Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz in der Medizin

Veröffentlicht von:Elke Naeve Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutz in der Medizin"—  Präsentation transkript:

1 Datenschutz in der Medizin
Wir können beraten, weil wir Sie verstehen! Datenschutz in der Medizin © mirus ag Datenschutz in der Medizin Folie: 1

2 © mirus ag Datenschutz in der Medizin Folie: 2
Wir können beraten, weil wir Sie verstehen! Wozu Datenschutz? Zur Sicherung des Persönlichkeitsrechts von natürlichen Personen vor M I S S B R A U C H Schutz der Privatsphäre steht dabei im Mittelpunkt Schutz vor missbräuchlicher Datenverarbeitung z. B. durch den Staat oder durch privatrechtliche Unternehmen Schutz vor der Beschaffung und Verwendung personenbezo- gener Daten durch U n b e f u g t e. © mirus ag Datenschutz in der Medizin Folie: 2

3 © mirus ag Datenschutz in der Medizin Folie: 3
Wir können beraten, weil wir Sie verstehen! Woraus leitet sich der Datenschutz ab? (1) Recht auf informelle Selbststimmung (Artikel 2 Abs. 1 i. V. m. Artikel 1 Abs. 1 GG) „Jeder Mensch kann selbst entscheiden wie, wann und wer personenbezogene Informationen über ihn erhält!“ Das Recht der Verfügungsgewalt über Daten die die eigene Person Betreffen liegt bei jedem Einzelnen selbst. © mirus ag Datenschutz in der Medizin Folie: 3

4 © mirus ag Datenschutz in der Medizin Folie: 4
Wir können beraten, weil wir Sie verstehen! Woraus leitet sich der Datenschutz ab? (2) Europäische Menschrechtskonvention (Art. 8 Abs. 1) „Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs“ © mirus ag Datenschutz in der Medizin Folie: 4

5 © mirus ag Datenschutz in der Medizin Folie: 5
Wir können beraten, weil wir Sie verstehen! Worauf erstreckt sich Datenschutz? (1) auf den Schutz personenbezogener Daten Darunter fallen alle Daten die nicht öffentlich verfügbar sind! Beispiele: Religionszugehörigkeit Gesundheitszustand Sexualleben Kinder u. a. m. © mirus ag Datenschutz in der Medizin Folie: 5

6 © mirus ag Datenschutz in der Medizin Folie: 6
Wir können beraten, weil wir Sie verstehen! Worauf erstreckt sich Datenschutz? (2) Datenschutz erstreckt sich auf zwei Bereiche der Gesellschaft Natürliche Personen (Endverbraucher, Patient, Klient) und diejenigen Stellen, die Daten verarbeiten (Staat, Unternehmen) © mirus ag Datenschutz in der Medizin Folie: 6

7 © mirus ag Datenschutz in der Medizin Folie: 7
Wir können beraten, weil wir Sie verstehen! Rechtliche Grundlagen (1)  Gesetze auf Bundesebene Bundesdatenschutzgesetz (BDSG) Geltungsbereich: Öffentliche Stellen (Kommunalverwaltungen) Nicht-öffentliche Stellen (z. B. juristische Personen (AG, GmbH u. a.) Personengesellschaften (GbR, KG etc.) nicht rechtsfähige Vereinigungen (Gewerkschaften, politische Parteien o. ä.) natürliche Personen (Ärzte, Architekten, Rechtsanwälte etc.) © mirus ag Datenschutz in der Medizin Folie: 7

8 © mirus ag Datenschutz in der Medizin Folie: 8
Wir können beraten, weil wir Sie verstehen! Rechtliche Grundlagen (2)  Gesetze auf Landesebene landesspezifische Datenschutzgesetze (LDSG) Landeskrankenhausgesetze bereichsspezifische Regelungen für Medien, Meldewesen, Sicherheitsbehörden und Kultur Geltungsbereich: Öffentliche Stellen (Landesbehörden, Kommunalverwaltungen, Krankenhäuser u.a.m.) © mirus ag Datenschutz in der Medizin Folie: 8

9 © mirus ag Datenschutz in der Medizin Folie: 9
Wir können beraten, weil wir Sie verstehen! Rechtliche Grundlagen (3)  Spezialgesetze bereichsspezifische Gesetze, die, entsprechend ihres Anwen- dungsbereichs, Spezialregelungen enthalten Beispiele: Sozialgesetzbuch X Datenschutzverordnungen der Religionsgemeinschaften Bundespolizeigesetz © mirus ag Datenschutz in der Medizin Folie: 9

10 © mirus ag Datenschutz in der Medizin Folie: 10
Wir können beraten, weil wir Sie verstehen! Rechtliche Grundlagen (4)  Subsidiaritätsprinzip Erst wenn keine Regelungen in Spezialgesetzen für bestimmte Sachverhalte existieren, findet das Bundesdatenschutzgesetz Anwendung. © mirus ag Datenschutz in der Medizin Folie: 10

11 Rechtliche Grundlagen (5)
Wir können beraten, weil wir Sie verstehen! Rechtliche Grundlagen (5) Anwendungsbeispiel Krankenhaus (§1 Abs. 2 BDSG öffentliche Stelle (Trägerschaft des Bundes) öffentliche Stelle (kommunale Träger/ Trägerschaft des Landes) Nicht-öffentliche Stelle (private Träger) Bundes- datenschutz- gesetz (BDSG) Landes- kranken- hausgesetz (LKHG) Subsidiär: Landesdaten- Schutzgesetz (LDSG) LKHG BDSG © mirus ag Datenschutz in der Medizin Folie: 11

12 © mirus ag Datenschutz in der Medizin Folie: 12
Wir können beraten, weil wir Sie verstehen! Rechtliche Grundlagen (6)  Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist v e r b o t e n! Es sei denn, sie begründet sich auf einer Rechtsnorm (durch Gesetz erlaubt) oder einer ausdrücklichen Einwilligung des Betroffenen (durch wirk- same Einwilligung erlaubt) © mirus ag Datenschutz in der Medizin Folie: 12

13 © mirus ag Datenschutz in der Medizin Folie: 13
Wir können beraten, weil wir Sie verstehen! Rechtliche Grundlagen (7)  Umsetzung der Datenschutzgesetze durch unabhängige Kontrollen mittels innerbetrieblicher / innerbehördlicher Selbstkontrolle (durch den betrieblichen/behördlichen Datenschutzbeauftragten) mittels Fremdkontrolle (durch staatliche Aufsichtsbehörden) (Bundes- und Landesdatenschutzbeauftragten – öffentliche Stellen) (Aufsichtsbehörden – nicht öffentliche Stellen) © mirus ag Datenschutz in der Medizin Folie: 13

14 © mirus ag Datenschutz in der Medizin Folie: 14
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (1)  Betrieblicher / innerbehördlicher Datenschutzbeauftragter betrieblicher Datenschutzbeauftragter Krankenhäuser, die in privater Rechtsform betrieben werden, unterliegen der Pflicht einen betrieblichen Datenschutzbeauf- tragten zu bestellen. Auch Arztpraxen und Apotheken unterliegen dieser Pflicht eigentlich ausnahmslos. © mirus ag Datenschutz in der Medizin Folie: 14

15 © mirus ag Datenschutz in der Medizin Folie: 15
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (2) Bestellung eines Datenschutzbeauftragten ist schriftlich mittels einer Bestellungsurkunde zu bestellen; Pflicht zur Bestellung besteht bei - nicht-automatisierter Datenverarbeitung personenbezogener Daten soweit mindestens 20 Mitarbeiter zumindest zeitweise mit der Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind © mirus ag Datenschutz in der Medizin Folie: 15

16 © mirus ag Mitarbeiterschulung Datenschutz Folie: 16
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (3) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei - automatisierter Datenverarbeitung personenbezogener Daten soweit mindestens 10 Mitarbeiter zumindest zeitweise mit der Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind © mirus ag Mitarbeiterschulung Datenschutz Folie: 16

17 © mirus ag Datenschutz in der Medizin Folie: 17
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (4) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) In Arztpraxen und Apotheken werden „Besondere Arten personen- bezogener Daten“ verarbeitet! (§ 3 Abs. 9 BDSG) Folge: z u t r e f f e n d © mirus ag Datenschutz in der Medizin Folie: 17

18 © mirus ag Datenschutz in der Medizin Folie: 18
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (5) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Die Verarbeitung von Daten nach § 3 Abs. 9 BDSG unterliegt der Vorabkontrolle (§ 4d Abs. 5 Ziffer 1 BDSG) Folge: z u t r e f f e n d © mirus ag Datenschutz in der Medizin Folie: 18

19 © mirus ag Datenschutz in der Medizin Folie: 19
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (6) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ein Datenschutzbeauftragter ist IMMER zu bestellen, wenn eine auto- matisierte Datenverarbeitung vorgenommen wird, die einer Vorab- kontrolle unterliegt (§ 4 f Abs. 1 Satz 6 BDSG) Folge: z u t r e f f e n d © mirus ag Datenschutz in der Medizin Folie: 19

20 © mirus ag Datenschutz in der Medizin Folie: 20
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (7) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ausnahmen: Gesetzliche Verpflichtung? (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG) Der Arzt ist nach der Berufsordnung zur Dokumentation verpflichtet. Die Berufsordnung stellt jedoch keine gesetzliche Verpflichtung des Arztes dar, die Daten automatisiert zu verarbeiten. (§ 10 MBO) © mirus ag Datenschutz in der Medizin Folie: 20

21 © mirus ag Datenschutz in der Medizin Folie: 21
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (8) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ausnahmen: Einwilligung des Patienten (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG) In der Praxis wird vom Patienten so gut wie nie eine Einwilligung in die automatisierte Datenverarbeitung erhoben. An die Einwilli- gung sind auch besondere Voraussetzungen gebunden. © mirus ag Datenschutz in der Medizin Folie: 21

22 © mirus ag Datenschutz in der Medizin Folie: 22
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (9) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ausnahmen: Einwilligung des Patienten? (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG) Folge: der Ausnahmetatbestand greift i. d. R. nicht! © mirus ag Datenschutz in der Medizin Folie: 22

23 © mirus ag Datenschutz in der Medizin Folie: 23
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (10) Bestellung eines Datenschutzbeauftragten Sowohl Arztpraxen, Apotheken und andere „Heilberufe“ – soweit sie der beruflichen Schweigepflicht nach § 203 StGB unterliegen – sind nach § 4f BDSG v e r p f l i c h t e t einen Datenschutzbeauf- tragten zu bestellen. Krankenhäuser in privater Trägerschaft sind hierzu ebenfalls ver- pflichtet. © mirus ag Datenschutz in der Medizin Folie: 23

24 © mirus ag Datenschutz in der Medizin Folie: 24
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (11) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? auch bei solchen verantwortlichen Stellen, bei denen der Leiter oder eine sonstige beschäftigte Person einem Berufsgeheimnis unterliegen, dürfen einen externen Datenschutzbeauftragten zur Wahrung ihrer Verpflichtung bestellen (§ 41 f Abs. 2 Satz 3 BDSG) Die Kontrollbefugnis des externen Datenschutzbeauftragten er- streckt sich dabei ausdrücklich auf solche Daten, die dem Berufs- geheimnis unterliegen. © mirus ag Datenschutz in der Medizin Folie: 24

25 © mirus ag Datenschutz in der Medizin Folie: 25
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (12) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? auch der externe Datenschutzbeauftragte unterliegt dem Verbot der Offenbarung von Berufsgeheimnissen unbefugte Offenbarung von Berufsgeheimnissen durch den externen Datenschutzbeauftragten unterwirft diesen den gleichen Strafandrohungen wie den Berufsgeheimnisträgen (§ 203 Abs. 2a StGB) © mirus ag Datenschutz in der Medizin Folie: 25

26 © mirus ag Datenschutz in der Medizin Folie: 26
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (13) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? der Gesetzgeber hat aber auch das ärztliche Z e u g n i s - v e r w e i g e r u n g s r e c h t und den B e s c h l a g n a h m e – s c h u t z auf den betrieblichen Datenschutzbeauftragten und dessen Hilfspersonal ausgedehnt (§ 4 f Abs. 4a BDSG) will heißen, soweit dem Arzt (aber auch sonstigen Heilberufen) ein Zeugnisverweigerungsrecht über das zusteht, was ihm in seiner be- ruflichen Eigenschaft anvertraut oder bekannt geworden ist (vgl. § 53 Abs. 1 Nr. 3 StPO) gilt das Zeugnisverweigerungsrecht auch für den betriebl. Datenschutzbeauftragten (ext. oder int.) © mirus ag Datenschutz in der Medizin Folie: 26

27 © mirus ag Datenschutz in der Medizin Folie: 27
Wir können beraten, weil wir Sie verstehen! Selbstkontrolle (14) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? es handelt sich bei dem Zeugnisverweigerungsrecht des bDSB aber nicht um ein eigenes Recht, sondern ein Recht, dass grundsätzlich dem Berufsgeheimnisträger zusteht. es steht also dem Arzt das Recht zu, darüber zu entscheiden, ob der bDSB das Zeugnis im konkreten Fall verweigern soll oder nicht gleiches gilt für den Beschlagnahmeschutz – steht in Abhängig- keit vom Zeugnisverweigerungsrecht © mirus ag Datenschutz in der Medizin Folie: 27

28 © mirus ag Datenschutz in der Medizin Folie: 28
Wir können beraten, weil wir Sie verstehen! Die ärztliche Schweigepflicht (1) Rechtsgrundlage: § 203 StGB danach macht sich strafbar, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Ge- heimnis offenbart, das ihm als Arzt anvertraut worden ist oder be- kannt geworden ist. © mirus ag Datenschutz in der Medizin Folie: 28

29 © mirus ag Datenschutz in der Medizin Folie: 29
Wir können beraten, weil wir Sie verstehen! Die ärztliche Schweigepflicht (2) Rechtsgrundlage: § 9 MBO Ärzte haben über das, was ihnen in ihrer Eigenschaft als Arzt anver- traut oder bekannt geworden ist, zu schweigen © mirus ag Datenschutz in der Medizin Folie: 29

30 © mirus ag Datenschutz in der Medizin Folie: 30
Wir können beraten, weil wir Sie verstehen! Die ärztliche Schweigepflicht (3) Reichweite der ärztlichen Schweigepflicht: umfasst alle Tatsachen, die nur einem bestimmten, abgenzbaren Personenkreis bekannt sind und an deren Geheimhaltung der Patient ein verständliches, also tatsächlich begründbares und damit schutzwürdiges Interesse hat grundsätzlich auch gegenüber anderen Ärzten, Familienange- hörigen des Patienten oder eigenen Familienangehörigen zu wahren besteht auch nach dem Tod des Patienten fort © mirus ag Datenschutz in der Medizin Folie: 30

31 © mirus ag Datenschutz in der Medizin Folie: 31
Wir können beraten, weil wir Sie verstehen! Die ärztliche Schweigepflicht (4) Durchbrechung der ärztlichen Schweigepflicht: wenn gesetzliche Vorschriften dem Arzt eine Pflicht oder ein Recht zur Offenbarung auferlegen oder geben wenn der Patient seine Einwilligung ausdrücklich oder konkludent erteilt hat (ausdrücklich stellt hier die sichere Form dar) mutmaßliche Einwilligung (soweit der Patient seine Einwilligung z. B. wg. Bewusstlosigkeit nicht erklären kann) © mirus ag Datenschutz in der Medizin Folie: 31

32 © mirus ag Datenschutz in der Medizin Folie: 32
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (1) Gefahren der Datenverarbeitung für den Betroffenen ist oft nicht nachvollziehbar, welche Daten über ihn zu welchem Zweck gespeichert werden; aufgrund von großen Datensammlungen, die praktisch eine unbe- grenzte Speicherdauer haben, können umfassende Persönlichkeits- profile erstellt werden; Gefahr für den Betroffenen durch unzulässige Datenerhebung © mirus ag Datenschutz in der Medizin Folie: 32

33 © mirus ag Datenschutz in der Medizin Folie: 33
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (2) Gefahren der Datenverarbeitung Gefahr für den Betroffenen durch rechtswidrige Verknüpfung zu- lässig erhobener Daten Gefahr durch Datenerhebung ohne Kenntnis des Betroffenen Gefahr der Erhebung und Verarbeitung falscher Daten (z. B. durch Manipulation der Daten) z. B. falsche Daten bei der Schufa bspw. wirken sich d i r e k t auf die Beurteilung der Kreditwürdigkeit des Betroffenen aus. © mirus ag Datenschutz in der Medizin Folie: 33

34 © mirus ag Datenschutz in der Medizin Folie: 34
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (3) Gefahren der Datenverarbeitung werden Daten aus ihrem Kontext herausgelöst verarbeitet, kann dies ebenso zu verfälschten Ergebnissen führen Gefahr durch unrechtmäßige Nutzung der gespeicherten Daten z. B. rechtswidrige „Zweitverwendung“ durch den Verkauf (Adresshandel) © mirus ag Datenschutz in der Medizin Folie: 34

35 © mirus ag Datenschutz in der Medizin Folie: 35
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (4) Recht auf Auskunftserteilung gem. § 19 BDSG der Betroffene hat das Recht auf Auskunftserteilung über die zu seiner Person gespeicherten Daten Ein Patient kann also die zu seiner Person gespeicherten Daten beim Arzt erfragen und auch, zu welchen Zwecken und an wen diese übermittelt wurden oder werden. © mirus ag Datenschutz in der Medizin Folie: 35

36 © mirus ag Datenschutz in der Medizin Folie: 36
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (5) Recht auf Benachrichtigung gem. § 19 a BDSG der Betroffene hat das Recht auf Benachrichtigung soweit Daten über seine Person ohne seine Kenntnis gespeichert werden. des weiteren ist er über den Zweck der Speicherung und den Empfänger übermittelter Daten zu informieren; z. B. ist ein Patient bei einer Überweisung darüber zu informieren, dass seine Daten an einem Facharzt weitergegeben werden; © mirus ag Datenschutz in der Medizin Folie: 36

37 © mirus ag Datenschutz in der Medizin Folie: 37
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (6) Recht auf Benachrichtigung gem. § 19 a BDSG auch, wenn der behandelnde Arzt lediglich Ratschläge eines anderen Arztes einholt und dabei Patientendaten offenbart, hat der Betroffene ein Recht auf Benachrichtigung © mirus ag Datenschutz in der Medizin Folie: 37

38 © mirus ag Datenschutz in der Medizin Folie: 38
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (7) Recht auf Berichtigung, Löschung und Sperrung von Daten Widerspruchsrecht gem. § 20 BDSG der Betroffene hat das Recht auf Berichtigung seiner Daten, soweit sie unrichtig sind; der Betroffene hat das Recht auf Löschung seiner Daten, soweit sie unzulässig gespeichert wurden; © mirus ag Datenschutz in der Medizin Folie: 38

39 © mirus ag Datenschutz in der Medizin Folie: 39
Wir können beraten, weil wir Sie verstehen! Rechte der Betroffenen (8) Recht auf Berichtigung, Löschung und Sperrung von Daten Widerspruchsrecht gem. § 20 BDSG der Betroffene hat das Recht auf Sperrung seiner Daten, soweit bei diesen eine Löschung wegen vorgeschriebener Aufbewah- rungsfristen unmöglich ist Die Sperrung von Daten hat die Einschränkung ihrer Verwendung zur Folge. © mirus ag Datenschutz in der Medizin Folie: 39

40 © mirus ag Datenschutz in der Medizin Folie: 40
Wir können beraten, weil wir Sie verstehen! Ärztliche Dokumentation (1) Rechtsgrundlage Verpflichtung zur Dokumentation ergibt sich aus § 10 Abs. MBO § 57 Abs. 3 BMV-Ä (Bundesmantelvertrag Ärzte) u. a. m. © mirus ag Datenschutz in der Medizin Folie: 40

41 © mirus ag Datenschutz in der Medizin Folie: 41
Wir können beraten, weil wir Sie verstehen! Ärztliche Dokumentation (2) Rechtsgrundlage Das Erstellen einer ärztlichen Kartei (Krankenakte) ist datenschutzrechtlich erheben, verarbeiten und nutzen personenbezogener Daten Die Erstellung erfolgt aufgrund gesetzlicher Verpflichtung im Rahmen des Behandlungsvertrages erlaubt ist auch das erheben, verarbeiten und nutzen mittels EDV – es ist aber nicht gesetzlich vorgeschrieben. © mirus ag Datenschutz in der Medizin Folie: 41

42 © mirus ag Datenschutz in der Medizin Folie: 42
Wir können beraten, weil wir Sie verstehen! Ärztliche Dokumentation (3) Rechtsgrundlage im Falle der EDV-mässigen Erfassung bedarf es einer gesonderten Einwilligung des Patienten dies trifft insbesondere dann zu, wenn die EDV auch den Datenaus- tausch mit Dritten (egal ob in Form von senden oder empfangen) zulässt © mirus ag Datenschutz in der Medizin Folie: 42

43 © mirus ag Datenschutz in der Medizin Folie: 43
Wir können beraten, weil wir Sie verstehen! Ärztliche Dokumentation (4) Schutz vor Einsichtnahme, Zugriff oder Verfälschung Unbefugte dürfen keinen Zugriff auf die Patientenakten oder die EDV erlangen der EDV Arbeitsplatz ist zu sperren Sicherheitsmaßnahmen im Rahmen der Wartung der EDV Nachweis (Protokollierung) jeglicher Änderungen an den Daten © mirus ag Datenschutz in der Medizin Folie: 43

44 © mirus ag Datenschutz in der Medizin Folie: 44
Wir können beraten, weil wir Sie verstehen! Ärztliche Dokumentation (5) Aufbewahrungsfristen ärztliche Aufzeichnungen sind für die Dauer von 10 Jahren nach der Behandlung aufzubewahren weitere z. T. längere Aufbewahrungsfristen ergeben sich aus an- deren Vorschriften (Beispiele) © mirus ag Datenschutz in der Medizin Folie: 44

45 © mirus ag Datenschutz in der Medizin Folie: 45
Wir können beraten, weil wir Sie verstehen! Datensicherheit (1) Allgemeines Datensicherheit beinhaltet den Schutz von EDV-Komponenten wie Hard- und Software, aber auch von sensiblen personenbezogenen Daten, vor Verlust und Missbrauch zu anderen als vom Eigentümer genehmigten Zwecken § 9 BDSG regelt, dass „öffentliche und nicht-öffentliche Stellen, die … personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes … zu gewährleisten“ © mirus ag Datenschutz in der Medizin Folie: 45

46 © mirus ag Datenschutz in der Medizin Folie: 46
Wir können beraten, weil wir Sie verstehen! Datensicherheit (2) Allgemeines Anlage zu § 9 Satz 1 BDSG stellt die Verbindung zwischen Datenschutz und Datensicherheit in der IT dar; Datensicherheit beinhaltet die Umsetzung aller technischen und organisatorischer Maßnahmen die zu treffen sind um die Verletz- ung des Persönlichkeitsrechts bei der Erhebung, Verarbeitung und Nutzung seiner persönlichen Daten zu verhindern. © mirus ag Datenschutz in der Medizin Folie: 46

47 © mirus ag Datenschutz in der Medizin Folie: 47
Wir können beraten, weil wir Sie verstehen! Datensicherheit (3) Ziele Gewährleistung der V e r f ü g b a r k e i t Verhinderung von Systemausfällen, Der Zugriff auf die Daten muss innerhalb eines vereinbarten Zeit- rahmens gewährleistet werden Bezieht sich nicht nur auf die Daten sondern auch auf die Hard- und Software © mirus ag Datenschutz in der Medizin Folie: 47

48 © mirus ag Datenschutz in der Medizin Folie: 48
Wir können beraten, weil wir Sie verstehen! Datensicherheit (4) Ziele Gewährleistung der V e r f ü g b a r k e i t Beispiele: Maßnahmen zur Ausfallsicherung (Ersatz-Server, Einsatz redun- danter Datenträger, schnelle Wiederanlaufverfahren oder Wieder- einspielungen eines Datenbestandes u. a. m.) unterbrechungsfreie Stromversorgung (USV), © mirus ag Datenschutz in der Medizin Folie: 48

49 © mirus ag Datenschutz in der Medizin Folie: 49
Wir können beraten, weil wir Sie verstehen! Datensicherheit (5) Ziele Gewährleistung der V e r f ü g b a r k e i t Beispiele: Schutz vor äußerlichen Einflüssen (Feuer, Wasser, Vandalismus, magnetische Störung u. a. m.) sichere Aufbewahrung von Datenträgern oder sonstigen Back-Up Medien (DATA Safe oder Datensicherungsraum mit RAL-Prüfsiegeln) © mirus ag Datenschutz in der Medizin Folie: 49

50 © mirus ag Datenschutz in der Medizin Folie: 50
Wir können beraten, weil wir Sie verstehen! Datensicherheit (6) Ziele Gewährleistung der A u t h e n t i z i t ä t hauptsächlich bei elektronisch übertragenen Dokumenten bedroht (Arztbriefe, Austausch von Laborergebnissen mit ext. Laboren etc.) ist gegeben, wenn nachgewiesen werden kann, dass empfangene Daten auch tatsächlich von autorisierten und authentisierten Be- nutzern stammen; © mirus ag Datenschutz in der Medizin Folie: 50

51 © mirus ag Datenschutz in der Medizin Folie: 51
Wir können beraten, weil wir Sie verstehen! Datensicherheit (7) Ziele Gewährleistung der A u t h e n t i z i t ä t Beispiel: Signaturverfahren - bei denen rechtsverbindlich festgestellt werden kann, ob die Daten von Betroffenen autorisiert (z. B. digital signiert) sind oder wer Urheber von Daten ist, die nicht von den Betroffenen stammen (z. B. bei Datenübermittlung) © mirus ag Datenschutz in der Medizin Folie: 51

52 © mirus ag Datenschutz in der Medizin Folie: 52
Wir können beraten, weil wir Sie verstehen! Datensicherheit (8) Ziele Gewährleistung der I n t e g r i t ä t wenn Daten und Datenbestände unversehrt, vollständig und aktuell sind, also v e r l ä s s l i c h r i c h t i g; muss während der Erhebung und allen Phasen der Verarbeitung und Nutzung gewährleistet sein; mit Anschluss ans Internet muss die Verfälschung durch Schadpro- gramme und Viren ausgeschlossen werden © mirus ag Datenschutz in der Medizin Folie: 52

53 © mirus ag Datenschutz in der Medizin Folie: 53
Wir können beraten, weil wir Sie verstehen! Datensicherheit (9) Ziele Gewährleistung der I n t e g r i t ä t Beispiele: - Plausibilitätskontrollen bei der Eingabe von Daten - regelmäßige Überprüfung der Aktualisierung der Datenbestände - Kontrolle der Durchführung von Reparaturen, Wartung oder Fern- wartung von Hard- und Software durch Fremdfirmen © mirus ag Datenschutz in der Medizin Folie: 53

54 © mirus ag Datenschutz in der Medizin Folie: 54
Wir können beraten, weil wir Sie verstehen! Datensicherheit (10) Ziele Gewährleistung der I n t e g r i t ä t Beispiele: - Einsatz von Virenprogrammen - Einsatz von Firewall-Systemen zur Abschottung von Krankenhaus- netzen gegenüber Fremdnetzen (z. B. dem Internet) © mirus ag Datenschutz in der Medizin Folie: 54

55 © mirus ag Datenschutz in der Medizin Folie: 55
Wir können beraten, weil wir Sie verstehen! Datensicherheit (11) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t - es muss nachvollziehbar sein, wie Daten in einen Datenbestand gelangt sind - es muss nachvollziehbar sein, welchen Veränderungen Daten im Laufe der Zeit unterlegen sind © mirus ag Datenschutz in der Medizin Folie: 55

56 © mirus ag Datenschutz in der Medizin Folie: 56
Wir können beraten, weil wir Sie verstehen! Datensicherheit (12) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t - es muss nachprüfbar sein, wer Daten in einen Datenbestand aufge- nommen hat; - es muss nachvollziehbar sein, wer Daten im Datenbestand ver- ändert hat © mirus ag Datenschutz in der Medizin Folie: 56

57 © mirus ag Datenschutz in der Medizin Folie: 57
Wir können beraten, weil wir Sie verstehen! Datensicherheit (13) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t - es muss nachprüfbar sein, wer Daten aus einem Datenbestand entfernt hat; - P r o b l e m: die Protokolldaten bergen selbst ein datenschutzrechtliches Problem und unterliegen einer engen Zweckbindung; © mirus ag Datenschutz in der Medizin Folie: 57

58 © mirus ag Datenschutz in der Medizin Folie: 58
Wir können beraten, weil wir Sie verstehen! Datensicherheit (14) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t Beispiele: - Auswertung von Protokolldateien; - Auswertungstools für Protokolldateien (Nachvollziehen, wer in welcher Weise Daten eingegeben, verändert und/oder gelöscht hat oder woher und wohin Daten übermittelt wurden) © mirus ag Datenschutz in der Medizin Folie: 58

59 © mirus ag Datenschutz in der Medizin Folie: 59
Wir können beraten, weil wir Sie verstehen! Datensicherheit (15) Ziele Gewährleistung der T r a n s p a r e n z Automatisierte Verfahren sind in aktueller Form nachvollziehbar zu dokumentieren; die einzelnen Verfahrensschritte müssen dabei so beschrieben werden, dass die systematische Richtigkeit der Prozesse nachvoll- ziehbar werden; © mirus ag Datenschutz in der Medizin Folie: 59

60 © mirus ag Datenschutz in der Medizin Folie: 60
Wir können beraten, weil wir Sie verstehen! Datensicherheit (16) Ziele Gewährleistung der T r a n s p a r e n z steht in besonderem Zusammenhang mit der Auskunftspflicht gegenüber Betroffenen; Dokumentation der Freigabe und Vorabkontrolle nach § 4 d (2) BDSG i . V. m. § 4 e BDSG Dokumentation von wesentlichen Programmänderungen bzw. Fortschreibung der Programmdokumentation (Prüfung / Nachvollzug) © mirus ag Datenschutz in der Medizin Folie: 60

61 © mirus ag Datenschutz in der Medizin Folie: 61
Wir können beraten, weil wir Sie verstehen! Datensicherheit (17) Ziele Gewährleistung der T r a n s p a r e n z ordnungsgemäße Führung des Verfahrensverzeichnisses § 4 g (2) i. V. m. § § 4 e Satz 1 BDSG © mirus ag Datenschutz in der Medizin Folie: 61

62 © mirus ag Datenschutz in der Medizin Folie: 62
Wir können beraten, weil wir Sie verstehen! Auftragsdatenverarbeitung (1) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 1. Gegenstand und Dauer des Auftrages Meist in einem der Geschäftsbeziehung zu Grunde liegenden zivilrechtlichen Vertrag geregelt Im Rahmen von Nr 1. des § 11 Abs. 2 Satz 2 kann auf diesen Vertrag verwiesen werden Ansonsten sind Gegenstand und Dauer des Auftrags in der Vereinbarung nach § 11 BDSG zu spezifizieren © mirus ag Datenschutz in der Medizin Folie: 62

63 © mirus ag Datenschutz in der Medizin Folie: 63
Wir können beraten, weil wir Sie verstehen! Auftragsdatenverarbeitung (2) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 2. Konkretisierung des Auftragsinhaltes Folgende Festlegungen sind schriftlich zu fixieren: - Umfang, Art und Zweck der Datenverwendung - Art der Daten - Kreis der Betroffenen © mirus ag Datenschutz in der Medizin Folie: 63

64 © mirus ag Datenschutz in der Medizin Folie: 64
Wir können beraten, weil wir Sie verstehen! Auftragsdatenverarbeitung (3) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 2. Konkretisierung des Auftragsinhaltes Aus der schriftlichen Vereinbarung muss hervorgehen, um was es bei der konkreten Auftragsdatenverarbeitung im Einzelnen geht Beispiel 1: Ein Entsorger muss nur wissen, dass es sich um sensible personenbe- zogene Daten handelt; er braucht keine detaillierte Beschreibung der Daten © mirus ag Datenschutz in der Medizin Folie: 64

65 © mirus ag Datenschutz in der Medizin Folie: 65
Wir können beraten, weil wir Sie verstehen! Auftragsdatenverarbeitung (4) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 2. Konkretisierung des Auftragsinhaltes Aus der schriftlichen Vereinbarung muss hervorgehen, um was es bei der konkreten Auftragsdatenverarbeitung im Einzelnen geht Beispiel 2: Ein Callcenter benötigt für die Erfüllung seiner Aufgaben hingegen nähere Angaben über die sensiblen personenbezogenen Daten, die zur Erfüllung der Aufgaben erforderlich sind. © mirus ag Datenschutz in der Medizin Folie: 65

66 © mirus ag Datenschutz in der Medizin Folie: 66
Wir können beraten, weil wir Sie verstehen! Auftragsdatenverarbeitung (5) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 3. Technisch-organisatorische Maßnahmen (gem. § 9 BDSG) Maßnahmen zur Zutrittskontrolle Maßnahmen zur Zugangskontrolle Maßnahmen zur Datenträgerkontrolle Maßnahmen zur Speicherkontrolle © mirus ag Datenschutz in der Medizin Folie: 66

67 © mirus ag Datenschutz in der Medizin Folie: 67
Wir können beraten, weil wir Sie verstehen! Auftragsdatenverarbeitung (5) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 3. Technisch-organisatorische Maßnahmen (gem. § 9 BDSG) Maßnahmen zur Benutzerkontrolle Maßnahmen zur Zugriffskontrolle Maßnahmen zur Transportkontrolle Maßnahmen zur Organisationskontrolle © mirus ag Datenschutz in der Medizin Folie: 67

68 © mirus ag Datenschutz in der Medizin Folie: 68
Wir können beraten, weil wir Sie verstehen! Strafbarkeit von Datenschutzverstößen (1) Schadenersatz (§ 7 BDSG) „Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadenersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.“ © mirus ag Datenschutz in der Medizin Folie: 68

69 © mirus ag Datenschutz in der Medizin Folie: 69
Wir können beraten, weil wir Sie verstehen! Strafbarkeit von Datenschutzverstößen (2) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Grundsätzlich macht sich derjenige wegen Verstoßes gegen den Datenschutz strafbar, der einen der in § 43 Abs. 2 BDSG aufgeführten Tatbestände verwirklicht. © mirus ag Datenschutz in der Medizin Folie: 69

70 © mirus ag Datenschutz in der Medizin Folie: 70
Wir können beraten, weil wir Sie verstehen! Strafbarkeit von Datenschutzverstößen (3) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände jeder einzelne Mitarbeiter hat gemäß Dienstvereinbarung (Datenschutzerklärung bzw. Verschwiegenheitserklärung) eigenverantwortlich den datenschutzgerechten Umgang mit personenbezogenen Daten zu gewährleisten Datenschutzverstöße können für den Arbeitnehmer evtl. auch arbeitsvertraglich relevante Folgen haben (ggfs. Kündigungsgrund) © mirus ag Datenschutz in der Medizin Folie: 70

71 © mirus ag Datenschutz in der Medizin Folie: 71
Wir können beraten, weil wir Sie verstehen! Strafbarkeit von Datenschutzverstößen (4) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände die Führungskräfte sind für die Umsetzung der datenschutzrechtlichen Maßnahmen und Organisationsanweisungen verantwortlich im Fall der Auftragsdatenverarbeitung haftet der Auftragnehmer, wenn er seine Pflicht nicht erfüllt oder sich nicht an Weisungen des Auftraggebers hält und dadurch einen Schaden beim Auftraggeber oder beim Betroffenen verursacht © mirus ag Datenschutz in der Medizin Folie: 71

72 © mirus ag Datenschutz in der Medizin Folie: 72
Wir können beraten, weil wir Sie verstehen! Strafbarkeit von Datenschutzverstößen (5) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände der Datenschutzbeauftragte (DSB) muss auf die Einhaltung der gesetzlichen Vorschriften nach den jeweiligen Bestimmungen zu Datenschutz in Unternehmen hinwirken und die Mitarbeiter mit den entsprechenden Datenschutzregelungen vertraut machen. Der Datenschutzbeauftragte haftet bei Pflichtverletzung. da der Datenschutzbeauftragte keine Weisungsbefugnis besitzt – lediglich auf die Einhaltung des Datenschutzes hinwirken muss – ist eine Zurechnung im Schadensfall genau zu prüfen. © mirus ag Datenschutz in der Medizin Folie: 72

73 © mirus ag Datenschutz in der Medizin Folie: 73
Wir können beraten, weil wir Sie verstehen! Strafbarkeit von Datenschutzverstößen (6) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände Beispiel: Erfolgt trotz Hinweises auf die Einhaltung datenschutzrechtlicher Vorschriften ein Verstoß dagegen, ist zu prüfen, ob geeignete Maßnahmen durch den DSB eingeleitet wurden und die Geschäftsleitung davon in Kenntnis gesetzt wurde. © mirus ag Datenschutz in der Medizin Folie: 73

74 Strafbarkeit von Datenschutzverstößen (7)
Wir können beraten, weil wir Sie verstehen! Strafbarkeit von Datenschutzverstößen (7) Übersicht: Rechtsfolgen bei Datenschutzverstößen Ordnungswidrigkeit (§ 43 Abs 1 BDSG) Geldstrafe bis zu Euro ,00 Straftat (§ 43 Abs. 2 BDSG) Handlung geg. Entgelt bzw. Bereicherungsabsicht Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe Datenschutzverstoß durch Mitarbeiter Ggf. Kündigung des Arbeitsverhältnisses bzw. Durchgriffshaftung © mirus ag Datenschutz in der Medizin Folie: 74

75 Vielen Dank für Ihre Aufmerksamkeit
Wir können beraten, weil wir Sie verstehen! Vielen Dank für Ihre Aufmerksamkeit © mirus ag Datenschutz in der Medizin Folie: 74

Herunterladen ppt "Datenschutz in der Medizin"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Anzahl der ausgefüllten und eingesandten Fragebögen: 211

Anzahl der ausgefüllten und eingesandten Fragebögen: 211
Agenda Einleitung Risiken und Gefahren Vorbeugung

Agenda Einleitung Risiken und Gefahren Vorbeugung
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
Telefonnummer.

Telefonnummer.
Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.

Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.
1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.

1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
Organisation Auftrag Übermittlung Eingabe Transport Speicher Speicher

Organisation Auftrag Übermittlung Eingabe Transport Speicher Speicher
Verfahrensverzeichnis

Verfahrensverzeichnis
Rechneraufbau & Rechnerstrukturen, Folie 2.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 2.

Rechneraufbau & Rechnerstrukturen, Folie 2.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 2.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.
Prof. Dr. Bernhard Wasmayr

Prof. Dr. Bernhard Wasmayr
Datenschutz? Unwissenheit schützt vor Strafe nicht!

Datenschutz? Unwissenheit schützt vor Strafe nicht!
Prof. Dr. Bernhard Wasmayr VWL 2. Semester

Prof. Dr. Bernhard Wasmayr VWL 2. Semester
Versand der Arzneimittel

Versand der Arzneimittel
Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?

Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz in the small

Datenschutz in the small
RB über die Stellung des Opfers im Strafverfahren Allgemeine Zielsetzung: Allgemeine Zielsetzung: Hohes Schutzniveau für Opfer von Straftaten unabhängig.

RB über die Stellung des Opfers im Strafverfahren Allgemeine Zielsetzung: Allgemeine Zielsetzung: Hohes Schutzniveau für Opfer von Straftaten unabhängig.
20:00.

20:00.

Ähnliche Präsentationen

Google-Anzeigen