Gesundheitsdaten in der Cloud

Größe: px
Ab Seite anzeigen:

Download "Gesundheitsdaten in der Cloud"

Transkript

1 Gesundheitsdaten in der Cloud Ursula Widmer Dr. Widmer & Partner, Rechtsanwälte Bern Zusammenfassung Cloud Computing ist auch im Gesundheitsmarkt ein bedeutendes Thema. Allerdings gelten für Gesundheitsdaten besondere rechtliche Rahmenbedingungen betreffend Geheimhaltung, Datenschutz und Datensicherheit. Dies stellt besondere Anforderungen an die Vertragsgestaltung zwischen Auftraggeber und Cloud-Anbietern. Die massgeblichen rechtlichen Regelungen sind allerdings nicht einheitlich, sondern variieren je nachdem, ob Bundesrecht oder kantonales Recht anwendbar ist und im letzteren Fall das Recht welchen Kantons. So ist es denkbar, dass z.b. für ein Privatspital Cloud Computing unter Voraussetzungen möglich ist, welche für ein kantonales öffentliches Spital ausgeschlossen sind. Diese Situation ist vergleichbar mit derjenigen auf internationaler Ebene, wo die rechtlichen Anforderungen bezüglich Datenschutz und Datensicherheit von Staat zu Staat unterschiedlich sind und zwar auch innerhalb der EU. Ob Cloud Computing für Gesundheitsdaten rechtlich zulässig ist oder nicht, ist somit fallweise zu entscheiden. 1 Praxisbeispiele aus Europa und den USA Cloud Computing Services werden zunehmend auch im Medizinalsektor diskutiert und genutzt. Davon betroffen sind insbesondere auch patientenbezogene Daten. Die Nutzung von Cloud Services wird gefördert durch die nationalen ehealth-projekte und sowie den Kostendruck und die Effizienzanforderungen, die an die Leistungserbringer (Spitäler, Ärzte, Apotheken, Labors etc.) aber auch an weitere Akteure im Gesundheitswesen, etwa die Träger der obligatorischen (sozialen) Krankenversicherung, gestellt werden. Aus den USA sind eine Reihe von Beispielen bekannt, in denen Spitäler cloud-basierte Kommunikations- und Collaboration-Lösungen sowohl für den internen Informationsaustausch zwischen den Mitarbeitern als auch im Verhältnis zu externen Dritten, z.b. vor- und nachbehandelnde Ärzte, einsetzen. Eine wachsende Anzahl von Anbietern bieten spezifisch für medizinische Leistungserbringer entwickelte Cloud-Lösungen an: Für die Patientenadministration, Datencenter-Applikationen für bildgebende Systeme, die Validierung von Rechnungen oder Backup- und Sicherheits-Lösungen. Solche Applikationen basieren häufig auf den Diensten großer Cloud-Anbieter wie Amazon Web Services (AWS) oder der Azure Plattform von Microsoft. In den USA stellt der Health Insurance Portability and Accountability Act (HIPAA) in Bezug auf den Datenschutz und die Datensicherheit elektronischer Patientendaten zwingende Anforderungen an die HIPAA-unterstellten Leistungserbringer, Inkassostellen, Versicherer und weiteren Akteure. Damit diese die Cloud-Angebote nutzen können, müssen diese selbst ebenfalls HIPAA-kompatibel sein. So weist etwa Amazon darauf hin, wie ihre Cloud-Dienste für HIPAA-kompatible Anwendungen eingesetzt werden können und Microsoft bietet für ihren P. Schartner J. Taeger (Hrsg.) D A CH Security 2011 syssec (2011)

2 Gesundheitsdaten in der Cloud 167 Office365 Cloud-Service ein Business Associate Agreement für diejenigen Kunden an, die HIPAA-kompatibel sein müssen. In Europa verfügt England bereits über Pläne des National Health Service (NHS) zur Nutzung der Cloud. Für Patienten des NHS soll die Möglichkeit eingeführt werden, ihre medizinischen Daten als elektronische Gesundheitsakte bei einem von ihnen gewählten Cloud-Anbieter wie MicrosoftVault, LifeSensor etc. zu speichern und zu verwalten. So können für die Behandelnden die Daten zentral zur Verfügung gestellt und ihnen von den Patienten jeweils der Zugriff darauf ermöglicht werden. In ersten Projekten werden die Patientendaten der Londoner Spitäler Chelsea und Westminster über eine von der Firma Flexiant entwickelten Plattform in der Cloud gespeichert und verfügbar gehalten, mit der Möglichkeit der Patienten, Dritten kontrolliert Zugriff auf ihre Daten zu gewähren. Ein anderes Projekt in London will, basierend auf MicrosoftVault, für Patienten mit psychischen Krankheiten eine Plattform schaffen, die nicht nur Zugang zu den Patientenakten ermöglicht, sondern auf die persönliche Situation bezogene Informationen für die Patienten bereithält und die Kommunikation mit den behandelnden Ärzten ermöglicht. Eine ähnliche Plattform ist in Deutschland für die Online- Betreuung und Behandlung von übergewichtigen Jugendlichen angekündigt. 2 Chancen für den Gesundheitsmarkt Cloud Computing Services sind für Akteure im Gesundheitsmarkt aus mehreren Gründen interessant. Von Vorteil ist, dass die Nutzung der IT-Ressourcen kurzfristig veränderten Bedürfnissen angepasst werden kann. Auch im Gesundheitsbereich sind traditionell gewachsene organisatorische Strukturen raschen Veränderungen unterworfen. Spitäler werden geschlossen oder fusioniert. Die Aufgabenbereiche werden neu definiert und abhängig davon entweder der Betrieb erweitert, redimensioniert oder anders organisiert. In einem derartig volatilen Umfeld ist es ein Wettbewerbsvorteil, wenn IT-Lösungen realisiert werden können, die sich flexibel nach dem aktuellen Bedarf erweitern oder redimensionieren lassen. Cloud Computing verspricht zudem Kostenvorteile und entspricht damit der Forderung nach Kostensenkungen, welche eines der zentralen Themen im Gesundheitssektor ist. Statt selber eine bestimmte Hardware- und Softwareumgebung zu erwerben, zu betreiben und zu unterhalten und die dafür anfallenden Kosten zu tragen, entrichten die Kunden beim Cloud Computing ein sich am effektiven Bedarf orientierendes Entgelt oder auch eine wiederkehrende Fixgebühr für die Nutzung der benötigten und vom Anbieter zur Verfügung gestellten IT- Ressourcen. Die Kunden können damit Fixkosten einsparen. Die Cloud Services Anbieter, die ihre Ressourcen einer möglichst großen Zahl von Nutzern zur Verfügung stellen, erreichen dadurch eine optimale Ausnutzung und können Kostenreduktionen realisieren, welche ihnen dann kostengünstige Angebote an die Kunden erlauben. Ein weiterer Vorteil von cloud-basierten Lösungen besteht darin, dass sie grundsätzlich von überall her zugänglich sind. Dies ist im Gesundheitsbereich ein immer wichtiger werdender Gesichtspunkt. Daten werden zunehmend nicht mehr an Arbeitsstationen, sondern über mobile Geräte (Smartphones, Tablet-Computer etc.) erfasst, abgerufen und bearbeitet. Und viele Mitarbeiter, z.b. in der Pflege, sind nicht mehr an einem fixen Arbeitsplatz tätig, sondern werden als Springer innerhalb eines Hauses dort eingesetzt, wo sie benötigt werden, oder pendeln, wie dies für bestimmte Spezialisten, z.b. Röntgenologen, Kardiologen etc., vielfach zutrifft, regelmässig zwischen den zu einem Spitalverbund gehörenden einzelnen Häusern.

3 168 Gesundheitsdaten in der Cloud Diese Mitarbeiter wollen daher von unterschiedlichen Arbeitsplätzen und Orten aus auf Daten und Anwendungen zugreifen können. 3 Risiken aus rechtlicher Sicht betrachtet Bei Cloud-Angeboten, welche Gesundheitsdaten betreffen, sind die allgemeinen rechtlichen Risiken, wie sie auch für alle anderen Cloud-Angebote bestehen, zu berücksichtigen. Etwa, dass Cloud-Anbieter für ihre standardisierten und einer unbestimmten Anzahl potentieller Kunden angebotenen Leistungen über Allgemeine Geschäftsbedingungen verfügen, die einseitig zum Nachteil des Kunden formulierte Klauseln (z.b. betreffend Haftung) enthalten können, oder dass der Anbieter sich im Ausland befindet und allenfalls nicht vor heimischen Gerichten belangt werden kann, oder dass der Vertrag ausländischem Recht untersteht, mit welchem der Kunde nicht vertraut ist. Von besonderer Bedeutung sind bei der Nutzung von Cloud-basierten Angeboten für Gesundheitsdaten die folgenden Risiken: Verletzung der Geheimhaltungspflicht: Für patientenbezogene Gesundheitsdaten gelten gesetzliche Geheimhaltungspflichten. Werden solche Daten in die Cloud transferiert, so stellt sich die Frage, ob dies eine Verletzung der Geheimhaltungspflicht darstellt. Verletzung der Vertraulichkeit: Auch wenn die Weitergabe von Gesundheitsdaten in die Cloud zu keiner Verletzung der Geheimhaltungspflicht führen sollte, dürfen unbefugte Dritte keine Kenntnis von patientenbezogenen Daten erhalten, sei es durch Bekanntgabe der Daten oder dadurch, dass den Dritten der Zugriff auf die Daten ermöglicht wird. Das Risiko einer Vertraulichkeitsverletzung steigt, wenn Daten auch nach Beendigung der Vertragsbeziehung beim Cloud-Service Anbieter verbleiben sollten. Verletzung der Integrität: Von der inhaltlichen Korrektheit der Gesundheitsdaten hängt die für den Patienten richtige Behandlung ab. Es muss daher verhindert werden, dass Gesundheitsdaten inhaltlich verfälscht werden, sei es aufgrund der Manipulation durch unbefugte Personen, durch Fehler in der Handhabung der Daten oder durch technische Fehler. Fehlende/unzureichende Verfügbarkeit: Nur wenn die Gesundheitsdaten rechtzeitig und vollständig zur Verfügung stehen, können sie ihren Zweck erfüllen, als Entscheidgrundlage für die Behandlung eines Patienten zu dienen. Probleme mit der Verfügbarkeit können unterschiedliche Ursachen haben, wie z.b. technisch bedingte Ausfälle der vom Cloud-Anbieter eingesetzten IT-Infrastruktur und/oder Anwendungen oder DDoS- Attacken auf den Cloud-Anbieter, welche ihn veranlassen, die Verbindung zum Internet vorübergehend zu unterbrechen. Kritisch für die Verfügbarkeit von Gesundheitsdaten ist auch die Beendigung der Vertragsbeziehungen mit dem Cloud-Anbieter. Hier ist sicherzustellen, dass die von diesem erbrachten Leistungen nahtlos zu einem anderen Anbieter migriert werden können. Um diesen Risiken vorzubeugen sind sowohl rechtliche als auch organisatorische und technische Massnahmen erforderlich, wobei letztere wiederum rechtlich abzusichern sind. 4 Rechtliche Rahmenbedingungen generell Im Zusammenhang mit Gesundheitsdaten und Cloud Computing Dienstleistungen sind die folgenden rechtlichen Rahmenbedingungen zu berücksichtigen:

4 Gesundheitsdaten in der Cloud 169 Geheimhaltungsvorschriften Vorschriften des Datenschutzes, insbesondere in Bezug auf - die Voraussetzungen für die Weitergabe von Personendaten an Dritte zur Bearbeitung im Auftrag und - die Weitergabe von Personendaten ins Ausland sowie Vorschriften betreffend die Datensicherheit. Aufgrund der föderalistischen Strukturen der Schweiz finden sich die relevanten Vorschriften sowohl auf Ebene des Bundes als auch der Kantone. 4.1 Geheimhaltungsvorschriften Arztgeheimnis Das ärztliche Berufsgeheimnis 1 gilt für Ärzte, Zahnärzte, Apotheker und Hebammen sowie ihre Hilfspersonen, unabhängig davon, ob sie ihre Tätigkeit in der freien Praxis, in einem privaten oder öffentlichen Spital oder in einer anderen öffentlichen Gesundheitsinstitution ausüben. Nicht erfasst sind dagegen alle anderen Berufe, die bei ihrer Tätigkeit mit Gesundheitsdaten arbeiten, wie Psychologen, Physiotherapeuten, Ernährungsberater etc. Das gilt jedenfalls, soweit sie ihre Tätigkeit selbständig ausüben und nicht als Hilfsperson unter Anleitung eines Arztes. Die Verletzung des Arztgeheimnisses kann mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bis maximal 180 Tagessätze à CHF 3'000.- bestraft werden. Geschützt sind alle Informationen, die einem Geheimnisträger infolge seines Berufes anvertraut worden sind oder welche er in Ausübung seines Berufes wahrgenommen hat. Die Strafbarkeit ist ausgeschlossen, wenn die Offenbarung von geheimen Informationen mit Einwilligung des betroffenen Patienten oder mit der Genehmigung durch die zuständige Behörde erfolgt. Die Einwilligung muss freiwillig erteilt werden, um gültig zu sein. Keine besonderen Anforderungen bestehen hinsichtlich der Form. Die Einwilligung kann ausdrücklich oder stillschweigend erfolgen. Unklarheit besteht bezüglich des Begriffs der Hilfsperson. Unstrittig ist die Hilfspersoneneigenschaft für das bei der ärztlichen Behandlung eingesetzte medizinische Hilfspersonal und das Pflegepersonal, aber auch für Personen, die im Zusammenhang mit der ärztlichen Tätigkeit notwendige administrative Aufgaben erledigen (Arztsekretärin, Mitarbeiter in der Administration der Verwaltung). Ob auch externe Anbieter als Hilfspersonen gelten, die bei der Erbringung ihrer Leistungen Kenntnis von oder Zugriff auf Patientendaten erhalten, wie dies insbesondere für IT-Anbieter (Support, Hardwarewartung und Softwarepflege, Outsourcing etc.) regelmässig der Fall ist, ist nicht abschliessend geklärt. Es setzt sich jedoch mehr und mehr die Auffassung durch, dass in einem durch Arbeitsteilung, Spezialisierung und Einsatz von technischen Systemen geprägten Umfeld auch solche externen Anbieter als Hilfspersonen anerkannt werden müssen, 2 mit der Folge, dass deren Einsatz nicht von der Einwilligung der betroffenen Personen abhängt. Andernfalls wäre der Einsatz von ICT-Systemen im Gesundheitsbereich wohl generell in Frage gestellt. So ist es für ein Spital beim Beizug eines IT- Anbieters nicht machbar, vorgängig die Einwilligung aller betroffenen Patienten, auch der be- 1 Schweizerisches Strafgesetzbuch (StGB) vom 21. Dezember 1937, SR 311, Art Uttinger, S. 258f.

5 170 Gesundheitsdaten in der Cloud reits vor Jahren abgeschlossenen Fälle, einzuholen. Voraussetzung für den Beizug externer Anbieter als Hilfspersonen ist jedoch, dass diese durch ausdrückliche vertragliche Regelung der Geheimhaltungspflicht unterstellt werden. Kritisch wird es, wenn sich ein Anbieter im Ausland befindet. Gegenüber Personen im Ausland ist die Durchsetzung des strafrechtlichen Geheimhaltungsgebots nicht in gleicher Weise sichergestellt wie in der Schweiz 3. Auch besteht die Möglichkeit, dass ausländische Behörden unter Voraussetzungen auf Daten zugreifen können, welche nicht denjenigen des schweizerischen Rechts entsprechen. In den USA domizilierte Cloud-Anbieter können durch die dortigen Behörden sogar dazu gezwungen werden, Daten ihrer Kunden auszuliefern, und zwar auch solche Daten, die gar nicht in den USA gespeichert sind 4. Aus der mangelnden Durchsetzbarkeit des Schweizer Strafrechts im Ausland wird der Schluss gezogen, dass im Ausland befindliche Personen nicht als Hilfspersonen im Sinne des Gesetzes anerkannt werden können, mit der Folge, dass die Weitergabe von Patientendaten ins Ausland nur mit Zustimmung der betroffenen Patienten zulässig ist Berufliche Schweigepflicht Gemäss dem Bundesgesetz über den Datenschutz 5 (DSG) sind alle Personen mit Busse bis zu CHF 10'000 strafbar, die vorsätzlich unbefugt geheime, besonders schützenswerte Personendaten 6 oder Persönlichkeitsprofile 7 bekannt geben, von denen sie bei der Ausübung ihres Berufes Kenntnis erhalten haben. Der gleichen Strafdrohung unterliegt auch, wer vorsätzlich unbefugt geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bekannt gibt, von denen er bei der Tätigkeit für einen Geheimhaltungspflichtigen oder während der Ausbildung bei einem solchen Kenntnis erhalten hat. Gesundheitsdaten sind besonders schützenswerte Personendaten, so dass sie unter den sachlichen Geltungsbereich der Bestimmung fallen. Der persönliche Geltungsbereich der Bestimmung ist sehr weit. So sind alle diejenigen Berufe erfasst, deren Tätigkeit den Umgang mit Gesundheitsdaten mit sich bringt, die jedoch nicht unter das Arztgeheimnis fallen (vgl. oben Ziff ). Unbefugt ist eine Bekanntgabe von Daten dann, wenn sie im Widerspruch zu den Regeln für die Datenbearbeitung gemäss DSG erfolgt (dazu unten Ziff. 5.). Die Bestimmung gilt nicht für Tätigkeiten im Bereich der kantonalen Verwaltungen und der Erfüllung kantonaler öffentlicher Aufgaben, da diese nicht in den Geltungsbereich des DSG fallen. 3 BSK DSG-Rampini, Art. 14 Rz. 15; Baeriswyl, S. 67f. 4 Vgl. z.b. US-Beörden dürfen auf europäische Cloud-Daten zugreifen bei heise.de unter newsticker/meldung/us-behoerden-duerfen-auf-europaeische-cloud-daten-zugreifen html. 5 Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992, Art Als besonders schützenswerte Personendaten gelten gemäss Art. 3 lit. c DSG Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe und 4. administrative oder strafrechtliche Verfolgungen und Sanktionen. 7 Ein Persönlichkeitsprofil ist gemäss Art. 3 lit. d DSG eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

6 Gesundheitsdaten in der Cloud Schweigepflicht nach Sozialversicherungsrecht Personen, die an der Durchführung der Sozialversicherungsgesetze sowie der Kontrolle oder Beaufsichtigung von deren Durchführung beteiligt sind, unterliegen gegenüber Dritten 8 einer Schweigepflicht. Dies gilt insbesondere auch für die Bearbeitung von Patientendaten im Rahmen der obligatorischen Krankenversicherung. Die Verletzung dieser Schweigepflicht ist gemäss Krankenversicherungsgesetz 9 strafbar mit bis zu 180 Tagessätzen à maximal CHF 3' Keine Dritten im Sinne der Bestimmung sind externe Dienstleistungserbringer, welche auf vertraglicher Basis Aufgaben für eine Organisation, z.b. eine Krankenversicherung, erfüllen. Der Beizug von ICT-Anbietern ist damit zulässig. 4.2 Datenschutzrecht Allgemein Das DSG regelt die Datenbearbeitung im Privatbereich sowie durch Bundesorgane. Dem DSG unterstehen niedergelassene Ärzte, Zahnärzte, Apotheker, Privatspitäler, medizinische Laboratorien etc. Als Bundesorgane gelten, außer den Behörden der Bundeserwaltung, auch alle Personen, Institutionen und Organisationen, die mit einer öffentlichen Aufgabe des Bundes betraut sind. Im Zusammenhang mit Gesundheitsdaten trifft dies insbesondere für die privatrechtlichen Träger der obligatorischen Krankenversicherung zu. Das DSG gilt nicht für den Bereich der Kantone. Diese haben für ihren Zuständigkeitsbereich eigene Datenschutzgesetze erlassen. Zu den kantonalen Aufgaben gehört auch das öffentliche Gesundheitswesen und hier insbesondere die öffentlichen Spitäler. Der kantonalen Gesetzgebung unterstehen aber auch Privatspitäler, soweit sie Aufgaben im Rahmen der öffentlichen Gesundheitsversorgung übernehmen. Die kantonalen Datenschutzregelungen stimmen in den Grundzügen mit dem DSG überein, können aber in Einzelpunkten Abweichungen aufweisen. Teilweise haben die Kantone auch spezielle Regelungen für den Gesundheitsbereich erlassen. Als Beispiel sei die Patientenrechtsverordnung des Kantons Bern erwähnt, 10 welche eine eigene Regelung für die elektronische Datenbearbeitung durch Dritte enthält Datenbearbeitung durch Dritte (Auftragsbearbeitung) Gemäss DSG 12 ist die Weitergabe von Personendaten zur Bearbeitung an Dritte aufgrund einer entsprechenden Vereinbarung grundsätzlich zulässig, und zwar auch ohne Einwilligung der betroffenen Personen, wenn die Daten vom Dritten nur so bearbeitet werden, wie der Auftraggeber es selber tun dürfte und der Auftraggeber sich vergewissert hat, dass der Dritte die Datensicherheit gewährleistet. 8 Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG) vom 6. Oktober 2000, Art Bundesgesetz über die Krankenversicherung (KVG) vom 18. März 1994, Art. 92 lit. c. 10 Verordnung über die Rechte und Pflichten der Patientinnen und Patienten und der Gesundheitsfachpersonen (Patientenrechtsverordnung, PatV) vom 23. Oktober 2002, BSG Art. 12 PatV. 12 Art. 10a DSG.

7 172 Gesundheitsdaten in der Cloud Daneben hält das DSG fest, dass eine Weitergabe von Personendaten zur Auftragsbearbeitung dann nicht zulässig ist, wenn damit Geheimhaltungsvorschriften verletzt würden. Genauere Vorgaben an den Inhalt des Vertrages mit dem beauftragten Datenbearbeiter macht das DSG nicht. Es ist daher im jeweiligen Einzelfall, insbesondere unter Berücksichtigung der mit der Bearbeitung der jeweiligen Daten zusammenhängenden Risiken, zu entscheiden, welche konkreten Regelungen in den Vertrag aufzunehmen sind, um sicherzustellen, dass der Beauftragte die massgeblichen Bearbeitungsgrundsätze einhält und die erforderlichen Massnahmen zur Datensicherheit trifft. Die kantonalen Regelungen gehen zum Teil weiter. So sieht z.b. der Kanton Bern vor, 13 dass bei der Weitergabe von Patientendaten an Auftragsbearbeiter der Vertrag schriftlich abzuschliessen ist, und verlangt in Bezug auf den Inhalt, dass Regelungen im Hinblick auf die Wahrung der Geheimhaltungspflicht vorzusehen sind. Noch weiter geht der Kanton Zürich. Betrifft die Auslagerung von Informatikdienstleistungen besonders schützenswerte Personendaten oder der Geheimhaltung unterliegende Daten, was für Gesundheitsdaten beides zutrifft, so muss die auslagernde Stelle sicherstellen, dass nur solche Mitarbeiter des Auftragnehmers die Daten bearbeiten können, welche dem Kontroll- und Weisungsrecht der auslagernden Stelle unterworfen werden und an die Geheimhaltung gebunden werden Bekanntgabe von Personendaten ins Ausland Für die grenzüberschreitende Bekanntgabe von Daten gelten keine besonderen Anforderungen, wenn das Empfängerland über einen angemessenen gesetzlichen Datenschutz verfügt. 15 Dies trifft zu für die Mitgliedstaaten der EU und des EWR, Israel, Argentinien sowie für die USA, wenn der Datenempfänger sich gemäss dem Safe Harbor Framework zertifiziert hat. 16 Fehlt dagegen im Empfängerland ein angemessener Datenschutz, so ist die Bekanntgabe von Personendaten nur zulässig, wenn einer der im DSG abschließend aufgelisteten Rechtfertigungsgründe vorliegt. 17 Im Zusammenhang mit dem Cloud Computing sind vor allem die vertragliche Vereinbarung 18 von hinreichenden Garantien betreffend den Datenschutz mit dem Datenempfänger im Ausland sowie die Einwilligung der betroffenen Personen 19 relevant. Was unter hinreichenden Garantien zu verstehen ist, wird im Gesetz nicht näher bestimmt. Entscheidend sind die jeweiligen Umstände. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat selber einen Muster Outsourcing-Vertrag publiziert und anerkennt die Standardvereinbarung des Europarats sowie die Standardklauseln der EU. Wenn diese Standardbedingungen verwendet werden, muss beim EDÖB lediglich eine Meldung erfolgen, wonach der Abschluss eines solchen Vertrages erfolgt ist. Werden die Standardbedin- 13 vgl. Art. 12 PatV des Kantons Bern. 14 Gesetz über die Auslagerung von Informatikdienstleistungen vom 23. August 1999, 3 Abs Art. 6 Abs. 1 DSG. 16 vgl. dazu die Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unter 17 Art. 6 Abs. 2 DSG. 18 Art. 6 Abs. 2 lit. a DSG. 19 Art. 6 Abs. 2 lit. b DSG.

8 Gesundheitsdaten in der Cloud 173 gungen dagegen nicht verwendet, muss der Vertrag zur Prüfung und Genehmigung beim EDÖB eingereicht werden. 20 Hinsichtlich der Einwilligung der Betroffenen präzisiert das DSG, dass diese im Einzelfall erfolgen muss. Das heisst, dass sich die Einwilligung zwar nicht auf jeden einzelnen Bekanntgabevorgang beziehen muss, sondern eine Mehrheit von Datenübermittlungen im Rahmen des gleichen Sachzusammenhangs oder der gleichen Situation betreffen kann. So wäre es z.b. möglich, dass Versicherte ihre Einwilligung erteilen, dass ein Krankenversicherer die für die Abrechnung erforderlichen Daten ins Ausland übermittelt und dort verarbeiten lässt. 4.3 Rechtliche Vorgaben betreffend die Datensicherheit Das DSG 21 verlangt in Bezug auf die Datensicherheit, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Die dazugehörige Verordnung 22 enthält Ausführungsbestimmungen hinsichtlich der Risiken, die durch Sicherheitsmassnahmen abzusichern sind, sowie allgemeine Umschreibungen bezüglich der Art der zu treffenden Massnahmen (z.b. Massnahmen der Zugangs- und Zugriffskontrolle). Es werden hingegen keine konkreten Sicherheitsmassnahmen definiert. Die Kantone kennen demgegenüber teilweise weitergehende Vorgaben. Als Beispiel kann der Kanton Zürich erwähnt werden. Gestützt auf die Gesetzgebung betreffend die Auslagerung von Informatikdienstleistungen wurden Allgemeine Geschäftsbedingungen (AGB) formuliert, 23 welche jeweils als Bestandteil der Verträge mit den externen Anbietern zu vereinbaren sind. Diese AGB sehen eine Reihe von Massnahmen vor, welche der Anbieter vorzukehren hat: Dokumentationspflicht des Auftraggebers betreffend Methoden und Prozesse zur Wahrung der Sicherheit; Pflicht zur Einhaltung allgemein anerkannter Sicherheitsstandards und -methoden für Entwicklung und Betrieb sicherer Informationssysteme; Vorlage eines Sicherheitskonzeptes; Schriftliche Verpflichtung des Personals des Auftragsbearbeiters zur Einhaltung der gesetzlichen und vertraglichen Geheimhaltungs- und Sicherheitsbestimmungen; Schriftliche Mitteilung, wenn der Auftragsbearbeiter zur Erfüllung seiner Aufgaben einen Dritten (Subunternehmer) beizieht; Pflicht zur Vornahme von Verarbeitungsprozessen ausschliesslich innerhalb der Schweiz; Pflicht zur periodischen Durchführung von Sicherheits-Audits und Zustellung der entsprechenden Berichte an den Auftraggeber auf Anfrage; Unterstellung unter die Aufsicht durch die kantonalen Behörden, insbesondere die Datenschutzbehörde und Pflicht entsprechende Kontrollen zu dulden und, soweit erforderlich, zu unterstützen. 20 Vgl. Art. 6 Abs. 3 DSG und Art. 6 Abs. 3 und Abs. 5 der Verordnung zum DSG.. 21 Art. 7 DSG. 22 Verordnung zum DSG vom 14. Juni 1993, SR , Art. 8ff. 23 Allgemeine Geschäftsbedingungen über die Geheimhaltung, den Datenschutz und die Daten- und Informationssicherheit bei der Erbringung von Informatikdienstleistungen (AGB Sicherheit) vom September 2001.

9 174 Gesundheitsdaten in der Cloud Auch der Kanton Bern hat ähnliche AGB festgelegt Effiziente rechtliche Umsetzung 5.1 Sicherstellung der Einwilligung der Betroffenen Aus den oben dargestellten rechtlichen Rahmenbedingungen folgt, dass die Einwilligung der betroffenen Patienten nur dann eine unverzichtbare Voraussetzung darstellt, wenn dem strafrechtlichen Arztgeheimnis unterliegende Daten an einen Anbieter ins Ausland weitergegeben werden. Da Anbieter im Ausland nicht als Hilfspersonen der Geheimnisträger anerkannt sind, stellt eine Datenweitergabe ohne Einwilligung eine Geheimnisverletzung dar. Die Einwilligung ist dann problemlos, wenn die Daten auf ausdrückliche oder konkludente Anweisung des Patienten selbst ins Ausland transferiert werden. Dies ist z.b. der Fall bei den in Cloud-Plattformen gehaltenen persönlichen Gesundheitsakten. Hier ist es der Patient, der den Arzt oder das Spital jeweils selbst veranlasst, die ihn betreffenden Daten in die Gesundheitsakte einzustellen. Anders verhält es sich hingegen, wenn ein Arzt oder Spital aus eigener Initiative Patientendaten an einen Anbieter im Ausland zur Speicherung oder Bearbeitung weitergeben möchte. Ein erstes Problem stellt sich in Bezug auf die Daten der bis zu 10 Jahre oder noch länger zurückliegenden, abgeschlossenen Fälle. 25 Hier dürfte es praktisch ausgeschlossen sein, die Einwilligung bei allen Patienten einzuholen. Eine Auslagerung ins Ausland ist daher wohl nur für die aktuellen sowie künftigen Fälle durchführbar. Hier ist es möglich, die Einwilligung der Patienten z.b. durch Verwendung eines entsprechenden Formulars zu beschaffen, welches den Patienten zur Unterschrift vorgelegt wird. Voraussetzung ist allerdings, dass die Patienten informiert werden, welche Daten, zu welchem Zweck grenzüberschreitend in die Cloud weitergegeben werden und mit welchen Risiken dies allenfalls verbunden ist. Da die Einwilligung zudem nur gültig ist, wenn sie freiwillig erfolgt, muss ein Alternativszenario zur Verfügung stehen, wenn ein Patient die Einwilligung verweigert. Ein Arzt in der privaten Praxis wird einen Patienten, der die Einwilligung verweigert, allenfalls auch ablehnen dürfen. Der Patient hat, jedenfalls in städtischen Verhältnissen, genügend Auswahl, um sich bei einem anderen Arzt behandeln zu lassen. Für öffentliche Spitäler ist dieses Vorgehen dagegen nicht zulässig, da den Patienten in den meisten Fällen keine zumutbare Möglichkeit zur Verfügung steht, um in eine andere Institution auszuweichen. Damit die Patienteneinwilligung freiwillig ist, muss das Spital daher selber für eine Alternative in Bezug auf die Daten von Patienten sorgen, welche ihre Einwilligung zum Transfer ihrer Daten in die Cloud verweigern. 5.2 Vertragliche Einbindung des Cloud-Anbieters Die vertragliche Einbindung des Cloud-Anbieters ist unter vier Aspekten sicherzustellen: Überbindung der Geheimhaltungspflicht, Einhaltung der für den Auftraggeber massgeblichen 24 Allgemeine Geschäftsbedingungen des Kantons Bern über die Informationssicherheit und den Datenschutz (ISDS) bei der Erbringung von Informatikdienstleistungen (AGB ISDS), Anhang 4 der Weisungen des kantonalen Amtes für Informatik und Organisation über Informationssicherheit und Datenschutz vom 1. Oktober Die Aufbewahrungsdauer für ärztliche Dokumentation beträgt in der Regel 10 Jahre, unter bestimmten Umständen auch mehr.

10 Gesundheitsdaten in der Cloud 175 Datenbearbeitungsgrundsätze, Sicherstellung von hinreichenden Datenschutzgarantien, bei Weitergabe von Daten in ein Land ohne angemessenen Datenschutz und Massnahmen zur Sicherstellung einer angemessenen Datensicherheit. Daraus ergibt sich, dass in Bezug auf Gesundheitsdaten die Inanspruchnahme von Standardangeboten, wie sie mit Cloud-Anbietern üblicherweise online über das Internet abgeschlossen werden können, nicht in Frage kommen kann. Es ist vielmehr notwendig, mit dem Anbieter einen Vertrag individuell zu vereinbaren. Dies ist grundsätzlich möglich, und gerade auch grosse Cloud-Anbieter sind zur Führung von Vertragsverhandlungen mit Kunden, die besondere Anforderungen haben, in der Regel bereit Geheimhaltung Die für die Gesundheitsdaten geltende Geheimhaltungspflicht (je nachdem Arztgeheimnis, berufliche oder sozialversicherungsrechtliche Schweigepflicht) muss vom Auftraggeber auf den Cloud-Anbieter überbunden werden. Ob dabei auch die einzelnen Mitarbeiter des Anbieters, die möglicherweise Zugriff auf die Daten haben können, individuell verpflichtet werden müssen, ist dagegen fraglich. Beim Cloud Computing haben die Mitarbeiter des Anbieters im Normalfall keinen Zugriff auf Daten der Kunden. Die Notwendigkeit zu einer individuellen Verpflichtung der Mitarbeiter ist daher abzulehnen. Dies ist ein wesentlicher Unterschied etwa zur Software-Wartung, oder zum Outsourcing, wo im Voraus bestimmte Mitarbeiter des Anbieters regelmässig Zugriff auf Daten beim Kunden haben. Sofern allerdings das anwendbare kantonale Recht eine individuelle Verpflichtung der Mitarbeiter des Anbieters fordert, wird man auf diese nicht verzichten können, womit jedoch der Anwendungsbereich des Cloud Computing stark eingeengt wird, indem der Bezug von Leistungen der grossen weltweit tätigen Cloud-Anbieter ausgeschlossen ist und lediglich noch Leistungen im Rahmen einer schweizerischen Private Cloud in Frage kommen Zulässige Datenbearbeitung In Bezug auf die Einhaltung von datenschutzrechtlichen Bearbeitungsgrundsätzen, wie sie für den Auftraggeber gelten, ist es erforderlich, dass sich der Cloud-Anbieter ausdrücklich dazu verpflichtet, die Daten nur zu den Zwecken und in dem Umfang zu bearbeiten, wie sie für den Kunden gelten. Verschiedene Anbieter sehen dies in ihren Standardbedingungen ausdrücklich vor, und es ist möglich, mit ihnen individuell die zulässigen Bearbeitungszwecke verbindlich zu definieren. Insofern sind die Anbieter bereit, sich dem Weisungsrecht des Kunden zu unterstellen. Die Frage, ob diese Verpflichtungen auch individuell für die Mitarbeiter des Anbieters vorzusehen sind, beantwortet sich analog derjenigen betreffend die Überbindung der Geheimhaltungspflicht (oben Ziff ) Hinreichende Datenschutzgarantien beim Datenexport Ist der Cloud-Anbieter in einem Land ohne angemessenen gesetzlichen Datenschutz oder kann nicht ausgeschlossen werden, dass die Daten auch in ein solches Land transferiert werden könnten, so sind durch entsprechende vertragliche Regelungen hinreichende Garantien zur Sicherstellung eines angemessenen Datenschutzes zu schaffen. Die Rechtslage ist zu unklar, damit dies in absehbarer Zeit ein realistisch gangbarer Weg ist. Dies deshalb, weil die

11 176 Gesundheitsdaten in der Cloud vom EDÖB anerkannten Standardbedingungen kaum für das Cloud Computing geeignet sind bzw. diese sich kaum bei einem Cloud-Anbieter durchsetzen lassen, womit die Notwendigkeit besteht, den Vertrag beim EDÖB zur Prüfung und Genehmigung einzureichen. Auftraggeber aus der Schweiz werden daher vorzugsweise Anbieter suchen, die ihnen vertraglich zusichern können, dass keine Daten in Länder ohne angemessenen Datenschutz gelangen Datensicherheit Auch wenn das DSG bezüglich der Massnahmen zur Datensicherheit keine konkreten Vorgaben macht, müssen Auftraggeber im Hinblick auf ihre Verantwortlichkeit gegenüber den betroffenen Patienten sicherstellen, dass die Datensicherheit in genügendem Mass gewahrt ist. Folgende Punkte, zu denen Cloud-Anbietern im Rahmen von Verhandlungen mit Kunden auch Regelungen anbieten, sind zu berücksichtigen: Verbindliche Beschreibung der vom Anbieter getroffenen Sicherheitsmassnahmen, damit der Auftraggeber beurteilen kann, ob die für ihn selbst gültigen Anforderungen eingehalten sind; Beizug von Subunternehmern nur mit Kenntnis des Auftraggebers und unter Überbindung der auf den Anbieter selber geltenden Verpflichtungen; Informationspflicht des Anbieters im Fall von sicherheitsrelevanten Ereignissen; Regelmäßige Durchführung von Sicherheitsaudits durch externe Fachleute und Zurverfügungstellung der entsprechenden Berichte an den Auftraggeber; Verbindliche Festlegung der Rechenzentren des Anbieters, in denen die Daten des Auftraggebers bearbeitet werden. Andernfalls lässt sich weder die Anforderung, dass die Daten in keine Ländern mit ungenügendem Datenschutz gelangen, noch die Einhaltung der Sicherheitsanforderungen wirksam kontrollieren; Soweit es sich um Daten handelt, welche zur gesetzlich geforderten Patientendokumentation gehören, muss die Nachverfolgbarkeit (Revisionsfestigkeit) für alle Dateneingaben, -mutationen und -löschungen durch entsprechende Log-Dateien sichergestellt sein. Dies insbesondere im Hinblick darauf, dass diese Daten in allfälligen Haftpflichtprozessen Beweisfunktion haben und daher deren Vollständigkeit und inhaltliche Unverfälschtheit nötigenfalls belegt werden muss. Service Level Agreements bezüglich der Verfügbarkeit der Infrastruktur des Anbieters. Wo das kantonale Recht weitergehende Anforderungen stellt, wie z.b. dass keine Verarbeitungsprozesse ausserhalb der Schweiz erfolgen dürfen oder die Verpflichtung des Anbieters zur Unterstellung unter die Kontrolle der kantonalen Datenschutzbehörden dürfte der Spielraum für das Cloud Computing leider eng werden. Es dürfte lediglich noch eine Private Cloud mit einem Anbieter in der Schweiz in Frage kommen. 5.3 Anonymisierung und Verschlüsselung Da es im Einzelfall schwierig bis unmöglich sein kann, die für eine Weitergabe von Gesundheitsdaten an einen Cloud-Anbieter massgeblichen rechtlichen Anforderungen zu erfüllen, ist jeweils zu prüfen, ob die Daten nicht vor dem Transfer in die Cloud anonymisiert bzw. pseudonymisiert werden können. Dadurch verlieren die Daten ihren Personenbezug und fallen aus

12 Gesundheitsdaten in der Cloud 177 dem Anwendungsbereich der Geheimhaltungs- und Datenschutzvorschriften heraus. Das Gleiche wird auch durch die Verschlüsselung der Daten erreicht. Bei der Anonymisierung werden die Daten irreversibel von jedem Personenbezug befreit. Auch der Inhaber der Daten ist nicht mehr in der Lage, einen Personenbezug herzustellen. Die Anonymisierung kommt daher nur in wenigen Fällen in Frage, z.b. wenn statistische Daten in der Cloud bearbeitet werden sollen. Bei der Pseudonymisierung werden die personenbezogenen Merkmale durch Platzhalter ersetzt, z.b. Namen durch eine Kennziffer, so dass für Dritte die Daten keinen Rückschluss mehr auf eine bestimmte Person gestatten. Der Inhaber der Daten kann demgegenüber mittels eines Schlüssels den Personenbezug weiterhin herstellen. Die Problematik bei der Pseudonymisierung liegt darin, dass die Aufhebung des Personenbezugs häufig nur graduell und nicht absolut möglich ist. Werden z.b. die Patientennamen durch eine Kennzahl ersetzt, so ist dies in den meisten Fällen noch nicht ausreichend, da die Daten noch genügend andere individualisierende Merkmale aufweisen, welche die personenbezogene Zuordnung, wenn vielleicht auch nicht in allen, so jedoch nach wie vor in vielen Fällen erlauben. Andererseits ist zu berücksichtigen, dass ein aussenstehender Auftragsbearbeiter nicht über das gleiche Hintergrundwissen verfügt, welches Personen aus dem näheren Umfeld der Patienten, trotz Pseudonymisierung, noch eine Individualisierung ermöglicht. Zu prüfen ist daher im Einzelfall, welches Risiko besteht, dass solche Personen Zugriff auf die pseudonymisierten Daten erhalten könnten, welche aufgrund ihrer Kenntnisse in der Lage sind, die Daten bestimmten Personen zuzuordnen. Erscheint dieses Risiko nach den Umständen als zumutbar gering, ist die Pseudonymisierung genügend 26. Die Verschlüsselung vermeidet den Nachteil der bloss graduellen Wirkung der Pseudonymisierung und ist daher, korrekte technische Implementierung vorausgesetzt, der Pseudonymisierung vorzuziehen. Ihr Nachteil liegt darin, dass Daten verschlüsselt übermittelt und gespeichert werden können, eine Verarbeitung verschlüsselter Daten jedoch noch nicht möglich ist. Allerdings bestehen Forschungsprojekte, um Möglichkeiten zu finden, die eine Verarbeitung verschlüsselter Daten erlauben sollen. Es bleibt somit abzuwarten, was die Zukunft in diesem Bereich noch bringen wird. Literatur [Baer01] B. Baeriswyl, Entwicklungen und Perspektiven des Datenschutzes in öffentlichrechtlichen Krankenhäusern Erfahrungen aus dem Kanton Zürich, in: B. Hürlimann, R. Jacobs, T. Poledna (Hrsg.), Datenschutz im Gesundheitswesen, Zürich 2001, S [Ramp06] C. Rampini: Kommentierung von Art. 14 DSG, in: U. Maurer-Lambrou und N. P. Vogt (Hrsg.), Basler Kommentar Datenschutzgesetz, Basel 2006, S [Utti03] U. Uttinger: Regulatorische Anforderungen an IT-Outsourcing: Gesundheitsund Versicherungsbereich, in: R. H. Weber, M. Berger, R. Auf der Maur (Hrsg.), IT-Outsourcing, Zürich S Diese Fragestellung lag z.b. dem Entscheid des englischen High Court in Department of Health v Information Commissioner, [2011] EWHC 1430, zugrunde (vgl. dazu eine Zusammenfassung unter

Probleme des Datenschutzes in der Versicherungsmedizin

Probleme des Datenschutzes in der Versicherungsmedizin Probleme des Datenschutzes in der Versicherungsmedizin Ursula Uttinger, lic. iur., MBA HSG, Präsidentin Datenschutz-Forum Schweiz 1 Hauptprinzipien Transparenz Informationelle Selbstbestimmung 2 Geltungsbereich

Mehr

Rechtliche Aspekte von Informationssicherheitsmessungen

Rechtliche Aspekte von Informationssicherheitsmessungen iimt information security brush-up workshop 11/02/2003 measuring information security state of the art and best practices Rechtliche Aspekte von Informationssicherheitsmessungen Dr. Wolfgang Straub Überblick

Mehr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Dr. med. Michael Liebrenz, Leiter Gutachterstelle für Zivil- und Öffentlichrechtliche Fragestellung PUK Ursula Uttinger, lic. iur. /exec. MBA HSG, Präsidentin

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

IT SECURITY IN THE HYBRID CLOUD

IT SECURITY IN THE HYBRID CLOUD IT SECURITY IN THE HYBRID CLOUD Hybrid Clouds Rechtliche Herausforderungen Carmen De la Cruz Böhringer DIE REFERENTEN Carmen De la Cruz Böhringer Carmen De la Cruz Böhringer RA lic. iur. Eidg. dipl. Wirtschaftsinformatikerin

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18.

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18. Datenschutz aktuell Themenblock 3 und Outsourcing in der Praxis mag. iur. Maria Winkler, 18. März 2014 Agenda Datenübermittlung ins Ausland Gesetzliche Grundlagen US-Swiss Safe Harbor Outsourcing der Datenbearbeitung

Mehr

SWICA Datenschutzreglement DS-01

SWICA Datenschutzreglement DS-01 DS-01 SWICA bearbeitet Informationen über versicherten Personen in komplexen organisatorischen Prozessen und mit anspruchsvollen technischen Einrichtungen. Dieses Reglement basiert auf dem Grundkonzept

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Mittagsinfo zum Thema

Mittagsinfo zum Thema Mittagsinfo zum Thema Datenschutz und Datensicherheit in Non-Profit Profit-Organisationen 6. September 2007 Folie 1 Agenda I. Überblick über Datenschutzgesetzgebung und die Datenschutzaufsichtstellen II.

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Rechtliche Herausforderungen für IT-Security-Verantwortliche Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal ETH Life 2 Handelsblatt 3 SDA 4 5 20 Minuten/Keystone Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle -

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Lebensversicherung Nr.: Versicherte Person Die Regelungen des Versicherungsvertragsgesetzes, des

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher Sicht Wichtige Vertragspunkte Outsourcing der

Mehr

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic.

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic. ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG VOM FIT FÜR DIE ZUKUNFT UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld lic. iur. Barbara Widmer, LL.M./CIA REFERAT IM KONTEXT DES TAGUNGSTHEMAS

Mehr

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)

Mehr

Cloud Computing: Rechtliche Aspekte

Cloud Computing: Rechtliche Aspekte Cloud Computing: Rechtliche Aspekte Information Center und IT-Services Manager Forum Schweiz 22. März 2012 Dr. iur., Rechtsanwalt Froriep Renggli gegründet 1966 Büros in Zürich, Zug, Lausanne, Genf, London

Mehr

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und Kontrollvereinbarung datiert [Datum] zwischen [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und SIX SIS AG, Baslerstrasse 100, 4601 Olten (UID:

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Der Text der Einwilligungs-/Schweigepflichtentbindungserklärung wurde 2011 mit den Datenschutzaufsichtsbehörden

Mehr

Wir danken Ihnen für die Möglichkeit der Stellungnahme zu den beiden oben erwähnten Verordnungen.

Wir danken Ihnen für die Möglichkeit der Stellungnahme zu den beiden oben erwähnten Verordnungen. Bundesamt für Justiz 3003 Bern Zürich, 8. Mai 2007 Entwurf zu einer Änderung der Verordnung zum Bundesgesetz über den Datenschutz (VDSG, 235.11) und zu einer Verordnung über die Datenschutzzertifizierung

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Rundschreiben 2008/7 Outsourcing Banken

Rundschreiben 2008/7 Outsourcing Banken Häufig gestellte Fragen (FAQ) Rundschreiben 2008/7 Outsourcing Banken (Letzte Änderung vom 6. Februar 2015) 1. Nach welchen Kriterien beurteilt sich die Anwendbarkeit des Rundschreibens 2008/7? Ein Outsourcing

Mehr

FachInfo Dezember 2012

FachInfo Dezember 2012 FachInfo Dezember 2012 Datenschutz in der Asylsozialhilfe Inhaltsverzeichnis 1. Einleitung... 2 2. Grundsätze des Datenschutzes... 2 2.1 Verhältnismässigkeit...2 2.2 Zweckbindung...2 2.3 Richtigkeit und

Mehr

Datenschutzgesetz (DSchG)

Datenschutzgesetz (DSchG) Gesetzessammlung Appenzell I. Rh. Januar 009 7.800 Datenschutzgesetz (DSchG) vom 0. April 000 Die Landsgemeinde des Kantons Appenzell I. Rh., gestützt auf Art. 7 des Bundesgesetzes über den Datenschutz

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Bekanntgabe des Zugangscodes an die Vorstandsmitglieder und Überwachung der Angestellten durch den Arbeitgeber

Bekanntgabe des Zugangscodes an die Vorstandsmitglieder und Überwachung der Angestellten durch den Arbeitgeber Autorité cantonale de la transparence et de la protection des données ATPrD Kantonale Behörde für Öffentlichkeit und Datenschutz ÖDSB Kantonale Datenschutzbeauftragte Chorherrengasse 2, 1700 Freiburg Kantonale

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Nutzungsbestimmungen. Online Exportgarantien

Nutzungsbestimmungen. Online Exportgarantien Nutzungsbestimmungen Online Exportgarantien November 2013 1 Allgemeines Zwischen der Oesterreichischen Kontrollbank Aktiengesellschaft (nachfolgend "OeKB") und dem Vertragspartner gelten die Allgemeinen

Mehr

Reglement über den Datenschutz (Datenschutzreglement) 6. Januar 2015/me

Reglement über den Datenschutz (Datenschutzreglement) 6. Januar 2015/me GEMEINDE METTAUERTAL KANTON AARGAU Reglement über den Datenschutz (Datenschutzreglement) 6. Januar 2015/me Inhaltsverzeichnis A. Zugang zu amtlichen Dokumenten... 3 1 Anwendbares Recht... 3 2 Entgegennahme

Mehr

Merkblatt "Cloud Computing"

Merkblatt Cloud Computing AUFSICHTSSTELLE DATENSCHUTZ Merkblatt "Cloud Computing" Cloud Computing ist heutzutage in aller Munde. Schnell und kostengünstig soll es sein. Doch was hat es mit dieser sog. Wolke auf sich? Was geschieht,

Mehr

DATENSCHUTZREGLEMENT. vom 21. Juni 2006 1) 1) vom Kirchenverwaltungsrat erlassen am 21. Juni 2006

DATENSCHUTZREGLEMENT. vom 21. Juni 2006 1) 1) vom Kirchenverwaltungsrat erlassen am 21. Juni 2006 DATENSCHUTZREGLEMENT vom 21. Juni 2006 1) 1) vom Kirchenverwaltungsrat erlassen am 21. Juni 2006 in Vollzug ab 22. Juni 2006 Inhaltsverzeichnis Art. 1 Art. 2 Art. 3 Art. 4 Art. 5 I. Grundlagen Gemeindegesetz

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Social Media kein rechtsfreier Raum

Social Media kein rechtsfreier Raum Social Media kein rechtsfreier Raum Lunchveranstaltung vom 7. Mai 2014 lic.iur. Nadia Steiner-Huwiler, Rechtsdienst, Universität Zürich E-Mail: nadia.steiner@rd.uzh.ch 07.05.14 Seite 1 Übersicht Social

Mehr

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis?

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? AnleiterInnentag 13.11.2014 Prof. Patjens www.dhbw-stuttgart.de Datenschutz Darf ich Sozialdaten weitergeben? Schweigepflicht

Mehr

Was Sie vom Provider (auch) verlangen sollten

Was Sie vom Provider (auch) verlangen sollten 25.1.2005 Rechtliche Vorgaben beim Outsourcing von Bank-IT: Was Sie vom Provider (auch) verlangen sollten David Rosenthal Die «üblichen» Vorgaben - Übergang von Arbeitsverhältnissen bei Betriebsübergang

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Krankenkasse Simplon. Bearbeitungsreglement extern

Krankenkasse Simplon. Bearbeitungsreglement extern Krankenkasse Simplon Bearbeitungsreglement extern Ausgabe 2014 Inhaltsverzeichnis 1. Allgemeines 1 1.1. Rechtliche Grundlagen 1 1.2. Ziel des Bearbeitungsreglements 1 2. Kurzbeschreibung Krankenkasse

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Schweigepflicht und Datenschutz in der Physiotherapie

Schweigepflicht und Datenschutz in der Physiotherapie Schweigepflicht und Datenschutz in der Physiotherapie Schweigepflicht Physiotherapeuten unterstehen in ihrer Tätigkeit der Schweigepflicht gegenüber Dritten. 1 Die Schweigepflicht betrifft auch das weitere

Mehr

Herbstveranstaltung 23.9.2004

Herbstveranstaltung 23.9.2004 Herbstveranstaltung 23.9.2004 Datenschutz und elektronische Abrechnung oder generell Datenschutz in der Arztpraxis Lukas Fässler Rechtsanwalt & Informatikexperte Artherstrasse 23a 6300 Zug www.fsdz.ch

Mehr

Voraussetzungen Cloud-Dienste Kanton Luzern

Voraussetzungen Cloud-Dienste Kanton Luzern Voraussetzungen Cloud-Dienste Kanton Luzern RA Dr. iur. Reto Fanger, ADVOKATUR FANGER, Luzern Microsoft Cloud Community Schweiz (MCCS) vom 17. Oktober 2013 Vorstellung Dr. iur. Reto Fanger, Rechtsanwalt

Mehr

a~íéåëåüìíòêéåüí=ìåç=éj`çããéêåé

a~íéåëåüìíòêéåüí=ìåç=éj`çããéêåé ^âíìéääé=oéåüíëñê~öéå=áã=éj`çããéêåé 4. Euroforum Fachtagung Zürich 12.-13 Juni 2001 br=j påüïéáò EU Gütesiegel für den Datenschutz der Schweiz (Juli / Oktober 2000) Die EU kennt einen ausgebauten Schutz

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

VSD: Datenschutz und ISO 27001 Anforderungen an Druckdienstleister

VSD: Datenschutz und ISO 27001 Anforderungen an Druckdienstleister VSD: Datenschutz und ISO 27001 Anforderungen an Druckdienstleister Datenschutz und Informationssicherheit proaktiv und systematisch umgesetzt Pascal Tschachtli, lic. iur. DMC Data Management Consulting

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

BIG DATA Herausforderungen für den Handel

BIG DATA Herausforderungen für den Handel BIG DATA Herausforderungen für den Handel RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch 1 2 1 Überblick Worum geht s. Big Data. Was ist Big Data. Beschaffung und Bearbeitung

Mehr

Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos

Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos vom 1. Juni 2015 Inhaltsverzeichnis I. Zugang zu amtlichen Dokumenten 1 Anwendbares Recht 2 Entgegennahme des Gesuches 3 Gesuchsbehandlung

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Leitlinie Datenschutz

Leitlinie Datenschutz Legal & Compliance Datenschutz Leitlinie Datenschutz Dokumenten-Nr. [1] Autor Dr. Alexander Lacher Dokumenten-Eigner BDSV Dokumenten-Bereich/Art Legal & Compliance Dokumenten-Status Final Klassifizierung

Mehr

D a t e n s c h u t z - M a n a g e m e n t s y s t e m

D a t e n s c h u t z - M a n a g e m e n t s y s t e m Leitfaden D a t e n s c h u t z - M a n a g e m e n t s y s t e m Inhalt 1 Einleitung... 2 2 Datenschutzrechtliche Anforderungen... 2 2.1 Gesetzmässigkeit ( 8 IDG)... 4 2.2 Verhältnismässigkeit ( 8 IDG)...

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

1. bvh-datenschutztag 2013

1. bvh-datenschutztag 2013 1 CLOUD COMPUTING, DATENSCHUTZ ASPEKTE DER VERTRAGSGESTALTUNG UND BIG DATA Rechtsanwalt Daniel Schätzle Berlin, 20. März 2013 1. bvh-datenschutztag 2013 Was ist eigentlich Cloud Computing? 2 WESENTLICHE

Mehr

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe.

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. 70.7 Gesetz über den Datenschutz vom 9. November 987 ) I. Allgemeine Bestimmungen Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. Die Bestimmungen

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Aargau. Quellen. Unterlagen. Akupunktur. Akupunktur

Aargau. Quellen. Unterlagen. Akupunktur. Akupunktur Akupunktur Aargau Quellen GesG Gesundheitsgesetz vom 20. Januar 2009, Stand am 1. Januar 2010, abrufbar unter http://www.lexfind.ch/dta/333/2/301.100.pdf. VBOB Verordnung über Berufe, Organisationen und

Mehr

Datenschutz in Bibliotheken

Datenschutz in Bibliotheken Datenschutz in Bibliotheken Sophie Haag Inhaltsübersicht I. Einführung 125 II. Datenschutzrechtliche Grundlagen 126 A. Rechtliche Grundlagen 126 B. Was sind Personendaten? 127 C. Datenbearbeitungsgrundsätze

Mehr

Auskunftspflicht der Internet Service Provider über den E-Mail-Verkehr

Auskunftspflicht der Internet Service Provider über den E-Mail-Verkehr Publiziert in SWITCHjournal 2000 Auskunftspflicht der Internet Service Provider über den E-Mail-Verkehr Ursula Widmer Das Bundesgericht hat entschieden: Internet Service Provider unterstehen wie die Telefonanbieter

Mehr

BBT Bearbeitungsreglement zdas extern Versionsliste

BBT Bearbeitungsreglement zdas extern Versionsliste Bearbeitungsreglement zdas extern Versionsliste Datum Version Kommentar Autor 13.01.2014 1.0 Erstellung buk 26.08.2014 1.1 Organigramm angepasst gip 28.08.2014 1.2 Organigramm nochmals angepasst gip Seite

Mehr

BIG DATA. Herausforderungen für den Handel. RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch

BIG DATA. Herausforderungen für den Handel. RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch BIG DATA Herausforderungen für den Handel RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch 1 2 Überblick Worum geht s. Was ist Big Data. Beschaffung und Bearbeitung von Datensätzen.

Mehr

Podiumsdiskussion Wie viel Schutz brauchen Gesundheitsdaten und wo machen Datensammlungen Sinn? Berlin, 06.05.2014

Podiumsdiskussion Wie viel Schutz brauchen Gesundheitsdaten und wo machen Datensammlungen Sinn? Berlin, 06.05.2014 Podiumsdiskussion Wie viel Schutz brauchen Gesundheitsdaten und wo machen Datensammlungen Sinn? Berlin, 06.05.2014 Wie Viel schutz brauchen gesundheitsdaten und wo machen Datensammlungen sinn? 2 Herausforderungen

Mehr

Vortrag gehalten an der Veranstaltung des Datenschutz-Forums Schweiz vom 21. Juni 2011 in Bern. RA Dr. Omar Abo Youssef

Vortrag gehalten an der Veranstaltung des Datenschutz-Forums Schweiz vom 21. Juni 2011 in Bern. RA Dr. Omar Abo Youssef Smartphone-User zwischen unbegrenzten Möglichkeiten und Überwachung Gedanken eines Strafrechtlers zum strafrechtlichen und strafprozessualen Schutz der Privatsphäre Vortrag gehalten an der Veranstaltung

Mehr

Überwachung von Unternehmenskommunikation

Überwachung von Unternehmenskommunikation In Kooperation mit Überwachung von Unternehmenskommunikation Am Beispiel von SSL Verbindungen Münchner Fachanwaltstag IT-Recht Übersicht Überwachung von Unternehmenskommunikation Warum Überwachung? Technische

Mehr

Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe

Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe MERKBLATT Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe I. Einleitung Dieses Merkblatt richtet sich an öffentliche Organe, welche der kantonalen Datenschutzgesetzgebung unterstehen

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

Stellungnahme der ARGE DATEN zum Entwurf: Verordnung zur Implementierung von ELGA (ELGA-VO) 1. EINLEITUNG

Stellungnahme der ARGE DATEN zum Entwurf: Verordnung zur Implementierung von ELGA (ELGA-VO) 1. EINLEITUNG 1. EINLEITUNG Gemäß 17 Gesundheitstelematikgesetz 2012 (GTelG 2012) hat der Bundesminister für Gesundheit eine eigene ELGA-Ombudsstelle einzurichten und sicherzustellen, dass die Rechte der ELGA- von der

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke

Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke David Schwaninger / Stephanie S. Lattmann Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke Cloud Computing ist im Trend. Bei der Nutzung dieser Dienstleistung sind jedoch rechtliche Vorgaben

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Der Datenschutz im Arbeitsverhältnis

Der Datenschutz im Arbeitsverhältnis Der Datenschutz im Arbeitsverhältnis Stefan Rieder, M.A.HSG in Law I. Einleitung Durch die Sammlung und Bearbeitung von Personendaten wird regelmässig die Persönlichkeit der betroffenen Personen tangiert.

Mehr

Welchen Rechtsschutz brauchen wir im Datenschutzgesetz? SF Schweizer Forum für Kommunikationsrecht 27. Oktober 2003

Welchen Rechtsschutz brauchen wir im Datenschutzgesetz? SF Schweizer Forum für Kommunikationsrecht 27. Oktober 2003 Welchen Rechtsschutz brauchen wir im Datenschutzgesetz? SF Schweizer Forum für Kommunikationsrecht 27. Oktober 2003 OMMP j~ìêéê=i~ï lññáåéëi=wωêáåül_~~ê Aktualität 1. Arzt aus Basel wurde von den Bundesbehörden

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK 1. BESCHREIBUNG DES UNTERNEHMENS Die sodalis gesundheitsgruppe ist eine Krankenversicherung gemäss KVG. Ausserdem werden diverse

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Beratungsvertrag. Zwischen. und. PRO BONO Mannheim - Studentische Rechtsberatung, vertreten durch

Beratungsvertrag. Zwischen. und. PRO BONO Mannheim - Studentische Rechtsberatung, vertreten durch Beratungsvertrag Zwischen..... im Folgenden zu Beratende/r und PRO BONO Mannheim - Studentische Rechtsberatung, vertreten durch.... Namen der Berater einfügen; im Folgenden Beratende wird folgender Beratungsvertrag

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Der Sterneintrag alles was Recht ist. Werbung im Spannungsfeld zwischen Datenschutz und UWG David Rosenthal, 27. September 2012

Der Sterneintrag alles was Recht ist. Werbung im Spannungsfeld zwischen Datenschutz und UWG David Rosenthal, 27. September 2012 Der Sterneintrag alles was Recht ist Werbung im Spannungsfeld zwischen Datenschutz und UWG David Rosenthal, Sterneintrag? 2 Der "Sterneintrag" Keine neue Erfindung; er stammt noch aus der Zeit der PTT

Mehr

Selbstbestimmt oder fremdbestimmt? Der Schutz der Privatsphäre ist keine private Angelegenheit

Selbstbestimmt oder fremdbestimmt? Der Schutz der Privatsphäre ist keine private Angelegenheit Selbstbestimmt oder fremdbestimmt? Der Schutz der Privatsphäre ist keine private Angelegenheit Kreuzlingen, 27. Mai 2015 Bodensee Wirtschaftsforum Dr. iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Merkblatt Ihre Rechte nach dem Informations- und Datenschutzgesetz

Merkblatt Ihre Rechte nach dem Informations- und Datenschutzgesetz Merkblatt Ihre Rechte nach dem Informations- und Datenschutzgesetz 1. Welches Ziel verfolgt das Informations- und Datenschutzgesetz? Das Informations- und Datenschutzgesetz (InfoDG) gibt Ihnen das Recht,

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr