MICROSOFT ONLINE SERVICES UND DATENSCHUTZ IM GESUNDHEITSSEKTOR

Größe: px

Ab Seite anzeigen:

Download "MICROSOFT ONLINE SERVICES UND DATENSCHUTZ IM GESUNDHEITSSEKTOR"

Kirsten Heintze
vor 7 Tagen
Abrufe

1 MICROSOFT ONLINE SERVICES UND DATENSCHUTZ IM GESUNDHEITSSEKTOR 16. März 2021 Die Informationen, Meinungen und Rechtsansichten in diesem Dokument sind unverbindlich und werden unter Ausschluss jeder Haftung zur Verfügung gestellt.

Microsoft Cloud und Datenschutz Microsoft ist Vorreiter nicht nur im Bereich von Cloud-Lösungen, sondern (gemeinsam mit E+H) auch bei Aufarbeitung der datenschutzrechtlichen Vorgaben Microsoft

2 Microsoft Cloud und Datenschutz Microsoft ist Vorreiter nicht nur im Bereich von Cloud-Lösungen, sondern (gemeinsam mit E+H) auch bei Aufarbeitung der datenschutzrechtlichen Vorgaben Microsoft Online Services Allgemeiner Teil Microsoft Online Services Healthcare Microsoft Online Services Education Microsoft Online Services Financial Services Microsoft Online Services Legal Industry 2

3 Datenschutzrechtliche Zersplitterung im Gesundheitssektor Datenschutz-Grundverordnung (DSGVO) und Datenschutzgesetz (DSG) Gesundheitstelematikgesetz 2012 (GTelG 2012) Netz- und Informationssystemsicherheitsgesetz (NISG) Krankenanstalten- und Kuranstaltengesetz (KaKuG) Landeskrankenanstaltengesetze Ärztegesetz (ÄrzteG) Psychologengesetz Psychotherapiegesetz uvm. 3

4 Datenschutzrechtliche Problemstellungen im Gesundheitssektor Im Gesundheitssektor bestehen unzählige Spezialbestimmungen (Sonderdatenschutzrecht) und damit einhergehende Schwierigkeiten bei Inanspruchnahme von externen Auftragsverarbeitern (ungeachtet davon, ob es sich hierbei um Cloud Computing handelt) Verarbeitung von überwiegend sensiblen Daten, insb. Gesundheitsdaten Besondere Verpflichtungen bei der Verwendung von Gesundheitsdaten Besonderer Geheimnisschutz Berufsrechtliche Verschwiegenheitspflichten Wie können Microsoft Online Services bei Bewältigung dieser Herausforderungen helfen? 4

5 Datenschutzrechtliche Akteure im Gesundheitssektor Verantwortlicher (Ärzte, Rechtsträger der Krankenanstalten etc.) Auftragsverarbeitervertrag (ADV) Auftragsverarbeiter (Microsoft) Verarbeitungsvorgänge bedürfen einer Rechtsgrundlage (Art 6, 9 DSGVO) Betroffene Personen (Patienten, Versicherungsnehmer etc.) Ausnahme: Übermittlung an den Auftragsverarbeiter Privileg des Auftragsverarbeitervertrages (ADV) 5

6 Verarbeitung / Übermittlung sensibler Daten Ausgangssituation: Verarbeitung von überwiegend sensiblen Daten (insb. Gesundheitsdaten und genetische Daten) Problemstellung: Die Übermittlung sensibler Daten ist nur unter strengen Voraussetzungen zulässig. Zudem gelten im Gesundheitsbereich diverse berufliche Verschwiegenheitspflichten. Lösung: Microsoft agiert als Auftragsverarbeiter und schließt standardmäßig einen ADV ab. Aufgrund des Privilegs des ADV ist daher keine gesonderte Rechtsgrundlage erforderlich. Zur Wahrung berufsrechtlicher Verschwiegenheitspflichten (1) verpflichtet sich Microsoft umfassend zur Verschwiegenheit, (2) bestehen umfassende Sicherheitsmaßnahmen und (3) können Pseudonymisierungs- und Anonymisierungsmaßnahmen getroffen werden. 6

7 Datensicherheit im Gesundheitssektor Ausgangssituation: Die Nutzung moderner Technologien ist auch und gerade im Gesundheitsbereich nicht mehr wegzudenken. Problemstellung: Die Verarbeitung von Gesundheitsdaten und genetischen Daten erfordert hohe Datensicherheit. Insb. Übermittlung ausschließlich (i) über abgesicherte Netzwerke oder (ii) in verschlüsselter Form ( 6 GTelG 2012) Lösung: Microsoft bietet als führender Anbieter von Cloud-Lösungen moderne Datensicherheitsmaßnahmen an. Insbesondere werden Daten standardmäßig bei Übertragung verschlüsselt (TLS). 7

8 Netz- und Informationssystemsicherheitsgesetz (NIS-G) Ausgangssituation: Das NISG enthält Sonderbestimmungen für Betreiber wesentlicher Dienste mit Sitz in Österreich. Auch im Gesundheitsbereich bestehen derartige wesentliche Dienste: Medizinische Versorgung in den Bereichen Diagnose, Therapie und Pflege Leitstelle für Notfallrettungstransporte Problemstellung: Es müssen zusätzliche Sicherheitsmaßnahmen getroffen werden; zudem bestehen strenge Nachweis- und Meldepflichten. Lösung: Microsoft erfüllt die strengen Anforderungen des NISG und kann Gesundheitsdienstleister, die einen wesentlichen Dienst betreiben, bei der Einhaltung und Dokumentation dieser Anforderungen unterstützen. 8

9 Fazit Die Verwendung von besonders schutzwürdigen Daten stellt die Gesundheitsbranche vor datenschutzrechtliche Herausforderungen. Besonderes Augenmerk gilt der Rechtmäßigkeit bei Übermittlung solcher Daten sowie der Daten- und Informationssicherheit. Bei Betrieb eines wesentlichen Dienstes gelten zusätzlich auch die strengen Voraussetzungen des NIS-G. Bei Inanspruchnahme von Microsoft Online Services können datenschutzrechtliche Herausforderungen unter Nutzung des Privilegs des Auftragsverarbeitervertrages sowie gleichzeitiger Erhöhung der Datensicherheit ausgelagert werden. Zudem erfüllt Microsoft auch selbst die strengen Anforderungen des NISG und kann Betreiber wesentlicher Dienste bei der Einhaltung und Dokumentation dieser Anforderungen unterstützen. 9

Softwarelizenzverträge Partner LEITER DER PRAXISGRUPPE

10 Dr. Andreas Zellhofer SCHWERPUNKTE Spezialisierung im IT-Recht: Datenschutz Cloud Computing Outsourcing E-Commerce Softwarelizenzverträge Partner LEITER DER PRAXISGRUPPE WETTBEWERBSRECHT UND IP/IT E+H Eisenberger + Herzog Wien

Ähnliche Dokumente

Brennpunkt Medizin. Datenschutzgrundverordnung brandneu. Mag. Markus Dörfler, LL.M. Rechtsanwalt

Brennpunkt Medizin. Datenschutzgrundverordnung brandneu. Mag. Markus Dörfler, LL.M. Rechtsanwalt Brennpunkt Medizin Datenschutzgrundverordnung brandneu Mag. Markus Dörfler, LL.M. Rechtsanwalt 30.11.2017 Markus Dörfler 1999-2005 Synaptic Networks 2006 Mag. iur. Universität Linz 2006-2007 Universitätslehrgang