Folgen der Datenschutz- Grundverordnung für die medizinische Forschung. Datenschutz in der Medizin - Update 2016,

Transkript

1 Folgen der Datenschutz- Grundverordnung für die medizinische Forschung Dr. Bernd Schütze

2 Dr. Bernd Schütze Studium > Studium Informatik (FH-Dortmund) > Studium Humanmedizin (Uni Düsseldorf / Uni Witten/Herdecke) > Studium Jura (Fern-Uni Hagen) Zusatz-Ausbildung > Zusatzausbildung Datenschutzbeauftragter (Ulmer Akademie für Datenschutz und IT-Sicherheit) > Zusatzausbildung Datenschutz-Auditor (TüV Süd) > Zusatzausbildung Medizin-Produkte-Integrator (VDE Prüf- und Zertifizierungsinstitut) Berufserfahrung > 10 Jahre klinische Erfahrung > 20 Jahre IT im Krankenhäusern > 20 Jahre Datenschutz im Gesundheitswesen Mitarbeit in wiss. Fachgesellschaften > Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.v. (GMDS) > Gesellschaft für Datenschutz und Datensicherung e.v. (GDD) > Gesellschaft für Informatik (GI) Mitarbeit in Verbänden > Berufsverband der Datenschutzbeauftragten Deutschlands e.v. (BvD) > Berufsverband Medizinischer Informatiker e.v. (BVMI) > Fachverband Biomedizinische Technik e.v. (fbmt) > HL7 Deutschland e.v.

3 Agenda Was möchte ich vorstellen? Begriffsbestimmung und Abgrenzung Zielsetzung der DS-GVO Erlaubnistatbestand Anonyme Daten Verarbeitung im datenschutzrechtlichen Sinne ausgestalten Sanktionen/Bußgelder Normen zur Umsetzungsunterstützung Empfehlung

4 Begriffsbestimmung / Abgrenzung

5 Begriffsbestimmung Was ist das eigentlich, Forschung? Begriff Forschung in der DS-GVO nicht definiert Erwägungsgründe geben Vorstellung, was der europäische Gesetzgeber darunter versteht Studien, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden (Erwägungsgründe 53, 159) Klinische Prüfungen (Erwägungsgrund 156) Register (Erwägungsgrund 157) Verbesserung der Lebensqualität zahlreicher Menschen (Erwägungsgrund 157) Verbesserung der Effizienz der Sozialdienste (Erwägungsgrund 157) Grundlagenforschung (Erwägungsgrund 159) Angewandte Forschung (Erwägungsgrund 159) Privat finanzierte Forschung (Erwägungsgrund 159)

6 Abgrenzung Schutz von Patientendaten in einem Krankenhaus Arbeitsrecht Datenschutzrecht Patienten Daten Standes-, Berufsrecht Strafrecht

7 Zielsetzung der DS-GVO

8 Zielrichtung der DS-GVO

9 Zielrichtung der DS-GVO Ziel: Freier, ungehinderter Verkehr der Daten

10 Landesdatenschutz Vorgaben für den Ort der Verarbeitung Baden-Württemberg: Landeskrankenhausgesetz 48 Abs. 1 Patientendaten sind in dem Krankenhaus selbst oder im Auftrag des Krankenhauses durch ein anderes Krankenhaus zu verarbeiten. Bayern: Krankenhausgesetz Art. 27 Abs. 4 S. 6 Zur Verarbeitung oder Mikroverfilmung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, darf sich das Krankenhaus jedoch nur anderer Krankenhäuser bedienen. Berlin: Landeskrankenhausgesetz 24 Abs. 7 Patientendaten sind grundsätzlich im Krankenhaus oder im Auftrag durch ein anderes Krankenhaus zu verarbeiten.

11 Landesdatenschutz Vorgaben für den Ort der Verarbeitung Baden-Württemberg: Landeskrankenhausgesetz 48 Abs. 1 Patientendaten sind in dem Krankenhaus selbst oder im Auftrag des Krankenhauses durch Europarechtskonform? ein anderes Krankenhaus zu verarbeiten. Wahrscheinlich Bayern: Krankenhausgesetz nicht: Art. 27 Abs. 4 S Zur Auftragsverarbeitung Verarbeitung oder Mikroverfilmung wird abschließend von Patientendaten, in der die nicht DS-GVO zur geregelt 2. verwaltungsmäßigen Der freie Verkehr Abwicklung der Daten der Behandlung darf aus der Datenschutzgründen Patienten erforderlich sind, darf sich das Krankenhaus jedoch nur anderer Krankenhäuser bedienen. innerhalb der EU weder eingeschränkt noch verboten werden Berlin: Landeskrankenhausgesetz 24(außer Abs. 7 im Rahmen der Regelungen der DS-GVO) Patientendaten sind grundsätzlich im Krankenhaus oder im Auftrag durch ein anderes Krankenhaus zu verarbeiten.

12 Erlaubnistatbestände

13 Daten der besonderen Kategorien Europäische Datenschutz-Grundverordnung (DS-GVO) und Gesundheitsdaten Daten besonderer Kategorien (Art. 9 DS-GVO) Rassische und ethnische Herkunft Politische Meinungen Religiöse oder weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit Genetische Daten Biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person Gesundheitsdaten Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person Ist eine Verarbeitung nicht ausdrücklich erlaubt, so ist sie verboten (Art. 9 Abs. 1 DS-GVO) Eine Verarbeitung kann nur entsprechend Art. 9 Abs. 2 DS-GVO erlaubt sein

14 DS-GVO: Erlaubnistatbestand Einwilligung DS-GVO definiert, was eine Einwilligung ist Art. 9 Abs. 2 lit. a: Einwilligung als Rechtsgrundlage Dabei ist zu beachten: Art. 4 Abs. 11: Definition (die Anforderungen beinhaltet) freiwillig (=ohne Zwang) für den bestimmten Fall (= Zweckbindung) in informierter Weise (insbesondere in Kenntnis der Sachlage inkl. Risiken) unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung (= eindeutig ich will ) mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (= ausdrückliche Willenserklärung)

15 DS-GVO: Erlaubnistatbestand Einwilligung Anforderungen an eine Einwilligung Art. 9 Abs. 2 lit. a: Einwilligung als Rechtsgrundlage Dabei beachten: Art. 4 Abs. 11: Definition (die Anforderungen beinhaltet) Art. 7: Bedingungen für die Einwilligung Beweislast beim Datenverarbeiter (Art. 7 Abs. 1) Bei Einholung Einwilligung in Zusammenhang mit anderen Sachverhalten wie z.b. verschiedenen Forschungsvorhaben: verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache und von den anderen Sachverhalten klar zu unterscheiden ist (Art. 7. Abs. 2) Recht zum Widerruf, Hinweis auf das Recht bei Einwilligung (Art. 7 Abs. 3) Hinweis, dass Widerruf die Rechtmäßigkeit der erfolgten Datenverarbeitung bis Erteilung des Widerrufs nicht berührt (Art. 7 Abs. 3) Widerruf mindestens so einfach abzugeben wie die Einwilligung Kopplungsverbot der Einwilligung mit Vertragsabschluss (z.b. Behandlungsvertrag), Erbringung Dienstleistung o.ä. Aber auch: Keine Schriftform mehr vorgegeben

16 DS-GVO: Erlaubnistatbestand Einwilligung DS-GVO: Erwägungsgründe zur Interpretation der gesetzlichen Regelungen Ergänzend zu beachten: Erwägungsgründe des europäischen Gesetzgebers Erwägungsgrund 32 (Grundlegende Anforderungen) Erwägungsgrund 33 (Forschung) Erwägungsgrund 38 (Einwilligung Kind) Erwägungsgrund 40 (Rechtmäßigkeit der Verarbeitung) Erwägungsgrund 42 (Nachweispflicht) Erwägungsgrund 43 (Freiwilligkeit) Erwägungsgrund 50 (Zweckänderung) Erwägungsgrund 51 (Besondere Kategorien von Daten) Erwägungsgrund 54 (öffentliches Interesse) Erwägungsgrund 111 (Datenübermittlung) Erwägungsgrund 155 (Beschäftigtenkontext) Erwägungsgrund 161 (Forschung)

17 DS-GVO: Erlaubnistatbestand Einwilligung Übergangsregelung: Was gilt nach dem 25. Mai 2018 an alten Einwilligungen noch? Übergangsregelung Erwägungsgrund 171 Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden. D.h. heute gegebene Einwilligungen, welche die Vorgaben der DS-GVO berücksichtigen, gelten für die Zukunft. Z.B. wichtig für Nachsorge in der Onkologie Krankheitsregister, die nicht gesetzlich geregelt sind Forschungsvorhaben Einwilligungen sind ab dem 25. Mai 2018 nur gültige Rechtsgrundlage für Datenverarbeitung, wenn sie den Anforderungen der DS-GVO entsprechen

18 DS-GVO: Erlaubnistatbestand Einwilligung Übergangsregelung: Was gilt nach dem 25. Mai 2018 an alten Einwilligungen noch? Übergangsregelung Erwägungsgrund 171 Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden. D.h. heute gegebene Einwilligungen, welche die Vorgaben der DS-GVO berücksichtigen, gelten für die Zukunft. Z.B. wichtig für Nachsorge in der Onkologie Krankheitsregister, die nicht gesetzlich geregelt sind Forschungsvorhaben Einwilligungen sind ab dem 25. Mai 2018 nur gültige Rechtsgrundlage für Datenverarbeitung, wenn sie den Anforderungen der DS-GVO entsprechen

19 Art. 9: Erlaubnistatbestände Gesundheitsdaten, genetische Daten, Art. 9 Abs. 1: Die Verarbeitung personenbezogener Daten, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung ist untersagt Klassische Firewall-Regelung: Du darfst nichts tun! Art. 9 Abs. 2: Absatz 1 gilt nicht in folgenden Fällen (= Verarbeitung ist erlaubt ) a) betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt Cave: Art. 6 stellt keinen Erlaubnistatbestand für besondere Kategorien von Datenarten dar!

20 Art. 9: Verarbeitung von Gesundheitsdaten Wann darf ich was tun? Art. 9 Abs. 2 lit. b-j Arbeitsmedizin: Art. 9 Abs. 2 lit. (h) in Verbindung mit Art. 9. Abs. 3 Politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Erwerbszweck: Art. 9 Abs. 2 lit. (d) Gesundheitsuntersuchungen in Sportvereinen Verteidigung der behandelnden Person vor Gericht: Art. 9 Abs. 2. lit. (f) Gesetzlich geregelte Krankheitsregister (z.b. Krebsregister), gesetzliche Qualitätssicherung (z.b. 137, 137a SGB V): Art. 9. Abs. 2 lit. (h) Gesundheitsämter, Impfungen in Schule usw. durch Ämter: Art. 9. Abs. 2 lit (i) Archivgesetze des Bundes und der Länder: Art. 9 Abs. 2 lit. (j) in Verbindung mit Art. 89 Abs. 1 Gesundheitsstatistik des Bundes und der Länder: Art. 9 Abs. 2 lit. (j) in Verbindung mit Art. 89 Abs. 1 Wissenschaftliche u. historische Forschung: Art. 9 Abs. 2 lit. (j) in Verbindung mit Art. 89 Abs. 1 Abrechnung von Leistungen: Art. 9 Abs. 2 lit. (f) Patientenbehandlung: Art. 9 Abs. 2 lit. (h)

21 Forschung: privilegierte Verarbeitung Erlaubnistatbestand Forschung: Art. 9 Abs. 2 lit. (j) in Verbindung mit Art. 89 Abs. 1 Forschung spielt zentrale Rolle in der EU (Vertrag über die Arbeitsweise der Europäischen Union) Vgl. Art. 179 Abs. 1 AEUV (Teil XIX Forschung, technologische Entwicklung und Raumfahrt ): Die Union hat zum Ziel, ihre wissenschaftlichen und technologischen Grundlagen dadurch zu stärken, dass ein europäischer Raum der Forschung geschaffen wird [ ] DS-GVO trägt dem Gedanken Rechnung Zweckänderung Forschung gemäß Art. 5 Abs. 1 lit. b DS-GVO grundsätzlich möglich Forschungsaktivitäten müssen im datenschutzrechtlichen Sinne ausgestaltet werden (Art. 89 Abs. 1 DS- GVO) Beachtung datenschutzrechtlicher Grundsätze, insb. Art. 5 DS-GVO (Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Rechenschaftspflicht, ) Beachtung der Betroffenenrechte, insbesondere Informationspflichten (Erhebung, Zweckänderung) und Widerspruchsrecht (Art. 21 Abs. 6) DS-GVO Forschung nur bei Vorhandensein geeigneter technischer und organisatorischer Maßnahmen (insbesondere Artt. 25, 30, 32)

22 Forschung: privilegierte Verarbeitung Voraussetzung: nationale Erlaubnistatbestände Art. 9 Abs. 2 lit. j DS-GVO: die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht [ ] (siehe auch ErwGr. 156) Mitgliedstaaten müssen nationale Regelungen erlassen, welche den Anforderungen der DS-GVO genügen Mögliche Regelungen in Deutschland Klinische Prüfung (AMG, MPG) Anpassung an DS-GVO Radioaktive Stoffe, ionisierende Strahlung, Röntgenstrahlung (StrlSchV, RöV) wahrsch. erforderlich Sozialleistungen (SGB V, SGB X, SGB XI)

23 Anonyme Daten

24 Anonyme Daten Begriffsbestimmung: Pseudonym, Anonym Bundesdatenschutzgesetz EU Datenschutzgrundverordnung 3 Abs. 6a: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren 3 Abs. 6: Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können Art. 4 Abs. 5: "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden -

25 Anonyme Daten Abgrenzung: Pseudonym vs. Anonym Wann sind Daten als anonym anzusehen, wann als pseudonym? Definition Pseudonym der EU DS-GVO beinhaltet, was Stand heute in Deutschland als faktisch anonym angesehen wird Artikel-29-Datenschutzgruppe Ein häufiger Irrtum liegt in der Annahme, dass pseudonymisierte Daten mit anonymisierten Daten gleichzusetzen seien Pseudonymisierung verringert die Verknüpfbarkeit eines Datenbestands mit der wahren Identität einer betroffenen Person und stellt somit eine sinnvolle Sicherheitsmaßnahme, aber kein Anonymisierungsverfahren dar Häufiger Fehler: Annahme, dass ein pseudonymisierter Datenbestand anonymisiert ist Ergebnis der Anonymisierung so dauerhaft sein sollte wie eine Löschung es darf nicht möglich sein, die personenbezogenen Daten weiter zu verarbeiten Quelle:

26 Anonyme Daten Was sind anonyme Daten entsprechend DS-GVO? Es gibt anonyme Daten (ErwGr. 26) Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten (=DS-GVO gilt nicht für anonyme Daten, ErwGr. 26) Was ist anonym? (ErwGr. 26) Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen (von Natur aus anonym) personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Verarbeitung Anonymisierung durchgeführt)

27 Anonyme Daten Re-Identifikationspotential medizinischer Daten Medizinische Daten können in sich das Potential der Re-Identifikationsmöglichkeit beinhalten Genetische Daten Bilddaten, die eine 3D-Rekonstruktion identifizierender Merkmale erlauben Medizinische Daten selbst, abhängig von der Gruppengröße (z.b.: Der männliche Patient mit Brustkrebs) Diese Daten sind im Sinne der DS-GVO als pseudonym anzusehen, eine Anonymisierung erscheint kaum möglich Smart Data / Big Data: Je größer die Datenmenge, desto höher ist die Wahrscheinlichkeit der Re- Identifikation Daten nur pseudonym, nicht anonym

28 Verarbeitung im datenschutzrechtlichen Sinne ausgestalten

29 Rechenschaftspflicht ( Accountability ) werde ich Rechenschaft fordern (5. Moses, 18, 19) Art. 5 Abs.2 Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht"). ( be able to demonstrate compliance with, paragraph 1 ('accountability') ) Art. 5 Abs. 1 Lit. a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz b) Zweckbindung c) Datenminimierung d) Richtigkeit e) Speicherbegrenzung f) Integrität und Vertraulichkeit Hinweis: Art. 29 Datenschutzgruppe WP 173 Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht (

30 Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Privacy by Design / Privacy by Default Adressat: für die Daten Verantwortliche, nicht Hersteller ErwGr. 78: sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen Bußgeldbewehrter Tatbestand Gilt auch für Forschung: daher bei Studiendesign zu beachten!

31 Art. 30: Verzeichnis von Verarbeitungstätigkeiten Gesundheitsdaten bedingen Verarbeitungstätigkeitsverzeichnis Enthält u.a. Angaben des uns heute bekannten Verfahrensverzeichnis DS-GVO kennt keine Ausnahmebestimmungen im Sinne des BDSG Für alle Tätigkeiten, keine Beschränkung auf automatisierte Verfahren DSGVO: Verzeichnis muss angelegt werden, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt und die Verarbeitung nicht nur gelegentlich erfolgt die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 erfolgt die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 geschieht

32 Art. 30: Verzeichnis von Verarbeitungstätigkeiten Gesundheitsdaten bedingen Verarbeitungstätigkeitsverzeichnis Angaben den Namen und die Kontaktdaten des Verantwortlichen (Ggfs. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten) Zwecke der Verarbeitung Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen Ggfs. Übermittlungen an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie die Dokumentierung geeigneter Garantien Vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen Aber: kein Jedermann -Verzeichnis mehr!

33 Art. 32 Sicherheit der Verarbeitung Technisch-organisatorische Maßnahmen (TOMs) Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten

34 Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten Meldepflicht mit Pflichtvorgaben Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der für die Verarbeitung Verantwortliche ohne unangemessene Verzögerung und möglichst binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten führt Falls die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden erfolgt, ist ihr eine Begründung beizufügen Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung

35 Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Meldepflicht mit Pflichtvorgaben Besteht die Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt, so benachrichtigt der für die Verarbeitung Verantwortliche die betroffene Person ohne unangemessene Verzögerung von der Verletzung Die Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält mindestens die in Artikel 31 Absatz 3 Buchstaben b, d und e genannten Informationen und Empfehlungen Sorgt der für die Verarbeitung Verantwortliche durch geeignete Maßnahmen dafür, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht, kann evtl. die Benachrichtigungspflicht hinsichtlich der betroffenen Person entfallen

36 Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Meldepflicht mit Pflichtvorgaben Besteht die Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Benachrichtigt persönlichen Rechte wird und Freiheiten bewirkt, so benachrichtigt der für die Verarbeitung Verantwortliche die betroffene Person ohne unangemessene Verzögerung von der Verletzung Die Benachrichtigung 1. Bei eingetretener der betroffenen Datenpanne Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält mindestens die in Artikel 31 Absatz 3 2. Bei Wahrscheinlichkeit des Eintretens einer Datenpanne Buchstaben b, d und e genannten Informationen und Empfehlungen Sorgt der für die Beispiel: Verarbeitung Verantwortliche durch geeignete Maßnahmen dafür, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr Gestohlener Laptop, gut verschlüsselte Festplatte -> wohl keine besteht, kann evtl. die Benachrichtigungspflicht hinsichtlich der betroffenen Person entfallen Benachrichtigung erforderlich Gestohlener Laptop, keine Verschlüsselung -> Benachrichtigung wohl erforderlich

37 Art. 35 Datenschutz-Folgenabschätzung Risikoanalyse und -Management Mehr als Vorabkontrolle Insbesondere verpflichtend vorzunehmen (Art. 35. Abs. 3 lit. a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, wenn diese Bewertung als Grundlage für rechtswirksame Entscheidungen dient umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 9 Abs. 1) bzw. Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Mindest-) Inhalte von Art. 35 Abs. 7 vorgegeben geplanten Verarbeitungsvorgänge, Zwecke der Verarbeitung Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren (inkl. Nachweis, dass DS-GVO eingehalten wird) Hinweis: Ergebnis hohes Risiko Hinzuziehung der Aufsichtsbehörde

38 Art. 28 Auftragsverarbeiter Ist der potentielle Auftragnehmer geeignet? Erlaubt nur Auftragsverarbeitern, die hinreichende Garantien dafür bieten, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Zustimmung des für die Verarbeitung Verantwortlichen in Anspruch Durchführung einer Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen bindet in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien von betroffenen Personen Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind

39 Art. 28 Auftragsverarbeiter Ist der potentielle Auftragnehmer geeignet? Erlaubt nur Auftragsverarbeitern, die hinreichende Garantien dafür bieten, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet Auftragsverarbeiter 1) Sorgfältige nimmt keinen Auswahl weiteren des Auftragsverarbeiter Auftragnehmers ohne bleibt vorherige bestehen gesonderte oder allgemeine schriftliche 2) Auftragnehmer Zustimmung darf des für nur die ausgewählt Verarbeitung werden, Verantwortlichen wenn in Anspruch Durchführung einer Datenschutz/-sicherheit Verarbeitung durch einen Auftragsverarbeiter ihm gewährleistet erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten, 3) ADV-Vertrag muss abgeschlossen werden der bzw. das den Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen bindet 4) Vertragsinhalte entsprechen weitestgehend den in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck Anforderungen der Verarbeitung, von 11 BDSG Art der personenbezogenen Daten, Kategorien von betroffenen Personen Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind

40 Bußgelder

41 Bußgelder Ordnungswidrigkeiten Art. 83 Abs. 4 ( kleines Bußgeld) Geldbußen von bis zu EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes wann? Z.B. Verstoß gegen Art. 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) Art. 28 (Auftragsverarbeiter) Art. 29 (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) Art. 30 (Verzeichnis von Verarbeitungstätigkeiten) Art. 31 (Zusammenarbeit mit der Aufsichtsbehörde) Art. 32 (Sicherheit der Verarbeitung) Artt. 33 u. 34 (Meldung von Datenpannen an Aufsichtsbehörde und Betroffenen) Art. 35 (Datenschutzfolgenabschätzung) Artt. 36 bis 39 (Datenschutzbeauftragter)

42 Bußgelder Ordnungswidrigkeiten Art. 83 Abs. 4 ( kleines Bußgeld) Art. 83. Abs. 5 (großes Bußgeld) Geldbußen von bis zu EUR oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes wann? Z.B. Artt. 5, 6, 7, 9 (fehlende oder fehlerhaft eingeholte Einwilligung) Artt. 12 bis 22 (Verstoß gegen die Rechte der/des Betroffenen) Artt. 44 bis 49 (Unrechtmäßige Übermittlung in ein Drittland oder int. Organisation) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde

43 Normen zur Umsetzungsunterstützung

44 Normen: welche Verbindlichkeit haben die? Stand der Technik und Normen Normen und Richtlinien: im Prinzip nichts weiter als Empfehlungen privater Vereine (z.b. Deutschen Instituts für Normung, DIN) Verbindlichkeit der Norm regelt sich durch die Vereinbarung der beteiligten Parteien, für welche die Norm(en) Leistungsgrundlage sein soll Normen stellen nicht zwangsläufig eine Regel oder Stand der Technik dar: Anerkannt ist eine Regel dann, wenn Fachleute sie anwenden und sich dabei sicher sind, dass sie dem Stand der Technik entspricht Z. B. kann eine Norm in Deutschland nicht angewendet werden, wenn ein entsprechendes fachliches Gutachten einer qualifizierten Stelle dies begründet ABER: DS-GVO ist europäische Regelungen, europaweit geltende Normen können bei der Umsetzung der Anforderungen helfen Ist die Anwendung bestimmter Normen in einem Gesetz vorgeschrieben, so ist deren Einhaltung selbstverständlich auch Pflicht

45 Datenschutzkonzept ISO/IEC Privacy framework : die Rahmenbedingungen definiert die einschlägige Terminologie anonymity, anonymization, anonymized data, consent, spezifiziert die Akteure und ihre Interaktionen bei der Verarbeitung personenbeziehbarer Daten Akteure: principals, controllers, processors, Third parties Interaktionen: Datenfluss zwischen einzelnen Akteuren beschreibt beim Schutz der Privatsphäre zu berücksichtigende Aspekte und entsprechende technische Ansätze Identifiers, Legal and regulatory factors, Business factors, liefert Verweise wesentliche Datenschutzgrundsätze für die Informationstechnologie consent, Purpose legitimacy, Collection limitation, Data minimization,

46 Zweckbestimmung DIN CEN ISO/TS Klassifikation des Zwecks zur Verarbeitung von persönlichen Gesundheitsinformationen Vorgeschlagene Zwecke Klinische Versorgung einer zu behandelnden Person Notfallbehandlung einer zu behandelnden Person Unterstützung von Gesundheitsversorgungsmaßnahmen innerhalb der Dienstleistungsorganisation für eine einzelne behandelte Person Ermöglichung der Bezahlung von für eine einzelne behandelte Person erbrachten Gesundheitsdienstleistungen Management und Qualitätssicherung von Gesundheitsdienstleistungen Aus- und Weiterbildung Überwachung der öffentlichen Gesundheit, Krankheitsbekämpfung Öffentlicher Sicherheitsnotfall Forschung Marktstudien Juristische Verfahren

47 Datenschutz-Folgenabschätzung ISO/IEC DIS Privacy impact assessment - Guidelines Wann ist PIA erforderlich? Einbindung der Stakeholder Durchführung Follow-Up /Reporting Anhang, z. B. beispielhafte Darstellung definierter Risiken bei Hardware, Software oder auch Personen

48 Datenschutz-Folgenabschätzung ISO/IEC DIS Privacy impact assessment - Guidelines Wann ist PIA erforderlich? Einbindung der Stakeholder Durchführung Follow-Up /Reporting Anhang, z. B. beispielhafte Darstellung definierter Risiken bei Hardware, Software oder auch Personen

49 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 Zieldefinition Definitionen, z.b. Authentifizierung Policy-Repository Aufbau einer Policy-Vereinbarung Beispiel einer Textschablone für die Dokumentation Grundlegende Checklisten, z.b.

50 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 Zieldefinition Definitionen, z.b. Authentifizierung Policy-Repository Aufbau einer Policy-Vereinbarung Beispiel einer Textschablone für die Dokumentation Grundlegende Checklisten, z.b.

51 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 Darstellung der verschiedenen Modelle wie beispielsweise Domainenmodell Dokumentenmodell Policy-Modell Darstellung von funktionellen Rollen, z.b. Person, die etwas ver- oder vorschreibt Unterzeicner Darstellung von strukturellen Rollen, z.b. Ärztliche Direktorin / Ärztlicher Direktor Chefärztin / Chefarzt Beispiel für strukturelle Rollen entspr. ASTM E-1986

52 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 Darstellung der verschiedenen Modelle wie beispielsweise Domainenmodell Dokumentenmodell Policy-Modell Darstellung von funktionellen Rollen, z.b. Person, die etwas ver- oder vorschreibt Unterzeicner Darstellung von strukturellen Rollen, z.b. Ärztliche Direktorin / Ärztlicher Direktor Chefärztin / Chefarzt Beispiel für strukturelle Rollen entspr. ASTM E-1986

53 Berechtigungskonzept: Nutzung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 c. Teil 3 Umgang mit Zugriffssteuerungsinstrumenten (ACI) Initiator-ACI, Benutzer-ACI Ziel-ACI Aktions-ACI Kontextuelle-ACI Infrastrukturdienste X.509-basierte Zertifikatsspezifikationen XACML-basierte Rollenzuweisung

54 Protokollierung DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Ethische und formale Anforderungen, z. B. Erstellung einer Zugriffsleitlinie Eindeutige Identifikation der Benutzer von Informationssystemen Verwendung von Auditdaten, z. B. Lenkung und Überwachung Wahrnehmung von Rechten durch die behandelten Personen Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

55 Protokollierung DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Ethische und formale Anforderungen, z.b. Erstellung einer Zugriffsleitlinie Eindeutige Identifikation der Benutzer von Informationssystemen Verwendung von Auditdaten, z. B. Lenkung und Überwachung Wahrnehmung von Rechten durch die behandelten Personen Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

56 Schutz der Daten ISO/IEC DIS 29151: of practice for personally identifiable information protection Zielsetzung: Etablierung von Kontrollmöglichkeiten bzgl. der Datennutzung Darstellung der hierfür notwendigen Anforderungen Ergänzung zu PIA: Praktische Umsetzung des Schutzes PII Information Security Policies Organisationsstrukturen Umgang mit Behörden und anderen an den Daten interessierten Gruppen Mobilgeräte Telearbeit Geräteverwaltung Zugriffskontrolle

57 Speicherfristen / Löschen ISO Records management Records Management ( Schriftgutverwaltung ) Part 1: Concepts and principles Part 2: Guidelines Steuert Erzeugung/Erhebung Ggfs. Empfang bei einer Übermittlung Nutzung Aufbewahrung Aussonderung/Löschung von Records Kernaufgabe: Gewährleistung von Aufbewahrungs- und Aussonderungsvorschriften unter Berücksichtigung von Mindestaufbewahrungsfristen (z.b. BTM-Gesetz, RöV) Maximale Aufbewahrungsmöglichkeit (z.b.haftungsrecht)

58 Spezialitäten, z.b. Pseudonymisierung DIN EN ISO Pseudonymisierung Stark am Gesundheitswesen orientiert Kategorien betroffener Personen dargestellt Datenarten besprochen Pseudonymisierungsverfahren vorgestellt Anhang: Szenarien im Gesundheitswesen

59 Spezialitäten, z.b. Pseudonymisierung DIN EN ISO Pseudonymisierung Stark am Gesundheitswesen orientiert Kategorien betroffener Personen dargestellt Datenarten besprochen Pseudonymisierungsverfahren vorgestellt Anhang: Szenarien im Gesundheitswesen

60 Spezialitäten, z.b. Biobanken ISO/IEC 24745: Biometric information protection Begriffsdefinitionen biometric characteristic, biometric data, biometric information privacy, unlinkability, Vorstellung von biometrischen Systemen Sicherheitsanforderungen Vertraulichkeit, Integrität, Erneuerbarkeit und Widerrufbarkeit Gefahrenpotential Sicherheit bei Stand-alone-Datenbanken wie auch bei verteilten Datenbanksystemen Management des Datenschutzes in biometrischen Systemen Diverse Anhänge Nutzbare kryptographische Algorithmen Pseudonymisierung biometrischer Daten

61 Empfehlung

62 Empfehlung Umgang mit der DS-GVO Viele Regelungen, daher Budgetplanung beim Datenschutzbeauftragter anpassen, ggfs. externe Beratung einholen Studiendesign prüfen, ggfs. anpassen Eingesetzten IT-Systeme überprüfen, ggfs. Anpassung beauftragen Recht auf Datenübertragbarkeit, Recht auf Löschung / Vergessenwerden Workflow anpassen Einwilligungen anpassen Auftragsdatenverarbeitungsverträge überarbeiten IT-Sicherheit prüfen: ist Stand der Technik verfügbar? Informationspflichten / Auskunftsansprüche Betroffener genügen (Weiß man, wie lange welche Information gespeichert wird?)

63 Empfehlung Umgang mit der DS-GVO Viele Regelungen, daher Merke: Budgetplanung beim Datenschutzbeauftragter anpassen, ggfs. externe Beratung einholen 1. Die DS-GVO kennt keinen Bestandsschutz. Studiendesign prüfen, ggfs. anpassen Eingesetzten IT-Systeme überprüfen, ggfs. Anpassung beauftragen Recht sein. auf Datenübertragbarkeit, Recht auf Löschung / Vergessenwerden 2. Ab 25. Mai 2018 ist die DS-GVO in Wirkung, ihre Anforderungen müssen erfüllt 3. Auch bereits vorhandene Prozesse müssen der DS-GVO entsprechen, d.h. Anforderungen wie z.b. Workflow anpassen Einwilligungen anpassen Verzeichnis der Verarbeitungstätigkeiten Auftragsdatenverarbeitungsverträge überarbeiten IT-Sicherheit Datenschutzfolgenabschätzung prüfen: ist Stand der Technik verfügbar? Informationspflichten / Auskunftsansprüche Betroffener genügen (Weiß umgesetzt man, wie sein. lange welche Information gespeichert wird?) gelten auch für bereits vorhandene Prozesse und müssen auch für diese

64 Literatur Welche Infos finde ich wo? Bücher zur DS-GVO Welche Artikel finde ich in welcher Fachzeitschrift? Ausarbeitungen zur Thematik DS-GVO (Umsetzungshilfe, Synopse BDSG DS-GVO, Einwilligung unter der DS-GVO, )

65 Werbeblock: apropos Umsetzungshilfe Empfehlung zum Umgang mit der DS-GVO erarbeitet (Umfang ca. 80 Seiten) Beteiligte Verbänden GDD, AK Medizin GMDS, AG Datenschutz bvitg, AG Datenschutz Download bei den Verbänden z.b. unter hp/arbeitshilfe_ds-gvo_2016

66 Diskussion / Fragen Kontakt: Bernd.Schuetze@T-Systems.com