RDV Aufsätze. Recht der Datenverarbeitung G Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht.

Größe: px
Ab Seite anzeigen:

Download "RDV. 22013 Aufsätze. Recht der Datenverarbeitung G 20 470. Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht."

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 29. Jahrgang April 2013 Seiten Aufsätze MENZEL, Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen ABEL, Reform der Sachaufklärung in der Zwangsvollstreckung KAHLER, Die Europarechtswidrigkeit der Kommissionsbefugnisse in der Grundverordnung Kurzbeiträge GOLA, Aus den aktuellen Tätigkeitsberichten der Aufsichts - behörden (5) KLUG, Datenschutzbeauftragter in Europa quo vadis? SÖBBING, Rechtsrisiken durch Bring your own Device (ByoD) CYBUCKI, Finanzanlagenvermittlungsverordnung: Offenlegung von Vergütungen ATZERT, Das Double-Opt-In-Verfahren auf dem Prüfstand NEUHÖFER, Kanada ein transatlantischer Datenschutzpartner Rechtsprechung Aus dem Inhalt BAG, Arbeitszeugnis: kein Anspruch des Arbeitnehmers auf Dank und gute Wünsche (Ls) BAG, Keine Mitbestimmung bei der Einführung von Laufzetteln BAG, Entschädigung trotz Nichtbesetzung der ausgeschriebenen Stelle (Ls) Berichte, Informationen, Sonstiges Literaturhinweise Veranstaltungen

2 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 29. Jahrgang 2013 Heft 2 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze Dr. Hans-Joachim MENZEL Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen 59 RA Prof. Dr. Ralf B. ABEL Reform der Sachaufklärung in der Zwangsvoll - streckung 66 RA Thomas KAHLER Die Europarechtswidrigkeit der Kommissionsbefugnisse in der Grundverordnung 69 Kurzbeiträge Prof. Peter GOLA Aus den aktuellen Berichten der Aufsichtsbehörden (5) 73 RA Christoph KLUG Datenschutzbeauftragter in Europa quo vadis? 75 Dr. Thomas SÖBBING, LL.M. Rechtsrisiken durch Bring your own Device (ByoD) 77 RA Marco CYBUCKI Finanzanlagenvermittlungsverordnung: Offenlegung von Vergütungen 79 Dipl.-iur. Michael ATZERT Das Double-Opt-In-Verfahren auf dem Prüfstand 80 RA Dr. Daniel NEUHÖFER, LL.M. Kanada ein transatlantischer Datenschutzpartner 83 Rechtsprechung Arbeitszeugnis: kein Anspruch des Arbeitnehmers auf Dank und gute Wünsche (Ls) (BAG, Urteil vom ) 85 Keine Mitbestimmung bei der Einführung von Laufzetteln (BAG, Beschluss vom ) 85 Entschädigung trotz Nichtbesetzung der ausgeschriebenen Stelle (Ls) (BAG, Urteil vom ) 86 Altersgruppenbildung zur Erhaltung der Altersstruktur (Ls) (BAG, Urteil vom ) 87 Anspruch auf die Entfernung einer Abmahnung aus der Personalakte (BAG, Urteil vom ) 87 Abmahnungserfordernis vor Kündigung wegen untersagter Privatnutzung in einem Arbeitsverhältnis mit mehreren Arbeitgebern (BAG, Urteil von ) 88 Wettbewerbswidrigkeit der Datenerhebung von Minderjährigen bei Gewinnspielen (OLG Hamm, Urteil vom ) 91 Zum Anspruch einer Privat versicherung auf Vorlage von Kopien aus der Patientenakte des behandelnden Arztes (OLG München, Urteil vom ) 92 Persönlichkeitsrechtsverletzung durch Offenbarung wirtschaftlicher Schwierigkeiten einer Gesellschaft bzw. von deren Gesellschafter (Ls) (OLG Brandenburg, Urteil vom ) 95 Unbefugtes Fotografieren und Notwehr (OLG Hamburg, Beschluss vom ) 96 Nichtbeantwortung einer Stellenanzeige als Indiz für eine Diskriminierung (Ls) (LAG Schleswig-Holstein, Urteil vom ) 98 Mitbestimmung bei Videoüber wachung in Spielbank (Ls) (LAG Rheinland Pfalz, Beschluss vom ) 99 Auf Berufseinsteiger abgestelltes Stellenangebot enthält keine Benachteiligung Älterer (Ls) (Hessisches LAG, Urteil vom ) 99 Betriebsratstätigkeit und Weltanschauung (AG Wuppertal, Urteil von ) 99 Berichte, Informationen, Sonstiges 34. internationale Datenschutzkonferenz in Uruguay (GÜRTLER) 100 Bonner Erklärung zur Novellierung des Beschäftigtendatenschutzes 102 ULD: Kein Bedauern über Absetzung des Beschäftigtendatenschutzgesetzes 103 Verwaltungsgericht Schleswig erteilt Facebook Freifahrtschein 103 Datenschutz bei Nachsendeaufträgen 104 Internet-Enquete schließt die Arbeit ab 104 Literaturhinweise Horst Abel (Hrsg.), Praxiskommentar Bundesdatenschutzgesetz (GOLA) 105 Janina Hatt, Konfliktfeld Datenschutz und Forschung, Frankfurter Studien zum Datenschutz (REDAKTION) 105 Markus Oermann, Individual datenschutz im europäischen Datenschutzrecht. Eine theorie - geleitete Analyse (REDAKTION) 106 Neuerscheinungen Aufsätze 107 Veranstaltungen 108

3 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Universität Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutz - beauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Prof. Dr. Rolf SCHWARTMANN, Fachhochschule Köln Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Prof. Dr. Gregor THÜSING, LL.M. (Harvard), Universität Bonn Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Schriftleitung Prof. Peter Gola (federführend) RA Dr. Georg Wronka RA Andreas Jaspers Redaktionsanschrift Birgit Koppitsch Heinrich-Böll-Ring 10, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, MwSt. im Preis enthalten jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Abbestellungen Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Beilagenhinweis GDD-Mitteilungen 2/2013; DATAKONTEXT, Frechen; Verlag Dr. Otto Schmidt, Köln Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung er beten. Für unverlangt eingesandte Manuskrip te wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; die se sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechts schutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Thomas Reinhard-Rief Hultschiner Straße 8 D München Telefon: (089) Fax: (089) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB

4 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter (federführend) RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn Redaktion: Birgit Koppitsch 29. Jahrgang 2013 Heft 2 Seiten Recht RDV der Datenverarbeitung Aufsätze Dr. Hans-Joachim Menzel, Hamburg* Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen I. Einführung Das Datenschutzrecht privilegiert Datenverarbeitungen im Auftrag : Gibt eine Stelle personenbezogene Informationen an einen Dritten weiter, damit dieser die Daten für die Stelle verarbeitet, bedarf es für diese Weitergabe weder einer gesetzlichen Übermittlungsbefugnis noch einer Einwilligung des Betroffenen. Denn Auftraggeber und Auftragnehmer werden als Einheit betrachtet und die Datenweitergabe als interne Datennutzung durch die Stelle. Für die Betroffenen bedeutet das, dass sie von dieser externen Verarbeitung ihrer Daten in der Regel noch nicht einmal erfahren, geschweige denn nach ihrer Zustimmung gefragt werden. Vor diesem Hintergrund mögen folgende Beobachtungen die gesellschaftspolitische Bedeutung und Aktualität des Themas verdeutlichen: Nach der Erfahrung der Datenschutzbehörden gehören Sozial- und Gesundheitsdaten für die Betroffenen nach wie vor zu den sensibelsten und schutzbedürftigsten Daten. Die Betroffenen haben allerdings selten ein Interesse, detailliert zu erfahren, ob und ggf. welche externen Dienstleister in welcher Weise in die Verarbeitung ihrer Daten eingeschaltet werden, und wenig Verständnis und Akzeptanz für komplexe Aufklärungs- und Einwilligungsformulare. Im Sozial- und Gesundheitswesen schreitet die Konzentration der Leistungsträger und -erbringer bundesweit voran mit der Folge, dass lokal und individuell angepasste Lösungen zunehmend durch konzernweite standardisierte EDV-Systeme ersetzt werden. Das Outsourcing von Teilaufgaben, also die Beauftragung von spezialisierten Dienstleistungsunternehmen, ist im Sozial- und Gesundheitswesen ungebrochen. Der Markt der Sozial- und Gesundheitsdienstleister tendiert ebenfalls zur Konzentration mit dem Risiko erhöhter Abhängigkeit der Leistungsträger und -erbringer von einzelnen Auftragnehmern und der Problematik zentraler Groß-Datenbanken. Die Entwicklung der Informations- und Kommu - nikationstechnik ermöglicht eine kaum noch nachvollziehbare weitgehend standortunabhängige ( Cloud -)Verarbeitung auch von Sozial- und Gesundheitsdaten. Betriebliche und behördliche Datenschutzbeauftragte konstatieren, dass sich wirtschaftliche und technische Sachzwänge in der Praxis oft auch außerhalb der Datenschutz-Rechtslage durchsetzen. Diese wird als antiquiert, widersprüchlich und zu kompliziert wahrgenommenen. * Der Autor ist stellvertretender Datenschutzbeauftragter der Freien und Hansestadt Hamburg.

5 60 RDV 2013 Heft 2 Menzel, Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen II. Was ist eine Datenverarbeitung im Auftrag? Die Datenverarbeitung im Auftrag oder kurz: Auftrags-DV rechtfertigt ihre Privilegierung allein dadurch, dass trotz der Fremd-Verarbeitung die Auftrag gebende Stelle die volle datenschutzrechtliche Verantwortung behält (behalten soll) und der Auftragnehmer keine eigenen Interessen an den zu verarbeitenden Daten hat. Es geht also um die Weitergabe personenbezogener Daten an einen Dritten zur Durchführung untergeordneter Hilfs- und Unterstützungsfunktionen dieses Dritten für den Auftraggeber. Dies sind häufig technische Leistungen etwa die elektronische Verarbeitung von Sozialleistungsempfänger-Daten oder die Bereitstellung, Pflege und Fernwartung der IT-Infrastruktur für eine elektronische Patientenakte 1. Aber auch Schreib-, Übersetzungs- und Archivdienste, die Aktenvernichtung und der Krankentransport auf dem Klinikgelände mit Begleitdaten können als privilegierte Auftrags-DV durchgeführt werden. Entscheidend sind die inhaltliche Abhängigkeit und der Mangel an eigener Entscheidungs- und Gestaltungsfreiheit des Auftragnehmers hinsichtlich des Ergebnisses der Datenverarbeitung. Dies schließt allerdings nicht aus, ist vielmehr häufig der Grund für die Auftrags-DV, dass der Auftragnehmer über technische Kapazitäten oder spezifisches Knowhow verfügt, die der Auftraggeber nicht besitzt. Eine Besonderheit normieren 3 Abs. 8 BDSG und 67 Abs. 10 Satz 2 SGB X: Eine Auftrags-DV, die außerhalb des Europäischen Wirtschaftsraums durchgeführt wird, ist nicht privilegiert. Vielmehr wird die Datenweitergabe (oder -offenbarung) hier als Übermittlung behandelt: Kann z.b. der amerikanische Hersteller eines Medizingerätes im Rahmen der Fernwartung von den USA aus auf Patientendaten zugreifen, bedarf das Auftrag gebende Krankenhaus einer Ein willigung des Patienten bzw. einer Rechtsgrundlage für die Übermittlung (und zusätzlich einer Schweigepflichtentbindung für die Offenbarung des Patientengeheimnisses im Sinne des 203 StGB) für die Praxis ein ungelöstes Problem 2. Abzugrenzen ist die Auftrags-DV gegen eine sogenannte Funktionsübertragung, bei der eine Stelle einem Dritten personenbezogene Daten für eine eigenständige Aufgabenwahrnehmung überlässt, ohne die Art der Durchführung und das Ergebnis vorzugeben. Auch eine solche Funktionsübertragung kann ein Auftrag im Sinne des BGB sein, ist aber keine privilegierte Auftrags-DV im Sinne des Datenschutzrechts. Bringt der (zivilrechtliche) Auftragnehmer bei der ihm übertragenen Datenverarbeitung seine Fachkompetenz und berufliche Qualifikation in Form von eigenen Bewertungen, Stellungnahmen oder Entscheidungen ein, fehlt es an der bloß untergeordneten Hilfsfunktion. Insbesondere anspruchsvolle geistige Leistungen eignen sich nicht für eine Auftrags-DV. Vielmehr soll hier der Auftragnehmer selbst die datenschutzrechtliche Verantwortung für seine eigenständige Aufgabenwahr- nehmung und die damit zusammenhängende Datenverarbeitungsleistung tragen. Deswegen sind z.b. differenzierte Laboruntersuchungen, medizinische Konsile, die Stellungnahmen von medizinischen Gutachtern 3 oder sozialpädagogischen Fachkräften oder auch die Herstellung einer Prothese durch die Orthopädie - werkstatt keine Auftrags-DV im Sinne des Datenschutzrechts. Eine für diese Leistungen notwendige Weitergabe von personenbezogenen Sozial- oder Gesundheitsdaten der Betroffenen bedarf deswegen datenschutzrechtlich entweder einer gesetzlichen Übermittlungsbefugnis oder der Einwilligung der betroffenen Personen. Weder eine Auftrags-DV noch eine Funktionsübertragung liegt vor, wenn Teile einer Datenverarbeitung innerhalb derselben Stelle von einer anderen Organisationseinheit übernommen werden. Die datenschutzrechtliche Definition der verantwortlichen Stelle bzw. im Umkehrschluss des Dritten ( 3 Abs. 7, 8 BDSG) beantwortet also mittelbar auch die Frage nach der Erforderlichkeit einer Rechtsgrundlage oder Einwil - ligung für eine Datenweitergabe: Nur wenn z.b. die Kommunal- oder Kreisverwaltung als eine einheit liche Stelle anzusehen ist, die das Jugend- und das Gesundheitsamt umfasst, bedarf es für die Einholung eines amtsärztlichen Gutachtens durch das Jugendamt weder einer Einwilligung des Betroffenen noch einer gesetzlichen Ermächtigung im SGB VIII. Nach dem funktionalen Behördenbegriff sind Jugend- und Gesundheitsamt dagegen eigene Stellen, also im Verhältnis zueinander Dritte. Die Einholung des Gutachtens mit entsprechender Offenbarung der Daten des Jugendhilfeempfängers wäre dann eine Übermittlung, die einer besonderen Ermächtigung bedarf. III. Auftragserteilung durch private Sozial- und Gesundheitseinrichtungen: 11, 28 BDSG und 203 StGB Fallbeispiele: Die Apotheke A lässt die Kostenerstattungsfähigkeit verordneter Hilfsmittel durch eine Clearingstelle des Apothekenverbandes vorklären 4. Die Zahnarztpraxis Z lässt ihre privatärztlichen (IGel-) Leistungen von einem externen Dienstleister abrechnen. Ein freier Jugendhilfeträger lässt seine alten Betreuungsakten durch einen professionellen Aktenvernichter entsorgen. 1 Vgl. 11 Abs. 5 BDSG, der die Wartung von automatisierten Verfahren der Datenverarbeitung gleichstellt. 2 Zu den rechtlichen Lösungsversuchen vgl. Kahler, Auftragsdatenverarbeitung im Drittstaat: europarechtskonform! Unmittelbare Anwendung der Datenschutzrichtlinie 95/46 EG in Deutschland, RDV 2012, Nicht ausdrücklich erörtert werden Daten, die der Schweigepflicht oder dem Sozialgeheimnis unterliegen. 3 In einzelnen Landesdatenschutzgesetzen wird die Privilegierung der Auftrags-DV allerdings auch auf begutachtende oder vergleichbare unterstützende Tätigkeiten erstreckt, vgl. 3 Abs. 4 HmbDSG hatten sich die Datenschutzaufsichtsbehörden mit der Weitergabe von Kundendaten durch Apotheken an die Clearingstelle HilmA auseinander zu setzen.

6 Menzel, Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen RDV 2013 Heft 2 61 Die Grundnorm der Datenverarbeitung im Auftrag ist 11 BDSG. Sie gilt für alle nicht öffentlichen Stellen und damit grundsätzlich auch für Arztpraxen, Apotheken, Ambulanzen, Privatkliniken, Pflegediens - te, Sanitätshäuser, Dentallabore und freie Jugendhilfeträger. Bei den vorangestellten Fallbeispielen handelt es sich jedoch um Daten, die der Schweigepflicht von Apothekern, Ärzten oder Sozialarbeitern unterliegen ( 203 StGB). 1 Abs. 3 Satz 2 BDSG stellt für das ganze Datenschutzgesetz klar, dass die Verpflichtung zur Wahrung dieser gesetzlichen und berufsständischen Geheimhaltungspflichten unberührt bleibt. 11 BDSG ist also keine sog. Befugnisnorm, welche die Offenbarung des Patientengeheimnisses zu einer befugten macht 5. Soweit bei einer Auftrags-DV Daten, die einer Schweigepflicht unterliegen, an den Auftragnehmer weitergegeben werden, bedarf es deswegen auch einer entsprechenden Schweigepflicht - entbindung durch den Patienten. Daneben sind die Datenverarbeitungsregelungen für Gesundheitsdaten, 28 Abs. 6-8 BDSG, zu beachten, die die Anwendung des 11 BDSG Auftrags-DV als besondere Form der Nutzung von Gesundheitsdaten vermitteln. Auch wenn weder berufsrechtliche Schweigepflichten noch das Sozialgeheimnis berührt werden, etwa bei Heilpraktikern, Sanitätshäusern oder Orthopädie- Schuhmachern, richtet sich eine Weitergabe von Gesundheitsdaten zum Zwecke der Auftrags-DV nach der bereichsspezifischen Datenverarbeitungsregel für die Nutzung von Gesundheitsdaten: 28 Abs. 7 Satz 3 BDSG. Denn in den allermeisten Fällen handelt es sich auch hier um Angaben über Gesundheit im Sinne des 3 Abs. 9 BDSG. Es kann zwar unterstellt werden, dass auch die Datennutzung durch Auftrags-DV den in 28 Abs. 7 S. 1 BDSG bestimmten Zwecken der Gesundheitsversorgung im weiten Sinne dient und die genannten Stellen und Personen einen Heilberuf ausüben bzw. Hilfsmittel herstellen oder vertreiben. Die Nutzung der Gesundheitsdaten zur Auftrags-DV ist ihnen gleichwohl nur unter den Voraussetzungen gestattet, unter denen auch ein Arzt dazu befugt wäre, 28 Abs. 7 S. 3 BDSG. Auch eine Prothesenwerkstatt und ein Heilpraktiker bedürfen deswegen wie ein Arzt für die Weitergabe oder Offenbarung von Gesundheitsdaten an einen Auftragsdatenver - arbeiter (z.b. eine Abrechnungsstelle, einen Akten - vernichter oder eine IT-Wartungsfirma) der Einwil - ligung des Patienten. Anders als die datenschutzrechtliche Einwilligung nach 4a BDSG ist die Einwilligung/Schweigepflichtentbindung im Arztrecht allerdings nicht an die Schriftform gebunden. Sie bleibt dennoch eine große Hürde für die Auftrags-DV durch kleinere Praxen, Gesundheits-Betriebe und -Werkstätten. Und in allen diesen Fällen Nutzung von Gesundheits daten durch die besondere Form der Auftrags-DV ist dann zusätzlich 11 BDSG mit seinen strengen formalen Anforderungen heranzuziehen (dazu sogleich). Für Einrichtungen des Sozial- und Gesundheitswesens verbleiben nur wenige Fälle der ausschließlichen Anwendbarkeit des 11 BDSG nämlich dann, wenn die Auftrags-DV sich nicht auf Gesundheitsdaten bezieht. So ist es z.b. nach 11 BDSG ohne Einwilligung der Kunden zulässig, dass ein Sanitätshaus einen Letter-Shop damit beauftragt, Weihnachtsgrüße an frühere und aktuelle Kunden zu adressieren und zu versenden. Dabei hat er aber die strengen Vorgaben des 11 BDSG zu beachten: Seit 2009 verpflichtet die stark erweiterte Vorschrift den Auftraggeber zu besonderer Sorgfalt bei der Auswahl des Auftragnehmers, zu Kontrollen der technischen und organisatorischen Sicherheitsmaßnahmen beim Auftragnehmer 6 und zur Dokumentation der Kontrollergebnisse. In zehn Ziffern gibt 11 BDSG die einzelnen Gegenstände des schriftlich zu erteilenden Auftrags genau vor. Der Auftraggeber ist und bleibt datenschutzrechtlich voll verantwortlich auch für die Gewährung der Betroffenenrechte auf Auskunft, Berichtigung usw. Der Auftragnehmer darf nur nach den Weisungen des Auftraggebers handeln. So Datenschutz-freundlich diese ausdifferenzierten gesetzlichen Anforderungen in 11 BDSG sind es erscheint fraglich, ob kleinere Einrichtungen und (Handwerks-)Betriebe des Gesundheits- und Sozialwesens sie mit ihren begrenzten Möglichkeiten wirklich erfüllen können. Gerade bei einfachen Aufträgen wie etwa einem zur Datenvernichtung stellt sich zudem die Frage nach der Verhältnismäßigkeit des von 11 BDSG geforderten Aufwandes. IV. Auftragserteilung durch Krankenhäuser: die Landeskrankenhausgesetze Fallbeispiele: Eine private Fachklinik ist Tochter eines Universitätsklinikums auf demselben Gelände und lässt ihr Krankenhausinformationssystem von der Konzernmutter pflegen und administrieren; ein Krankenhaus lässt das Scannen, die Archivierung und die Entsorgung alter Behandlungsunterlagen durch einen externen Dienstleister vornehmen; eine Klinik rechnet ihre ambulanten Notfallbehandlungen über ein externes Unternehmen ab. Einige landesrechtliche Krankenhaus(datenschutz)- gesetze lassen eine Auftrags-DV durch Kliniken ausdrücklich zu 7. Zum Teil wird allerdings die Wirksam- 5 Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten, NZS 17/2011, 545; Buchner A/2 S.10, Pampel/Biewald C/10 S. 3, in: Buchner (Hrsg.): Datenschutz im Gesundheitswesen, Remagen, Dazu Hallermann, Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? RDV 2012, Vgl. die Übersicht über die sehr unterschiedlichen Anforderungen in den Ländern bei Biewald, Externe Dienstleister im Krankenhaus und ärztliche Schweigepflicht eine rechtliche Unsicherheit, DuD 12/2011, 867 f.; Paul/Gendelev: Outsourcing von Krankenhausinformationssystemen, ZD 2012, 316.

7 62 RDV 2013 Heft 2 Menzel, Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen keit der Krankenhausgesetze bestritten: Die Länder besäßen dazu keine Gesetzgebungskompetenz. Vielmehr habe der Bund von seiner konkurrierenden Gesetzgebungskompetenz aus Art. 74 Abs. 1 Nr. 1 GG bürgerliches Recht und Nr. 11 Wirtschaft mit dem Bundesdatenschutzgesetz ( 28 Abs. 6-8, 39) abschließend Gebrauch gemacht 8. Dem ist nicht zu folgen. Vielmehr weist Art. 74 Nr. 19, 19a GG nur bestimmte Ausschnitte aus dem spezifischen Bereich des Gesundheits- und Krankenhauswesens der konkurrierenden Gesetzgebung zu; im Übrigen d.h. auch für den Patientendatenschutz in Krankenhäusern bleibt es nach Art.70 GG bei der Gesetzgebungskompetenz der Länder 9. Strittig ist weiterhin, ob die Spezialvorschrift für die Auftrags-DV im Landeskrankenhausgesetz anders als 11 BDSG als eine Befugnisnorm im Sinne des 203 StGB angesehen werden kann 10. Im Gegensatz zu 11 BDSG bezieht sich die Norm eines Landeskrankenhausgesetzes ganz selbstverständlich und fast ausschließlich auf Patientendaten, die der ärztlichen Schweigepflicht unterliegen. Ohne eine Qualifizierung als Befugnisnorm würde die privilegierende gesetzliche Ermächtigung zur Auftrags-DV durch ein Krankenhaus praktisch leer laufen. Krankenhäuser, die entsprechend der Bestimmung im Landeskrankenhausgesetz eine Auftrags-DV durchführen, sind des - wegen hierzu gesetzlich ermächtigt und benötigen weder eine Einwilligung noch eine Schweigepflicht - entbindung der Patienten. Einzuräumen ist allerdings, dass durch die Nicht- Geltung der ärztlichen Schweigepflicht für den Auftragnehmer das Patientengeheimnis seinen strafrechtlichen Schutz verliert 11. Krankenhaus und Auftragsdatenverarbeiter müssen dies durch die Vereinbarung strenger technischer und organisatorischer Sicherungsmaßnahmen kompensieren. Um die strafrechtliche Schutzlücke zu vermeiden, verlangen die Landeskrankenhausgesetze von Baden-Württemberg ( 48) und Bayern (Art. 27), dass eine Auftrags-DV medizinischer Daten grundsätzlich nur in einem anderen Krankenhaus erfolgt. Andere Krankenhausgesetze binden die Auftrags-DV an weitere, mehr oder weniger enge Zulässigkeitsvoraussetzungen. Die Vorschriften der Landeskrankenhausgesetze zur Auftrags-DV stammen zumeist aus der Zeit vor 2009, als 11 BDSG erheblich erweitert und verschärft wurde. Es erscheint wenig plausibel, ausgerechnet bei den besonders schutzbedürftigen Daten, die einer Schweigepflicht unterliegen, einen geringeren Datenschutzstandard zu tolerieren, als nun in 11 BDSG gefordert. Aus diesem Grunde liegt es zumindest nahe, sich etwa bei den notwendigen Vertragsinhalten der Auftragserteilung und bei den erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen an 11 BDSG zu orientieren. Privatrechtliche Krankenhäuser in Bundesländern, die keine landesgesetzliche Ermächtigung zur Auf- trags-dv kennen, müssen grundsätzlich behandelt werden, wie unter 3. dargestellt. Sie bedürfen einer Schweigepflichtentbindung der Patienten z.b. im Behandlungsvertrag, wenn sie etwa ihr Krankenhausinformationssystem extern oder durch ein anderes Konzernunternehmen betreiben lassen und dazu den Zugriff auf die Patientendaten nicht ausschließen können. Es gibt Versuche, diese Rechtsfolge zu umgehen etwa durch die Qualifizierung auch der externen Auftragnehmer als berufsmäßig tätige Gehilfen i.s.d. 203 Abs. 3 Satz 2 StGB 12 oder durch eine Interpretation des 39 BDSG als Rechtfertigungsnorm für 203 StGB 13. Diese rechtsdogmatisch wenig überzeugenden Krücken gehen an der Grund-Problematik vorbei, dass das Institut der individuellen ärztlichen Schweigepflicht zusammen mit 203 StGB den heutigen komplexen und einrichtungsübergreifenden Strukturen und technischen Anforderungen im institutionalisierten Gesundheitswesen kaum mehr gerecht wird. Gefordert ist eher der (Verfassungs- und Bundes-) Gesetzgeber als die Auslegungs-Phantasie der Verbands- und Krankenhaus-Juristen. Besondere Rechtsprobleme schafft die Zentralisierung der Patientendatenverwaltung und des Krankenhausinformationssystems (KIS) in großen überregional tätigen Klinikunternehmen und Krankenhauskonzernen: Handelt es sich um eine einheitliche Rechtsperson, also z.b. um eine Krankenhaus-AG mit dezentralen, rechtlich unselbstständigen Häusern mit einer zentralen Datenverarbeitung bei der Geschäftsführung, dann liegt insoweit keine Auftrags-DV vor: Die Geschäftsführung mit der IT-Abteilung und das jeweilige Daten erhebende Haus gehören zu ein und derselben nicht öffentlichen Stelle. Einer Einwilligung oder Schweigepflichtentbindung bedarf es für die zentrale KIS-Administration nicht. Dies gilt allerdings nicht zugleich auch horizontal zwischen den einzelnen unselbstständigen Unternehmens-Kliniken. In der Beziehung zu den Schwestern kann eine Unternehmens-Klinik datenschutzrechtlich durchaus als eigene Daten verarbeitende Stelle auftreten etwa für eigene 8 Paul/Gendelev (Fn. 7), S Hauser/Haag: Datenschutz im Krankenhaus, Düsseldorf, 2012, S.19 f.; Jandt/Roßnagel/Wilke (Fn. 5) 643 f.; Buchner A/2 S.10 f., in: Buchner (Hrsg.) (Fn. 5). 10 Dafür: Datenschutzbeauftragter Mecklenburg-Vorpommern, Datenschutz im Krankenhaus, 2003, S. 35; Datenschutzbeauftragter Hamburg, 16. Tätigkeitsbericht (1997), Ziff ; je nach Krankenhausgesetz: Biewald (Fn. 7) S. 869; dagegen: Jandt/Roßnagel/Wilke (Fn. 5) S Biewald (Fn. 7) fordert deswegen eine Verpflichtung des Auftragsdatenverarbeiters nach dem Verpflichtungsgesetz (vgl. 203 Abs. 2 Nr. 2 StGB), was jedoch mangels Wahrnehmung öffentlicher Verwaltungsaufgaben nur selten möglich sein dürfte. 12 Hoenike/Hülsdunk, Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung?, MMR 2004, 788 ff.; dagegen Jandt/ Roßnagel/Wilke (Fn. 5) S Paul/Gendelev (Fn. 7) S. 320; dabei wird verkannt, dass 39 BDSG eine Offenbarungsbefugnis nicht gibt, sondern voraussetzt und nur die Zweckbindung auf den Datenempfänger erstreckt; vgl. Simitis/ Dammann, BDSG, 7. Aufl. 2011, 39 Rn. 17.

8 Menzel, Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen RDV 2013 Heft 2 63 Forschungsprojekte. Entsprechendes legen auch die Landeskrankenhausgesetze nahe, die sich nicht auf die Rechtsform, sondern auf die zusammenhängende organisatorisch-funktionelle Einheit, eben das Krankenhaus am Ort, beziehen. Beauftragt eine Unternehmens-Klinik ihre Schwester-Klinik (z.b. in einem anderen Bundesland) mit der Archivierung der Alt - akten, dann liegt bei entsprechender bereichsspezi - fischer Ermächtigung im Landeskrankenhausgesetz eine normale Auftrags-DV vor, die keine Einwilligung oder Schweigepflichtentbindung der Patienten erfordert. Handelt es sich dagegen um mehrere rechtlich selbstständige Kliniken (Tochtergesellschaften) unter der Leitung eines beherrschenden Unternehmens (Muttergesellschaft), liegt nach 18 AktG ein Krankenhaus-Konzern vor. Im Datenschutzrecht gibt es jedoch kein Konzern-Privileg, vielmehr werden alle Konzernunternehmen grundsätzlich behandelt wie externe Dritte 14. Lässt die (Tochter-)Privatklinik GmbH ihr KIS von dem (Mutter-)Universitätsklinikum administrieren und pflegen, so handelt es sich um eine Auftrags-Datenverarbeitung nach dem Landeskrankenhausgesetz oder wenn dieses fehlt oder diesen Fall nicht abdeckt nach 28 Abs. 7, 11 BDSG mit notwendiger zusätzlicher Schweigepflichtentbindung. Lässt das Landeskrankenhausgesetz die Auftrags-DV zu, muss die Privatklinik als Auftraggeberin einen ausdifferenzierten Vertrag mit der IT-Abteilung des Universitätsklinikums abschließen und sich die Weisungsund Kontrollrechte gegenüber der Konzern-Mutter als ihrer Auftragnehmerin einräumen lassen, ist aber nicht von einer Einwilligung der Patienten abhängig. Mag dies in der Praxis noch umsetzbar sein, ist bei fehlender spezialgesetzlicher Ermächtigung die Einholung einer Schweigepflichtentbindung aller Patienten als Voraussetzung für die KIS-Verwaltung durch das Universitätsklinikum in der Praxis nicht darstellbar: Der Patient kann eine Schweigepflichtentbindung auch ablehnen oder wiederrufen. Dies kann jedoch in der Praxis nicht die gesamte IT-Infrastruktur der Privatklinik in Frage stellen oder eine individuelle Alternative der Patientendatenverwaltung für diesen Patienten erzwingen. Eine Lösung kann nur darin bestehen, dass das Angebot der Privatklinik GmbH nicht nur die medizinische Behandlung und pflegerische Versorgung be - inhaltet, sondern auch die konkrete Art der Patientendatenverwaltung qua Universitätsklinikum-IT. Das gesamte Angebot ist dann als untrennbare Einheit anzusehen, die nur zusammen angenommen oder abgelehnt werden kann. Das heißt, bei Ablehnung einer Schweigepflichtentbindung kommt es auch nicht zum Abschluss des Behandlungsvertrags, der Patient wird nicht behandelt. Dies kann jedoch nicht gelten für medizinische Notfälle, die wiederum nur im Rahmen der bestehenden (aber abgelehnten) IT-Infrastruktur mit dem Universitäts-Klinikum erfolgversprechend behan- delt werden können. Die Schweigepflicht (hier: der Ärzte der Privatklinik) stößt auch hier an faktische Grenzen. V. Auftrags-DV im Sozialwesen Fallbeispiele: Ein Medizinischer Dienst der Krankenversicherung (MDK) beauftragt einen Dienstleister mit der statistischen Auswertung seiner Begutachtungen; ein Jugendamt lässt seine Akten durch einen Auftragnehmer scannen; eine Krankenkasse vergibt die Herstellung und Personalisierung der elektronischen Gesundheitskarten an ein Dienstleistungsunternehmen. Nach 80 SGB X können auch Sozialleistungsträger ( 35 Abs. 1 SGB I) Daten von Versicherten, Antragstellern und anderen Betroffenen in Auftrags-DV durch Dritte erheben und verarbeiten lassen. Die Regelungen von 80 SGB X über die zehn notwendigen Inhalte des schriftlich zu erteilenden Auftrags entsprechen wortgleich denen von 11 BDSG. Abzugrenzen ist die Auftrags-DV nach 80 SGB V vom Auftrag nach 88 SGB X, mit dem ein Sozialleistungsträger eigene Aufgaben (und nicht nur die Datenverarbeitung) auf einen anderen Leistungsträger überträgt es handelt sich um eine Funktionsübertragung. Dasselbe regelt 77 Abs. 6 SGB V für eine Aufgabenübertragung zwischen Kassenärztlichen Vereinigungen. Eine Funktionsübertragung ist auch die Einschaltung der Vertrauens- und Datenaufbereitungsstelle zur Datentransparenz nach 303a-e SGB V und der DRG-Datenstelle nach 21 KrhEntgG. Dagegen erlaubt 67 d Abs. 4 SGB X bei der elektronischen Übermittlung von Sozialdaten grundsätzlich die Inanspruchnahme einer Vermittlungsstelle in Form der Auftrags-DV nach 80 SGB X. Im Unterschied zu 11 BDSG enthält 80 SGB X zusätzliche Anforderungen an eine Auftrags-DV durch nicht öffentliche Stellen: Eine solche kommt überhaupt nur in Betracht, wenn sonst beim Auftraggeber Störungen im Betriebsablauf drohen oder aber der privatrechtliche Auftragnehmer wesentlich kostengüns - tiger arbeitet als der Auftraggeber und nur einen kleineren Teil des Gesamtdatenbestandes des Sozialleistungsträgers selbst speichert. Sind diese Bedingungen erfüllt, muss der private Auftragnehmer dem Auftraggeber überdies schriftlich das Recht auf Auskunft, auf Betreten, Besichtigen und Überprüfen der Geschäftsräume und auf Einsicht in Unterlagen, gespeicherte Sozialdaten und Verarbeitungsprogramme einräumen. Schließlich fordert 80 Abs.3 SGB X, dass der Auftrag gebende Sozialleistungsträger seiner Aufsichtsbehörde z.b. dem Bundesversicherungsamt oder dem Landessozialministerium die Auftrags-DV mit Benennung von Auftragnehmer, Sicherungsmaß- 14 Jandt/Roßnagel/Wilke (Fn. 5) S. 642 f.

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Datenschutz in Arztpraxen/MVZ

Datenschutz in Arztpraxen/MVZ Datenschutz in Arztpraxen/MVZ Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Berlin Die sieben Säulen des ULD Datenschutzrecht (BDSG, LDSG, SGB, StGB) Inhalt Rechtliche Grundlagen für die

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle...

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Stabsstelle Datenschutz Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Vereinbarung über die Datenverarbeitung im Auftrag (personenbezogene Daten / Sozialdaten) Zwischen..,

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Nr.147. Gesetz zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Paderborn - PatDSG Zum Schutz von personenbezogenen

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin 4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin Vortrag zum Thema Qualitätssicherung und Datenschutz, Anforderungen an den Datenschutz aus der Sicht des

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Datenschutz im Krankenhaus

Datenschutz im Krankenhaus Höpken/Neumann Datenschutz im Krankenhaus Informationen für die Mitarbeiterinnen und Mitarbeiter Inhaltsverzeichnis Einleitung... 1 Ziel und Zweck des Datenschutzes... 2 Verantwortung für den Datenschutz...

Mehr

Christoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe -

Christoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe - Christoph Ohrmann Meldepflichten bei Datenpannen (Data Breach) Übersicht über die Arbeitshilfen vertragszusatz.doc Musterformulierung Zusatz zum Vertrag zur Auftragsdatenverarbeitung maßnahmen.doc ersterfassung.doc

Mehr

3.1. Datenweitergabe zur medizinischen Begutachtung

3.1. Datenweitergabe zur medizinischen Begutachtung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften

Mehr

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. E n t w u r f

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. E n t w u r f Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit E n t w u r f Gesetz zur Sicherung des Datenschutzes beim automatisierten Informationsmanagement in der öffentlichen Verwaltung 1 Anwendungsbereich

Mehr

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten

Mehr

Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten

Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten GMDS Karlsruher Archivtage 06.12.2007 Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten Marco Biewald, Rechtsanwalt, Datenschutzbeauftragter Klinikum Braunschweig,

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

12a HmbDSG - Unterrichtung bei der Erhebung

12a HmbDSG - Unterrichtung bei der Erhebung Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis Verordnung zum Schutz von Patientendaten DSVO KH-Pfalz 50.02 Verordnung der Evangelischen Kirche der Pfalz (Protestantische Landeskirche) zum Schutz von Patientendaten in kirchlichen Krankenhäusern (DSVO

Mehr

Kinderschutz und Datenschutz

Kinderschutz und Datenschutz Berliner Beauftragter für Datenschutz und Informationsfreiheit Kinderschutz und Datenschutz Dr. Claudia Federrath Berlin, den 24. August 2011 Aufgaben Der Berliner Beauftragte für Datenschutz und Informationsfreiheit

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Datenschutz und Kinderschutz - Einheit oder Gegensatz?

Datenschutz und Kinderschutz - Einheit oder Gegensatz? Datenschutz und Kinderschutz - Einheit oder Gegensatz? Dr. Claudia Federrath Berlin, den 11. März 2009 Aufgaben Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrolliert die Einhaltung

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar?

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Apps für Smartphones werden immer populärer und erleichtern uns den schnellen Zugriff auf bestimmte Informationen. Seit ein paar Jahren

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Vernetzung und Datenschutz im Rahmen von Case Management in der Sozialen Arbeit (z.b. Kinderschutz)

Vernetzung und Datenschutz im Rahmen von Case Management in der Sozialen Arbeit (z.b. Kinderschutz) Input für die Arbeitsgruppe am 29.1.2010 Vernetzung und Datenschutz im Rahmen von Case Management in der Sozialen Arbeit (z.b. Kinderschutz) RA Dr. Carsten Wendtland, Hildesheim Überblick Rechtsgrundlagen

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) zwischen dem Teilnehmer am Abschlepp Manager - Auftraggeber - und Eucon GmbH Martin-Luther-King-Weg 2, 48155 Münster -Auftragnehmer-

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Datenschutz und Schule

Datenschutz und Schule Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und

Mehr

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Vertrag über Dienstleistungen einer/eines externen Datenschutzbeauftragten nach 4f Bundesdatenschutzgesetz -"BDSG"- zwischen vertreten

Mehr

Schutz der Sozialdaten

Schutz der Sozialdaten Andreas Pirack Schutz der Sozialdaten Andreas Pirack 1 Interessenkollision Individuum Allgemeinheit Recht auf Privatsphäre Recht auf Privatsphäre Öffentliches Interesse 2 Informationelles Selbstbestimmungsrecht

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) Verordnung zum Schutz von Patientendaten DSVO-KH 858-1 Archiv Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) vom 10. Oktober

Mehr

Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister

Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister GMDS Heidelberger Archivtage 28.Treffen 04./05.12.2008 Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister Zum Nachlesen überarbeiteter Vortrag Marco Biewald VERDATA DATENSCHUTZ GmbH

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Der Text der Einwilligungs-/Schweigepflichtentbindungserklärung wurde 2011 mit den Datenschutzaufsichtsbehörden

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutz- und Vertraulichkeitsvereinbarung Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:

Mehr

Verhaltensregeln zur branchennahen Steuerung des Datenschutzes. Beispiel: Versicherungswirtschaft

Verhaltensregeln zur branchennahen Steuerung des Datenschutzes. Beispiel: Versicherungswirtschaft Verhaltensregeln zur branchennahen Steuerung des Datenschutzes Beispiel: Versicherungswirtschaft Dr. Martina Vomhof Sommerakademie des ULD Schleswig-Holstein am 30. August 2010 Agenda 3. Alternative: Verhaltensregeln

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Lebensversicherung Nr.: Versicherte Person Die Regelungen des Versicherungsvertragsgesetzes, des

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren

Mehr

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)

Mehr

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Vernetzung ohne Nebenwirkung, das Wie entscheidet Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon 0611 / 14 08-137 E-Mail: r.wehrmann@datenschutz.hessen.de

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland Aufbewahrung von erweiterten Führungszeugnissen Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland Nach 72a Abs. 1 SGB VIII dürfen Träger der öffentlichen Jugendhilfe keine Personen hauptamtlich beschäftigen

Mehr

Kontrollzuständigkeiten bei Datenverarbeitung im Auftrag

Kontrollzuständigkeiten bei Datenverarbeitung im Auftrag Kontrollzuständigkeiten bei Datenverarbeitung im Auftrag 1 Vorbemerkung Lässt eine öffentliche Stelle personenbezogene Daten im Auftrag durch eine andere Stelle verarbeiten, ist auch die Frage zu beantworten,

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

... 14 ... 17 ... 10 ... 12 ... 21 ... 13 ... 26 ... 37 ... 40 ... 42 ... 11 ... 15 ... 16 ... 18 ... 19 ... 22 ... 23 ... 25 ... 33 ... 38 ...

... 14 ... 17 ... 10 ... 12 ... 21 ... 13 ... 26 ... 37 ... 40 ... 42 ... 11 ... 15 ... 16 ... 18 ... 19 ... 22 ... 23 ... 25 ... 33 ... 38 ... Version 1.0 Seite 1 von 94 Stand: 10.12.2014 Version 1.0 Seite 2 von 94 Stand: 10.12.2014 Version 1.0 Seite 3 von 94 Stand: 10.12.2014 ... 2... 2... 4... 7... 10... 11... 11... 12... 12... 13... 14...

Mehr

Rahmenvertrag. zwischen der

Rahmenvertrag. zwischen der Rahmenvertrag zwischen der Innung für Orthopädie-Technik NORD, Innung für Orthopädie-Technik Niedersachsen/Bremen, Landesinnung für Orthopädie-Technik Sachsen-Anhalt Bei Schuldts Stift 3, 20355 Hamburg

Mehr

Personal- und Patientendaten Datenschutz in Krankenhäusern

Personal- und Patientendaten Datenschutz in Krankenhäusern Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Kirchliches Amtsblatt für die Diözese Osnabrück, Band 48, Nr. 7, Seite 41 ff., Art. 50, Änderung im KA für die Diözese Osnabrück, Band

Mehr

Auszug Musterantrag. Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung.

Auszug Musterantrag. Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung. Auszug Musterantrag Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung. Unverbindliche Bekanntgabe des Gesamtverbandes der Deutschen Versicherungswirtschaft

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Zwischen der Stadt Kempten (Allgäu) - Stadtjugendamt - vertreten durch Herrn Thomas Reuß (Jugendamtsleiter) im folgenden Jugendamt.

Zwischen der Stadt Kempten (Allgäu) - Stadtjugendamt - vertreten durch Herrn Thomas Reuß (Jugendamtsleiter) im folgenden Jugendamt. Zwischen der Stadt Kempten (Allgäu) - Stadtjugendamt - vertreten durch Herrn Thomas Reuß (Jugendamtsleiter) im folgenden Jugendamt und dem - Bezeichnung des Trägers - im folgenden Träger wird zur Sicherstellung

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Fernwartung und anderes Outsourcing die 203 Problematik

Fernwartung und anderes Outsourcing die 203 Problematik Ich hab doch nur meinen Patienten behandelt! Fernwartung und anderes Outsourcing die 203 Problematik Dicom-Treffen 2014 Dr. Bernd Schütze 203 StGB (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein

Mehr

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 -

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Antragsteller: Versicherungsschein-Nr.: Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes

Mehr

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Datenschutz und Arbeitsrecht Arbeitsrechtliche Konsequenzen bei Verstößen gegen den Datenschutzund

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 des Sächsischen Datenschutzgesetzes (SächsDSG) i. d. F. der Bekanntmachung vom 25. August 2003 (SächsGVBl. S. 330), Rechtsbereinigt mit Stand vom 31.

Mehr

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Informationstag "Ersetzendes Scannen" Berlin, 19.04.2013 "RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Meine Punkte Leistungsvertrag

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Muster eines Beratungsvertrages. (Dienstvertrag)

Muster eines Beratungsvertrages. (Dienstvertrag) Muster eines Beratungsvertrages (Dienstvertrag) Stand: 1. Januar 2004 Vorwort Der Unternehmer schließt im Laufe seiner Geschäftstätigkeit eine Vielzahl von Verträgen ab. Um eine Orientierungshilfe zu bieten,

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen

Mehr

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info

Mehr

Rundschreiben Nr. 41/96 Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation

Rundschreiben Nr. 41/96 Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation 30.10.1996 R 46/E 22 er An alle Notarkammern nachrichtlich: An das Präsidium der Bundesnotarkammer An den Badischen Notarverein An den Württembergischen Notarverein An die Notarkasse An die Ländernotarkasse

Mehr

Datenschutzordnung (DSO) der Freien evangelischen Gemeinden

Datenschutzordnung (DSO) der Freien evangelischen Gemeinden Datenschutzordnung (DSO) der Freien evangelischen Gemeinden Begriffsbestimmungen: FeGs= zum Bund gehörige FeG- Ortsgemeinden, FeG- Kreise, Arbeitszweige des Bundes, Verwaltung des Bundes. Erforderlichkeit=

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Datenschutzrechtliche Probleme in der sektorenübergreifenden Qualitätssicherung

Datenschutzrechtliche Probleme in der sektorenübergreifenden Qualitätssicherung Datenschutzrechtliche Probleme in der sektorenübergreifenden Qualitätssicherung Dr. Thilo Weichert Landesbeauftragter für Datenschutz Schleswig- Holstein Symposium Sektorenübergreifende Qualitätssicherung

Mehr

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter

Mehr