist und im letzteren Fall das Recht welchen Kantons. So ist es denkbar, dass z.b. für ein Privatspital Cloud Computing unter Voraussetzungen möglich ist, welche für ein kantonales öffentliches Spital ausgeschlossen sind. Diese Situation ist vergleichbar mit derjenigen auf internationaler Ebene, wo die rechtlichen Anforderungen bezüglich Datenschutz und Datensicherheit von Staat zu Staat unterschiedlich sind und zwar auch innerhalb der EU. Ob Cloud Computing für Gesundheitsdaten rechtlich zulässig ist oder nicht, ist somit fallweise zu entscheiden. 1 Praxisbeispiele aus Europa und den USA Cloud Computing Services werden zunehmend auch im Medizinalsektor diskutiert und genutzt. Davon betroffen sind insbesondere auch patientenbezogene Daten. Die Nutzung von Cloud Services wird gefördert durch die nationalen ehealth-projekte und sowie den Kostendruck und die Effizienzanforderungen, die an die Leistungserbringer (Spitäler, Ärzte, Apotheken, Labors etc.) aber auch an weitere Akteure im Gesundheitswesen, etwa die Träger der obligatorischen (sozialen) Krankenversicherung, gestellt werden. Aus den USA sind eine Reihe von Beispielen bekannt, in denen Spitäler cloud-basierte Kommunikations- und Collaboration-Lösungen sowohl für den internen Informationsaustausch zwischen den Mitarbeitern als auch im Verhältnis zu externen Dritten, z.b. vor- und nachbehandelnde Ärzte, einsetzen. Eine wachsende Anzahl von Anbietern bieten spezifisch für medizinische Leistungserbringer entwickelte Cloud-Lösungen an: Für die Patientenadministration, Datencenter-Applikationen für bildgebende Systeme, die Validierung von Rechnungen oder Backup- und Sicherheits-Lösungen. Solche Applikationen basieren häufig auf den Diensten großer Cloud-Anbieter wie Amazon Web Services (AWS) oder der Azure Plattform von Microsoft. In den USA stellt der Health Insurance Portability and Accountability Act (HIPAA) in Bezug auf den Datenschutz und die Datensicherheit elektronischer Patientendaten zwingende Anforderungen an die HIPAA-unterstellten Leistungserbringer, Inkassostellen, Versicherer und weiteren Akteure. Damit diese die Cloud-Angebote nutzen können, müssen diese selbst ebenfalls HIPAA-kompatibel sein. So weist etwa Amazon darauf hin, wie ihre Cloud-Dienste für HIPAA-kompatible Anwendungen eingesetzt werden können und Microsoft bietet für ihren P. Schartner J. Taeger (Hrsg.) D A CH Security 2011 syssec (2011)

2 Gesundheitsdaten in der Cloud 167 Office365 Cloud-Service ein Business Associate Agreement für diejenigen Kunden an, die HIPAA-kompatibel sein müssen. In Europa verfügt England bereits über Pläne des National Health Service (NHS) zur Nutzung der Cloud. Für Patienten des NHS soll die Möglichkeit eingeführt werden, ihre medizinischen Daten als elektronische Gesundheitsakte bei einem von ihnen gewählten Cloud-Anbieter wie MicrosoftVault, LifeSensor etc. zu speichern und zu verwalten. So können für die Behandelnden die Daten zentral zur Verfügung gestellt und ihnen von den Patienten jeweils der Zugriff darauf ermöglicht werden. In ersten Projekten werden die Patientendaten der Londoner Spitäler Chelsea und Westminster über eine von der Firma Flexiant entwickelten Plattform in der Cloud gespeichert und verfügbar gehalten, mit der Möglichkeit der Patienten, Dritten kontrolliert Zugriff auf ihre Daten zu gewähren. Ein anderes Projekt in London will, basierend auf MicrosoftVault, für Patienten mit psychischen Krankheiten eine Plattform schaffen, die nicht nur Zugang zu den Patientenakten ermöglicht, sondern auf die persönliche Situation bezogene Informationen für die Patienten bereithält und die Kommunikation mit den behandelnden Ärzten ermöglicht. Eine ähnliche Plattform ist in Deutschland für die Online- Betreuung und Behandlung von übergewichtigen Jugendlichen angekündigt. 2 Chancen für den Gesundheitsmarkt Cloud Computing Services sind für Akteure im Gesundheitsmarkt aus mehreren Gründen interessant. Von Vorteil ist, dass die Nutzung der IT-Ressourcen kurzfristig veränderten Bedürfnissen angepasst werden kann. Auch im Gesundheitsbereich sind traditionell gewachsene organisatorische Strukturen raschen Veränderungen unterworfen. Spitäler werden geschlossen oder fusioniert. Die Aufgabenbereiche werden neu definiert und abhängig davon entweder der Betrieb erweitert, redimensioniert oder anders organisiert. In einem derartig volatilen Umfeld ist es ein Wettbewerbsvorteil, wenn IT-Lösungen realisiert werden können, die sich flexibel nach dem aktuellen Bedarf erweitern oder redimensionieren lassen. Cloud Computing verspricht zudem Kostenvorteile und entspricht damit der Forderung nach Kostensenkungen, welche eines der zentralen Themen im Gesundheitssektor ist. Statt selber eine bestimmte Hardware- und Softwareumgebung zu erwerben, zu betreiben und zu unterhalten und die dafür anfallenden Kosten zu tragen, entrichten die Kunden beim Cloud Computing ein sich am effektiven Bedarf orientierendes Entgelt oder auch eine wiederkehrende Fixgebühr für die Nutzung der benötigten und vom Anbieter zur Verfügung gestellten IT- Ressourcen. Die Kunden können damit Fixkosten einsparen. Die Cloud Services Anbieter, die ihre Ressourcen einer möglichst großen Zahl von Nutzern zur Verfügung stellen, erreichen dadurch eine optimale Ausnutzung und können Kostenreduktionen realisieren, welche ihnen dann kostengünstige Angebote an die Kunden erlauben. Ein weiterer Vorteil von cloud-basierten Lösungen besteht darin, dass sie grundsätzlich von überall her zugänglich sind. Dies ist im Gesundheitsbereich ein immer wichtiger werdender Gesichtspunkt. Daten werden zunehmend nicht mehr an Arbeitsstationen, sondern über mobile Geräte (Smartphones, Tablet-Computer etc.) erfasst, abgerufen und bearbeitet. Und viele Mitarbeiter, z.b. in der Pflege, sind nicht mehr an einem fixen Arbeitsplatz tätig, sondern werden als Springer innerhalb eines Hauses dort eingesetzt, wo sie benötigt werden, oder pendeln, wie dies für bestimmte Spezialisten, z.b. Röntgenologen, Kardiologen etc., vielfach zutrifft, regelmässig zwischen den zu einem Spitalverbund gehörenden einzelnen Häusern.

3 168 Gesundheitsdaten in der Cloud Diese Mitarbeiter wollen daher von unterschiedlichen Arbeitsplätzen und Orten aus auf Daten und Anwendungen zugreifen können. 3 Risiken aus rechtlicher Sicht betrachtet Bei Cloud-Angeboten, welche Gesundheitsdaten betreffen, sind die allgemeinen rechtlichen Risiken, wie sie auch für alle anderen Cloud-Angebote bestehen, zu berücksichtigen. Etwa, dass Cloud-Anbieter für ihre standardisierten und einer unbestimmten Anzahl potentieller Kunden angebotenen Leistungen über Allgemeine Geschäftsbedingungen verfügen, die einseitig zum Nachteil des Kunden formulierte Klauseln (z.b. betreffend Haftung) enthalten können, oder dass der Anbieter sich im Ausland befindet und allenfalls nicht vor heimischen Gerichten belangt werden kann, oder dass der Vertrag ausländischem Recht untersteht, mit welchem der Kunde nicht vertraut ist. Von besonderer Bedeutung sind bei der Nutzung von Cloud-basierten Angeboten für Gesundheitsdaten die folgenden Risiken: Verletzung der Geheimhaltungspflicht: Für patientenbezogene Gesundheitsdaten gelten gesetzliche Geheimhaltungspflichten. Werden solche Daten in die Cloud transferiert, so stellt sich die Frage, ob dies eine Verletzung der Geheimhaltungspflicht darstellt. Verletzung der Vertraulichkeit: Auch wenn die Weitergabe von Gesundheitsdaten in die Cloud zu keiner Verletzung der Geheimhaltungspflicht führen sollte, dürfen unbefugte Dritte keine Kenntnis von patientenbezogenen Daten erhalten, sei es durch Bekanntgabe der Daten oder dadurch, dass den Dritten der Zugriff auf die Daten ermöglicht wird. Das Risiko einer Vertraulichkeitsverletzung steigt, wenn Daten auch nach Beendigung der Vertragsbeziehung beim Cloud-Service Anbieter verbleiben sollten. Verletzung der Integrität: Von der inhaltlichen Korrektheit der Gesundheitsdaten hängt die für den Patienten richtige Behandlung ab. Es muss daher verhindert werden, dass Gesundheitsdaten inhaltlich verfälscht werden, sei es aufgrund der Manipulation durch unbefugte Personen, durch Fehler in der Handhabung der Daten oder durch technische Fehler. Fehlende/unzureichende Verfügbarkeit: Nur wenn die Gesundheitsdaten rechtzeitig und vollständig zur Verfügung stehen, können sie ihren Zweck erfüllen, als Entscheidgrundlage für die Behandlung eines Patienten zu dienen. Probleme mit der Verfügbarkeit können unterschiedliche Ursachen haben, wie z.b. technisch bedingte Ausfälle der vom Cloud-Anbieter eingesetzten IT-Infrastruktur und/oder Anwendungen oder DDoS- Attacken auf den Cloud-Anbieter, welche ihn veranlassen, die Verbindung zum Internet vorübergehend zu unterbrechen. Kritisch für die Verfügbarkeit von Gesundheitsdaten ist auch die Beendigung der Vertragsbeziehungen mit dem Cloud-Anbieter. Hier ist sicherzustellen, dass die von diesem erbrachten Leistungen nahtlos zu einem anderen Anbieter migriert werden können. Um diesen Risiken vorzubeugen sind sowohl rechtliche als auch organisatorische und technische Massnahmen erforderlich, wobei letztere wiederum rechtlich abzusichern sind. 4 Rechtliche Rahmenbedingungen generell Im Zusammenhang mit Gesundheitsdaten und Cloud Computing Dienstleistungen sind die folgenden rechtlichen Rahmenbedingungen zu berücksichtigen:

4 Gesundheitsdaten in der Cloud 169 Geheimhaltungsvorschriften Vorschriften des Datenschutzes, insbesondere in Bezug auf - die Voraussetzungen für die Weitergabe von Personendaten an Dritte zur Bearbeitung im Auftrag und - die Weitergabe von Personendaten ins Ausland sowie Vorschriften betreffend die Datensicherheit. Aufgrund der föderalistischen Strukturen der Schweiz finden sich die relevanten Vorschriften sowohl auf Ebene des Bundes als auch der Kantone. 4.1 Geheimhaltungsvorschriften Arztgeheimnis Das ärztliche Berufsgeheimnis 1 gilt für Ärzte, Zahnärzte, Apotheker und Hebammen sowie ihre Hilfspersonen, unabhängig davon, ob sie ihre Tätigkeit in der freien Praxis, in einem privaten oder öffentlichen Spital oder in einer anderen öffentlichen Gesundheitsinstitution ausüben. Nicht erfasst sind dagegen alle anderen Berufe, die bei ihrer Tätigkeit mit Gesundheitsdaten arbeiten, wie Psychologen, Physiotherapeuten, Ernährungsberater etc. Das gilt jedenfalls, soweit sie ihre Tätigkeit selbständig ausüben und nicht als Hilfsperson unter Anleitung eines Arztes. Die Verletzung des Arztgeheimnisses kann mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bis maximal 180 Tagessätze à CHF 3'000.- bestraft werden. Geschützt sind alle Informationen, die einem Geheimnisträger infolge seines Berufes anvertraut worden sind oder welche er in Ausübung seines Berufes wahrgenommen hat. Die Strafbarkeit ist ausgeschlossen, wenn die Offenbarung von geheimen Informationen mit Einwilligung des betroffenen Patienten oder mit der Genehmigung durch die zuständige Behörde erfolgt. Die Einwilligung muss freiwillig erteilt werden, um gültig zu sein. Keine besonderen Anforderungen bestehen hinsichtlich der Form. Die Einwilligung kann ausdrücklich oder stillschweigend erfolgen. Unklarheit besteht bezüglich des Begriffs der Hilfsperson. Unstrittig ist die Hilfspersoneneigenschaft für das bei der ärztlichen Behandlung eingesetzte medizinische Hilfspersonal und das Pflegepersonal, aber auch für Personen, die im Zusammenhang mit der ärztlichen Tätigkeit notwendige administrative Aufgaben erledigen (Arztsekretärin, Mitarbeiter in der Administration der Verwaltung). Ob auch externe Anbieter als Hilfspersonen gelten, die bei der Erbringung ihrer Leistungen Kenntnis von oder Zugriff auf Patientendaten erhalten, wie dies insbesondere für IT-Anbieter (Support, Hardwarewartung und Softwarepflege, Outsourcing etc.) regelmässig der Fall ist, ist nicht abschliessend geklärt. Es setzt sich jedoch mehr und mehr die Auffassung durch, dass in einem durch Arbeitsteilung, Spezialisierung und Einsatz von technischen Systemen geprägten Umfeld auch solche externen Anbieter als Hilfspersonen anerkannt werden müssen, 2 mit der Folge, dass deren Einsatz nicht von der Einwilligung der betroffenen Personen abhängt. Andernfalls wäre der Einsatz von ICT-Systemen im Gesundheitsbereich wohl generell in Frage gestellt. So ist es für ein Spital beim Beizug eines IT- Anbieters nicht machbar, vorgängig die Einwilligung aller betroffenen Patienten, auch der be- 1 Schweizerisches Strafgesetzbuch (StGB) vom 21. Dezember 1937, SR 311, Art Uttinger, S. 258f.

5 170 Gesundheitsdaten in der Cloud reits vor Jahren abgeschlossenen Fälle, einzuholen. Voraussetzung für den Beizug externer Anbieter als Hilfspersonen ist jedoch, dass diese durch ausdrückliche vertragliche Regelung der Geheimhaltungspflicht unterstellt werden. Kritisch wird es, wenn sich ein Anbieter im Ausland befindet. Gegenüber Personen im Ausland ist die Durchsetzung des strafrechtlichen Geheimhaltungsgebots nicht in gleicher Weise sichergestellt wie in der Schweiz 3. Auch besteht die Möglichkeit, dass ausländische Behörden unter Voraussetzungen auf Daten zugreifen können, welche nicht denjenigen des schweizerischen Rechts entsprechen. In den USA domizilierte Cloud-Anbieter können durch die dortigen Behörden sogar dazu gezwungen werden, Daten ihrer Kunden auszuliefern, und zwar auch solche Daten, die gar nicht in den USA gespeichert sind 4. Aus der mangelnden Durchsetzbarkeit des Schweizer Strafrechts im Ausland wird der Schluss gezogen, dass im Ausland befindliche Personen nicht als Hilfspersonen im Sinne des Gesetzes anerkannt werden können, mit der Folge, dass die Weitergabe von Patientendaten ins Ausland nur mit Zustimmung der betroffenen Patienten zulässig ist Berufliche Schweigepflicht Gemäss dem Bundesgesetz über den Datenschutz 5 (DSG) sind alle Personen mit Busse bis zu CHF 10'000 strafbar, die vorsätzlich unbefugt geheime, besonders schützenswerte Personendaten 6 oder Persönlichkeitsprofile 7 bekannt geben, von denen sie bei der Ausübung ihres Berufes Kenntnis erhalten haben. Der gleichen Strafdrohung unterliegt auch, wer vorsätzlich unbefugt geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bekannt gibt, von denen er bei der Tätigkeit für einen Geheimhaltungspflichtigen oder während der Ausbildung bei einem solchen Kenntnis erhalten hat. Gesundheitsdaten sind besonders schützenswerte Personendaten, so dass sie unter den sachlichen Geltungsbereich der Bestimmung fallen. Der persönliche Geltungsbereich der Bestimmung ist sehr weit. So sind alle diejenigen Berufe erfasst, deren Tätigkeit den Umgang mit Gesundheitsdaten mit sich bringt, die jedoch nicht unter das Arztgeheimnis fallen (vgl. oben Ziff ). Unbefugt ist eine Bekanntgabe von Daten dann, wenn sie im Widerspruch zu den Regeln für die Datenbearbeitung gemäss DSG erfolgt (dazu unten Ziff. 5.). Die Bestimmung gilt nicht für Tätigkeiten im Bereich der kantonalen Verwaltungen und der Erfüllung kantonaler öffentlicher Aufgaben, da diese nicht in den Geltungsbereich des DSG fallen. 3 BSK DSG-Rampini, Art. 14 Rz. 15; Baeriswyl, S. 67f. 4 Vgl. z.b. US-Beörden dürfen auf europäische Cloud-Daten zugreifen bei heise.de unter newsticker/meldung/us-behoerden-duerfen-auf-europaeische-cloud-daten-zugreifen html. 5 Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992, Art Als besonders schützenswerte Personendaten gelten gemäss Art. 3 lit. c DSG Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe und 4. administrative oder strafrechtliche Verfolgungen und Sanktionen. 7 Ein Persönlichkeitsprofil ist gemäss Art. 3 lit. d DSG eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

6 Gesundheitsdaten in der Cloud Schweigepflicht nach Sozialversicherungsrecht Personen, die an der Durchführung der Sozialversicherungsgesetze sowie der Kontrolle oder Beaufsichtigung von deren Durchführung beteiligt sind, unterliegen gegenüber Dritten 8 einer Schweigepflicht. Dies gilt insbesondere auch für die Bearbeitung von Patientendaten im Rahmen der obligatorischen Krankenversicherung. Die Verletzung dieser Schweigepflicht ist gemäss Krankenversicherungsgesetz 9 strafbar mit bis zu 180 Tagessätzen à maximal CHF 3' Keine Dritten im Sinne der Bestimmung sind externe Dienstleistungserbringer, welche auf vertraglicher Basis Aufgaben für eine Organisation, z.b. eine Krankenversicherung, erfüllen. Der Beizug von ICT-Anbietern ist damit zulässig. 4.2 Datenschutzrecht Allgemein Das DSG regelt die Datenbearbeitung im Privatbereich sowie durch Bundesorgane. Dem DSG unterstehen niedergelassene Ärzte, Zahnärzte, Apotheker, Privatspitäler, medizinische Laboratorien etc. Als Bundesorgane gelten, außer den Behörden der Bundeserwaltung, auch alle Personen, Institutionen und Organisationen, die mit einer öffentlichen Aufgabe des Bundes betraut sind. Im Zusammenhang mit Gesundheitsdaten trifft dies insbesondere für die privatrechtlichen Träger der obligatorischen Krankenversicherung zu. Das DSG gilt nicht für den Bereich der Kantone. Diese haben für ihren Zuständigkeitsbereich eigene Datenschutzgesetze erlassen. Zu den kantonalen Aufgaben gehört auch das öffentliche Gesundheitswesen und hier insbesondere die öffentlichen Spitäler. Der kantonalen Gesetzgebung unterstehen aber auch Privatspitäler, soweit sie Aufgaben im Rahmen der öffentlichen Gesundheitsversorgung übernehmen. Die kantonalen Datenschutzregelungen stimmen in den Grundzügen mit dem DSG überein, können aber in Einzelpunkten Abweichungen aufweisen. Teilweise haben die Kantone auch spezielle Regelungen für den Gesundheitsbereich erlassen. Als Beispiel sei die Patientenrechtsverordnung des Kantons Bern erwähnt, 10 welche eine eigene Regelung für die elektronische Datenbearbeitung durch Dritte enthält Datenbearbeitung durch Dritte (Auftragsbearbeitung) Gemäss DSG 12 ist die Weitergabe von Personendaten zur Bearbeitung an Dritte aufgrund einer entsprechenden Vereinbarung grundsätzlich zulässig, und zwar auch ohne Einwilligung der betroffenen Personen, wenn die Daten vom Dritten nur so bearbeitet werden, wie der Auftraggeber es selber tun dürfte und der Auftraggeber sich vergewissert hat, dass der Dritte die Datensicherheit gewährleistet. 8 Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG) vom 6. Oktober 2000, Art Bundesgesetz über die Krankenversicherung (KVG) vom 18. März 1994, Art. 92 lit. c. 10 Verordnung über die Rechte und Pflichten der Patientinnen und Patienten und der Gesundheitsfachpersonen (Patientenrechtsverordnung, PatV) vom 23. Oktober 2002, BSG Art. 12 PatV. 12 Art. 10a DSG.

7 172 Gesundheitsdaten in der Cloud Daneben hält das DSG fest, dass eine Weitergabe von Personendaten zur Auftragsbearbeitung dann nicht zulässig ist, wenn damit Geheimhaltungsvorschriften verletzt würden. Genauere Vorgaben an den Inhalt des Vertrages mit dem beauftragten Datenbearbeiter macht das DSG nicht. Es ist daher im jeweiligen Einzelfall, insbesondere unter Berücksichtigung der mit der Bearbeitung der jeweiligen Daten zusammenhängenden Risiken, zu entscheiden, welche konkreten Regelungen in den Vertrag aufzunehmen sind, um sicherzustellen, dass der Beauftragte die massgeblichen Bearbeitungsgrundsätze einhält und die erforderlichen Massnahmen zur Datensicherheit trifft. Die kantonalen Regelungen gehen zum Teil weiter. So sieht z.b. der Kanton Bern vor, 13 dass bei der Weitergabe von Patientendaten an Auftragsbearbeiter der Vertrag schriftlich abzuschliessen ist, und verlangt in Bezug auf den Inhalt, dass Regelungen im Hinblick auf die Wahrung der Geheimhaltungspflicht vorzusehen sind. Noch weiter geht der Kanton Zürich. Betrifft die Auslagerung von Informatikdienstleistungen besonders schützenswerte Personendaten oder der Geheimhaltung unterliegende Daten, was für Gesundheitsdaten beides zutrifft, so muss die auslagernde Stelle sicherstellen, dass nur solche Mitarbeiter des Auftragnehmers die Daten bearbeiten können, welche dem Kontroll- und Weisungsrecht der auslagernden Stelle unterworfen werden und an die Geheimhaltung gebunden werden Bekanntgabe von Personendaten ins Ausland Für die grenzüberschreitende Bekanntgabe von Daten gelten keine besonderen Anforderungen, wenn das Empfängerland über einen angemessenen gesetzlichen Datenschutz verfügt. 15 Dies trifft zu für die Mitgliedstaaten der EU und des EWR, Israel, Argentinien sowie für die USA, wenn der Datenempfänger sich gemäss dem Safe Harbor Framework zertifiziert hat. 16 Fehlt dagegen im Empfängerland ein angemessener Datenschutz, so ist die Bekanntgabe von Personendaten nur zulässig, wenn einer der im DSG abschließend aufgelisteten Rechtfertigungsgründe vorliegt. 17 Im Zusammenhang mit dem Cloud Computing sind vor allem die vertragliche Vereinbarung 18 von hinreichenden Garantien betreffend den Datenschutz mit dem Datenempfänger im Ausland sowie die Einwilligung der betroffenen Personen 19 relevant. Was unter hinreichenden Garantien zu verstehen ist, wird im Gesetz nicht näher bestimmt. Entscheidend sind die jeweiligen Umstände. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat selber einen Muster Outsourcing-Vertrag publiziert und anerkennt die Standardvereinbarung des Europarats sowie die Standardklauseln der EU. Wenn diese Standardbedingungen verwendet werden, muss beim EDÖB lediglich eine Meldung erfolgen, wonach der Abschluss eines solchen Vertrages erfolgt ist. Werden die Standardbedin- 13 vgl. Art. 12 PatV des Kantons Bern. 14 Gesetz über die Auslagerung von Informatikdienstleistungen vom 23. August 1999, 3 Abs Art. 6 Abs. 1 DSG. 16 vgl. dazu die Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unter 17 Art. 6 Abs. 2 DSG. 18 Art. 6 Abs. 2 lit. a DSG. 19 Art. 6 Abs. 2 lit. b DSG.

8 Gesundheitsdaten in der Cloud 173 gungen dagegen nicht verwendet, muss der Vertrag zur Prüfung und Genehmigung beim EDÖB eingereicht werden. 20 Hinsichtlich der Einwilligung der Betroffenen präzisiert das DSG, dass diese im Einzelfall erfolgen muss. Das heisst, dass sich die Einwilligung zwar nicht auf jeden einzelnen Bekanntgabevorgang beziehen muss, sondern eine Mehrheit von Datenübermittlungen im Rahmen des gleichen Sachzusammenhangs oder der gleichen Situation betreffen kann. So wäre es z.b. möglich, dass Versicherte ihre Einwilligung erteilen, dass ein Krankenversicherer die für die Abrechnung erforderlichen Daten ins Ausland übermittelt und dort verarbeiten lässt. 4.3 Rechtliche Vorgaben betreffend die Datensicherheit Das DSG 21 verlangt in Bezug auf die Datensicherheit, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Die dazugehörige Verordnung 22 enthält Ausführungsbestimmungen hinsichtlich der Risiken, die durch Sicherheitsmassnahmen abzusichern sind, sowie allgemeine Umschreibungen bezüglich der Art der zu treffenden Massnahmen (z.b. Massnahmen der Zugangs- und Zugriffskontrolle). Es werden hingegen keine konkreten Sicherheitsmassnahmen definiert. Die Kantone kennen demgegenüber teilweise weitergehende Vorgaben. Als Beispiel kann der Kanton Zürich erwähnt werden. Gestützt auf die Gesetzgebung betreffend die Auslagerung von Informatikdienstleistungen wurden Allgemeine Geschäftsbedingungen (AGB) formuliert, 23 welche jeweils als Bestandteil der Verträge mit den externen Anbietern zu vereinbaren sind. Diese AGB sehen eine Reihe von Massnahmen vor, welche der Anbieter vorzukehren hat: Dokumentationspflicht des Auftraggebers betreffend Methoden und Prozesse zur Wahrung der Sicherheit; Pflicht zur Einhaltung allgemein anerkannter Sicherheitsstandards und -methoden für Entwicklung und Betrieb sicherer Informationssysteme; Vorlage eines Sicherheitskonzeptes; Schriftliche Verpflichtung des Personals des Auftragsbearbeiters zur Einhaltung der gesetzlichen und vertraglichen Geheimhaltungs- und Sicherheitsbestimmungen; Schriftliche Mitteilung, wenn der Auftragsbearbeiter zur Erfüllung seiner Aufgaben einen Dritten (Subunternehmer) beizieht; Pflicht zur Vornahme von Verarbeitungsprozessen ausschliesslich innerhalb der Schweiz; Pflicht zur periodischen Durchführung von Sicherheits-Audits und Zustellung der entsprechenden Berichte an den Auftraggeber auf Anfrage; Unterstellung unter die Aufsicht durch die kantonalen Behörden, insbesondere die Datenschutzbehörde und Pflicht entsprechende Kontrollen zu dulden und, soweit erforderlich, zu unterstützen. 20 Vgl. Art. 6 Abs. 3 DSG und Art. 6 Abs. 3 und Abs. 5 der Verordnung zum DSG.. 21 Art. 7 DSG. 22 Verordnung zum DSG vom 14. Juni 1993, SR , Art. 8ff. 23 Allgemeine Geschäftsbedingungen über die Geheimhaltung, den Datenschutz und die Daten- und Informationssicherheit bei der Erbringung von Informatikdienstleistungen (AGB Sicherheit) vom September 2001.

9 174 Gesundheitsdaten in der Cloud Auch der Kanton Bern hat ähnliche AGB festgelegt Effiziente rechtliche Umsetzung 5.1 Sicherstellung der Einwilligung der Betroffenen Aus den oben dargestellten rechtlichen Rahmenbedingungen folgt, dass die Einwilligung der betroffenen Patienten nur dann eine unverzichtbare Voraussetzung darstellt, wenn dem strafrechtlichen Arztgeheimnis unterliegende Daten an einen Anbieter ins Ausland weitergegeben werden. Da Anbieter im Ausland nicht als Hilfspersonen der Geheimnisträger anerkannt sind, stellt eine Datenweitergabe ohne Einwilligung eine Geheimnisverletzung dar. Die Einwilligung ist dann problemlos, wenn die Daten auf ausdrückliche oder konkludente Anweisung des Patienten selbst ins Ausland transferiert werden. Dies ist z.b. der Fall bei den in Cloud-Plattformen gehaltenen persönlichen Gesundheitsakten. Hier ist es der Patient, der den Arzt oder das Spital jeweils selbst veranlasst, die ihn betreffenden Daten in die Gesundheitsakte einzustellen. Anders verhält es sich hingegen, wenn ein Arzt oder Spital aus eigener Initiative Patientendaten an einen Anbieter im Ausland zur Speicherung oder Bearbeitung weitergeben möchte. Ein erstes Problem stellt sich in Bezug auf die Daten der bis zu 10 Jahre oder noch länger zurückliegenden, abgeschlossenen Fälle. 25 Hier dürfte es praktisch ausgeschlossen sein, die Einwilligung bei allen Patienten einzuholen. Eine Auslagerung ins Ausland ist daher wohl nur für die aktuellen sowie künftigen Fälle durchführbar. Hier ist es möglich, die Einwilligung der Patienten z.b. durch Verwendung eines entsprechenden Formulars zu beschaffen, welches den Patienten zur Unterschrift vorgelegt wird. Voraussetzung ist allerdings, dass die Patienten informiert werden, welche Daten, zu welchem Zweck grenzüberschreitend in die Cloud weitergegeben werden und mit welchen Risiken dies allenfalls verbunden ist. Da die Einwilligung zudem nur gültig ist, wenn sie freiwillig erfolgt, muss ein Alternativszenario zur Verfügung stehen, wenn ein Patient die Einwilligung verweigert. Ein Arzt in der privaten Praxis wird einen Patienten, der die Einwilligung verweigert, allenfalls auch ablehnen dürfen. Der Patient hat, jedenfalls in städtischen Verhältnissen, genügend Auswahl, um sich bei einem anderen Arzt behandeln zu lassen. Für öffentliche Spitäler ist dieses Vorgehen dagegen nicht zulässig, da den Patienten in den meisten Fällen keine zumutbare Möglichkeit zur Verfügung steht, um in eine andere Institution auszuweichen. Damit die Patienteneinwilligung freiwillig ist, muss das Spital daher selber für eine Alternative in Bezug auf die Daten von Patienten sorgen, welche ihre Einwilligung zum Transfer ihrer Daten in die Cloud verweigern. 5.2 Vertragliche Einbindung des Cloud-Anbieters Die vertragliche Einbindung des Cloud-Anbieters ist unter vier Aspekten sicherzustellen: Überbindung der Geheimhaltungspflicht, Einhaltung der für den Auftraggeber massgeblichen 24 Allgemeine Geschäftsbedingungen des Kantons Bern über die Informationssicherheit und den Datenschutz (ISDS) bei der Erbringung von Informatikdienstleistungen (AGB ISDS), Anhang 4 der Weisungen des kantonalen Amtes für Informatik und Organisation über Informationssicherheit und Datenschutz vom 1. Oktober Die Aufbewahrungsdauer für ärztliche Dokumentation beträgt in der Regel 10 Jahre, unter bestimmten Umständen auch mehr.

10 Gesundheitsdaten in der Cloud 175 Datenbearbeitungsgrundsätze, Sicherstellung von hinreichenden Datenschutzgarantien, bei Weitergabe von Daten in ein Land ohne angemessenen Datenschutz und Massnahmen zur Sicherstellung einer angemessenen Datensicherheit. Daraus ergibt sich, dass in Bezug auf Gesundheitsdaten die Inanspruchnahme von Standardangeboten, wie sie mit Cloud-Anbietern üblicherweise online über das Internet abgeschlossen werden können, nicht in Frage kommen kann. Es ist vielmehr notwendig, mit dem Anbieter einen Vertrag individuell zu vereinbaren. Dies ist grundsätzlich möglich, und gerade auch grosse Cloud-Anbieter sind zur Führung von Vertragsverhandlungen mit Kunden, die besondere Anforderungen haben, in der Regel bereit Geheimhaltung Die für die Gesundheitsdaten geltende Geheimhaltungspflicht (je nachdem Arztgeheimnis, berufliche oder sozialversicherungsrechtliche Schweigepflicht) muss vom Auftraggeber auf den Cloud-Anbieter überbunden werden. Ob dabei auch die einzelnen Mitarbeiter des Anbieters, die möglicherweise Zugriff auf die Daten haben können, individuell verpflichtet werden müssen, ist dagegen fraglich. Beim Cloud Computing haben die Mitarbeiter des Anbieters im Normalfall keinen Zugriff auf Daten der Kunden. Die Notwendigkeit zu einer individuellen Verpflichtung der Mitarbeiter ist daher abzulehnen. Dies ist ein wesentlicher Unterschied etwa zur Software-Wartung, oder zum Outsourcing, wo im Voraus bestimmte Mitarbeiter des Anbieters regelmässig Zugriff auf Daten beim Kunden haben. Sofern allerdings das anwendbare kantonale Recht eine individuelle Verpflichtung der Mitarbeiter des Anbieters fordert, wird man auf diese nicht verzichten können, womit jedoch der Anwendungsbereich des Cloud Computing stark eingeengt wird, indem der Bezug von Leistungen der grossen weltweit tätigen Cloud-Anbieter ausgeschlossen ist und lediglich noch Leistungen im Rahmen einer schweizerischen Private Cloud in Frage kommen Zulässige Datenbearbeitung In Bezug auf die Einhaltung von datenschutzrechtlichen Bearbeitungsgrundsätzen, wie sie für den Auftraggeber gelten, ist es erforderlich, dass sich der Cloud-Anbieter ausdrücklich dazu verpflichtet, die Daten nur zu den Zwecken und in dem Umfang zu bearbeiten, wie sie für den Kunden gelten. Verschiedene Anbieter sehen dies in ihren Standardbedingungen ausdrücklich vor, und es ist möglich, mit ihnen individuell die zulässigen Bearbeitungszwecke verbindlich zu definieren. Insofern sind die Anbieter bereit, sich dem Weisungsrecht des Kunden zu unterstellen. Die Frage, ob diese Verpflichtungen auch individuell für die Mitarbeiter des Anbieters vorzusehen sind, beantwortet sich analog derjenigen betreffend die Überbindung der Geheimhaltungspflicht (oben Ziff ) Hinreichende Datenschutzgarantien beim Datenexport Ist der Cloud-Anbieter in einem Land ohne angemessenen gesetzlichen Datenschutz oder kann nicht ausgeschlossen werden, dass die Daten auch in ein solches Land transferiert werden könnten, so sind durch entsprechende vertragliche Regelungen hinreichende Garantien zur Sicherstellung eines angemessenen Datenschutzes zu schaffen. Die Rechtslage ist zu unklar, damit dies in absehbarer Zeit ein realistisch gangbarer Weg ist. Dies deshalb, weil die

11 176 Gesundheitsdaten in der Cloud vom EDÖB anerkannten Standardbedingungen kaum für das Cloud Computing geeignet sind bzw. diese sich kaum bei einem Cloud-Anbieter durchsetzen lassen, womit die Notwendigkeit besteht, den Vertrag beim EDÖB zur Prüfung und Genehmigung einzureichen. Auftraggeber aus der Schweiz werden daher vorzugsweise Anbieter suchen, die ihnen vertraglich zusichern können, dass keine Daten in Länder ohne angemessenen Datenschutz gelangen Datensicherheit Auch wenn das DSG bezüglich der Massnahmen zur Datensicherheit keine konkreten Vorgaben macht, müssen Auftraggeber im Hinblick auf ihre Verantwortlichkeit gegenüber den betroffenen Patienten sicherstellen, dass die Datensicherheit in genügendem Mass gewahrt ist. Folgende Punkte, zu denen Cloud-Anbietern im Rahmen von Verhandlungen mit Kunden auch Regelungen anbieten, sind zu berücksichtigen: Verbindliche Beschreibung der vom Anbieter getroffenen Sicherheitsmassnahmen, damit der Auftraggeber beurteilen kann, ob die für ihn selbst gültigen Anforderungen eingehalten sind; Beizug von Subunternehmern nur mit Kenntnis des Auftraggebers und unter Überbindung der auf den Anbieter selber geltenden Verpflichtungen; Informationspflicht des Anbieters im Fall von sicherheitsrelevanten Ereignissen; Regelmäßige Durchführung von Sicherheitsaudits durch externe Fachleute und Zurverfügungstellung der entsprechenden Berichte an den Auftraggeber; Verbindliche Festlegung der Rechenzentren des Anbieters, in denen die Daten des Auftraggebers bearbeitet werden. Andernfalls lässt sich weder die Anforderung, dass die Daten in keine Ländern mit ungenügendem Datenschutz gelangen, noch die Einhaltung der Sicherheitsanforderungen wirksam kontrollieren; Soweit es sich um Daten handelt, welche zur gesetzlich geforderten Patientendokumentation gehören, muss die Nachverfolgbarkeit (Revisionsfestigkeit) für alle Dateneingaben, -mutationen und -löschungen durch entsprechende Log-Dateien sichergestellt sein. Dies insbesondere im Hinblick darauf, dass diese Daten in allfälligen Haftpflichtprozessen Beweisfunktion haben und daher deren Vollständigkeit und inhaltliche Unverfälschtheit nötigenfalls belegt werden muss. Service Level Agreements bezüglich der Verfügbarkeit der Infrastruktur des Anbieters. Wo das kantonale Recht weitergehende Anforderungen stellt, wie z.b. dass keine Verarbeitungsprozesse ausserhalb der Schweiz erfolgen dürfen oder die Verpflichtung des Anbieters zur Unterstellung unter die Kontrolle der kantonalen Datenschutzbehörden dürfte der Spielraum für das Cloud Computing leider eng werden. Es dürfte lediglich noch eine Private Cloud mit einem Anbieter in der Schweiz in Frage kommen. 5.3 Anonymisierung und Verschlüsselung Da es im Einzelfall schwierig bis unmöglich sein kann, die für eine Weitergabe von Gesundheitsdaten an einen Cloud-Anbieter massgeblichen rechtlichen Anforderungen zu erfüllen, ist jeweils zu prüfen, ob die Daten nicht vor dem Transfer in die Cloud anonymisiert bzw. pseudonymisiert werden können. Dadurch verlieren die Daten ihren Personenbezug und fallen aus

12 Gesundheitsdaten in der Cloud 177 dem Anwendungsbereich der Geheimhaltungs- und Datenschutzvorschriften heraus. Das Gleiche wird auch durch die Verschlüsselung der Daten erreicht. Bei der Anonymisierung werden die Daten irreversibel von jedem Personenbezug befreit. Auch der Inhaber der Daten ist nicht mehr in der Lage, einen Personenbezug herzustellen. Die Anonymisierung kommt daher nur in wenigen Fällen in Frage, z.b. wenn statistische Daten in der Cloud bearbeitet werden sollen. Bei der Pseudonymisierung werden die personenbezogenen Merkmale durch Platzhalter ersetzt, z.b. Namen durch eine Kennziffer, so dass für Dritte die Daten keinen Rückschluss mehr auf eine bestimmte Person gestatten. Der Inhaber der Daten kann demgegenüber mittels eines Schlüssels den Personenbezug weiterhin herstellen. Die Problematik bei der Pseudonymisierung liegt darin, dass die Aufhebung des Personenbezugs häufig nur graduell und nicht absolut möglich ist. Werden z.b. die Patientennamen durch eine Kennzahl ersetzt, so ist dies in den meisten Fällen noch nicht ausreichend, da die Daten noch genügend andere individualisierende Merkmale aufweisen, welche die personenbezogene Zuordnung, wenn vielleicht auch nicht in allen, so jedoch nach wie vor in vielen Fällen erlauben. Andererseits ist zu berücksichtigen, dass ein aussenstehender Auftragsbearbeiter nicht über das gleiche Hintergrundwissen verfügt, welches Personen aus dem näheren Umfeld der Patienten, trotz Pseudonymisierung, noch eine Individualisierung ermöglicht. Zu prüfen ist daher im Einzelfall, welches Risiko besteht, dass solche Personen Zugriff auf die pseudonymisierten Daten erhalten könnten, welche aufgrund ihrer Kenntnisse in der Lage sind, die Daten bestimmten Personen zuzuordnen. Erscheint dieses Risiko nach den Umständen als zumutbar gering, ist die Pseudonymisierung genügend 26. Die Verschlüsselung vermeidet den Nachteil der bloss graduellen Wirkung der Pseudonymisierung und ist daher, korrekte technische Implementierung vorausgesetzt, der Pseudonymisierung vorzuziehen. Ihr Nachteil liegt darin, dass Daten verschlüsselt übermittelt und gespeichert werden können, eine Verarbeitung verschlüsselter Daten jedoch noch nicht möglich ist. Allerdings bestehen Forschungsprojekte, um Möglichkeiten zu finden, die eine Verarbeitung verschlüsselter Daten erlauben sollen. Es bleibt somit abzuwarten, was die Zukunft in diesem Bereich noch bringen wird. Literatur [Baer01] B. Baeriswyl, Entwicklungen und Perspektiven des Datenschutzes in öffentlichrechtlichen Krankenhäusern Erfahrungen aus dem Kanton Zürich, in: B. Hürlimann, R. Jacobs, T. Poledna (Hrsg.), Datenschutz im Gesundheitswesen, Zürich 2001, S [Ramp06] C. Rampini: Kommentierung von Art. 14 DSG, in: U. Maurer-Lambrou und N. P. Vogt (Hrsg.), Basler Kommentar Datenschutzgesetz, Basel 2006, S [Utti03] U. Uttinger: Regulatorische Anforderungen an IT-Outsourcing: Gesundheitsund Versicherungsbereich, in: R. H. Weber, M. Berger, R. Auf der Maur (Hrsg.), IT-Outsourcing, Zürich S Diese Fragestellung lag z.b. dem Entscheid des englischen High Court in Department of Health v Information Commissioner, [2011] EWHC 1430, zugrunde (vgl. dazu eine Zusammenfassung unter

Probleme des Datenschutzes in der Versicherungsmedizin

Probleme des Datenschutzes in der Versicherungsmedizin Probleme des Datenschutzes in der Versicherungsmedizin Ursula Uttinger, lic. iur., MBA HSG, Präsidentin Datenschutz-Forum Schweiz 1 Hauptprinzipien Transparenz Informationelle Selbstbestimmung 2 Geltungsbereich

Mehr

Rechtliche Aspekte von Informationssicherheitsmessungen

Rechtliche Aspekte von Informationssicherheitsmessungen iimt information security brush-up workshop 11/02/2003 measuring information security state of the art and best practices Rechtliche Aspekte von Informationssicherheitsmessungen Dr. Wolfgang Straub Überblick

Mehr

Schweizerisches Bundesverwaltungsrecht

Schweizerisches Bundesverwaltungsrecht Prof. Dr. Felix Uhlmann Lehrstuhl für Staats- und Verwaltungsrecht sowie Rechtsetzungslehre Universität Zürich Prof. Dr. Felix Uhlmann 1 Datenschutz Leseplan: Skript 36 BGE 138 II 346 ff. EuGH, Urteil

Mehr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Dr. med. Michael Liebrenz, Leiter Gutachterstelle für Zivil- und Öffentlichrechtliche Fragestellung PUK Ursula Uttinger, lic. iur. /exec. MBA HSG, Präsidentin

Mehr

DATENSCHUTZ. Dr. med. Christian A. Ludwig, M.H.A. Universität Bern

DATENSCHUTZ. Dr. med. Christian A. Ludwig, M.H.A. Universität Bern VERSICHERUNGSMEDIZIN DATENSCHUTZ Dr. med. Christian A. Ludwig, M.H.A. Universität Bern Lernziele Legal aspects of working as a physician C PH 85 Physicians' obligations: to treat, to protect confidential

Mehr

1. Zweck, Begriffe, Gegenstand KANTON ZÜRICH. 1.1 Zweck

1. Zweck, Begriffe, Gegenstand KANTON ZÜRICH. 1.1 Zweck KANTON ZÜRICH Allgemeine Geschäftsbedingungen über die Geheimhaltung, den Datenschutz und die Daten- und Informationssicherheit bei der Erbringung von Informatikdienstleistungen AGB Sicherheit (September

Mehr

BRENNPUNKT ARZTZEUGNIS

BRENNPUNKT ARZTZEUGNIS BRENNPUNKT ARZTZEUGNIS PROBLEMERHEBUNG UND LÖSUNGSANSÄTZE FÜR PATIENT, ARZT, ARBEITGEBENDE, VERSICHERUNG 07. 08. Juni 2013 (1070.) Zentrum Paul Klee, Monument im Fruchtland 3, Bern PATIENT/ANWALT-ARZT-ARBEITGEBENDE-

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Datenschutz und Archivierung

Datenschutz und Archivierung Datenschutz und Archivierung www.datenschutz-sz-ow-nw.ch 1 Ziele Aufgabe und Organisation der Datenschutzstelle bekannt WesentlicheGrundsätze des neuen Datenschutzgesetzes bekannt Bezug und Zusammenhang

Mehr

(Rechts-)Sicher in die Cloud

(Rechts-)Sicher in die Cloud (Rechts-)Sicher in die Cloud Datenschutzrechtliche Aspekte von Cloud Computing RA lic. iur. Nicole Beranek Zanon, Exec. MBA HSG Nicole Beranek Zanon RA lic. iur., EMBA HSG 2 Warum in die Cloud? 3 4 Häufige

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

IT SECURITY IN THE HYBRID CLOUD

IT SECURITY IN THE HYBRID CLOUD IT SECURITY IN THE HYBRID CLOUD Hybrid Clouds Rechtliche Herausforderungen Carmen De la Cruz Böhringer DIE REFERENTEN Carmen De la Cruz Böhringer Carmen De la Cruz Böhringer RA lic. iur. Eidg. dipl. Wirtschaftsinformatikerin

Mehr

Bericht und Antrag des Regierungsrats an den Landrat

Bericht und Antrag des Regierungsrats an den Landrat Bericht und Antrag des Regierungsrats an den Landrat 28. November 2013 Nr. 2013-716 R-721-11 Bericht und Antrag des Regierungsrats an den Landrat zur Änderung der Verordnung zum Bundesgesetz über die Krankenversicherung;

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

Cloud Computing. Rechtliche Rahmenbedingungen und praktische Tipps zur Risikoreduktion. Business Breakfast FFHS. mag. iur.

Cloud Computing. Rechtliche Rahmenbedingungen und praktische Tipps zur Risikoreduktion. Business Breakfast FFHS. mag. iur. Cloud Computing Rechtliche Rahmenbedingungen und praktische Tipps zur Risikoreduktion Business Breakfast FFHS mag. iur. Maria Winkler Cloud Computing Es handelt sich (aus rechtlicher Sicht) einen Outsourcingvertrag,

Mehr

Schweizerisches Bundesverwaltungsrecht

Schweizerisches Bundesverwaltungsrecht Prof. Dr. Felix Uhlmann Lehrstuhl für Staats- und Verwaltungsrecht sowie Rechtsetzungslehre Universität Zürich Prof. Dr. Felix Uhlmann 1 Datenschutz Leseplan: Skript 35 Hintergrund Steuerstreit CH USA

Mehr

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Rechtliche Herausforderungen für IT-Security-Verantwortliche Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal ETH Life 2 Handelsblatt 3 SDA 4 5 20 Minuten/Keystone Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle -

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

SWICA Datenschutzreglement DS-01

SWICA Datenschutzreglement DS-01 DS-01 SWICA bearbeitet Informationen über versicherten Personen in komplexen organisatorischen Prozessen und mit anspruchsvollen technischen Einrichtungen. Dieses Reglement basiert auf dem Grundkonzept

Mehr

Einführung ins Datenschutzrecht

Einführung ins Datenschutzrecht Workshop vom 6. Dezember 2004 Einführung ins Datenschutzrecht Dr. Wolfgang Straub Überblick Wozu Datenschutz? Grundlagen Grundsätze der Datenbearbeitung Rechte der Betroffenen Anwendungsbeispiele 2 1 Rechtsquellen

Mehr

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I:

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I: Datenschutz- und Sicherheitsrichtlinien Schutz und Sicherheit von personen- und gesundheitsbezogenen Daten haben für Outcome Sciences, Inc. d/b/a Outcome ( Outcome ) höchste Priorität. Outcome behandelt

Mehr

Gesetz über den Schutz von Personendaten (Datenschutzgesetz)

Gesetz über den Schutz von Personendaten (Datenschutzgesetz) Datenschutzgesetz 236.1 Gesetz über den Schutz von Personendaten (Datenschutzgesetz) (vom 6. Juni 1993) 1 I. Allgemeine Bestimmungen 1. Dieses Gesetz dient dem Schutz der Grundrechte von Personen, über

Mehr

Cloud Computing: Rechtliche Aspekte

Cloud Computing: Rechtliche Aspekte Cloud Computing: Rechtliche Aspekte Information Center und IT-Services Manager Forum Schweiz 22. März 2012 Dr. iur., Rechtsanwalt Froriep Renggli gegründet 1966 Büros in Zürich, Zug, Lausanne, Genf, London

Mehr

HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz. Zürich, 28. März 2014 René Schnichels

HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz. Zürich, 28. März 2014 René Schnichels HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz Zürich, 28. März 2014 René Schnichels I Wann spielt Datenschutz eine Rolle? 1. Vorbereitung der Bestandsübertragung: Due Diligence,

Mehr

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Nr.147. Gesetz zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Paderborn - PatDSG Zum Schutz von personenbezogenen

Mehr

Bundesgesetz über das elektronische Patientendossier (EPDG)

Bundesgesetz über das elektronische Patientendossier (EPDG) (EPDG) vom Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 95 Absatz 1 und 122 Absatz 1 der Bundesverfassung 1, nach Einsicht in die Botschaft des Bundesrats vom...

Mehr

Rundschreiben 2008/7 Outsourcing Banken

Rundschreiben 2008/7 Outsourcing Banken Häufig gestellte Fragen (FAQ) Rundschreiben 2008/7 Outsourcing Banken (Letzte Änderung vom 6. Februar 2015) 1. Nach welchen Kriterien beurteilt sich die Anwendbarkeit des Rundschreibens 2008/7? Ein Outsourcing

Mehr

Versenden digitaler Patientendaten: Probleme aus Sicht des Juristen

Versenden digitaler Patientendaten: Probleme aus Sicht des Juristen Versenden digitaler Patientendaten: Probleme aus Sicht des Juristen Marco Donatsch Dr. iur., Rechtsanwalt marco.donatsch@bratschi-law.ch www.bratschi-law.ch 21. Jahrestagung der Schweizerischen Gesellschaft

Mehr

Datenschutz und Kinderschutz - Einheit oder Gegensatz?

Datenschutz und Kinderschutz - Einheit oder Gegensatz? Datenschutz und Kinderschutz - Einheit oder Gegensatz? Dr. Claudia Federrath Berlin, den 11. März 2009 Aufgaben Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrolliert die Einhaltung

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18.

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18. Datenschutz aktuell Themenblock 3 und Outsourcing in der Praxis mag. iur. Maria Winkler, 18. März 2014 Agenda Datenübermittlung ins Ausland Gesetzliche Grundlagen US-Swiss Safe Harbor Outsourcing der Datenbearbeitung

Mehr

Mittagsinfo zum Thema

Mittagsinfo zum Thema Mittagsinfo zum Thema Datenschutz und Datensicherheit in Non-Profit Profit-Organisationen 6. September 2007 Folie 1 Agenda I. Überblick über Datenschutzgesetzgebung und die Datenschutzaufsichtstellen II.

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Krankenkasse Simplon. Bearbeitungsreglement extern

Krankenkasse Simplon. Bearbeitungsreglement extern Krankenkasse Simplon Bearbeitungsreglement extern Ausgabe 2014 Inhaltsverzeichnis 1. Allgemeines 1 1.1. Rechtliche Grundlagen 1 1.2. Ziel des Bearbeitungsreglements 1 2. Kurzbeschreibung Krankenkasse

Mehr

Was Sie vom Provider (auch) verlangen sollten

Was Sie vom Provider (auch) verlangen sollten 25.1.2005 Rechtliche Vorgaben beim Outsourcing von Bank-IT: Was Sie vom Provider (auch) verlangen sollten David Rosenthal Die «üblichen» Vorgaben - Übergang von Arbeitsverhältnissen bei Betriebsübergang

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Das Arztgeheimnis. Die Grundlage des Arztgeheimnisses bildet Art. 321 des Schweizerischen Strafgesetzbuches, der bestimmt:

Das Arztgeheimnis. Die Grundlage des Arztgeheimnisses bildet Art. 321 des Schweizerischen Strafgesetzbuches, der bestimmt: Das Arztgeheimnis 1. Grundsätzliches Das Arztgeheimnis bildet eine der ältesten Grundlagen des Arzt - Patientenverhältnisses. Schon der Eid des Hippokrates aus dem 4. Jahrhundert besagt: "Was ich aber

Mehr

Kinderschutz und Datenschutz

Kinderschutz und Datenschutz Berliner Beauftragter für Datenschutz und Informationsfreiheit Kinderschutz und Datenschutz Dr. Claudia Federrath Berlin, den 24. August 2011 Aufgaben Der Berliner Beauftragte für Datenschutz und Informationsfreiheit

Mehr

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Datenschutz-Forum HSW. Dienstag, 5. Juni 2007, Luzern. Ursula Sury, Rechtsanwältin, Prof. an der FHZ für Informatikrecht

Datenschutz-Forum HSW. Dienstag, 5. Juni 2007, Luzern. Ursula Sury, Rechtsanwältin, Prof. an der FHZ für Informatikrecht Datenschutz-Forum Dienstag, 5. Juni 2007, Luzern Hochschule für Wirtschaft, HSW Ursula Sury, Rechtsanwältin, Prof. an Underwriting Vertragsabschluss Neue Offerte Schaden Schadenbehebung Fallablage Underwriting

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Lebensversicherung Nr.: Versicherte Person Die Regelungen des Versicherungsvertragsgesetzes, des

Mehr

Art. 2 Der Geltungsbereich dieser Verordnung bestimmt sich nach 2 des Gesetzes über die Information und den Datenschutz (IDG, LS 170.4).

Art. 2 Der Geltungsbereich dieser Verordnung bestimmt sich nach 2 des Gesetzes über die Information und den Datenschutz (IDG, LS 170.4). 6.00 Datenschutzverordnung (DSV) Gemeinderatsbeschluss vom 5. Mai 0 Der Gemeinderat erlässt gestützt auf 8 des Gesetzes über die Information und den Datenschutz (IDG), 7 der Verordnung über die Information

Mehr

Rechtliche Anforderungen bei Cloud Computing

Rechtliche Anforderungen bei Cloud Computing Rechtliche Anforderungen bei Cloud Computing Risk in der Cloud Was steckt wirklich hinter diesem Begriff? SGRP-Frühlingsevent vom 05. Mai 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher

Mehr

FachInfo Dezember 2012

FachInfo Dezember 2012 FachInfo Dezember 2012 Datenschutz in der Asylsozialhilfe Inhaltsverzeichnis 1. Einleitung... 2 2. Grundsätze des Datenschutzes... 2 2.1 Verhältnismässigkeit...2 2.2 Zweckbindung...2 2.3 Richtigkeit und

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften

Mehr

BEARBEITUNGSREGLEMENT EXTERN. Geschäftsleitung Mitarbeiter Homepage

BEARBEITUNGSREGLEMENT EXTERN. Geschäftsleitung Mitarbeiter Homepage BEARBEITUNGSREGLEMENT EXTERN Verteiler: Vorstand Geschäftsleitung Mitarbeiter Homepage Dokument: QzDAS-006/Bearbeitungsreglement extern Geändert am: 12:00:00 AM Freigegeben am: 12/22/2015 Seite 2 von 8

Mehr

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung

Mehr

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis Verordnung zum Schutz von Patientendaten DSVO KH-Pfalz 50.02 Verordnung der Evangelischen Kirche der Pfalz (Protestantische Landeskirche) zum Schutz von Patientendaten in kirchlichen Krankenhäusern (DSVO

Mehr

Webinar Datenschutzerklärung. Internet. Severin Walz, MLaw Bühlmann Rechtsanwälte AG www.br-legal.ch

Webinar Datenschutzerklärung. Internet. Severin Walz, MLaw Bühlmann Rechtsanwälte AG www.br-legal.ch Webinar Datenschutzerklärung im Internet Severin Walz, MLaw Bühlmann Rechtsanwälte AG www.br-legal.ch 1 Überblick Worum geht s. Definition Was ist eine Datenschutzerklärung?. Wie sieht der rechtliche Rahmen

Mehr

Patientenmobilität an der schweizerischen Grenze

Patientenmobilität an der schweizerischen Grenze Patientenmobilität an der schweizerischen Grenze Deutsch-französisch-schweizerische Konferenz, Baden-Baden, 17. 18. November 2014 Susanne Jeker Siggemann, stellvertretende Leiterin Sektion Rechtliche Aufsicht

Mehr

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic.

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic. ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG VOM FIT FÜR DIE ZUKUNFT UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld lic. iur. Barbara Widmer, LL.M./CIA REFERAT IM KONTEXT DES TAGUNGSTHEMAS

Mehr

Datenschutz und Qualitätssicherung

Datenschutz und Qualitätssicherung Datenschutz und Qualitätssicherung AQC-Tagung 2015 David Rosenthal 19. November 2015 1 Datenschutz? Personendaten? Jede Angabe, die sich auf eine bestimmte oder bestimmbare Person bezieht. Bestimmbarkeit?

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar?

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Apps für Smartphones werden immer populärer und erleichtern uns den schnellen Zugriff auf bestimmte Informationen. Seit ein paar Jahren

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) Verordnung zum Schutz von Patientendaten DSVO-KH 858-1 Archiv Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) vom 10. Oktober

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

Bekanntgabe des Zugangscodes an die Vorstandsmitglieder und Überwachung der Angestellten durch den Arbeitgeber

Bekanntgabe des Zugangscodes an die Vorstandsmitglieder und Überwachung der Angestellten durch den Arbeitgeber Autorité cantonale de la transparence et de la protection des données ATPrD Kantonale Behörde für Öffentlichkeit und Datenschutz ÖDSB Kantonale Datenschutzbeauftragte Chorherrengasse 2, 1700 Freiburg Kantonale

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010

Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010 Google Street View Ticken Schweizer Uhren anders? Erhebung, Bearbeiten und Verwendung von Personendaten Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010 Übersicht. Einführung. Google Street View ( GSV

Mehr

DATENSCHUTZREGLEMENT. vom 21. Juni 2006 1) 1) vom Kirchenverwaltungsrat erlassen am 21. Juni 2006

DATENSCHUTZREGLEMENT. vom 21. Juni 2006 1) 1) vom Kirchenverwaltungsrat erlassen am 21. Juni 2006 DATENSCHUTZREGLEMENT vom 21. Juni 2006 1) 1) vom Kirchenverwaltungsrat erlassen am 21. Juni 2006 in Vollzug ab 22. Juni 2006 Inhaltsverzeichnis Art. 1 Art. 2 Art. 3 Art. 4 Art. 5 I. Grundlagen Gemeindegesetz

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Antragsteller: Versicherungsschein-Nr.: Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes

Mehr

MERKBLATT ZUM DATENSCHUTZ

MERKBLATT ZUM DATENSCHUTZ MERKBLATT ZUM DATENSCHUTZ Erstellt in Zusammenarbeit mit Matthias Horschik, Rechtsanwalt Weinbergstrasse 24, 8001 Zürich, T 044 251 30 62; m.horschik@horschik.ch, www.horschik.ch Stand 28.2.2011 I. Ausgangslage

Mehr

Datenschutz versus Kinderschutz (Aus-) Wege aus dem Dilemma

Datenschutz versus Kinderschutz (Aus-) Wege aus dem Dilemma Berliner Beauftragter für Datenschutz und Informationsfreiheit Datenschutz versus Kinderschutz (Aus-) Wege aus dem Dilemma Dr. Claudia Federrath Berlin, den 14. März 2015 Aufgaben Der Berliner Beauftragte

Mehr

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe.

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. 70.7 Gesetz über den Datenschutz vom 9. November 987 ) I. Allgemeine Bestimmungen Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. Die Bestimmungen

Mehr

BEKANNTGABE VON DATEN INS AUSLAND Informationsblatt zur Datenübermittlung ins Ausland

BEKANNTGABE VON DATEN INS AUSLAND Informationsblatt zur Datenübermittlung ins Ausland Autorité cantonale de la transparence et de la protection des données ATPrD Kantonale Behörde für Öffentlichkeit und Datenschutz ÖDSB Kantonale Datenschutzbeauftragte Chorherrengasse 2, 1700 Freiburg Kantonale

Mehr

Gesetz über den Datenschutz (Datenschutzgesetz)

Gesetz über den Datenschutz (Datenschutzgesetz) Vorlage des Regierungsrats 22.07.14 vom 24. September 2007 Gesetz über den Datenschutz (Datenschutzgesetz) vom... Der Kantonrat des Kantons Obwalden, in Ausführung des Bundesgesetzes über den Datenschutz

Mehr

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)

Mehr

HEUKING KÜHN LÜER WOJTEK. Datenschutz bei Portfoliotransfers in Deutschland und der EU. Köln, 4. April 2014 René Schnichels

HEUKING KÜHN LÜER WOJTEK. Datenschutz bei Portfoliotransfers in Deutschland und der EU. Köln, 4. April 2014 René Schnichels HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in Deutschland und der EU Köln, 4. April 2014 René Schnichels I Wann spielt Datenschutz eine Rolle? 1. Vorbereitung der Bestandsübertragung:

Mehr

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher Sicht Wichtige Vertragspunkte Outsourcing der

Mehr

Social Media kein rechtsfreier Raum

Social Media kein rechtsfreier Raum Social Media kein rechtsfreier Raum Lunchveranstaltung vom 7. Mai 2014 lic.iur. Nadia Steiner-Huwiler, Rechtsdienst, Universität Zürich E-Mail: nadia.steiner@rd.uzh.ch 07.05.14 Seite 1 Übersicht Social

Mehr

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutz- und Vertraulichkeitsvereinbarung Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Der Text der Einwilligungs-/Schweigepflichtentbindungserklärung wurde 2011 mit den Datenschutzaufsichtsbehörden

Mehr

Allgemeine Geschäftsbedingungen in Bezug auf ISDS bei der Erbringung von Informatikdienstleistungen für die Informatikdienste der Universität Bern

Allgemeine Geschäftsbedingungen in Bezug auf ISDS bei der Erbringung von Informatikdienstleistungen für die Informatikdienste der Universität Bern Verwaltungsdirektion Allgemeine Geschäftsbedingungen in Bezug auf ISDS bei der Erbringung von Informatikdienstleistungen für die Informatikdienste der Universität Bern 1. Allgemeine Bedingungen 1.1 Zweck

Mehr

Allgemeine Versicherungsbedingungen (AVB) für Medicasa, Hausarztversicherung für das Oberw allis

Allgemeine Versicherungsbedingungen (AVB) für Medicasa, Hausarztversicherung für das Oberw allis Allgemeine Versicherungsbedingungen (AVB) für Medicasa, Hausarztversicherung für das Oberw allis I nhaltsverzeichnis 1. Grundsätze 1.1. Versicherungsform 1.2. Ärzteliste 1.3. Behandlung, Qualität, Versorgung

Mehr

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Basis der Vereinbarung Folgende Datenschutz & Geheimhaltungsvereinbarung (NDA) ist gültig für alle mit der FLUXS GmbH (nachfolgend FLUXS

Mehr

Datenschutzrecht. Informations- und Kommunikationsrecht HS 2012. PD Dr. Simon Schlauri, Rechtsanwalt. Datenschutzrecht

Datenschutzrecht. Informations- und Kommunikationsrecht HS 2012. PD Dr. Simon Schlauri, Rechtsanwalt. Datenschutzrecht 1 Vorlesung Veranstaltungen 19. September: 26. September: Urheberrecht 3. Oktober: Patent- und Markenrecht 10. Oktober: Kartell- und Lauterkeitsrecht 17. Oktober: Telekommunikationsrecht 24. Oktober: Grundtypen

Mehr

Datenschutzgesetz (DSchG)

Datenschutzgesetz (DSchG) Gesetzessammlung Appenzell I. Rh. Januar 009 7.800 Datenschutzgesetz (DSchG) vom 0. April 000 Die Landsgemeinde des Kantons Appenzell I. Rh., gestützt auf Art. 7 des Bundesgesetzes über den Datenschutz

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Nichtamtliche Übersetzung

Nichtamtliche Übersetzung Nichtamtliche Übersetzung EUROPARAT MINISTERKOMITEE -------- EMPFEHLUNG NR. R (97) 5 DES MINISTERKOMITEES AN DIE MITGLIEDSTAATEN ÜBER DEN SCHUTZ MEDIZINISCHER DATEN (angenommen vom Ministerkomitee am 13.

Mehr

Übersicht. Kantonale Leistungen im Sozialversicherungsrecht

Übersicht. Kantonale Leistungen im Sozialversicherungsrecht für kantonale Leistungen in der Sozialversicherung Präsentation zum Vortrag von Prof. Dr. Fragestellung Kann ein Kanton für Leistungen im Sozialversicherungsrecht auf die haftpflichtige Person regressieren?

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

3.1. Datenweitergabe zur medizinischen Begutachtung

3.1. Datenweitergabe zur medizinischen Begutachtung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften

Mehr

Interpellation der SVP-Fraktion betreffend Krankenversicherung und Zugang zur Gesundheitsversorgung der SansPapiers (Vorlage Nr. 2162.

Interpellation der SVP-Fraktion betreffend Krankenversicherung und Zugang zur Gesundheitsversorgung der SansPapiers (Vorlage Nr. 2162. Seite 1/5 Vorlage Nr. Laufnummer 14186 Interpellation der SVP-Fraktion betreffend Krankenversicherung und Zugang zur Gesundheitsversorgung der SansPapiers (Vorlage Nr. 2162.1-14107) Antwort des Regierungsrates

Mehr

Verordnung über den Einsatz von privaten Sicherheitsunternehmen für Schutzaufgaben durch Bundesbehörden

Verordnung über den Einsatz von privaten Sicherheitsunternehmen für Schutzaufgaben durch Bundesbehörden Verordnung über den Einsatz von privaten Sicherheitsunternehmen für Schutzaufgaben durch Bundesbehörden (Verordnung über den Einsatz von Sicherheitsunternehmen, VES) 124 vom 24. Juni 2015 (Stand am 20.

Mehr

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Kirchliches Amtsblatt für die Diözese Osnabrück, Band 48, Nr. 7, Seite 41 ff., Art. 50, Änderung im KA für die Diözese Osnabrück, Band

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

07.404 s Parlamentarische Initiative. Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement (Hofmann Hans)

07.404 s Parlamentarische Initiative. Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement (Hofmann Hans) Ständerat Sommersession 008 e-parl 6.06.008 - - 5:0 07.404 s Parlamentarische Initiative. Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement (Hofmann Hans) Entwurf der Geschäftsprüfungskommission

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

D i e n s t e D r i t t e r a u f We b s i t e s

D i e n s t e D r i t t e r a u f We b s i t e s M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr