Datenschutz im Krankenhaus. Eine Einführung für betriebliche Datenschutzbeauftragte

Transkript

1 Datenschutz im Krankenhaus Eine Einführung für betriebliche Datenschutzbeauftragte

2 Übersicht Einführung Überblick über das relevante Recht Selbst-, Eigen-, Fremdkontrolle Führung des Verzeichnisses nach 3a KDO Datengeheimnisverpflichtung Pflichten der speichernden Stelle Besondere Verfahren Datenschutz und Mitarbeitervertretung 2

3 Einführung Informationelles Selbstbestimmungsrecht Christliche Wertordnung Can. 220 CIC Engagement und Grenzen des Betrieblichen Datenschutzbeauftragten 3

4 Überblick über das relevante Recht Berufsverschwiegenheit StGB Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Anordnung über den kirchlichen Datenschutz - KDO Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz Sozialgesetzbuch V Weitere Vorschriften Verhältnis der Vorschriften untereinander 4

5 Berufsverschwiegenheit StGB Unbefugtes Offenbaren fremder Geheimnisse durch Ärzte, Zahnärzte, Apotheker, Psychologen und deren berufsmäßig tätigen Gehilfen Folge: Freiheitsstrafe bis zu 1 Jahr oder Geldstrafe Entzug der Approbation 5

6 Krankenhausdatenschutzordnung Vorrang vor der KDO (Lex specialis) Patientendaten Für andere Daten gilt KDO (z.b. Personalverwaltung) Regelungen für Forschungsarbeiten Pflicht zur Bestellung eines Betrieblichen Datenschutzbeauftragten 6

7 KDO und KDO-DVO Technisch-organisatorische Regelungen: Datensparsamkeit Verzeichnis - Datengeheimnis Videoüberwachung - Auftragsdatenverarbeitung Rechte der Betroffenen Aufsicht durch Diözesandatenschutzbeauftragten Inhaltliche Regelungen für Umgang mit personenbezogenen Daten von Personen, die nicht Patienten sind. 7

8 Weitere Regelungen Sozialgesetzbuch V Melderechtsgesetze Bundesseuchengesetz Krebsregistergesetz Telekommunikationsdatenschutzverordnung (TDSV) u.v.m. 8

9 Verhältnis der Regelungen untereinander 203 StGB und Datenschutzgesetze sind gleichwertig (ZweiSchranken-Theorie) Vorrang von Gesetzen vor Verordnungen Vorrang des spezielleren Rechts vor dem allgemeinen Recht 9

10 Selbst-, Eigen- und Fremdkontrolle Selbstkontrolle (Betroffener) Eigenkontrolle (speichernde Stelle) Fremdkontrolle (Aufsichtsbehörde) 10

11 Selbstkontrolle (Betroffener) Individualrecht auf informationelle Selbstbestimmung Rechte der Betroffenen Erwünschte Mitwirkung der Betroffenen Erwünschte Mitwirkung der Arbeitnehmer 11

12 Eigenkontrolle (speichernde Stelle) Gewährleistungspflicht - 6 KDO 8 Gebote Zi. IV KDO-DVO Einrichtung von Datenverarbeitungsverfahren Überwachung der Datenverarbeitungsverfahren Erforderlichkeit der Maßnahmen 12

13 Eigenkontrolle (speichernde Stelle) Betrieblicher Datenschutzbeauftragter - 8 Abs. 2 KrhDSO Zuverlässigkeit und Fachkunde 8 Abs. 2 S.2 KrhDSO Unabhängigkeit Beratung des Arbeitgebers Erfassen Prüfen - Sichern Bearbeitung von Hinweisen und Beschwerden Betroffener Haftung 13

14 Fremdkontrolle (Aufsichtsbehörde) Diözesandatenschutzbeauftragter - 16 KDO Überwachung Beratung - 17 Abs. 1 KDO Rechte gegenüber der Daten verarbeitenden Stelle - 17 Abs. 2 KDO Auskunft Einsicht - Zutritt Beanstandungen Bearbeitung von Hinweisen und Beschwerden Betroffener 14

15 Führung des Verzeichnisses 3a Abs. 4 KDO Verfahren automatisierter Verarbeitung (EDV, Videoüberw.) Dem Betr. DSB zur Verfügung zu stellen, Zi. I Abs. 1 KDO-DVO Muster soll verwendet werden, Zi. I Abs. 2 KDO-DVO Ständige Aktualisierung erforderlich Verfügbarkeit für jedermann 15

16 Datengeheimnisverpflichtung Unterschied zur Verschwiegenheitspflicht Unbefugtes Erheben, Verarbeiten, Nutzen Schriftliche Verpflichtung Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten Verpflichtung auch für Ehrenamtliche 16

17 Pflichten der speichernden Stelle Verbot mit Erlaubnisvorbehalt - 3 Abs. 1 KDO Datensparsamkeit - 2a KDO Beschränkung der Datenerhebung - 9 KDO, 2 KHDO Unmittelbarkeit der Datenerhebung - 9 Abs. 2 KDO Besondere Arten personenbezogener Daten - 9 Abs. 5 KDO Strenge Zweckbindung - 10 KDO Einschränkung der Datenübermittlung - 3, 4 KHDO Rechte der Betroffenen - 5, KDO, 823 BGB Technisch-organisatorische Absicherung - 6 KDO 17

18 Pflichten der speichernden Stelle Verbot mit Erlaubnisvorbehalt - 3 Abs. 1 KDO Datensparsamkeit - 2a KDO Grundrecht auf informationelle Selbstbestimmung Gesetzesvorbehalt Einwilligung Gestaltung und Auswahl von Datenverarbeitungssystemen Anonymisierung und Pseudonymisierung 18

19 Pflichten der speichernden Stelle Beschränkung der Datenerhebung - 9 KDO, 2 KHDO Unmittelbarkeit der Datenerhebung - 9 Abs. 2 KDO Rechtsgrundlage in der KDO bzw. KHDO Erforderlich zur Aufgabenerfüllung Trennung nach Verantwortungsbereichen Datenerhebung beim Betroffenen selbst Ausnahmen Unterrichtungspflicht Bes. Arten personenb. Daten - 9 Abs. 5 Zi. 7, 8, 9 KDO 19

20 Pflichten der speichernden Stelle Strenge Zweckbindung 10 KDO Einschränkung der Datenübermittlung - 3, 4 KHDO Verarbeitung nur für den Erhebungszweck Ausnahmen - 10 Abs. 2 KDO Ausnahmen für bes. personenbez. Daten - 10 Abs. 5 KDO Erforderlichkeit für die Aufgabenerfüllung Im Rahmen der Zweckbindung Erfüllung von Pflichten aus Rechtsvorschriften 20

21 Übermittlung von Patientendaten Andere Fachabteilungen 3 II KHDSO Nur, wenn erforderlich und Patient einverstanden Verwaltung 3 I KHDSO Ja, soweit erforderlich Krankenhausseelsorge 3 I KHDSO Ja, wenn Patient zustimmt Sozialdienst 3 I KHDSO Ja, soweit erforderlich Krankenkassen (Abrechng.) 4 IV, 301 SGB V Ja, Katalog abschließend Krankenkassen (Einzelbef.) Medizinischer Dienst Nur mit Einwilligung d. Patienten 276 IV SGB V Ja Krankenversicherung Ja, bei Vorliegen eines Kostenübernahmescheins Niedergelassene Ärzte Entlassungsbericht Ja, bei Überweisung 21

22 Übermittlung von Patientendaten Ärztliche Verrechnungsstellen Nur, wenn Patient einwilligt Arbeitgeber Nur mit Entbindungserklärung Angehörige, Erben Zu Lebzeiten nur mit Einwilligung, nach dem Tod: Recht auf Akteneinsicht Angehörige bei HIV-Infektion Ja, soweit zum Schutz Dritter erforderlich, Güterabwägung Rechtsanwälte Vollmacht und Entbindungserklärung Sachversicherungen Entbindungserklärung Gerichte, StA, Polizei 53 I Zi. 3, II, 53a, 97 StPO Entbindungserklärung Gesundheisämter 3, 4 BSeuchenG Meldepflicht! 22

23 Übermittlung von Patientendaten Zivilgerichte (eig. Verf.) Ja Zivilgerichte (fr. Verf.) Nur mit Entbindungserklärung Standesämter 17, 33 PStG Mitteilungspflicht über Geburten für Arzt, Hebamme, Krankenhaus Beschriftung d. Krankenbettes Ja (?), soweit sozialüblich Patientengespräch Visite sozialüblich, sonst im geschützten Raum Mitpatienten Nur mit Einwilligung des Patienten Firmen, Werbung Nur mit Einwilligung Auskünfte an der Pforte i.d.r. ja, Einwilligung wird vermutet 23

24 Rechte der Betroffenen Daten werden ohne gesetzliche Grundlage oder Einwilligung des B. erhoben, verarbeitet, genutzt Anspruch auf Unterlassung 3 I, 823 BGB Der B. hat der Erhebung, Verarbeitung, Nutzung widersprochen Anspruch auf Unterlassung 14 V Daten über den B. müssen beschafft w. Erhebung beim Betroffenen 9 II Daten werden ausnahmsweise ohne Kenntnis des Betroffenen erhoben Anspruch auf Benachrichtigung 13 a Unsicherheit über den Umfang der Datenverarbeitung Recht auf Auskunft 13 Daten sind nicht erforderlich Anspruch auf Löschung 14 II Zi. 1 Daten sind nicht mehr erforderl. Anspruch auf Löschung 14 II Zi. 2 24

25 Rechte der Betroffenen Daten sind unrichtig Anspruch auf Berichtigung oder Sperrung (b. Streit über Richtigk.) 14 I 14 IV Unrichtige oder unzulässige Daten wurden übermittelt Benachrichtigung der Datenempfänger 14 VIII Übermittlung gesperrter Daten Anspruch auf Unterlassung 14 VII Unzulässige Datenübermittlung Anspruch auf Unterlassung 823 BGB Dem B. ist durch unrichtige DV Schaden entstanden Anspruch auf Ersatz des materiellen und immateriellen Schadens 823 BGB B. glaubt, in seinen Rechten verletzt worden zu sein Anrufung des Diözesandatenschutzbeauftragten 15 Auf die Rechte auf Auskunft, Berichtigung, Löschung und Sperrung kann nicht verzichtet werden! 5I 25

26 Technisch-organisatorische Absicherung - 6 KDO Bestellung eines Betrieblichen Datenschutzbeauftragten Verfahrensverzeichnis 3a KDO Verpflichtung auf das Datengeheimnis - 4 KDO Erstellung innerbetrieblicher Verfahrensregelungen Regelung von Zuständigkeiten Regelung von Verhaltensweisen Durchführung von Kontrollen Anlage zu 6 KDO Zi. IV KDO-DVO 26

27 Besondere Verfahren Videoüberwachung - 5a KDO Chipkarten - 5b KDO Automatisierte Abrufverfahren - 7 KDO Auftragsdatenverarbeitung - 8 KDO, 6 KHDO Patientendaten und Forschung - 7 KHDO, 9 Abs. 5 Zi. 8 KDO 27

28 Besondere Verfahren Videoüberwachung - 5a KDO Öffentlich zugängliche Räume Personenbezogene Beobachtung Aufgabenerfüllung, Hausrecht Erkennbarkeit Beobachtung Eingriffsmöglichkeiten Aufzeichnung Beweissicherung Löschung Akzeptanz bei den Betroffenen 28

29 Besondere Verfahren Chipkarten - 5b KDO Auftragsdatenverarbeitung - 8 KDO, 6 KHDO Personenbezogener Inhalt Unterrichtung über die ausgebende Stelle Unterrichtung über die Funktionsweise Unterrichtung über seine Rechte und Maßnahmen bei Verlust Auswahl Zertifizierte Anbieter Zustimmung der Betroffenen Vertragliche Regelungen 29

30 Besondere Verfahren Patientendaten und Forschung - 7 KHDO, 9 Abs. 5 Zi. 8 KDO Besondere Arten personenbezogener Daten Keine Rückschlüsse auf die Person bei Veröffentlichung Eigene Forschung innerhalb der Fachabteilung - 7 Abs. 1 KHDO Besonderheiten bei Übermittlung an Dritte Berechtigtes Interesse der Allgemeinheit Keine Verletzung schutzwürdiger Belange des Patienten Keine Einwilligung möglich oder zumutbar Frühest mögliche Anonymisierung 30

31 Datenschutz und MAV Vorrang der MAVO vor der KDO Verschwiegenheitspflicht der Mitarbeitervertreter - 20 MAVO Einsichtnahme in Personalakten Kenntnis von Anweisungen und Richtlinien - 27 MAVO Zustimmung bei Angelegenheiten der Dienststelle - 36 MAVO Abschluss von Dienstvereinbarungen - 38 MAVO Mitwirkung bei Kontrollen der Mitarbeiter Vertrauensvolle Zusammenarbeit 31

32 Datenschutz und MAV Vorrang der MAVO vor der KDO Verschwiegenheitspflicht der Mitarbeitervertreter - 20 MAVO Einsichtnahme in Personalakten Nur mit Zustimmung des Arbeitnehmers Begriff der materiellen Personalakte Kenntnis von Anweisungen und Richtlinien 27 MAVO Zustimmung bei Angelegenheiten der Dienststelle - 36 MAVO Dienstliche Angelegenheiten Verpflichtung auf das Datengeheimnis - 4 KDO Inhalt von Personalfragebogen - 36 I Zi. 5 MAVO Technische Einrichtungen zur Leistungskontrolle- 36 I Zi. 9 MAVO 32

33 Datenschutz Abschluss von Dienstvereinbarungen - 38 MAVO Sonderfall: Personalinformationssysteme Betriebsvereinbarung als Rechtsgrundlage Mitwirkung bei Kontrollen der Mitarbeiter und MAV Betriebsvereinbarung als Rechtsgrundlage Vertrauensvolle Zusammenarbeit 33