Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Externe Wartung von Systemen – datenschutzrechtlich überhaupt erlaubt? Dr. Bernd Schütze 60. GMDS-Jahrestagung in Krefeld, 08. September 2015.

Ähnliche Präsentationen


Präsentation zum Thema: "Externe Wartung von Systemen – datenschutzrechtlich überhaupt erlaubt? Dr. Bernd Schütze 60. GMDS-Jahrestagung in Krefeld, 08. September 2015."—  Präsentation transkript:

1 Externe Wartung von Systemen – datenschutzrechtlich überhaupt erlaubt? Dr. Bernd Schütze 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

2 Dr. Bernd Schütze Studium > Studium Informatik (FH-Dortmund) > Studium Humanmedizin (Uni Düsseldorf / Uni Witten/Herdecke) > Studium Jura (Fern-Uni Hagen) Zusatz-Ausbildung > Zusatzausbildung Datenschutzbeauftragter (Ulmer Akademie für Datenschutz und IT-Sicherheit) > Zusatzausbildung Datenschutz-Auditor (TüV Süd) > Zusatzausbildung Medizin-Produkte-Integrator (VDE Prüf- und Zertifizierungsinstitut) Berufserfahrung > 10 Jahre klinische Erfahrung > 20 Jahre IT im Krankenhäusern > 20 Jahre Datenschutz im Gesundheitswesen Mitarbeit in wiss. Fachgesellschaften > Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS) > Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) > Gesellschaft für Informatik (GI) Mitarbeit in Verbänden > Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) > Berufsverband Medizinischer Informatiker e.V. (BVMI) > Fachverband Biomedizinische Technik e.V. (fbmt) > HL7 Deutschland e.V. 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

3 Zugriff durch Externe auf Patientendaten  Wann erlaubt? a) Eine Rechtsvorschrift erlaubt den Zugriff oder ordnet diesen an b) Der Betroffene hat eingewilligt  Rechtsvorschrift a) Allgemein: keine b) Medizinprodukt  §3 Abs. 1 MPBetreibV: „Die Instandhaltungsmaßnahmen sind unter Berücksichtigung der Angaben des Herstellers durchzuführen…“  §6 Abs. 1 MPBetreibV: „ Der Betreiber hat bei Medizinprodukten … iese nach den Angaben des Herstellers und den allgemein anerkannten Regeln der Technik sowie in den vom Hersteller angegebenen Fristen durchzuführen oder durchführen zu lassen…“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

4 Zugriff durch Externe auf Patientendaten  Einwilligung des Betroffenen  „Normalfall“  Möglichkeiten a) Funktionsübertragung  Alle Patienten müssen einwilligen, da im Vorfeld nicht gesagt werden kann, auf welche Patientendaten im Supportfall zugegriffen werden muss b) Auftragsdatenverarbeitung  Keine Einwilligung des Patienten notwendig c) Cave: Schweigepflichtentbindung in beiden Fällen wahrscheinlich erforderlich  Externe sind nach herrschender juristischer Meinung ohne Arbeitnehmerüberlassung nicht als „Gehilfen“ im Sinne des §203 StGB anzusehen  Ohne Schweigepflichtentbindung = unbefugte Offenbarung von Patientengeheimnissen entsprechend §203 StGB 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

5 Zugriff durch Externe auf Patientendaten Schweigepflichtentbindung  Einholung einer Schweigepflichtentbindung erfordert Angabe, welche Daten aus welchem Grund welcher Person enthüllt wird  D.h. vor Eintritt des Wartungsfall muss Patient aufgeklärt werden, auf welche Daten welcher Servicemitarbeiter der Herstellers (aus welchem Grund) zugreift  Schlicht nicht möglich  Wenn ein Patient keiner Schweigepflichtentbindung zustimmt  Wartung ggfs. nicht möglich, System zur Patientenversorgung nicht mehr einsetzbar  Patientenversorgung gefährdet, also auch nicht durchführbar  Einholung einer Schweigepflichtentbindung nicht realisierbar, daher strafrechtlicher Verstoß des zur Verschwiegenheit Verpflichteten (Arzt, Krankenpflege, usw.) gegeben  Bundesgesundheitsministerium mittlereile von der Notwendigkeit einer Gesetzesanpassung überzeugt  Bundesjustizministerium noch zögerlich 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

6 Zugriff durch Externe auf Patientendaten  Einwilligung des Betroffenen  Datenschutzrechtlich im Krankenhaus (und für Sozialdaten) nur Auftragsverarbeitung (ADV ) möglich a) Erfordert einen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) b) Adv-Vertrag nicht trivial, daher erstellte eine Gruppe von Mitarbeitern der Verbände BvD, bvitg, GMDS und GDD einen kommentierten „Muster-Auftragsdatenverarbeitungsvertrag“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

7 Warum einen weiteren Muster-ADV-Vertrag“? Es gibt Vorlagen von  GDD (Stand )  BSI bzgl. Aktenvernichtung (Stand )  DateV (Stand )  Bundes Ministerium des Innern (Stand )  Hessischen DSB (Stand )  LDI-NRW (Stand )  Katholischen Kirche (Stand )  Hausärzteverbund (Stand )  LDI Bremen (Stand )  Bitkom (Stand )  … Aber keiner dieser Muster-Verträge geht auf die Besonderheiten ein, die wir in der Arztpraxis oder im Krankenhaus brauchen (von Forschung ganz zu schweigen) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

8 Welche Besonderheiten brauchen wir denn? 1. Sozialdaten 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

9 Sozialdaten?  Legaldefinition „Sozialdaten“§67 Abs. 1 SGB X „…Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch erhoben, verarbeitet oder genutzt werden…“ = alle in §§18-29 SGB I genannten  öffentlichen Vereinigungen,  Integrationsfachdienste,  die Künstlersozialkasse,  die Deutsche Post AG,  Behörden der Zollverwaltung,  Versicherungsämter,  Gemeindebehörden,  anerkannte Adoptionsvermittlungsstellen nach §2 Abs. 2 des Adoptionsvermittlungsgesetzes sowie  die Stellen, welche Aufgaben nach §67c Abs. 3 SGB X wahrnehmen Arztpraxen, Apotheken und Krankenhäuser unterliegen damit nicht grundsätzlich dem Sozialdatenschutz 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

10 Sozialdaten? ABER es gibt andere Auffassungen: 1. Erhebung beim Leistungserbringer  Entsprechend §67a Abs. 2 können Sozialdaten direkt beim Leistungserbringer erhoben werden.  Damit können Krankenhäuser/Arztpraxen Sozialdaten z.B. für eine Krankenkasse erheben.  Aus §67c SGB X in Verbindung mit §284 SGB V leiten einige Kassen ab, dass beim Leistungserbringer gespeicherte Patientendaten zugleich gespeicherte (i.S. von archivierten) Sozialdaten darstellen. 2. OVG Münster: Weitergabe personenbezogener Daten (Beschluss vom B 613/89)  Personenbezogene Daten (§ 35I SGB I), die zur Erlangung von Sozialleistungen offenbart worden sind, dürfen … unter den Voraussetzungen der §§ 67 ff. SGB X verarbeitet werden  Erhalten Arztpraxen/Krankenhäuser „personenbezogene Daten zur Erlangung von Sozialleistungen“ bei Kostenübernahmeerklärungen durch Krankenkassen? Folgt man diesen (und ähnlichen) Argumentation, so gelten die ADV-Vorschriften des SGB X, bzgl. ADV also §80 SGB X. 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

11 Sozialdaten? Aber §80 SGB X entspricht doch §11 BDSG? Fast:  Auswahl des Auftragnehmers §11 Abs. 2 BDSG: „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind…“ §80 Abs. 2 SGB X: „Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind…“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

12 Sozialdaten? §80 Aber SGB X entspricht doch §11 BDSG? Fast:  Weitergehende Vorschriften für Auftraggeber und Auftragnehmers, z.B. Weisung/Kontrolle BDSG und SGB beide gemeinsam Abs. 2 Ziff. 7 „die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers“ §80 Abs. 2 Satz 3-6 SGB X 3. Der Auftraggeber ist verpflichtet, erforderlichenfalls Weisungen zur Ergänzung der beim Auftragnehmer vorhandenen technischen und organisatorischen Maßnahmen zu erteilen. 4. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 5. Das Ergebnis ist zu dokumentieren. 6. Die Auftragserteilung an eine nicht-öffentliche Stelle setzt außerdem voraus, dass der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat, a) Auskünfte bei ihm einzuholen, b) während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und c) geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen Anforderungen des §80 SGB X deutlich „härter“ als die Anforderungen des §11 BDSG Und: Anzeigepflicht bei der Aufsichtsbehörde entsprechend §80 Abs. 3 SGB X 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

13 Welche Besonderheiten brauchen wir denn? 1. Sozialdaten 2. Umgang mit §203 StGB 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

14 Umgang mit § 203 StGB Wir brauchen:  Klarstellung, dass Datenschutz und Schweigepflicht auf unterschiedlichen Gesetzgebungen beruhen  Klarstellung, dass ADV nicht die §203-Frage lösen kann  Klarstellung, dass §203 StGB gemäß §205 Abs. 1 StGB ein Antragsdelikt ist, wobei den Antrag gemäß nur der Verletzte (bzw. der gesetzliche Vertreter oder im Todesfall der Erbe) stellen kann  D.h.: eine Datenschutz-Aufsichtsbehörde darf Straftaten gemäß §203 StGB nicht verfolgen und auch nicht sanktionieren 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

15 Welche Besonderheiten brauchen wir denn? 1. Sozialdaten 2. Umgang mit §203 StGB 3. Umgang mit Beschlagnahmeschutz 4. Darstellung der landes-gesundheits-rechtlichen Grundlagen für einen ADV-Vertrag 5. Darstellung der bundes- und landesrechtlichen Anforderungen an einen ADV-Vertrag 6. Umgang mit Datenverarbeitung außerhalb EU/EWR 7. Umgang mit EU-Standardvertragsklausen 8. Regelung bzgl. Umgang mit Zurückbehaltungsrecht i.S.v. § 273 BGB 9. Schadensersatz- und Haftungsfragen ansprechen 10. Verpflichtung entsprechend TKG/UWG 11. Informationspflichten gemäß §13 TMG 12. Umgang mit Zweckänderung durch den Auftragnehmer, z.B. Weitergabe der Daten nach Pseudonymisierung/Anonymisierung 13. … Es gilt noch viel ein bisschen mehr zu beachten… 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

16 Aktueller Stand  Initialtreffen am 10. Juli 2014, Ergebnisse a) Alle Verbände sind der Meinung, dass die Erarbeitung eines Muster-ADV-Vertrages sinnvoll ist  Grundlage soll der bitkom-Vertrag sein b) BvD, GDD und GMDS sind sicher, dass eine Stellungnahme bzgl. §203 StGB erforderlich ist, bvitg muss hierzu Mitglieder befragen  Evtl. Änderungsvorschlag zu §203 StGB erarbeiten  1. Workshop am 12. August 2014 a) Gemeinsame Sichtung vorhandener Muster-ADV-Verträge im Hinblick auf notwendige Änderungen und Ergänzungen b) Vorschläge bzgl. der identifizierten Änderungen und Ergänzungen werden von den AG Mitgliedern erarbeitet und bilden Grundlage für den 2. Workshop  2. Workshop am 26. September 2014 a) Zwischen und wurde Überarbeitung durch die Arbeitsgruppe durchgeführt und Ergebnisse an den bvitg zwecks „Einsammlung“ g t b) Beim Treffen Abstimmung der Ergebnisse und Abgleich auf ein gemeinsames Dokument 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

17 Aktueller Stand  bis : Kommentierungsphase; angefragt wurden a) Arbeitsgemeinschaft Kommunaler Großkrankenhäuser (akg) b) Arbeitskreis der Leiter der Klinischen Rechenzentren der Universitätskliniken Deutschland (ALKRZ) c) Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., Arbeitskreis Medizin d) Bundesverband der Krankenhaus IT-Leiterinnen / Leiter e. V. (KH-IT) e) Bundesverband Gesundheits-IT e.V. (bvitg) f) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) g) Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS), Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) h) Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ i) Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

18 Aktueller Stand  Erhaltene Rückmeldungen a) Bzgl. §203 StGB Überarbeitung der Darstellung in eigenem Kapitel? Darstellung  Was ist eine befugte, was eine unbefugte Offenbarung?  Wer ist „berufsmäßiger Gehilfe“?  Einwilligung der Betroffenen vs. Schweigepflichtentbindung b) Eingehen auf Forschung und ADV c) Abgrenzung zu der Meinung bzgl. Anwendung SGB X auf Daten Krankenhaus erforderlich d) Beschlagnahmeschutz auch bei externen Dienstleistern?  3. Workshop am 25. November  Treffen der AG zwecks Überarbeitung an Hand eingegangener Kommentare  Freigabe der Überarbeitung durch die Verbände zum „Europäischer Datenschutztag“ (= 28. Januar 2015) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

19 Ergebnis: „Muster“ ADV-Vertrag 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

20 Ergebnis: „Muster“ ADV-Vertrag  Zwei Teile a) 1. Teil: Einführung, Allgemeines b) 2. Teil: Eigentlicher Vertragsentwurf c) Anhänge 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

21 Ergebnis: „Muster“ ADV-Vertrag  1. Teil Einführung a) Haftungsausschluss b) Copyright c) Allgemeines  Was ist eine „ADV“? d) Abgrenzung  Hinweis, dass Outsourcing auch andere Fragestellungen beinhaltet, die nicht behandelt werden  Abgrenzung zu §203 StGB e) Wartung / Fernwartung  Klarstellung, dass Wartung/Fernwartung eine ADV darstellt f) Sozialdatenschutz vs. Krankenhaus/Arztpraxis g) Vorbedingungen für einen ADV-Auftrag  Darf eine ADV vom Krankenhaus beauftragt werden? h) Zusammenfassung der Anforderungen an den ADV-Vertrag  Zusammenfassende Abbildung der landesrechtlichen Anforderungen 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

22 „Muster“ ADV-Vertrag: erläuternde Kapitel 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

23 „Muster“ ADV-Vertrag: Aufbau  2. Teil: Eigentlicher Vertragsentwurf a) Grundlegender Aufbau an Gesetzestextkommentierungen angelehnt: zu jedem Paragraph eigenständige Kommentierung b) Aufbau:  Präambel  §1 Definitionen  § 2 Gegenstand, Verantwortlichkeit und Dauer des Auftrags  § 3 Pflichten des Auftragnehmers  § 4 Pflichten des Auftraggebers  § 5 Löschung von Daten und Rückgabe von Datenträgern  § 6 Kontrollpflichten  § 7 Unterauftragnehmer  § 8 Individualvertragliche Ergänzung  § 9 Haftung (optional)  § 10 Schriftformklausel  § 11 Salvatorische Klausel  § 12 Erfüllungsort  § 13 Rechtswahl, Gerichtsstand  § 14 Anlage 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

24 „Muster“ ADV-Vertrag: Kommentierung zu den jeweiligen Abschnitten 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

25 „Muster“ ADV-Vertrag: Kennzeichnung „Option“ und „Alternative“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

26 „Muster“ ADV-Vertrag: Anhänge  Anhänge a) Anhang 1: Unterauftragsverhältnis beim Auftragnehmer zum Zeitpunkt der Auftragsvergabe  Darlegung der zum Zeitpunkt des ADC-Vertrages bestehenden Unterauftragsverhältnisse beim Auftragnehmer b) Anhang 2: Nachweis der allgemeinen technischen und organisatorischen Maßnahmen  Darstellung der vom Auftragnehmer getroffenen Maßnahmen zur Abbildung der technisch- organisatorischen Anforderungen (inkl. Kurzer Erklärung/Beispiel, was gemeint ist) c) Anhang 3: EU-Standardvertragsklauseln (Auftragsverarbeiter) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

27 „Muster“ ADV-Vertrag: Anhänge 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

28 Stellungnahme zum Thema „DS-GVO und ADV“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

29 „Muster“ ADV-Vertrag: Beispiel „Fernwartung“ basierend auf EVB-IT 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

30 „Muster“ ADV-Vertrag: Beispiel „Fernwartung“ basierend auf EVB-IT

31 „Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

32 „Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation

33 Abgefragt wird  Allgemeines (z.B. DSB bestellt)  Dokumentation beim Auftragnehmer (z.B. Datenschutzkonzept)  Umsetzung Technisch-organisatorische Maßnahmen 60. GMDS-Jahrestagung in Krefeld, 08. September 2015 „Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation

34 60. GMDS-Jahrestagung in Krefeld, 08. September 2015 „Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation

35 60. GMDS-Jahrestagung in Krefeld, 08. September 2015 „Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation

36 Zusammenfassung Ergebnisse:  Schweigepflichtentbindung für Wartung/Fernwartung von Systemen (KIS, PACS, MRT, …) nicht realisierbar  Für Medizingeräte evtl. MPBetreibV gesetzliche Grundlage  „Muster“ ADV-Vertrag  Stellungnahme zum Thema „DS-GVO und ADV“  Beispiel zur Nutzung des Musters (Anwendungsfall „Fernwartung“)  Excel-Tabelle zur Prüfung der eigenen Organisationsstruktur hinsichtlich ADV-Vergabe  Excel-Tabelle als Beispiel für die Einholung einer Selbstauskunft  Online verfügbar unter:  BvD:https://www.bvdnet.de/ak-medizin.html  bvitg:http://www.bvitg.de  GMDS:http://www.gesundheitsdatenschutz.org/doku.php/gmds-dgi-empfehlungen  GDD:http://gddak.eh-cc.de/materialien_und_links/ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

37 Fragen? Kontakt: 60. GMDS-Jahrestagung in Krefeld, 08. September 2015


Herunterladen ppt "Externe Wartung von Systemen – datenschutzrechtlich überhaupt erlaubt? Dr. Bernd Schütze 60. GMDS-Jahrestagung in Krefeld, 08. September 2015."

Ähnliche Präsentationen


Google-Anzeigen