Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten



Ähnliche Dokumente
Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern

Der Kinderarzt im Spannungsverhältnis der Strafnormen

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Leseprobe zum Download

Datenschutz in Arztpraxen/MVZ

Stellen Gesundheits- und Medizin Apps ein Sicherheitsrisiko dar?

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar?

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Der Schutz von Patientendaten

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Bestandskauf und Datenschutz?

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Anwaltsgeheimnis 2.0. Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht. Forum E-Justiz XINNOVATIONS 2010

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

BRENNPUNKT ARZTZEUGNIS

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Grundsätze zur Ärztlichen Schweigepflicht und dem damit korrespondierenden Schweigerecht

Nutzung dieser Internetseite

EÜR contra Bilanzierung

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Kinderschutz und Datenschutz

Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister

Datenschutz versus Kinderschutz (Aus-) Wege aus dem Dilemma

Informationen zum Begleiteten Fahren ab 17

Datenschutz und Schule

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Anmeldung für ein Ehrenamt in der Flüchtlingsbetreuung

und ihre Anforderungen an den Betrieb

Die beiden Seiten der Medaille beim -Marketing

Diese Broschüre fasst die wichtigsten Informationen zusammen, damit Sie einen Entscheid treffen können.

Informationen zur (SIGNAL IDUNA AB-RKV 2014)

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Was ist das Budget für Arbeit?

Meine Daten. Mein Recht

Datenschutz bei Rechtsanwälten

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

- Dokumentation - Ausblick auf der Grundlage des neuen BayRDG. Fortbildung und Tagung Programmleiter Frühdefibrillation

Cloud Computing - und Datenschutz

Datenschutz und Kinderschutz - Einheit oder Gegensatz?

Teilnahme-Vertrag. Der Teilnahme-Vertrag gilt zwischen. dem Berufs-Bildungs-Werk. und Ihnen. Ihr Geburtsdatum: Ihre Telefon-Nummer:

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Vertrauen ist gut, Kontrolle ist besser. Datenschutz in der Arztpraxis

Nutzung von Kundendaten

Probleme des Datenschutzes in der Versicherungsmedizin

Was meinen die Leute eigentlich mit: Grexit?

Antrag'auf'Hilfeleistungen'aus'dem'Fonds'Sexueller'' Missbrauch'im'familiären'Bereich' '' A)'Zweck'des'Fonds'Sexueller'Missbrauch'

3.1. Datenweitergabe zur medizinischen Begutachtung

Berufsqualifikationen und Ethik der Steuerberater in Europa

GPA-Mitteilung Bau 5/2002

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Verbraucherinsolvenzverfahren & Restschuldbefreiung

Datenschutz - Ein Grundrecht

Mit Sicherheit gut behandelt.

(Name) (Vorname) (Name) (Vorname)

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Senioren helfen Junioren

Sehr geehrte (r) Frau/Herr,

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Wir machen neue Politik für Baden-Württemberg

Das Freiwillige Soziale Jahr. Der Bundes-Freiwilligen-Dienst

Befragung zum Migrationshintergrund

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Landes-Arbeits-Gemeinschaft Gemeinsam Leben Gemeinsam Lernen Rheinland-Pfalz e.v.

Hinweise zum Datenschutz, Einwilligungs-Erklärung

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Behindert ist, wer behindert wird

MARIA KÜHME WAS SIND DIE AUFGABEN DES JUGENDAMTES BEI EINER MELDUNG ZUR KINDESWOHLGEFÄHRDUNG (KWG)?

BERECHNUNG DER FRIST ZUR STELLUNGNAHME DES BETRIEBSRATES BEI KÜNDIGUNG

Löschung oder Archivierung? Rechtliche Aspekte bei der Übernahme personenbezogener Daten

Einwilligungserklärung

Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung (DS-GVO)

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Checkliste. zur Gesprächsvorbereitung Mitarbeitergespräch. Aktivität / Frage Handlungsbedarf erledigt

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

1. Weniger Steuern zahlen

Wir, gewählter Oberster Souverän von Gottes Gnaden, Treuhänder des

Geld Verdienen im Internet leicht gemacht

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Kosten ambulanter Sexual- und Gewaltstraftätertherapien aufgrund gerichtlicher Weisung

Selbstständig als Buchführungshelfer interna

Ergänzende Stellungnahme zu dem Diskussionsentwurf eines Gesetzes zur weiteren Erleichterung der Sanierung von Unternehmen

Hinweise zum Fragebogen. Wir möchten Sie darum bitten, die jeweils zutreffenden Antworten in den dafür vorgesehenen

Komitee für Zukunftstechnologien. Teilnahmeerklärung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Datenschutz und Patientenrechte im Kompetenznetz HIV/Aids

mehrmals mehrmals mehrmals alle seltener nie mindestens **) in der im Monat im Jahr 1 bis 2 alle 1 bis 2 Woche Jahre Jahre % % % % % % %

InVo. Information zu Verordnungen in der GKV. Herstellung von Arzneimitteln durch Ärzte Anzeigepflicht bei Bezirksregierungen. Stand: Februar 2010

Tag des Datenschutzes

Darum geht es in diesem Heft

Wichtige Info szum Lehrabschluss!

Transkript:

GMDS Karlsruher Archivtage 06.12.2007 Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten Marco Biewald, Rechtsanwalt, Datenschutzbeauftragter Klinikum Braunschweig, VERDATA GmbH & Co. KG ÜBERSICHT I. Welche Anforderungen bestehen? II. Welche Lösungswege bestehen? Überarbeitete Folien zum Vortrag am 06.12.2007 1

1. Hintergrund: Warum ist dies kritisch? Die Datenweitergabe an den Dienstleister Ist der kritische Prozess, weil eine Datenweitergabe Im Krankenhaus besonders sanktioniert ist. Erheben Speichern Verändern Übermitteln Nutzen Löschen Es besteht eine besondere Pflicht für diese Arbeitsphase die unbefugte Weitergabe ist Strafbar. = ärztl. Schweigepflicht 1. Hintergrund: Ärztliche Schweigepflicht 203 StGB Verletzung von Privatgeheimnissen Wer Wer unbefugt ein ein fremdes Geheimnis, namentlich ein ein zum zum persönlichen Lebensbereich gehörendes Geheimnis, offenbart, das das ihm ihm als als Arzt, Arzt, Zahnarzt,Apotheker...... oder oder Angehöriger eines anderen Heilberufes (mit (mit staatlich geregelter Ausbildung)...... anvertraut worden oder oder sonst bekanntgeworden ist, ist,...... wird wird bestraft. Den Den Ärzten,...... stehen ihre ihre berufsmäßig tätigen Gehilfen und und die die Personen gleich, die die bei bei ihnen zur zur Vorbereitung auf auf den den Beruf tätig tätig sind. sind. 2

2. Allgemeine rechtliche Anforderung Bei der Einbindung Externer Stellen müssen zwei Aspekte berücksichtigt werden: 1. Externe allgemein beteiligen 2. geschützte Daten offenbaren nach Regeln der Auftragsdatenverarbeitung Durch eine Befugnis 2. Allgemeine rechtliche Anforderung: Auftragsdatenverarbeitung Es besteht eine zerklüftete Rechtslage für Krankenhäuser hinsichtlich der Einbindung externer Stellen. Sie ist unter unterschiedlichen Voraussetzungen möglich, z.b: Baden Württemberg Niedersachsen, SH, S-Anhalt NRW Bayern Rheinland Pfalz, Sachsen 48 LKHG: wenn anderes Krankenhaus oder Rechenzentrum 11 BDSG : nach allgemeinen Regeln 7 GDSG: wenn Prozesserleichterung oder zur Kostenersparnis Art. 27 Abs.4 BayKHG: Nur durch Krankenhäuser soweit nicht zwingend 36 LKHG RhPf, 33 SächsKHG: Allgemeine Regeln + Geheimhaltungspflicht 3

Fazit: 1. Externe Stellen können je nach Bundesland unter unterschiedlichen Voraussetzungen in den Krankenhaus-Prozess einbezogen werden. 2. Für die externe Archivierung oder Aktenauslagerung ergeben sich darüber hinaus keine besonderen Anforderungen. Entscheidend ist die richtige Einbindung des Dienstleisters. 2. Allgemeine rechtliche Anforderung Aber: Allein die richtige Einbindung des Externen reicht nicht. Es werden Daten offenbart. Missbraucht Arzt Arzt Unbefugt = strafbar Dienstleister der Dienstleister diese, wird der aber nicht bestraft. Das ist eine Minderung des Patientendatenschutzes. Unbefugt = NICHT strafbar Presse Presse 4

3. Offenbarungsbefugnis Kernfrage: Wie können Daten gegenüber dem Dienstleister befugt offenbart werden? 3. Offenbarungsbefugnis Offenbarungsbefugnis Einwilligung Gesetz Grundsätzlich sind zwei Wege denkbar: Daten können mit Einwilligung oder durch eine gesetzliche Erlaubnis offenbart werden. 5

4. Lösung 1 Mit Einwilligung Einwilligung MÜSSEN bestimmte Vorraussetzungen erfüllen: freiwillig, hervorgeben. z.b. 4a BDSG; 4 GDSG- NRW, 50 LKHG BaWü, 36 Abs.2 LKHG RHPf Damit kann jeder Dienstleister eingebunden werden, keine besonderen Anforderungen an den DL notwendig Aber: In welche Methode willigt Patient wirklich ein? 4. Lösung 1 Mit Einwilligung Mindeststandards an Handhabung, Verarbeitung und Schutz mit Dienstleister vereinbaren, wenn Patient von üblicher Verarbeitung Ausgeht. 2 praktische Probleme bedenken: 1. Was mit alten Akten für die keine Einwilligung einholbar? 2. Was bei Verweigerung der Einwilligung? 6

5. Lösung 2 Offenbarungsbefugnis Einwilligung Gesetz Gibt es ein Gesetz? 5. Lösung 2 : gesetzliche Erlaubnis ja/nein? OLG Düsseldorf 1997 Aktz: (20 U 139/95) Landesdatenschutzbeauftragte NRW ULD Kiel https://www.datenschutzzentrum.de/ medizin/krankenh/patdskh.htm#9 Deutsche Krankenhausgesellschaft Die Dokumentation der Krankenhausbehandlung Hinweise zur Durchführung, Archivierung und zum Datenschutz, 3. Auflage 2007 Gewichtige Stimmen sagen NEIN. Weil: - Kein Beschlagnahmeschutz - weniger Schutz wegen fehlender Strafbarkeit 7

5. Lösung 2 : Kein Beschlagnahmeschutz? Fakt 1: Zum Beschlagnahmeschutz hat sich das Gesetz geändert! 97 Abs.2 Satz 2 Strafprozessordnung: Der Beschlagnahme unterliegen auch nicht Gegenstände, auf die sich das Zeugnisverweigerungsrecht der Ärzte ( ) erstreckt, wenn sie im Gewahrsam einer Krankenanstalt oder eines Dienstleisters, der für die Genannten personenbezogene Daten erhebt, verarbeitet oder nutzt, sind.. Art. 30 Nr. 2 des Gesetzes zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz-GMG, BGBl 2003 Teil I, Seite 2190 ff., 2256) 5. Lösung 2 : Fehlender Schutz durch Strafbarkeitslücke? Fakt 2: Mehrere Gesetze haben die Verarbeitungserlaubnis der EU Datenschutzrichtlinie 94/95, Art 8. angepasst. 28 Abs.7 Bundesdatenschutzgesetz: ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. 8

5. Lösung 2 : Fehlender Schutz durch Strafbarkeitslücke? 36 Abs. 9 LKHG RhPf, 33 Abs.10 SächsKHG das Krankenhaus kann sich zur Verarbeitung von Patientendaten Anderer bedienen, wenn diese die Datenschutzbestimmungen und die 203 Strafgesetzbuch entsprechende Schweigepflicht einhalten. 48 Abs.2 LKHG BaWü. der Auftragnehmer seinen Mitarbeitern, soweit ihnen aus zwingenden Gründen eine Zugriffsberechtigung auf Patientendaten eingeräumt wird, eine 203 StGB entsprechende Schweigepflicht auferlegt.. 5. Lösung 2 : Fazit Fazit: Daten können offenbart werden, wenn die anderen Personen (Person, nicht Unternehmen!) vergleichbaren Geheimhaltungspflicht unterliegen. Dann bleibt die Strafbarkeit bei Missbrauch. Denn: Die befugte Weitergabe in in 203 StGB bestimmt sich nach der Gesamtrechtsordnung! 9

Lösung2: Sächsischer Landesdatenschutzbeauftragter im TB 21 (2001) Das sieht auch die sächsische Aufsichtsbehörde so: Meine ursprüngliche Meinung, dass diese EG-rechtliche Bestimmung die Verarbeitung von Patientendaten im Auftrag durch Private, die nach dem Verpflichtungsgesetz zur Verschwiegenheit verpflichtet wurden, nicht zulässt, habe ich. revidiert. Weil die nach dem Verpflichtungsgesetz für den öffentlichen Dienst besonders Verpflichteten in strafrechtlicher Hinsicht Amtsträgern gleichgestellt worden sind ( 11 Abs. 1 Nr. 4 a, 203 Abs. 2 Nr. 2 StGB), ist von einer entsprechenden Geheimhaltungspflicht i. S. v. Art. 8 Abs. 3 EG-Datenschutzrichtlinie auszugehen; die Auftragsdatenverarbeitung durch verpflichtete Private ist daher nach Maßgabe des 33 Abs. 10 SächsKHG zulässig. 5. Lösung 2 : Wer sind Geheimnisträger? Einer vergleichbaren Geheimhaltungspflicht unterliegen alle in 203 StGB aufgezählten Personengruppen: 1. Arzt, Zahnarzt, Tierarzt, Apotheker, Heilberufsangehöriger 2. Berufspsychologen 3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten 4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen 5. Schwangerschaftsabbruchsberater, anerkannte Sozialarbeiter 6. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen Verrechnungsstellen 10

5. Lösung 2 : Geheimnisträgereigenschaft herstellen Praktisch relevant ist jedoch, wenn die Mitarbeiter des Dienstleisters förmlich per Verpflichtungsgesetz zur Verschwiegenheit verpflichtet werden 203 Abs.2 Nr.2 StGB: 1. Amtsträger, 2. für den öffentlichen Dienst besonders Verpflichtete 3. Person, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnimmt, 4. Beteiligte im Gesetzgebungsorgan 5. förmlich verpflichtete Sachverständige 6. für Forschungsvorhaben förmlich verpflichtete Personen 5. Lösung 2 : Fazit Fazit: Wenn die Mitarbeiter des Dienstleisters verpflichtet sind und sie in in dieser Eigenschaft Verarbeitungen ausführen, unterliegen sie einer vergleichbaren Geheimhaltungspflicht. 11

5. Lösung 2 : Fehlender Schutz durch Strafbarkeitslücke? Exkurs Anschlussfragen.. Dieser Lösungsansatz wirft weitere Fragen auf. 1. Sind die Mitarbeiter noch verpflichtet, wenn eine nicht öffentliche Stelle die Leistungen in Anspruch nimmt? 2. Machen sich Ärzte in den Bundesländern, die Diese Regelung nicht haben (z.b. NRW) strafbar, wenn sie wie in Sachsen oder Rheinland-Pfalz externe mit der Verarbeitung beauftragen? HINWEIS: Das Bundesministerium der Justiz hat ein Gutachten in Auftrag gegeben, das sich mit der Gesamtproblematik befasst und etwaigen gesetzgeberischen Handlungsbedarf ermitteln soll. 6. Lösungen zur Offenbarung Mit Einwilligung Ohne Einwilligung Mindeststandards zusichern. 1. 1. Auftragsdatenverarbeitung gewährleisten. 2. 2. Geheimhaltungspflicht auferlegen. 12

7. Lösung 3 : ohne Offenbarung Außer Einwilligung und Verarbeitung durch Geheimhaltungsträger ist auch eine dritte Lösung denkbar: Der Dienstleister verarbeitet so, dass er mit Daten nicht In Berührung kommt. Dann findet keine Offenbarung statt! Verschlüsselt pseudonymisiert Die verschlüsselte externe Speicherung hat die Bayrische Aufsichtsbehörde bereits als zulässig bewertet siehe 21.Tätigkeitsbericht von 2004 VERDATA GmbH & Co.KG Sie haben Fragen? Diskussionsbedarf? Bitte kontaktieren Sie mich! mbiewald@verdata.de 0211 438330-0 www.verdata.de Sprechen Sie uns an bei allen Datenschutzfragen! 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback