Brennpunkt Medizin. Datenschutzgrundverordnung brandneu. Mag. Markus Dörfler, LL.M. Rechtsanwalt

Transkript

1 Brennpunkt Medizin Datenschutzgrundverordnung brandneu Mag. Markus Dörfler, LL.M. Rechtsanwalt

2 Markus Dörfler Synaptic Networks 2006 Mag. iur. Universität Linz Universitätslehrgang für Informationsrecht und Rechtsinformation, Universität Wien 2007 Master of Laws (LL.M.) selbstständiger Rechtsanwalt - in Kooperation mit Höhne, In der Maur & Partner 2016 Partner bei Höhne, In der Maur & Partner Rechtsanwälte 2

3 Rechtsgrundlage (alt) Bundesgesetz über den Schutz personenbezogener Daten Datenschutzgesetz 2000 DSG 2000 Richtlinie 95/46/EG vom

4 Rechtsgrundlage (alt) Zweckgebundenheit Datensicherheit Registrierpflicht (mit Ausnahmen) 4

5 Rechtsgrundlage (alt) Verstöße: Verwaltungsstrafe bis zu EUR ,00 5

6 Mein Rat: Tun Sie nichts 6

7 Rechtsgrundlage (neu) Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) In Kraft seit (anzuwenden ab ) 7

8 Sanktion: DSGVO wirksam, verhältnismäßig und abschreckend Geldbuße: bis zu EUR 10 Mio (oder 2% des weltweiten Jahresumsatzes) bis zu EUR 20 Mio (oder 4% des weltweiten Jahresumsatzes) zuständig: Aufsichtsbehörde 8

9 Rechtsgrundlagen Gesundheitstelematikgesetz , 54 ÄrzteG 49, 55, 73, 110 MedizinprodukteG 39, 46, 80 Arzneimittelgesetz VO Dokumentation im ambulanten Bereich Patientencharta 9

10 Rechtsgrundlage Schutzbereich: personenbezogene Daten ganz oder teilweise automatisierte Verarbeitung 10

11 Grundbegriffe personenbezogene Daten (Art 4 Z 1 DSGVO) alle Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; Keine juristischen Personen Keine Daten von verstorbenen Personen Achtung: Öffnungsklausel 11

12 Grundbegriffe Personenbezogene Daten besondere Kategorien von Daten (Art 9 DSGVO) die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung 12

13 Grundbegriffe Verantwortlicher (Art 4 Z 7 DSGVO): Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. 13

14 Grundbegriffe Verarbeiten (Art 4 Z 2 DSGVO): jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie 14

15 Grundbegriffe Verarbeiten (Art 4 Z 2 DSGVO): das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung 15

16 Grundbegriffe Auftragsverarbeiter (Art 4 Z 8 DSGVO): Verarbeitung im Auftrag des Verantwortlichen Beispiel: das Anbieten von Internetdiensten (Hosting) Schriftliche Vereinbarung 16

17 Grundbegriffe Rechtmäßigkeit der Verarbeitung (Art 6 DSGVO): Einwilligung Erfüllung einer rechtlichen Verpflichtung Lebenswichtige Interessen des Betroffenen Wahrnehmung einer Aufgabe im öff. Interesse Berechtige Interessen des Verantwortlichen 17

18 Grundbegriffe Einwilligung (Art 4 Z 11 DSGVO): Zustimmung der betroffenen Person, dass personenbezogene Daten über die betroffene Person verarbeitet werden dürfen. Nachweis der Einwilligung 18

19 Grundbegriffe Datensicherheit (Art 30 DSGVO): Abzuwägen sind: - Stand der Technik - Implementierungskosten - Art, Umfang, Umstände und Zweck der Verarbeitung - Eintrittswahrscheinlichkeit und Schwere des Risikos Zu ergreifen sind: - geeignete technische und organisatorische Maßnahmen 19

20 Grundbegriffe Datensicherheit - Maßnahmen: Pseudonymisierung Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme Wiederherstellbarkeit Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen. 20

21 DSGVO Datensicherheit - 54 ÄrzteG: (1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. 21

22 Grundbegriffe Verzeichnis von Verarbeitungstätigkeiten (Art 30 DSGV) Verfahrensverzeichnis Anknüpfungspunkt: der Zweck der Verarbeitungstätigkeit Dokumentation (auch elektronisch) Jederzeitige Verfügbarkeit (Einsichtsrecht der Behörde) Aktualisierungspflicht 22

23 Grundbegriffe Meldepflicht gegenüber der Behörde (Art 33 DSGVO) Bei Verletzung des Schutzes personenbezogener Daten Binnen 72 Stunden außer die Verletzung führt zu keinem Risiko für die Rechte und Freiheiten der Betroffenen die Meldung muss beinhalten: Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen 23

24 DSGVO Meldepflicht gegenüber dem Betroffenen Nicht: bei verschlüsselten Daten Nicht: bei hohem Aufwand (stattdessen: öffentliche Bekanntmachung) 24

25 Weitere Punkte Datenschutzfolgeabschätzung Datenschutzbeauftragter Technische und Organisatorische Datensicherheitsmaßnahmen 25

26 Weitere Rechtsgrundlagen 51 ÄrzteG Aufzeichnungspflicht Übermittlungsrecht Aufbewahrungspflicht: 10 Jahre 26

27 Rechte der Betroffenen / Auskunft Patientenrechte Richtigstellung Löschung Widerspruch 27

28 Auskunftsrecht Auskunft Form Frist: Ein Monat Kosten Inhalt der Auskunft Einsicht in die Krankenakte (samt Kopien) Aber: therapeutischer Vorbehalt 16 GTelG

29 Praxis Prototyp bis zehn Ärzte bis zehn Mitarbeiter Arztsoftware (Patientenverwaltung) Abrechnung IT-Dienstleister 29

30 Der Prototyp Wie geht es weiter? Verzeichnis von Verarbeitungstätigkeiten Prozessdefinitionen Informationspflichten Technische Sicherheitsmaßnahmen Organisatorische Sicherheitsmaßnahmen Auftragsverarbeitervereinbarung 30

31 Danke für die Aufmerksamkeit Markus Dörfler E: T: 01/ Höhne, In der Maur & Partner Rechtsanwälte GmbH & Co KG Mariahilfer Straße 20, 1070 Wien