Grundausbildung Kurs 2013-G30A2-01 (Fachdienst SALK) Datenschutz

Transkript

1 Grundausbildung Kurs 2013-G30A2-01 (Fachdienst SALK) Datenschutz

2 Warum Datenschutz? Mag. Verena Sorger 2

3 Links zum Thema Datenschutz Österreichische Datenschutzkommission Datenverarbeitungsregister ARGE DATEN - Österreichische Gesellschaft für Datenschutz Europäischer Datenschutzbeauftragter (EDPS) Mag. Verena Sorger 3

4 Datenschutz in den SALK SALK Datenschutzkommission = Institution der SALK - Behandlung von Anfragen und Beschwerden von Patienten und Bediensteten - Tätigwerden bei Verdacht auf Verstöße des Datenschutzes - Verbesserung des Datenschutzes in den SALK - Bereitstellung einer Informationsplattform für Datenschutzthemen Nicht zu verwechseln mit der Österreichischen Datenschutzkommission in Wien Mag. Verena Sorger 4

5 Intranetseite: SALK Datenschutzkommission Mag. Verena Sorger 5

6 Rechtsgrundlagen Datenschutzrichtlinie der Europäischen Union 1995 (95/46EG) mit dem Ziel, den Datenschutz innerhalb der EU zu harmonisieren. Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000), BGBl. I Nr 165/1999 Amtsgeheimnis: Art 20 Abs 3 B-VG Dienstrecht: 9d L-BG, 20 L-VBG 2000 Berufsrecht: zb 54 ÄrzteG, 6 GuKG, 11c MTD-Gesetz, 15 PThG, 14 PG Sonstige: 34 Salzburger Krankenanstaltengesetz, Art 13 Salzburger Patientencharta, Anstaltsordnung, Behandlungsvertrag Innerbetriebliche Regelungen: zb SALK Organisationsrichtlinie 5.02 Datenschutz Regelungen für Führungskräfte und Nutzer Mag. Verena Sorger 6

7 Inhalt der Veranstaltung I. Verschwiegenheitspflicht Umfang der Verschwiegenheitspflicht Übermittlung von Krankengeschichten an Privatversicherung, Behörden etc. II. III. IV. Datensicherheit Umgang mit datenschutzrelevanten Unterlagen Fax, etc. Elektronische Gesundheitsakte (ELGA) Rechtsgrundlage, Grundkonzept FAQ Datenschutzgesetz Definitionen Systematik Zulässigkeit der Verwendung von Gesundheitsdaten etc Mag. Verena Sorger 7

8 I. Verschwiegenheitspflicht Was darf nicht, kann, muss mitgeteilt werden? Schweigepflicht Durchbrechung darf nicht kann muss! Anzeige- und Meldepflichten Mag. Verena Sorger 8

9 Verschwiegenheitspflicht Gilt die Schweigepflicht auch gegenüber Ehepartnern der Patienten? a) Ja b) Nein c) weiß nicht Gilt die Schweigepflicht nach dem Tod des Patienten weiter? a) Ja b) Nein c) weiß nicht Können sich Ärzte bzw. Angehörige der Gesundheits- und Krankenpflegeberufe im Strafverfahren auf ihre Verschwiegenheitspflicht berufen und die Zeugenaussage verweigern? a) Ja b) Nein c) weiß nicht Mag. Verena Sorger 9

10 34 SKAG: Verschwiegenheitspflicht (1) Für die Träger von Krankenanstalten und in Krankenanstalten beschäftigten und beschäftigt gewesenen Personen [ ] besteht Verschwiegenheitspflicht, soweit ihnen nicht schon nach anderen gesetzlichen oder dienstlichen Vorschriften eine solche Verschwiegenheitspflicht auferlegt ist. Die Verpflichtung zur Verschwiegenheit erstreckt sich auf alle die Krankheit betreffenden Umstände sowie auf die persönlichen, wirtschaftlichen und sonstigen Verhältnisse der Patienten, die den zur Verschwiegenheit verpflichteten Personen in Ausübung ihres Berufes bekannt geworden sind [ ] Vgl. 54 ÄrzteG; 6 GuKG; 11c MTD-Gesetz, 15 PThG ; 14 PG [ ] sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet Mag. Verena Sorger 10

11 Verschwiegenheitspflicht Reichweite der Verschwiegenheitspflicht ist immer eine Frage der Abwägung von Interessen und kann nur im Einzelfall entschieden werden! besteht grundsätzlich gegenüber allen Personen (auch gegenüber Ehepartnern, LebensgefährtInnen, nahen Angehörigen, Kollegen, usw.) besteht nicht gegenüber gesetzlichen Vertretern (Eltern mj. Kinder, Sachwalter) soweit diese die Information benötigen um ihren gesetzlichen Verpflichtungen nachzukommen (vgl. Einwilligung in die medizinische Behandlung bei nicht einsichts- und urteilsfähigen Patienten). Empfehlung: Patient nach Vertrauensperson und deren Rechten zu fragen und dies zu dokumentieren Mag. Verena Sorger 11

12 34 Abs 2 SKAG: Durchbrechung der Verschwiegenheitspflicht (2) Die Verschwiegenheitspflicht besteht nicht, wenn die Offenbarung des Geheimnisses nach Art und Inhalt durch ein öffentliches Interesse, insbesondere durch Interessen der öffentlichen Gesundheitspflege oder der Rechtspflege, gerechtfertigt ist. Das Nichtbestehen der Verschwiegenheitspflicht hat, wenn nicht eine andere gesetzliche oder dienstrechtliche Regelung besteht, der ärztliche Leiter der Krankenanstalt [ ] festzustellen. Vgl. 54 ÄrzteG; 6 GuKG; 11c MTD-Gesetz Verhältnismäßigkeitsgrundsatz ist immer zu beachten!!! Mag. Verena Sorger 12

13 Durchbrechung der Verschwiegenheitspflicht Verschwiegenheitspflicht besteht grundsätzlich nicht, wenn Meldung/Anzeige gesetzlich vorgeschrieben ist (zb 54 ÄrzteG, Epidemiegesetz usw.); Entbindung von der Schweigepflicht durch den Patienten vorliegt; Gegenüber gesetzlichen Vertretern soweit zur Aufgabenerfüllung erforderlich; Sozialversicherungsträgern (gesetzliche Sozialversicherungen) die zur Abrechnung notwendigen Informationen übermittelt werden; die Offenbarung des Geheimnisses nach Art und Inhalt zum Schutz höherwertiger Interessen der öffentlichen Gesundheitspflege oder der Rechtspflege unbedingt erforderlich ist (inb Ermittlungen in einem Strafverfahren durch Gericht, Staatsanwaltschaft oder Kriminalpolizei)! Verhältnismäßigkeitsgrundsatz ist immer zu beachten Mag. Verena Sorger 13

14 Durchbrechung zum Schutz höherwertiger Interessen der Rechtspflege Schweigepflicht gegenüber Gericht und Behörden Anhaltspunkte geben die Zeugnisverweigerungsrechte: Im Zivilverfahren oder Verwaltungsverfahren besteht für alle Angehörigen der Gesundheitsberufe eine Möglichkeit zur Aussageverweigerung und hat daher eine Interessensabwägung stattzufinden. Im Strafverfahren besteht grundsätzlich für Ärzte und andere Angehörige der Gesundheitsberufe keine Möglichkeit zur Aussagenverweigerung und ist daher grundsätzlich Auskunft zu geben (Ausnahme für Fachärzte für Psychiatrie, Psychotherapeuten und Psychologen). In einem Obsorgeverfahren besteht kein Entschlagungsrecht (zum Wohl des Kindes) Mag. Verena Sorger 14

15 Durchbrechung zum Schutz höherwertiger Interessen der Rechtspflege Ermittlung durch die Polizei 1. Aufenthaltsfeststellung und Vernehmungsfähigkeit Bei behördlichen Ermittlungen über den Aufenthalt einer Person und gegebenenfalls deren Vernehmungsfähigkeit wird ein Überwiegen der Interessen der Rechtspflege anzunehmen sein, wenn diese Information für die behördliche Ermittlung notwendig ist. 2. Medizinische Informationen (bzw Übermittlung der Krankengeschichte) Dürfen nur vom (behandelnden) Arzt unter Beachtung der ärztlichen Schweigepflicht gegeben werden, sofern das öffentliche Interesse an der Mitteilung das Geheimhaltungsinteresse überwiegt Mag. Verena Sorger 15

16 Verschwiegenheitspflicht nach dem Tod Bsp.: Der Sohn einer verstorbenen Patientin möchte eine Kopie der Krankengeschichte seiner Mutter. Besteht die Verschwiegenheitspflicht auch noch nach dem Tod des Patienten? Unter welchen Voraussetzungen hat der Sohn ein Einsichtsrecht in die Krankengeschichte? Verschwiegenheitspflicht besteht auch nach dem Tod des Patienten weiter. Sohn darf nur in die Krankengeschichte Einsicht nehmen, wenn die Patientin noch zu Lebzeiten zugestimmt hat, oder von einer mutmaßlichen Zustimmung ausgegangen werden kann. Ob eine solche mutmaßliche Zustimmung angenommen werden kann, muss nach dem Einzelfall geprüft werden, ist zb der Fall, wenn die Patientin ihrem Sohn auch zu Lebzeiten Informationen über ihren Gesundheitszustand gegeben hat, usw. Der Grund der Anforderung spielt bei dieser Abwägung auch eine wesentliche Rolle Mag. Verena Sorger 16

17 Dokumentation / Einsicht in die KG Haben PatientInnen ein Recht auf Einsicht in ihre Krankengeschichte? a) Ja b) Nein Kann ein/e PatientIn Kopien seiner/ihrer Krankengeschichte verlangen? a) Ja, kostenlos b) Ja, gegen Kostenersatz c) Nein Bekommt der weiterbehandelnde Arzt (Institution) Abschriften aus der Krankengeschichte? a) Ja, immer b) Nein c) Grundsätzlich nur mit Zustimmung des Patienten Kann der Patient auf die Führung einer Krankengeschichte verzichten? a) Ja b) Nein c) kommt auf die Krankheit an Wie lange sind stationäre Krankengeschichten aufzubewahren? a) 7 Jahre b) 10 Jahre c)30 Jahre Mag. Verena Sorger 17

18 Übermittlung von Unterlagen an Private Krankenversicherungen Änderungen im Versicherungsvertragsgesetz Versicherungsrechts-Änderungsgesetz 2012 VersRÄG 2012 Die datenschutzrechtlichen Änderungen 11a und 11b VersVG sind mit 1. Oktober 2012 in Kraft getreten. Insbesondere wurde mit 11b eine neue Bestimmung für die Direktverrechnung eingeführt. Es sind daher grundsätzlich folgende Fälle zu unterscheiden: 1. Anforderungen von medizinischen Unterlagen zur Beurteilung eines Versicherungsfalles oder Voraussetzungen für Versicherungsabschluss etc. ( 11a Versicherungsvertragsgesetz VersVG) 2. Direktverrechnung (insb in der Sonderklasse) ( 11b Versicherungsvertragsgesetz VersVG) Mag. Verena Sorger 18

19 Übermittlung von Unterlagen an Private Krankenversicherungen Änderungen im Versicherungsvertragsgesetz 1. Anforderungen von medizinischen Unterlagen zur Beurteilung eines Versicherungsfalles oder Voraussetzungen für Versicherungsabschluss etc. ( 11a Versicherungsvertragsgesetz VersVG) Eine schriftliche Anforderung ist erforderlich und hat diese die Zustimmung des Patienten zu enthalten. Aufgrund einer allgemeinen Zustimmung im Versicherungsvertrag dürfen privaten Versicherungen zur Beurteilung und Erfüllung von Ansprüchen aus einem konkreten Versicherungsfall nur Auskunft über Diagnose sowie Art und Dauer der Behandlung gegeben werden. Für darüber hinausgehende Anforderungen ist eine für den Einzelfall erteilte ausdrückliche Zustimmung erforderlich. Versicherer muss den Patienten über jede Datenanforderung informieren und kann der Patient dieser widersprechen Mag. Verena Sorger 19

20 Übermittlung von Unterlagen an Private Krankenversicherungen Änderungen im Versicherungsvertragsgesetz 2. Direktverrechnung (insb in der Sonderklasse) ( 11b Versicherungsvertragsgesetz VersVG) Patient ist in der Krankenanstalt über die Folgen einer Direktverrechnung zu belehren und kann nach Belehrung einen ausdrücklichen Auftrag zur Direktverrechnung erteilen. Zulässige Datenübermittlung aufgrund des Direktverrechnungsauftrages: zwecks Einholung der Deckungszusage des Versicherers Daten über die Identität des Betroffenen, das Versicherungsverhältnis und die Aufnahmediagnose (Daten zum Grund der stationären Aufnahme oder der ambulanten Behandlung sowie zu der Frage, ob der Behandlung ein Unfall zugrunde liegt); zwecks Abrechnung und Überprüfung der Leistungen Daten über die erbrachten Behandlungsleistungen (Daten zum Grund einer Behandlung und zu deren Ausmaß) einschließlich des Operationsberichts; Daten über die Dauer des stationären Aufenthalts oder der Behandlung; Daten über die Entlassung oder die Beendigung der Behandlung. Für darüber hinausgehende Unterlagen (zb Pflegebericht) ist eine Einzelzustimmung erforderlich Mag. Verena Sorger 20

21 An wen darf der Entlassungsbrief übermittelt werden? Gemäß 56 SKAG ist der Entlassungsbrief nach Entscheidung des Patienten oder dessen gesetzlichen Vertreters an folgende Personen zu übermitteln: 1. den Patienten oder den einweisenden oder weiterbehandelnden Arzt und 2. bei Bedarf den für die weitere Betreuung in Aussicht genommenen Angehörigen eines Gesundheitsberufes und 3. bei Bedarf der für die weitere Pflege und Betreuung in Aussicht genommenen Einrichtung Patient bzw gesetzlicher Vertreter muss bei Aufnahme oder Entlassung gefragt werden, wer den Entlassungsbrief bekommen soll!!! Mag. Verena Sorger 21

22 Übermittlung der KG an weiterbehandelnde Ärzte bzw. Krankenanstalten? 35 SKAG Folgenden Personen oder Institutionen sind auf Ersuchen unentgeltlich Kopien von Krankengeschichten und ärztlichen Äußerungen über den Gesundheitszustand von Patienten zu übermitteln: [ ] den einweisenden oder weiterbehandelnden Ärzten oder Krankenanstalten. 51 Abs 2 ÄrzteG Ärzte sind zur automationsunterstützten Ermittlung und Verarbeitung personenbezogener Daten gemäß Abs. 1 sowie zur Übermittlung dieser Daten [ ] an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, mit Zustimmung des Kranken berechtigt. 56 SKAG Der Arztbrief ist nach Entscheidung des Patienten oder dessen gesetzlichen Vertreters dem Patienten bzw dessen gesetzlichem Vertreter oder dem einweisenden oder weiterbehandelnden Arzt [ ] zu übermitteln. Stellungnahme des Bundesministeriums Mag. Verena Sorger 22

23 Beispiele: Einsichtnahme in die KG / Verschwiegenheitspflicht Patient ist mit seiner Behandlung nicht zufrieden und möchte eventuell einen Prozess gegen die Krankenanstalt anstrengen, dazu möchte er eine Kopie seiner Krankengeschichte haben. Darf die Krankengeschichte hier herausgegeben werden? Patient hat grundsätzlich ein Einsichtsrecht in seine eigene Krankengeschichte. Nachdem kein Ausnahmetatbestand gegeben ist, ist Einsicht in die KG zu gewähren. Rechtsanwalt des Patienten fordert die Krankengeschichte an. Was ist in diesem Fall zu beachten? Es muss eine Vollmach bzw Zustimmungserklärung des Patienten vorliegen, welche die Herausgabe von Kopien der Krankengeschichte umfasst Mag. Verena Sorger 23

24 Einsichtnahme in die Krankengeschichte Patient hat grundsätzlich ein uneingeschränktes Einsichtsrecht in seine eigene Krankengeschichte und kann auch Abschriften auf seine Kosten verlangen. Gerichten, Verwaltungsbehörden sind Abschriften kostenlos zur Verfügung zu stellen, sofern diese die Unterlagen zur Wahrnehmung ihrer Aufgaben benötigen und Durchbrechung durch öffentliche Interessen gerechtfertigt ist. Gesetzlichen Sozialversicherung sind Abschriften kostenlos zur Verfügung zu stellen, sofern dies zur Abrechnung erforderlich ist. Privatversicherungen: Entsprechend der Zustimmung des Patienten, hier sind die seit geltenden neuen Regelungen im Versicherungsvertragsgesetz zu beachten Einweisenden oder weiterbehandelnden Ärzten bzw Krankenanstalten sind auf Ersuchen unentgeltlich Abschriften der KG zur Verfügung zu stellen - Zustimmung des Patienten erforderlich. Erben / nahe Angehörige: Wenn Entbindung von der Verschwiegenheitspflicht schon zu Lebzeiten vorlag oder von einer mutmaßlichen Einwilligung auszugehen ist. Sonstige Personen haben nur mit ausdrücklicher Zustimmung des Patienten ein Einsichtsrecht in die Krankengeschichte (zb Rechtsanwalt) Mag. Verena Sorger 24

25 Verschwiegenheitspflicht - Auskunftssperre Was bedeutet Auskunftssperre? Aus rechtlicher Sicht ist jeder Patient zu fragen, ob über die Tatsache und Ort seines Aufenthalts Auskunft gegeben werden darf. Dies erfolgt grundsätzlich schon bei der Aufnahme durch das Aufnahmepersonal und wird gegebenenfalls der Vermerk Auskunftssperre im Krankenhausinformationssystem (Orbis) eingetragen. Wurde keine Auskunftssperre erteilt, darf daher an Dritte darüber Auskunft gegeben werden, dass der Patient aufgenommen wurde und auf welcher Station er anzutreffen ist, nicht jedoch weitergehende medizinische Informationen. Auskunftsberechtigt sind alle Mitarbeiter der SALK sowie der Portierdienst. Patient ist bei Anfragen über die KIS Funktion Pfortenauskunft aufzurufen hier werden nur Patienten ohne Auskunftssperre angezeigt. (vlg. 26 Anstaltsordnungen LKH, CDK, LK St. Veit) Mag. Verena Sorger 25

26 Dokumentationspflichten Rechtsgrundlagen: Öffentlichrechtliche Verpflichtungen: KAKuG, 5 GuKG Standesrechtliche Verpflichtungen: 51 ÄrzteG 1998 Vertragliche Nebenpflicht des Behandlungsvertrages zur Information und Aufklärung des Patienten Ärztliche Kunst verlangt nach Gedächtnisstütze Dienstrechtliche Weisungen und Vereinbarungen Straf- und Zivilrechtliche Sorgfaltspflichten Mag. Verena Sorger 26

27 Dokumentationspflicht gem. 35 SKAG Für jeden Patienten ist eine Krankengeschichte anzulegen. Inhalt der Krankengeschichte: 1. Die Vorgeschichte der Erkrankung (Anamnese) 2. Der Zustand des Patienten zur Zeit der Aufnahme 3. Der Krankheitsverlauf 4. Die angeordneten Maßnahmen 5. Die erbrachten ärztlichen Leistungen einschließlich Medikation 6. Sonstige angeordnete und erbrachte Leistungen 7. Die erfolgte Aufklärung des Patienten 8. Verfügungen des Patienten 9. Allfällige Widersprüche des Patienten 10. Der Zustand des Patienten zur Zeit seines Abganges aus der Anstalt Vgl. Dokumentationspflichten aus den Berufsrechten ( 51 ÄrzteG; 5 GuKG usw.) Mag. Verena Sorger 27

28 Aufbewahrungspflicht ( 35 Abs 8 SKAG) Krankengeschichten sind nach ihrem Abschluss mindestens 30 Jahre, allenfalls in Form von Mikrofilmen in doppelter Ausfertigung, oder auf anderen gleichwertigen Informationsträgern, deren Lesbarkeit für den Aufbewahrungszeitraum gesichert sein muss, aufzubewahren; Für Röntgenbilder und andere Bestandteile von Krankengeschichten deren Beweiskraft nicht dreißig Jahre hindurch gegeben ist, sowie für Aufzeichnungen über ambulante Untersuchungen und Behandlungen beträgt die Aufbewahrungsfrist mindestens zehn Jahre. Krankengeschichten, die nach Ablauf dieser Frist ausgeschieden werden sollen, sind unter Aufsicht des ärztlichen Leiters der Krankenanstalt oder einer von ihm beauftragten Person sorgfältig zu vernichten Mag. Verena Sorger 28

29 Archivierung der KG in den SALK Abteilung erstellt die Krankengeschichte Krankengeschichten wird nach Fertigstellung der Digitalen Archivierung übergeben, gescannt und digital archiviert. KG sind nun im Elektronischen KG Archiv abrufbar. Papierunterlagen werden von der Digitalen Archivierung zur Vernichtung freigegeben, vom Platzmeister bei der Digitalen Archivierung abgeholt und geschreddert Mag. Verena Sorger 29

30 Herausgabe von Krankengeschichten und Teilen von Krankengeschichten! Vor Weitergabe ist immer die Zulässigkeit zu überprüfen! Bei Weitergabe sind Datensicherheitsmaßnahmen einzuhalten Zusammenfassung der Einsichts- und Übermittlungsansprüche zu finden im Intranet unter >SALK / Datenschutzkommission / Krankengeschichten / Einsichtsrechte & Übermittlungsansprüche< Datenschutz Datensicherheit Mag. Verena Sorger 30

31 II. Datensicherheit Warum ist Datensicherheit erforderlich? Psychotherapie-Akten im Altpapier Patientenakten im Internet aufgetaucht Patientendaten auf dem Flohmarkt verkauft Hackerangriffe bei GIS, Polizei, TGKK, WKÖ etc. vgl. zb Bericht der ARGE Daten unter: ARGEDATEN&s=29246aai Mag. Verena Sorger 31

32 Datensicherheitsmaßnahmen 14 DSG Maßnahmen zur Gewährleistung der Datensicherheit sind zu ergreifen um sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, Ihre Verwendung ordnungsgemäß erfolgt und Die Daten Unbefugten nicht zugänglich sind. Insbesondere ist die Aufgabenverteilung bei der Datenverwendung klar festzulegen; die Verwendung an gültige Aufträge zu binden; jeder Mitarbeiter über seine bestehenden Pflichten zu belehren; die Zutrittsberechtigung zu den Räumlichkeiten zu regeln; die Zugriffsberechtigung auf Daten und Programme zu regeln; die Berechtigung zum Betrieb von Datenverarbeitungsgeräten festzulegen; Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, im Hinblick auf ihre Zulässigkeit, nachvollzogen werden können Mag. Verena Sorger 32

33 Datensicherheitsmaßnahmen Datengeheimnis 15 DSG 2000 Pflichten der MitarbeiterInnen Beachtung der berufsrechtlichen Geheimhaltungspflichten Datenverwendung ausschließlich zur dienstlichen Aufgabenerfüllung Keine unzulässige Beschaffung von Daten Keine Datenmitteilung an unbefugte Personen oder unzuständige Stellen (auch keine Ermöglichung der Kenntnisnahme) Keine Datenweitergabe von Daten soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht Vgl Informationsblatt für neueintretende MitarbeiterInnen Mag. Verena Sorger 33

34 Datensicherheitsmaßnahmen Zugriff auf Patientendaten Datenschutz- und Berechtigungskonzept legt die Zugriffsrechte der einzelnen Berufsgruppen auf Ebene der Organisationseinheiten fest.! Ein Zugriff ist immer nur im Rahmen der beruflichen Aufgabenerfüllung zulässig und kann auch überprüft werden. (vgl. 14f DSG 2000, Betriebsvereinbarungen Datenzugriff Orbis LKH, CDK, St. Veit und Schreiben der Geschäftsführung vom März 2009) Merkblatt Zugriff auf PatientInnendaten (5. März 2012) zu finden im Intranet unter >SALK / Datenschutzkommission / Datensicherheitsmaßnahmen< NICHT ALLES WAS MÖGLICH IST, IST AUCH ERLAUBT!!! Mag. Verena Sorger 34

35 Datensicherung Passwörter Jeder Mitarbeiter ist verantwortlich für die Geheimhaltung seiner Zugriffscodes (Passwort)! Was muss man dabei beachten? KEINE zu einfachen Passwörter wählen Keine offensichtlichen persönlichen Daten als Passwort Kombination von Buchstaben und Ziffern verwenden Passwort nicht schriftlich aufzeichnen (unter Tastatur!!!) Bei Verdacht, dass Passwort anderen bekannt ist, bitte SOFORT ändern! Beim Verlassen des Arbeitsplatzes abmelden oder den Arbeitsplatz sperren Wenn Applikationen nicht mehr benötigt werden, aussteigen Mag. Verena Sorger 35

36 Umgang mit datenschutzrelevanten Unterlagen Krankengeschichten und andere datenschutzrelevante Unterlagen müssen so aufbewahrt werden, dass sie für unbefugte Personen nicht zugänglich sind. Kenntnisnahme darf auch nicht ermöglicht werden. zb. Krankengeschichten dürfen nicht in einem öffentlich zugänglichen Bereich aufbewahrt werden. Transport von datenschutzrelevanten Unterlagen muss sicher erfolgen etc. Sollen Unterlagen in der SALK, welche datenschutzrelevante Inhalte haben (und nicht der Aufbewahrungspflicht gem 35 SKAG unterliegen) vernichtet werden, müssen diese bis zur Vernichtung sicher verwahrt werden und müssen sorgfältig vernichtet werden. Datenschutzpapier darf keinesfalls mit dem Altpapier oder Restmüll entsorgt werden. vgl. Psychotherapie-Akten im Altpapier Mag. Verena Sorger 36

37 Ist die Übermittlung von Gesundheitsdaten per Fax zulässig? Gesundheitstelematikgesetz (GTelG) Gesundheitstelematikverordnung (GTelV) GTelG wurde mit geändert: Gesundheitsdaten dürfen nur mehr über sichere Netzwerke bzw. in verschlüsselter Form mit anderen Gesundheitsdiensteanbietern (KH, Ärzte usw.) ausgetauscht werden. Ist die sichere Übermittlung technisch bzw. wirtschaftlich nicht zumutbar ist in Ausnahmefällen auch eine Übermittlung per Fax zulässig wenn bestimmte Sicherheitsvorkehrungen getroffen werden. vgl. Informationsschreiben vom Jänner 2011 zu finden im Intranet unter >SALK / Datenschutzkommission / Gesundheitstelematik< Mag. Verena Sorger 37

38 GTelG - Sicherheitsvorkehrungen für den Faxgebrauch 1. Faxanschlüsse sind vor unbefugtem Zugang und Gebrauch zu schützen, 2. Rufnummern sind nachweislich auf ihre Aktualität zu prüfen, 3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, sind zu deaktivieren, 4. die vom Gerät unterstützten Sicherheitsmechanismen sind zu nützen und 5. allenfalls verfügbare Fernwartungsfunktionen sind nur für die vereinbarte Dauer der Fernwartung zu aktivieren Mag. Verena Sorger 38

39 Ist die Übermittlung von Gesundheitsdaten per zulässig? Gesundheitstelematikgesetz (GTelG) und Gesundheitstelematikverordnung (GTelV) Gesundheitsdaten dürfen nur mehr über sichere Netzwerke bzw. in verschlüsselter Form mit anderen Gesundheitsdiensteanbietern ausgetauscht werden. Somit ist der Versand unverschlüsselter s nicht zulässig. SALK Organisationsrichtlinien IT Datenschutz Regelungen für Führungskräfte und Nutzer Über das Internet dürfen aus Gründen des Datenschutzes keine unverschlüsselten sensiblen personenbezogenen Daten übermittelt werden und/oder auf externen Datenträgern gespeichert werden Mag. Verena Sorger 39

40 Sind telefonische Auskünfte zulässig? Da bei telefonischen Anfragen die Identität des Anrufers typischerweise unklar bzw. nicht überprüfbar ist, sind telefonische Auskünfte grundsätzlich nicht zulässig. Ist der Anrufer der Auskunftsperson nicht persönlich - als Patient oder dessen Vertrauensperson - bekannt, darf keine Auskunft gegeben werden. In jedem Fall ist es sinnvoll, einen Rückruf unter der angegebenen Telefonnummer anzubieten, um so eine erhöhte Informationssicherheit herzustellen. Im Zweifel ist der Verschwiegenheitspflicht der Vorzug zu geben und die Auskunft unter Hinweis auf die Verschwiegenheitspflicht und das Datenschutzrecht zu verweigern bzw. von einer persönlichen Kontaktaufnahme abhängig zu machen Mag. Verena Sorger 40

41 III. Elektronische Gesundheitsakte (ELGA) FAQ siehe Was ist ELGA? Die Elektronische Gesundheitsakte ELGA ist ein Informationssystem, das allen berechtigten ELGA-Gesundheitsdiensteanbietern (z.b. Ärztinnen, Ärzten und Spitälern), ELGA-Teilnehmerinnen und ELGA-Teilnehmern den orts- und zeitunabhängigen Zugang zu Gesundheitsdaten ermöglicht. Die Idee hinter ELGA ist, im Falle einer medizinischen Behandlung oder Betreuung und nur in diesem Zusammenhang den behandelnden Gesundheitseinrichtungen die notwendigen Vorinformationen bereitzustellen und diesen Zugriff auch den Patientinnen und Patienten selbst zu ermöglichen. Durch ELGA erhält der behandelnde ELGA- Gesundheitsdiensteanbieter Vorbefunde, Entlassungsberichte und die aktuelle Medikation seiner Patientinnen und Patienten als unterstützende Entscheidungsgrundlage für die weitere Diagnostik und Therapie Mag. Verena Sorger 41

42 ELGA Komponenten Patienten-Index eindeutige Patientenidentifikation um Dokument zweifelsfrei zuzuordnen Gesundheitsdiensteanbieter-Index Identifikation der Gesundheitsdienstanbieter, soll durch einen E-Health- Verzeichnisdienst umgesetzt werden Dokumenten-Register ist eine Art Inhaltsverzeichnis der verfügbaren Dokumente. Berechtigungsregelwerk legt fest, wer, wann und aufgrund welcher Voraussetzungen auf welche Dokumente zugreifen darf Portal ( zentrale Zugangsstelle des Bürgers zu wichtigen Gesundheitsinformationen Mag. Verena Sorger 42

43 FAQ ELGA ( Was ist die gesetzliche Grundlage von ELGA? Die Elektronische Gesundheitsakte ist im Gesundheitstelematikgesetz 2012, auch "Elektronisches Gesundheitsakte-Gesetz" (ELGA-G) genannt, das seit in Kraft ist, geregelt. Dort sind ELGA-Teilnehmerrechte, Datenschutz, Datensicherheit und die Teilnahme für BürgerInnen, PatientInnen und ELGA-Gesundheitsdiensteanbieter (z.b. Ärztinnen, Ärzte und Spitäler) festgelegt. Weiters gibt das Gesetz vor, wie ELGA-Daten definiert sind und wie medizinische Dokumente, also die ELGA-Befunde, zu vereinheitlichen sind. Das ELGA-Gesetz verlangt darüber hinaus hohe Bedienungsfreundlichkeit für die NutzerInnen und gibt die Zeitschiene zur Umsetzung von ELGA vor. Elektronisches Gesundheitsakte-Gesetz (ELGA-G) Mag. Verena Sorger 43

44 FAQ ELGA ( Welche Daten und Befunde sind über ELGA einsehbar? Die ersten in ELGA verfügbaren Daten werden ärztliche und pflegerische Entlassungsbriefe des Krankenhauses, Laborbefunde und Radiologiebefunde sowie Medikationsdaten, sein. Weitere ELGA-Befunde werden noch festgelegt. Darüber hinaus ist geplant, ab über Patientenverfügungen, Vorsorgevollmachten und medizinische Register ELGA verfügbar zu machen Mag. Verena Sorger 44

45 FAQ ELGA ( Wann bzw wie lange haben Berechtigte Zugriff auf meine Daten? Ärztinnen und Ärzte, Krankenanstalten und Pflegeeinrichtungen haben grundsätzlich 28 Tage ab Nachweis des Behandlungs- oder Betreuungsverhältnisses, z.b. durch Stecken der e-card bei der Ärztin/beim Arzt in der Ordination, Zugriff auf die Daten. Danach erlischt die Zugriffsberechtigung und wird erst bei erneutem Nachweis des Behandlungoder Betreuungsverhältnisses wieder aktiv. Der Zeitraum von 28 Tagen ist für den Abruf weiterer Informationen zum konkreten Behandlung- oder Betreuungsfall gedacht, z.b. wenn nach einem Krankenhausaufenthalt noch Befunde ausständig sind. Apotheken werden nur zwei Stunden auf die Medikationsdaten Zugriff haben. ELGA-TeilnehmerInnen können aber die genannten Zugriffsfristen für ELGA-Gesundheitsdiensteanbieter beliebig verkürzen oder mit deren Einverständnis auf bis zu ein Jahr verlängern ( Vertrauensärztin/Vertrauensarzt ) Mag. Verena Sorger 45

46 FAQ ELGA ( Wie komme ich zu meinen Daten? ELGA-Daten sind über das ELGA-Zugangsportal ( nach dem Einstieg mittels Bürgerkarte oder Handy-Signatur abrufbar. Über das ELGA-Zugangsportal kann auch die Verwaltung der Zugriffsrechte und Dokumente stattfinden Mag. Verena Sorger 46

47 FAQ ELGA ( Was muss ich tun, wenn ich nicht an ELGA teilnehmen will? Man kann aus ELGA aussteigen. Ein Ausstieg aus ELGA wird auch als Opt-Out oder genereller Widerspruch zur Teilnahme an ELGA bezeichnet. Die Widersprüche wird man ab dem Jahreswechsel 2014 entweder elektronisch über das ELGA-Zugangsportal oder schriftlich bei einer so genannten "Widerspruchsstelle" abgegeben können. Wer eine Bürgerkarte bzw. Handysignatur hat und diese auch verwenden will, kann im Wege des Gesundheitsportals (das einen Link auf das ELGA-Zugangsportal enthält) unter ab Jahreswechsel 2013/2014 eine Widerspruchserklärung abgeben. Die Widerspruchsstelle wird vom Bundesministerium für Gesundheit eingerichtet. Eine öffentliche Information dazu wird noch zeitgerecht erfolgen Mag. Verena Sorger 47

48 FAQ ELGA ( Wann kommt ELGA? ELGA-Zugangsportal und Widerspruchsstelle werden bis Anfang 2014 eingerichtet. Bis dahin wird die Ombudsstelle bekannt gegeben. Ab 2015 werden dann schrittweise die ELGA-Gesundheitsdiensteanbieter, also z.b. Spitäler, Pflegeeinrichtungen, Ärztinnen, Ärzte und Apotheken- beginnend mit den öffentlichen Krankenanstalten Inhalte für ELGA zur Verfügung stellen bzw. abrufen können. Ab 2014: ELGA-Zugangsportal & Widerspruchstelle Ab 2015: erste Dokumente durch Krankenhäuser Ab Mitte 2016: ELGA-Dokumente aus dem niedergelassenen Bereich, e- Medikation durch niedergelassene Ärztinnen, Ärzte und Apotheken Mag. Verena Sorger 48

49 IV. Datenschutzgesetz Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000), BGBl. I Nr 165/1999 Art 1: Verfassungsbestimmung Art 2: Einfachgesetzliche Regelungen Neu: DSG-Novelle 2014 (insbesondere Datenschutzkommission ab Datenschutzbehörde) Geplant: EU Datenschutzreform Mag. Verena Sorger 49

50 Was wird vom Grundrecht auf Datenschutz geschützt? Art 1 1 DSG 2000 (Verfassungsbestimmung) Jeder hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Personenbezogene Daten = Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist Mag. Verena Sorger 50

51 Was ist vom Grundrecht auf Datenschutz nicht umfasst? Art 1 1 DSG 2000 (Verfassungsbestimmung). soweit ein schützwürdiges Interesse an der Geheimhaltung besteht. Dies ist nicht der Fall bei allgemeiner Verfügbarkeit oder mangelnder Rückführbarkeit auf den Betroffenen Allgemeine Verfügbarkeit: Veröffentlichte Daten, zb Telefonbuch, Grundbuch, Mangelnde Rückführbarkeit auf den Betroffenen: Anonyme Daten, zb Statistik ohne Personenbezug Mag. Verena Sorger 51

52 Beschränkungen des Grundrechts Art 1 1 DSG 2000 (Verfassungsbestimmung) Beschränkungen sind nur zulässig: Im lebenswichtigen Interesse des Betroffenen mit Zustimmung des Betroffenen oder zur Wahrung überwiegender berechtigter Interessen eines anderen Verhältnismäßigkeitsgrundsatz: Auch im Falle der Zulässigkeit einer Beschränkung darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden Mag. Verena Sorger 52

53 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 53

54 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 54

55 Definitionen ( 4 DSG 2000) Personenbezogene Daten = Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist Bsp: Name Adresse Geburtsdatum Sonstige Informationen Maier F. Hauptstraße Diabetes,.. Indirekt personenbezogene Daten = wenn der Personenbezug derart ist, dass die Identität mit rechtlichen Mitteln nicht bestimmt werden kann Bsp: Identifikationsnummer Sonstige Informationen 12437GF Diabetes, Anonyme Daten = wenn kein Personenbezug besteht Bsp: Sonstige Informationen Diabetes, Mag. Verena Sorger 55

56 Personenbezogene Daten nicht sensible Daten sensible Daten zb.: Adresse, Telefonnummer, Alter, Beruf,.. = besonders schutzwürdige Daten, dürfen nur eingeschränkt verwendet werden rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit, Sexualleben Mag. Verena Sorger 56

57 Definitionen Rollenverteilung im Datenschutzrecht Betroffener Jede natürliche oder juristische Person deren Daten verwendet werden Auftraggeber Natürliche oder juristische Person, welche die Entscheidung trifft, Daten für einen bestimmten Zweck zu verwenden Dienstleister Natürliche oder juristische Person, wenn sie Daten nur zur Herstellung eines ihr aufgetragenen Werkes verwendet Bsp: SALK lässt das Krankenhausinformationssystem von einer externen Firma technisch warten. SALK = Auftraggeber; Patienten = Betroffene; Firma = Dienstleister Mag. Verena Sorger 57

58 Definitionen Verwenden Verarbeiten zb Ermitteln, Speichern, Verknüpfen, AG Übermitteln AG Überlassen DL Mag. Verena Sorger 58

59 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 59

60 Grundsätze des Datenschutzrechts TRANSPARENZ Wissen die Betroffenen um die Verarbeitung ihrer Daten bzw können Sie mit dieser Verarbeitung rechnen? ZWECKGEBUNDENHEIT Welchen Zweck verfolgt die Datenverarbeitung? Der Zweck einer Datenverarbeitung ist vorab zu definieren, muss zulässig sein und stellt die Grenze der Datenverarbeitung dar. Keine Datensammlung ohne zu wissen, wofür. WESENTLICHKEIT NOTWENDIGKEIT Sind alle verarbeiteten Daten für die Erreichung des Zwecks wesentlich und notwendig? (Datensparsamkeit) GELINDESTER EINGRIFF (Verhältnismäßigkeit) Gibt es weniger eingreifende Möglichkeiten zur Erreichung des Zwecks? Daten dürfen nur so lange wie notwendig gespeichert werden Mag. Verena Sorger 60

61 Zulässigkeit der Verarbeitung von Daten Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen. gesetzliche Zuständigkeit (öffentlicher Bereich) = gesetzlicher Auftrag zur Datenverarbeitung zb Zentrales Melderegister, Grundbuch, usw. rechtlichen Befugnissen (privater Bereich) = Berufsregelungen, Gewerbeschein, Gesellschaftsvertrag Mag. Verena Sorger 61

62 Schutzwürdige Geheimhaltungsinteressen werden bei Verwendung nicht sensibler Daten dann nicht verletzt, wenn ( 8 DSG 2000): Ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht, oder der Betroffene der Verwendung seiner Daten zugestimmt hat; Widerruf muss jederzeit möglich sein; lebenswichtige Interessen des Betroffenen die Verwendung erfordern, oder überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten Mag. Verena Sorger 62

63 Schutzwürdige Geheimhaltungsinteressen werden bei Verwendung sensibler Daten dann nicht verletzt, wenn ( 9 DSG 2000): Der Betroffene die Daten offenkundig selbst öffentlich gemacht hat oder die Daten in nur indirekt personenbezogener Form verwendet werden, sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen, der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt hat; Widerruf muss jederzeit möglich sein die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen notwendig ist und die Zustimmung nicht rechtzeitig eingeholt werden kann die Verwendung zur Wahrung lebenswichtiger Interessen eines anderen notwendig ist Mag. Verena Sorger 63

64 Schutzwürdige Geheimhaltungsinteressen werden bei Verwendung sensibler Daten dann nicht verletzt, wenn ( 9 DSG 2000): Verwendung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden Besondere Verwendungszwecke gem 45, 46, 47 oder 48a DSG 2000 Verwendung erforderlich ist, um den Rechten und Pflichten des Auftraggebers auf dem Gebiet des Arbeits- und Dienstrechts Rechnung zu tragen Die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist, und die Verwendung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen Mag. Verena Sorger 64

65 Gesundheitsdaten (sensible Daten) dürfen insbesondere unter folgenden Voraussetzungen verwendet werden Gesetzliche Ermächtigung/Verpflichtung (zb Verpflichtung zur Führung einer Krankengeschichte, Übermittlungsanspruch der gesetzlichen Sozialversicherungen zur Abrechnung, Meldepflichten, ) lebenswichtigen Interesse Zustimmung des Patienten Zur Gesundheitsvorsorge, medizinischen Diagnostik, Gesundheitsversorgung oder -behandlung oder für die Verwaltung von Gesundheitsdiensten Mag. Verena Sorger 65

66 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 66

67 Besondere Verwendungszwecke Private Zwecke ( 45 DSG 2000) Wissenschaftliche Forschung und Statistik ( 46 DSG 2000) Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen ( 47 DSG 2000) Verwendung von Daten im Katastrophenfall ( 48a DSG 2000) Mag. Verena Sorger 67

68 Wissenschaftliche Forschung und Statistik 46 DSG 2000 Für Zwecke wissenschaftlicher Forschung oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Daten verwenden, die - öffentlich zugänglich sind oder - der Auftraggeber für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder - für den Auftraggeber nur indirekt personenbezogen sind. Andere Daten dürfen nur verwendet werden - gemäß besonderen gesetzlichen Vorschriften - mit Zustimmung des Betroffenen oder - mit Genehmigung der Datenschutzkommission Der direkte Personenbezug ist unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen statistischen Arbeit mit nur indirekt personenbezogenen Daten das Auslangen gefunden werden kann. Personenbezug ist gänzlich zu beseitigen, sobald er nicht mehr notwendig ist und keine anderen gesetzlichen Bestimmungen vorliegen Mag. Verena Sorger 68

69 Wissenschaftliche Studien und Datenschutz! Bereits in der Planungsphase einer wissenschaftlichen Studie sind die Datenschutzaspekte entsprechend zu beachten (Datenschutzkonzept): Insbesondere werden sich hier folgende Fragen stellen: Wer ist Auftraggeber der Studie isd DSG 2000? Welche Daten sollen verarbeitet werden, wie erfolgt die Verarbeitung, woher stammen die Daten und welche Rechtsgrundlage besteht dafür? Sind alle Aspekte der Datenverarbeitung in der Zustimmungserklärung abgebildet? Wie kann sichergestellt werden, dass Studiendaten keinen unberechtigten Personen zugänglich werden (Datensicherheitsmaßnahmen) Welche Genehmigungen / Meldungen sind erforderlich? Ist eine Meldung an das Datenverarbeitungsregister erforderlich? LEITFADEN "Datenschutz bei Studien an der SALK zu finden im Intranet unter >SALK / Datenschutzkommission / Studien< Mag. Verena Sorger 69

70 Überblick: Prüfung einer zulässigen Datenverarbeitung 1. Für welchen Zweck erfolgt die Verarbeitung? 2. Hat der Auftraggeber für diesen Zweck eine rechtliche Befugnis? 3. Werden durch die Verarbeitung schutzwürdige Geheimhaltungsinteressen verletzt? nicht sensible Daten sensible Daten insb. gesetzliche Vorschrift, Zustimmung, med. Diagnostik, Gesundheitsbehandlung, 4. Eingriff im erforderlichen Ausmaß und mit den gelindesten Mitteln 5. Einhaltung der Grundsätze des 6 DSG Mag. Verena Sorger 70

71 Zulässige Übermittlung von Daten Übermitteln = Herausgabe an einen anderen Auftraggeber (Dritten) Auftraggeber = Natürliche oder juristische Person, welche die Entscheidung trifft, Daten für einen bestimmten Zweck zu verarbeiten Empfänger verwendet die Daten im eigenen Interesse weiter zb Sozialversicherung verwendet Daten zur Verrechnung; andere Krankenanstalt verwendet Daten zur Weiterbehandlung des Patienten; Forschungsinstitut betreibt eigene Forschung mit den Daten; Nach dem DSG 2000 ist eine Übermittlung dann zulässig wenn: Der Empfänger über eine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis verfügt und keine schutzwürdigen Geheimhaltungsinteressen des Patienten verletzt werden. (insb bei indirekt personenbezogenen Daten, Zustimmung des Patienten, gesetzliche Vorschrift oder Notwendigkeit zur Gesundheitsversorgung oder -behandlung) Mag. Verena Sorger 71

72 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 72

73 Kontrollorgane - Datenschutzgesetz Österreichische Datenschutzkommission in Wien (ab Datenschutzbehörde ) = unabhängige und weisungsfreie Behörde - Führung des Datenverarbeitungsregisters - Entscheidung über Beschwerden - Kontrollbefugnisse Datenschutzrat = eingerichtet beim Bundeskanzleramt = politisch besetzt - Berät die BReg und die LReg in rechtspolitischen Fragen des Datenschutzes - Stellungnahme zu Gesetzesentwürfen mit Datenschutzrelevanz - Mitteilungen an die BReg und LReg von Beobachtungen, Bedenken und Anregungen zur Verbesserung des Datenschutzes in Österreich Mag. Verena Sorger 73

74 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 74

75 Publizität der Datenanwendungen: Datenverarbeitungsregister (DVR) Eingerichtet bei der Datenschutzkommission in Wien Grundsätzlich ist jeder Auftraggeber verpflichtet, vor Aufnahme einer Datenanwendung eine Meldung an das DVR zu erstatten Datenanwendung darf erst mit Meldung bzw. nach Registrierung aufgenommen werden Zweck: Prüfung der Rechtmäßigkeit Information der Betroffenen In das Datenverarbeitungsregister kann unter Einsicht genommen werden Mag. Verena Sorger 75

76 Meldepflichtige Datenanwendungen Beispiele: Krankenhausinformationssystem Personaldatenverarbeitung Videoüberwachung Zutrittskontrollsysteme In den SALK werden alle Meldungen an das Datenverarbeitungsregister zentral über die Rechtsabteilung eingebracht! Mag. Verena Sorger 76

77 Datenverarbeitungsregister Inhalt der Meldepflicht Eine Meldung an das DVR hat zu enthalten Namen (Bezeichnung) und Anschrift des Auftraggebers Nachweis der gesetzlichen Zuständigkeit bzw rechtlichen Befugnis Zweck der zu registrierenden Datenanwendung und die Rechtsgrundlagen Betroffenenkreise und Datenarten allfällige Übermittlungsempfänger und die zu übermittelnden Daten sowie die Rechtgrundlage der Übermittlung Angaben über die getroffenen Datensicherheitsmaßnahmen Mag. Verena Sorger 77

78 Information des Betroffenen 24 DSG 2000 Bei jeder Ermittlung von personenbezogenen Daten ist der Betroffene darüber zu informieren für welchen Zweck seine Daten ermittelt werden Wer der Auftraggeber der Datenanwendung ist (DVR-Nummer) Was sonst für eine Verarbeitung nach Treu und Glauben notwendig ist (zb Information darüber, dass Zustimmung jederzeit widerrufen werden kann, usw.) DSG Novelle 2010: Neue Informationspflicht Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er die Betroffenen unverzüglich in geeigneter Form zu informieren Mag. Verena Sorger 78

79 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 79

80 Rechte der Betroffenen Recht auf Geheimhaltung Recht auf Auskunft wer welche Daten über ihn verarbeitet, woher die Daten stammen, wozu sie verwendet werden, und an wen sie übermittelt werden Recht auf Richtigstellung unrichtiger Daten Recht auf Löschung unzulässigerweise verarbeiteter Daten Recht auf Widerspruch Bei der Verwendung nur indirekt personenbezogener Daten können die Rechte auf Auskunft, Richtigstellung, Löschung und Widerspruch nicht geltend gemacht werden Mag. Verena Sorger 80

81 Rechtschutz bei Verletzung des Datenschutzes Kontrollbefugnisse der Datenschutzkommission 30 DSG 2000 Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden. Formlose und unentgeltliche Beschwerde Mag. Verena Sorger 81

82 Rechtschutz bei Verletzung des Datenschutzes Formelles Verfahren gem 31 f. DSG 2000 Zuständigkeiten: öffentlicher Bereich privater Bereich Geheimhaltung Auskunft Richtigstellung Löschung Geheimhaltung Richtigstellung Löschung Datenschutzkommission Landesgericht VfGH VwGH OGH Mag. Verena Sorger 82

83 Schadenersatz ( 33 DSG 2000) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen des DSG 2000 verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Der Auftraggeber und der Dienstleister haften auch für das Verschulden ihrer Leute, soweit deren Tätigkeit für den Schaden ursächlich war Mag. Verena Sorger 83

84 Art 2 Datenschutzgesetz Definitionen 2. Verwendung von Daten 3. Datensicherheit 4. Publizität der Datenverarbeitungen (Datenverarbeitugsregister - DVR) 5. Rechte der Betroffenen 6. Rechtsschutz 7. Kontrollorgane (Datenschutzkommission, Datenschutzrat) 8. Besondere Verwendungszwecke 9. Besondere Verwendungsarten 9a. Videoüberwachung 10. Strafbestimmungen Mag. Verena Sorger 84

85 Strafbestimmungen Gerichtlich strafbare Tatbestände Datenverwendung in Gewinn- und Schädigungsabsicht 51 DSG 2000 Datenbeschädigung 126a StGB Betrügerischer Datenverarbeitungsmissbrauch 148a StGB Verletzung von Berufsgeheimnissen 121 StGB Verwaltungsstrafbestimmung 52 DSG Mag. Verena Sorger 85

86 Strafbestimmungen Gerichtlich strafbare Tatbestände Verletzung von Berufsgeheimnissen 121 StGB Geheimnis offenbart oder verwertet, das den Gesundheitszustand einer Person betrifft und das ihm bei berufsmäßiger Ausübung eines gesetzlich geregelten Gesundheitsberufs oder bei berufsmäßiger Beschäftigung mit Aufgaben der Verwaltung der Krankenanstalt [ ] ausschließlich kraft seines Berufes anvertraut worden oder zugänglich geworden ist und dessen Offenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse der Person zu verletzen, die seine Tätigkeit in Anspruch genommen hat oder für die sie in Anspruch genommen worden ist, Freiheitsstrafe bis zu sechs Monaten oder Geldstrafe bis zu 360 TS Zweck: Zuwendung eines Vermögensvorteils oder Zufügen eines Nachteils Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 360 TS Mag. Verena Sorger 86