Recht l iche Gr undlagen der Pseudonymisier ung/anonymisier ung

Ähnliche Dokumente
DATENSCHUTZ IN DER TELEMEDIZIN ANONYMISIERUNG / PSEUDONYMISIERUNG

Informationelle Selbstbestimmung bei Forschungsvorhaben

Die EU-DSGVO und die anonymen Daten

Einführung in die Datenerfassung und in den Datenschutz

Anonymisierung und Pseudonymisierung in Patientenversorgung und Forschung

Datenschutzrechtliche Anforderungen an epidemiologische Studien

Big Data in der Medizin

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Medizinische Forschung und Datenschutz. Alexander May

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion:

Promotionsprotokoll. Name, Vorname. Betreuer. Thema der Promotion. Beginn der Promotion. Voraussichtliches Ende der Promotion

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

DATENSCHUTZ IN DER FORSCHUNG

Cloud Computing, M-Health und Datenschutz. 20. März 2015

Datenschutz in der empirischen IT-Forschung

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Drei Fragen zum Datenschutz im. Nico Reiners

Spannungsfeld Sozialdatenschutz und Nutzung von Sozialdaten durch die Wissenschaft aus Sicht der Aufsichtsbehörde BMAS

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Datenschutz eine Einführung. Malte Schunke

Anmerkungen zu einem angemessenen datenschutzrechtlichen Rahmen für medizinische Forschung und statistische Evaluierung

Datenschutz durch Technik: wie entgehe ich dem Verbot mit Erlaubnisvorbehalt?

Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

Ansätze für datenschutzkonformes Retina-Scanning

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Datenschutzreform 2018

Newsletter Datenschutz

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Die Europäische Datenschutz- Grundverordnung. Schulung am

best Open Systems Day 4. April 2017 Beach 38

Was sind personenbezogene Daten? Eva Souhrada-Kirchmayer. 12. Juli 2013

Datenschutz und GeoInformationen

Aktueller Rechtsstand im Datenschutzrecht Struktur der DS-GVO

Forschung unter der DS-GVO. Dr. Bernd Schütze, Deutsche Telekom Healthcare and Security Solutions GmbH

AMTLICHE BEKANNTMACHUNG

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Jörg Datenschutz in der BRD. Jörg. Einführung. Datenschutz. heute. Zusammenfassung. Praxis. Denitionen Verarbeitungsphasen

DATENSCHUTZ IM RAHMEN VON KLINISCHEN STUDIEN

Datenschutzreform 2018

Ortsbezug = Personenbezug? Die Verwendung von Geodaten und der Datenschutz

Nutzung medizinischer Daten Qualitätssicherung und Forschung

Rechtskonforme Gestaltung von Big Data Projekten

Admincamp Der Admin und das BDSG. - was kann, darf, muss ich mit IP-Daten machen?!?

PSEUDONYMISIERUNG PERSONENBEZOGENER DATEN

TAX COMPLIANCE: Innerbetriebliches Kontrollsystem (K)ein Mehrwert? Stefanie Loos

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

Recht auf Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz

Geoinformationen und Datenschutz FOERSTER+RUTOW

Informationen zum Lernforschungsprojekt im Praxissemester. Sehr geehrte Schulleitung, sehr geehrte Mentorinnen und Mentoren,

Worüber wir sprechen. Digitalisierung was kann man darunter verstehen. Datenschutz eine fachliche Eingrenzung

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Rechtliche Rahmenbedingungen

Datenschutz-Grundverordnung im Automobilbereich

Big Data für die Wirtschaft und der Datenschutz? Susanne Dehmel, BITKOM e.v.

Frankfurter Studien zum Datenschutz 50. Intelligente Videoüberwachung

Anforderungen des Datenschutzes an die (Technik-)Gestaltung

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Rechtliche Grundlagen. des Datenschutzes nach DS-GVO

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Neue Kommunikation und Datenschutz (erster Input)

Folgen der Datenschutz- Grundverordnung für die medizinische Forschung. Datenschutz in der Medizin - Update 2016,

zum Entwurf der Bundesregierung für ein

zum Entwurf der Bundesregierung für ein

Datenschutz in der Zahnarztpraxis Gesetzliche Grundlagen

Einführung. Gründe und Ziele der Datenschutz-Grundverordnung

Newsletter Datenschutz

Anonymisierung und externe Speicherung in Cloud-Speichersystemen

Bearbeitungsgrundsätze: Personendaten, Datensparsamkeit, Privacy by Design und Privacy by Default bei eigenen Produkten und Dienstleistungen.

Monitoring. Möglichkeiten und Grenzen des Datenschutzes. <Prof. Dr. Gabriele Beger, (HRK) nexus, >

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Datenschutz im Web

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher

V orw ort... Abkürzungsverzeichnis... XVII. Literaturverzeichnis... XXI. Einführung B. Gang der Darstellung Teil: Grundlagen...

Glossar. Fallakte Alle Daten, die einem Behandlungsfall zugeordnet sind. Alle Fallakten zusammen bilden die Patientenakte.

Einverständniserklärung zur Verarbeitung personenbezogener Daten für die Härtefallkommission des Landes Schleswig-Holstein

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Dr. Georg Thiel ist der Ständige Vertreter der Abteilungsleiterin

Merkblatt. zur Vorbereitung von Erhebungen an staatlichen Schulen in Bayern

Big Data, Amtliche Statistik und der Datenschutz

BvD. Management-Summary. Überblick in 10 Schritten

Datenschutz Freiermuth Wolfgang 1

Nicht nur IP-Adressen und Cookies!

Grundlagen des Datenschutzes

Datenschutzkonzepte und Rechtsrahmen zur Sekundärnutzung klinischer Daten in der Cloud. Dr. Astros Chatziastros Dr.

Die Datenschutzrechtliche Zulässigkeit von Broad Consent für Forschungszwecke nach der DSGVO

Sicherheit der Verarbeitung. Dr. Bernd Schütze, Deutsche Telekom Healthcare and Security Solutions GmbH

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Datenschutz-Anpassungsgesetz Sammelnovelle

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Geodaten & Datenschutz. GeoForum MV 29. April 2008 Dr. Moritz Karg

Die Informationspflichten der Verantwortlichen

Consulting Class. Merkblatt zur Schweigepflicht

Bundesärztekammer Arbeitsgemeinschaft der deutschen Ärztekammern

Referent: Benjamin Butz

IT-Compliance und Datenschutz. 16. März 2007

EU-Datenschutz- Grundverordnung

Transkript:

Recht l iche Gr undlagen der Pseudonymisier ung/anonymisier ung Dr. Bernd Schütze Berlin, 23. Mai 2016

Wa s is t pseudonym, was anonym? Begriffsbestimmung: Pseudonym, Anonym 3 Abs. 6a: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren 3 Abs. 6: Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können Art. 4 Abs. 5: "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden - Keine Regelungen in der Verordnung, nicht einmal die Begriffsbestimmung - Ausschliesslich kurze Berücksichtigung in Erwägungsgrund 26 2

Genauer : was ist anonym gemäß DS-GVO? Anonyme Daten = Keine Re-Identifikation möglich EU DS-GVO ErwGr. 26: Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten Personenbezug Art. 4: als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann ErwGr. 26: Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren Indirekte Identifizierung = Pseudonym 3

Beg r if f l ic hkeit a no nym : BDSG vs. DS-GVO Relativer und absoluter Personenbezug BDSG Anonymisieren ist Verändern, dass Einzelangaben nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden kann In Deutschland etablierte sich daraus der absolute (= nicht mehr) und der relative (= unverhältnismäßig großer Aufwand) Personenbezug bzgl. Anonymität EU DS-GVO Personenbezug Art. 4 i.v.m. ErwGr 26: ist eine natürliche Person direkt oder indirekt identifizierbar = personenbezogene Daten Artikel-29-Datenschutzgruppe: keine relative Anonymität ( keine Möglichkeit zur Re-Identifizierung, WP 216) Unter Berücksichtigung der Zusammensetzung des künftigen Datenschutz-Ausschusses und der Tatsache, dass die entsprechenden Regelungen der RL 95/46/EG denen der DS-GVO entsprechen DS-GVO spricht wohl von absoluter Anonymität 4

Was folgt dar aus? Folgerungen BDSG Pseudonymisieren ist Ersetzen Anonymisieren ist Verändern Beides laut 3 Abs. 4 BDSG Verarbeitung bzw. Nutzung 4 Abs. 1 BDSG: Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. EU DS-GVO Alles, was mit personenbezogenen Daten geschieht, ist Verarbeitung Insbesondere auch die Pseudonymisierung oder Anonymisierung Artt. 6,9: Verarbeitung nur mit Erlaubnistatbestand zulässig Im Folgenden Betrachtung bzgl. Verarbeitung von Gesundheitsdaten, genetischen Daten 5

Er laubnist at best and gefor der t Rechtsgrundlage erforderlich Eine Pseudonymisierung oder Anonymisierung benötigt einen Erlaubnistatbestand Gesetzlicher Erlaubnistatbestand Betroffener willigt ein Mögliche heutige gesetzliche Erlaubnistatbestände Forschung mit Gesundheitsdaten (z.b. 28 Abs. 6 Ziff. 4 BDSG, Regelungen der Landeskrankenhausgesetze) Qualitätssicherung mit Gesundheitsdaten (z.b. SGB, Vorgaben der Landeskrankenhausgesetze) Problem: in BDSG und Landesdatenschutzgesetzen häufig Hinweis erlaubt nur, wenn gesetzliche Schweigepflicht nicht verletzt wird Entbindung Schweigepflicht erforderlich 6

Er laubnist at best and gefor der t, aber woher nehmen? Rechtsgrundlage erforderlich: was gilt unter der DS-GVO ab 25. Mai 2018? Eine Pseudonymisierung oder Anonymisierung benötigt einen Erlaubnistatbestand Gesetzlicher Erlaubnistatbestand Betroffener willigt ein Mögliche Erlaubnistatbestände unter der EU DS-GVO??? Nationale Regeln erforderlich 7

Abgr enzung: Pseudonym vs. Anonym Wann sind Daten anonym, wann pseudonym? Wann sind Daten als anonym anzusehen, wann als pseudonym? Definition Pseudonym der EU DS-GVO beinhaltet, was Stand heute in Deutschland als faktisch anonym angesehen wird Artikel-29-Datenschutzgruppe Ein häufiger Irrtum liegt in der Annahme, dass pseudonymisierte Daten mit anonymisierten Daten gleichzusetzen seien Pseudonymisierung verringert die Verknüpfbarkeit eines Datenbestands mit der wahren Identität einer betroffenen Person und stellt somit eine sinnvolle Sicherheitsmaßnahme, aber kein Anonymisierungsverfahren dar Häufiger Fehler: Annahme, dass ein pseudonymisierter Datenbestand anonymisiert is t Ergebnis der Anonymisierung so dauerhaft sein sollte wie eine Löschung es darf nicht möglich sein, die personenbezogenen Daten weiter zu verarbeiten Quelle: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_de.pdf 8

Abgr enzung: Pseudonym vs. Anonym Re-Identifikationspotential medizinischer Daten Medizinische Daten können in sich das Potential der Re-Identifikationsmöglichkeit beinhalten Genetische Daten Bilddaten, die eine 3D-Rekonstruktion identifizierender Merkmale erlauben Medizinische Daten selbst, abhängig von der Gruppengröße (z.b.: Der männliche Patient mit Brustkrebs) Diese Daten sind im Sinne der DS-GVO als pseudonym anzusehen, eine Anonymisierung erscheint kaum möglich Ausführliche Besprechung der daraus resultierenden Herausforderungen nach der Mittagspause 9

Offene Fr agen Fragen, auf die Antworten gefunden werden müssen Welche Rechtsgrundlage benötigt Deutschland für Anonymisierung/Pseudonymisierung Forschung Qualitätssicherung Routineversorgung (z.b. Wartung von Informationssystemen) Nationaler Erlaubnistatbestand zur Zweckänderung eine Herangehensweise? Wann sind Daten eines Patienten als anonym anzusehen, wann nur als pseudonym? Merke: pseudonyme Daten = personenbezogene Daten (ErwGr. 26 DS-GVO) Wie gehen wir mit nationalen Regelungen um, wenn wir innereuropäisch international arbeiten wollen? Kann uns der Datenschutz-Ausschuss unterstützen? (Stichwort: Kohärenz-Verfahren und einheitliche Auslegung der DS-GVO) 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback