Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 1 Datenschutz in der Medizin.

Ähnliche Präsentationen


Präsentation zum Thema: "Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 1 Datenschutz in der Medizin."—  Präsentation transkript:

1 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 1 Datenschutz in der Medizin

2 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 2 Wozu Datenschutz? Zur Sicherung des Persönlichkeitsrechts von natürlichen Personen vor M I S S B R A U C H Schutz der Privatsphäre steht dabei im Mittelpunkt Schutz vor missbräuchlicher Datenverarbeitung z. B. durch den Staat oder durch privatrechtliche Unternehmen Schutz vor der Beschaffung und Verwendung personenbezo- gener Daten durch U n b e f u g t e.

3 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 3 Woraus leitet sich der Datenschutz ab? (1) Recht auf informelle Selbststimmung (Artikel 2 Abs. 1 i. V. m. Artikel 1 Abs. 1 GG) Jeder Mensch kann selbst entscheiden wie, wann und wer personenbezogene Informationen über ihn erhält! Das Recht der Verfügungsgewalt über Daten die die eigene Person Betreffen liegt bei jedem Einzelnen selbst.

4 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 4 Woraus leitet sich der Datenschutz ab? (2) Europäische Menschrechtskonvention (Art. 8 Abs. 1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs

5 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 5 Worauf erstreckt sich Datenschutz? (1) auf den Schutz personenbezogener Daten Darunter fallen alle Daten die nicht öffentlich verfügbar sind! Beispiele: Religionszugehörigkeit Gesundheitszustand Sexualleben Kinder u. a. m.

6 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 6 Worauf erstreckt sich Datenschutz? (2) Datenschutz erstreckt sich auf zwei Bereiche der Gesellschaft Natürliche Personen (Endverbraucher, Patient, Klient) und diejenigen Stellen, die Daten verarbeiten (Staat, Unternehmen)

7 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 7 Rechtliche Grundlagen (1) Gesetze auf Bundesebene Bundesdatenschutzgesetz (BDSG) Geltungsbereich: Öffentliche Stellen (Kommunalverwaltungen) Nicht-öffentliche Stellen (z. B. juristische Personen (AG, GmbH u. a.) Personengesellschaften (GbR, KG etc.) nicht rechtsfähige Vereinigungen (Gewerkschaften, politische Parteien o. ä.) natürliche Personen (Ärzte, Architekten, Rechtsanwälte etc.)

8 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 8 Rechtliche Grundlagen (2) Gesetze auf Landesebene landesspezifische Datenschutzgesetze (LDSG) Landeskrankenhausgesetze bereichsspezifische Regelungen für Medien, Meldewesen, Sicherheitsbehörden und Kultur Geltungsbereich: Öffentliche Stellen (Landesbehörden, Kommunalverwaltungen, Krankenhäuser u.a.m.)

9 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 9 Rechtliche Grundlagen (3) Spezialgesetze bereichsspezifische Gesetze, die, entsprechend ihres Anwen- dungsbereichs, Spezialregelungen enthalten Beispiele: Sozialgesetzbuch X Datenschutzverordnungen der Religionsgemeinschaften Bundespolizeigesetz

10 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 10 Rechtliche Grundlagen (4) Subsidiaritätsprinzip Erst wenn keine Regelungen in Spezialgesetzen für bestimmte Sachverhalte existieren, findet das Bundesdatenschutzgesetz Anwendung.

11 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 11 Rechtliche Grundlagen (5) Anwendungsbeispiel Krankenhaus (§1 Abs. 2 BDSG öffentliche Stelle (Trägerschaft des Bundes) Bundes- datenschutz- gesetz (BDSG) öffentliche Stelle (kommunale Träger/ Trägerschaft des Landes) Landes- kranken- hausgesetz (LKHG) Subsidiär: Landesdaten- Schutzgesetz (LDSG) Nicht-öffentliche Stelle (private Träger) LKHGBDSG

12 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 12 Rechtliche Grundlagen (6) Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist v e r b o t e n! Es sei denn, sie begründet sich auf einer Rechtsnorm (durch Gesetz erlaubt) oder einer ausdrücklichen Einwilligung des Betroffenen (durch wirk- same Einwilligung erlaubt)

13 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 13 Rechtliche Grundlagen (7) Umsetzung der Datenschutzgesetze durch unabhängige Kontrollen mittels innerbetrieblicher / innerbehördlicher Selbstkontrolle (durch den betrieblichen/behördlichen Datenschutzbeauftragten) mittels Fremdkontrolle (durch staatliche Aufsichtsbehörden) (Bundes- und Landesdatenschutzbeauftragten – öffentliche Stellen) (Aufsichtsbehörden – nicht öffentliche Stellen)

14 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 14 Selbstkontrolle (1) Betrieblicher / innerbehördlicher Datenschutzbeauftragter betrieblicher Datenschutzbeauftragter Krankenhäuser, die in privater Rechtsform betrieben werden, unterliegen der Pflicht einen betrieblichen Datenschutzbeauf- tragten zu bestellen. Auch Arztpraxen und Apotheken unterliegen dieser Pflicht eigentlich ausnahmslos.

15 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 15 Selbstkontrolle (2) Bestellung eines Datenschutzbeauftragten ist schriftlich mittels einer Bestellungsurkunde zu bestellen; Pflicht zur Bestellung besteht bei - nicht-automatisierter Datenverarbeitung personenbezogener Daten soweit mindestens 20 Mitarbeiter zumindest zeitweise mit der Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind

16 Wir können beraten, weil wir Sie verstehen! © mirus ag Mitarbeiterschulung Datenschutz Folie: 16 Selbstkontrolle (3) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei - automatisierter Datenverarbeitung personenbezogener Daten soweit mindestens 10 Mitarbeiter zumindest zeitweise mit der Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind

17 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 17 Selbstkontrolle (4) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) In Arztpraxen und Apotheken werden Besondere Arten personen- bezogener Daten verarbeitet! (§ 3 Abs. 9 BDSG) Folge: z u t r e f f e n d

18 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 18 Selbstkontrolle (5) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Die Verarbeitung von Daten nach § 3 Abs. 9 BDSG unterliegt der Vorabkontrolle (§ 4d Abs. 5 Ziffer 1 BDSG) Folge: z u t r e f f e n d

19 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 19 Selbstkontrolle (6) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ein Datenschutzbeauftragter ist IMMER zu bestellen, wenn eine auto- matisierte Datenverarbeitung vorgenommen wird, die einer Vorab- kontrolle unterliegt (§ 4 f Abs. 1 Satz 6 BDSG) Folge: z u t r e f f e n d

20 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 20 Selbstkontrolle (7) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ausnahmen: Gesetzliche Verpflichtung? (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG) Der Arzt ist nach der Berufsordnung zur Dokumentation verpflichtet. Die Berufsordnung stellt jedoch keine gesetzliche Verpflichtung des Arztes dar, die Daten automatisiert zu verarbeiten. (§ 10 MBO)

21 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 21 Selbstkontrolle (8) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ausnahmen: Einwilligung des Patienten (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG) In der Praxis wird vom Patienten so gut wie nie eine Einwilligung in die automatisierte Datenverarbeitung erhoben. An die Einwilli- gung sind auch besondere Voraussetzungen gebunden.

22 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 22 Selbstkontrolle (9) Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG) Ausnahmen: Einwilligung des Patienten? (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG) Folge: der Ausnahmetatbestand greift i. d. R. nicht!

23 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 23 Selbstkontrolle (10) Bestellung eines Datenschutzbeauftragten Sowohl Arztpraxen, Apotheken und andere Heilberufe – soweit sie der beruflichen Schweigepflicht nach § 203 StGB unterliegen – sind nach § 4f BDSG v e r p f l i c h t e t einen Datenschutzbeauf- tragten zu bestellen. Krankenhäuser in privater Trägerschaft sind hierzu ebenfalls ver- pflichtet.

24 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 24 Selbstkontrolle (11) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? auch bei solchen verantwortlichen Stellen, bei denen der Leiter oder eine sonstige beschäftigte Person einem Berufsgeheimnis unterliegen, dürfen einen externen Datenschutzbeauftragten zur Wahrung ihrer Verpflichtung bestellen (§ 41 f Abs. 2 Satz 3 BDSG) Die Kontrollbefugnis des externen Datenschutzbeauftragten er- streckt sich dabei ausdrücklich auf solche Daten, die dem Berufs- geheimnis unterliegen.

25 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 25 Selbstkontrolle (12) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? auch der externe Datenschutzbeauftragte unterliegt dem Verbot der Offenbarung von Berufsgeheimnissen unbefugte Offenbarung von Berufsgeheimnissen durch den externen Datenschutzbeauftragten unterwirft diesen den gleichen Strafandrohungen wie den Berufsgeheimnisträgen (§ 203 Abs. 2a StGB)

26 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 26 Selbstkontrolle (13) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? der Gesetzgeber hat aber auch das ärztliche Z e u g n i s - v e r w e i g e r u n g s r e c h t und den B e s c h l a g n a h m e – s c h u t z auf den betrieblichen Datenschutzbeauftragten und dessen Hilfspersonal ausgedehnt (§ 4 f Abs. 4a BDSG) will heißen, soweit dem Arzt (aber auch sonstigen Heilberufen) ein Zeugnisverweigerungsrecht über das zusteht, was ihm in seiner be- ruflichen Eigenschaft anvertraut oder bekannt geworden ist (vgl. § 53 Abs. 1 Nr. 3 StPO) gilt das Zeugnisverweigerungsrecht auch für den betriebl. Datenschutzbeauftragten (ext. oder int.)

27 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 27 Selbstkontrolle (14) Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig? es handelt sich bei dem Zeugnisverweigerungsrecht des bDSB aber nicht um ein eigenes Recht, sondern ein Recht, dass grundsätzlich dem Berufsgeheimnisträger zusteht. es steht also dem Arzt das Recht zu, darüber zu entscheiden, ob der bDSB das Zeugnis im konkreten Fall verweigern soll oder nicht gleiches gilt für den Beschlagnahmeschutz – steht in Abhängig- keit vom Zeugnisverweigerungsrecht

28 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 28 Die ärztliche Schweigepflicht (1) Rechtsgrundlage: § 203 StGB danach macht sich strafbar, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Ge- heimnis offenbart, das ihm als Arzt anvertraut worden ist oder be- kannt geworden ist.

29 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 29 Die ärztliche Schweigepflicht (2) Rechtsgrundlage: § 9 MBO Ärzte haben über das, was ihnen in ihrer Eigenschaft als Arzt anver- traut oder bekannt geworden ist, zu schweigen

30 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 30 Die ärztliche Schweigepflicht (3) Reichweite der ärztlichen Schweigepflicht: umfasst alle Tatsachen, die nur einem bestimmten, abgenzbaren Personenkreis bekannt sind und an deren Geheimhaltung der Patient ein verständliches, also tatsächlich begründbares und damit schutzwürdiges Interesse hat grundsätzlich auch gegenüber anderen Ärzten, Familienange- hörigen des Patienten oder eigenen Familienangehörigen zu wahren besteht auch nach dem Tod des Patienten fort

31 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 31 Die ärztliche Schweigepflicht (4) Durchbrechung der ärztlichen Schweigepflicht: wenn gesetzliche Vorschriften dem Arzt eine Pflicht oder ein Recht zur Offenbarung auferlegen oder geben wenn der Patient seine Einwilligung ausdrücklich oder konkludent erteilt hat (ausdrücklich stellt hier die sichere Form dar) mutmaßliche Einwilligung (soweit der Patient seine Einwilligung z. B. wg. Bewusstlosigkeit nicht erklären kann)

32 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 32 Rechte der Betroffenen (1) Gefahren der Datenverarbeitung für den Betroffenen ist oft nicht nachvollziehbar, welche Daten über ihn zu welchem Zweck gespeichert werden; aufgrund von großen Datensammlungen, die praktisch eine unbe- grenzte Speicherdauer haben, können umfassende Persönlichkeits- profile erstellt werden; Gefahr für den Betroffenen durch unzulässige Datenerhebung

33 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 33 Rechte der Betroffenen (2) Gefahren der Datenverarbeitung Gefahr für den Betroffenen durch rechtswidrige Verknüpfung zu- lässig erhobener Daten Gefahr durch Datenerhebung ohne Kenntnis des Betroffenen Gefahr der Erhebung und Verarbeitung falscher Daten (z. B. durch Manipulation der Daten) z. B. falsche Daten bei der Schufa bspw. wirken sich d i r e k t auf die Beurteilung der Kreditwürdigkeit des Betroffenen aus.

34 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 34 Rechte der Betroffenen (3) Gefahren der Datenverarbeitung werden Daten aus ihrem Kontext herausgelöst verarbeitet, kann dies ebenso zu verfälschten Ergebnissen führen Gefahr durch unrechtmäßige Nutzung der gespeicherten Daten z. B. rechtswidrige Zweitverwendung durch den Verkauf (Adresshandel)

35 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 35 Rechte der Betroffenen (4) Recht auf Auskunftserteilung gem. § 19 BDSG der Betroffene hat das Recht auf Auskunftserteilung über die zu seiner Person gespeicherten Daten Ein Patient kann also die zu seiner Person gespeicherten Daten beim Arzt erfragen und auch, zu welchen Zwecken und an wen diese übermittelt wurden oder werden.

36 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 36 Rechte der Betroffenen (5) Recht auf Benachrichtigung gem. § 19 a BDSG der Betroffene hat das Recht auf Benachrichtigung soweit Daten über seine Person ohne seine Kenntnis gespeichert werden. des weiteren ist er über den Zweck der Speicherung und den Empfänger übermittelter Daten zu informieren; z. B. ist ein Patient bei einer Überweisung darüber zu informieren, dass seine Daten an einem Facharzt weitergegeben werden;

37 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 37 Rechte der Betroffenen (6) Recht auf Benachrichtigung gem. § 19 a BDSG auch, wenn der behandelnde Arzt lediglich Ratschläge eines anderen Arztes einholt und dabei Patientendaten offenbart, hat der Betroffene ein Recht auf Benachrichtigung

38 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 38 Rechte der Betroffenen (7) Recht auf Berichtigung, Löschung und Sperrung von Daten Widerspruchsrecht gem. § 20 BDSG der Betroffene hat das Recht auf Berichtigung seiner Daten, soweit sie unrichtig sind; der Betroffene hat das Recht auf Löschung seiner Daten, soweit sie unzulässig gespeichert wurden;

39 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 39 Rechte der Betroffenen (8) Recht auf Berichtigung, Löschung und Sperrung von Daten Widerspruchsrecht gem. § 20 BDSG der Betroffene hat das Recht auf Sperrung seiner Daten, soweit bei diesen eine Löschung wegen vorgeschriebener Aufbewah- rungsfristen unmöglich ist Die Sperrung von Daten hat die Einschränkung ihrer Verwendung zur Folge.

40 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 40 Ärztliche Dokumentation (1) Rechtsgrundlage Verpflichtung zur Dokumentation ergibt sich aus § 10 Abs. MBO § 57 Abs. 3 BMV-Ä (Bundesmantelvertrag Ärzte) u. a. m.

41 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 41 Ärztliche Dokumentation (2) Rechtsgrundlage Das Erstellen einer ärztlichen Kartei (Krankenakte) ist datenschutzrechtlich erheben, verarbeiten und nutzen personenbezogener Daten Die Erstellung erfolgt aufgrund gesetzlicher Verpflichtung im Rahmen des Behandlungsvertrages erlaubt ist auch das erheben, verarbeiten und nutzen mittels EDV – es ist aber nicht gesetzlich vorgeschrieben.

42 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 42 Ärztliche Dokumentation (3) Rechtsgrundlage im Falle der EDV-mässigen Erfassung bedarf es einer gesonderten Einwilligung des Patienten dies trifft insbesondere dann zu, wenn die EDV auch den Datenaus- tausch mit Dritten (egal ob in Form von senden oder empfangen) zulässt

43 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 43 Ärztliche Dokumentation (4) Schutz vor Einsichtnahme, Zugriff oder Verfälschung Unbefugte dürfen keinen Zugriff auf die Patientenakten oder die EDV erlangen der EDV Arbeitsplatz ist zu sperren Sicherheitsmaßnahmen im Rahmen der Wartung der EDV Nachweis (Protokollierung) jeglicher Änderungen an den Daten

44 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 44 Ärztliche Dokumentation (5) Aufbewahrungsfristen ärztliche Aufzeichnungen sind für die Dauer von 10 Jahren nach der Behandlung aufzubewahren weitere z. T. längere Aufbewahrungsfristen ergeben sich aus an- deren Vorschriften (Beispiele)

45 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 45 Datensicherheit (1) Allgemeines Datensicherheit beinhaltet den Schutz von EDV-Komponenten wie Hard- und Software, aber auch von sensiblen personenbezogenen Daten, vor Verlust und Missbrauch zu anderen als vom Eigentümer genehmigten Zwecken § 9 BDSG regelt, dass öffentliche und nicht-öffentliche Stellen, die … personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes … zu gewährleisten

46 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 46 Datensicherheit (2) Allgemeines Anlage zu § 9 Satz 1 BDSG stellt die Verbindung zwischen Datenschutz und Datensicherheit in der IT dar; Datensicherheit beinhaltet die Umsetzung aller technischen und organisatorischer Maßnahmen die zu treffen sind um die Verletz- ung des Persönlichkeitsrechts bei der Erhebung, Verarbeitung und Nutzung seiner persönlichen Daten zu verhindern.

47 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 47 Datensicherheit (3) Ziele Gewährleistung der V e r f ü g b a r k e i t Verhinderung von Systemausfällen, Der Zugriff auf die Daten muss innerhalb eines vereinbarten Zeit- rahmens gewährleistet werden Bezieht sich nicht nur auf die Daten sondern auch auf die Hard- und Software

48 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 48 Datensicherheit (4) Ziele Gewährleistung der V e r f ü g b a r k e i t Beispiele: Maßnahmen zur Ausfallsicherung (Ersatz-Server, Einsatz redun- danter Datenträger, schnelle Wiederanlaufverfahren oder Wieder- einspielungen eines Datenbestandes u. a. m.) unterbrechungsfreie Stromversorgung (USV),

49 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 49 Datensicherheit (5) Ziele Gewährleistung der V e r f ü g b a r k e i t Beispiele: Schutz vor äußerlichen Einflüssen (Feuer, Wasser, Vandalismus, magnetische Störung u. a. m.) sichere Aufbewahrung von Datenträgern oder sonstigen Back-Up Medien (DATA Safe oder Datensicherungsraum mit RAL-Prüfsiegeln)

50 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 50 Datensicherheit (6) Ziele Gewährleistung der A u t h e n t i z i t ä t hauptsächlich bei elektronisch übertragenen Dokumenten bedroht (Arztbriefe, Austausch von Laborergebnissen mit ext. Laboren etc.) ist gegeben, wenn nachgewiesen werden kann, dass empfangene Daten auch tatsächlich von autorisierten und authentisierten Be- nutzern stammen;

51 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 51 Datensicherheit (7) Ziele Gewährleistung der A u t h e n t i z i t ä t Beispiel: Signaturverfahren - bei denen rechtsverbindlich festgestellt werden kann, ob die Daten von Betroffenen autorisiert (z. B. digital signiert) sind oder wer Urheber von Daten ist, die nicht von den Betroffenen stammen (z. B. bei Datenübermittlung)

52 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 52 Datensicherheit (8) Ziele Gewährleistung der I n t e g r i t ä t wenn Daten und Datenbestände unversehrt, vollständig und aktuell sind, also v e r l ä s s l i c h r i c h t i g; muss während der Erhebung und allen Phasen der Verarbeitung und Nutzung gewährleistet sein; mit Anschluss ans Internet muss die Verfälschung durch Schadpro- gramme und Viren ausgeschlossen werden

53 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 53 Datensicherheit (9) Ziele Gewährleistung der I n t e g r i t ä t Beispiele: - Plausibilitätskontrollen bei der Eingabe von Daten - regelmäßige Überprüfung der Aktualisierung der Datenbestände - Kontrolle der Durchführung von Reparaturen, Wartung oder Fern- wartung von Hard- und Software durch Fremdfirmen

54 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 54 Datensicherheit (10) Ziele Gewährleistung der I n t e g r i t ä t Beispiele: - Einsatz von Virenprogrammen - Einsatz von Firewall-Systemen zur Abschottung von Krankenhaus- netzen gegenüber Fremdnetzen (z. B. dem Internet)

55 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 55 Datensicherheit (11) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t - es muss nachvollziehbar sein, wie Daten in einen Datenbestand gelangt sind - es muss nachvollziehbar sein, welchen Veränderungen Daten im Laufe der Zeit unterlegen sind

56 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 56 Datensicherheit (12) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t - es muss nachprüfbar sein, wer Daten in einen Datenbestand aufge- nommen hat; - es muss nachvollziehbar sein, wer Daten im Datenbestand ver- ändert hat

57 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 57 Datensicherheit (13) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t - es muss nachprüfbar sein, wer Daten aus einem Datenbestand entfernt hat; - P r o b l e m: die Protokolldaten bergen selbst ein datenschutzrechtliches Problem und unterliegen einer engen Zweckbindung;

58 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 58 Datensicherheit (14) Ziele Gewährleistung der R e v i s i o n s f ä h i g k e i t Beispiele: - Auswertung von Protokolldateien; - Auswertungstools für Protokolldateien (Nachvollziehen, wer in welcher Weise Daten eingegeben, verändert und/oder gelöscht hat oder woher und wohin Daten übermittelt wurden)

59 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 59 Datensicherheit (15) Ziele Gewährleistung der T r a n s p a r e n z Automatisierte Verfahren sind in aktueller Form nachvollziehbar zu dokumentieren; die einzelnen Verfahrensschritte müssen dabei so beschrieben werden, dass die systematische Richtigkeit der Prozesse nachvoll- ziehbar werden;

60 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 60 Datensicherheit (16) Ziele Gewährleistung der T r a n s p a r e n z steht in besonderem Zusammenhang mit der Auskunftspflicht gegenüber Betroffenen; Dokumentation der Freigabe und Vorabkontrolle nach § 4 d (2) BDSG i. V. m. § 4 e BDSG Dokumentation von wesentlichen Programmänderungen bzw. Fortschreibung der Programmdokumentation (Prüfung / Nachvollzug)

61 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 61 Datensicherheit (17) Ziele Gewährleistung der T r a n s p a r e n z ordnungsgemäße Führung des Verfahrensverzeichnisses § 4 g (2) i. V. m. § § 4 e Satz 1 BDSG

62 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 62 Auftragsdatenverarbeitung (1) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 1. Gegenstand und Dauer des Auftrages Meist in einem der Geschäftsbeziehung zu Grunde liegenden zivilrechtlichen Vertrag geregelt Im Rahmen von Nr 1. des § 11 Abs. 2 Satz 2 kann auf diesen Vertrag verwiesen werden Ansonsten sind Gegenstand und Dauer des Auftrags in der Vereinbarung nach § 11 BDSG zu spezifizieren

63 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 63 Auftragsdatenverarbeitung (2) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 2. Konkretisierung des Auftragsinhaltes Folgende Festlegungen sind schriftlich zu fixieren: - Umfang, Art und Zweck der Datenverwendung - Art der Daten - Kreis der Betroffenen

64 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 64 Auftragsdatenverarbeitung (3) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 2. Konkretisierung des Auftragsinhaltes Aus der schriftlichen Vereinbarung muss hervorgehen, um was es bei der konkreten Auftragsdatenverarbeitung im Einzelnen geht Beispiel 1: Ein Entsorger muss nur wissen, dass es sich um sensible personenbe- zogene Daten handelt; er braucht keine detaillierte Beschreibung der Daten

65 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 65 Auftragsdatenverarbeitung (4) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 2. Konkretisierung des Auftragsinhaltes Aus der schriftlichen Vereinbarung muss hervorgehen, um was es bei der konkreten Auftragsdatenverarbeitung im Einzelnen geht Beispiel 2: Ein Callcenter benötigt für die Erfüllung seiner Aufgaben hingegen nähere Angaben über die sensiblen personenbezogenen Daten, die zur Erfüllung der Aufgaben erforderlich sind.

66 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 66 Auftragsdatenverarbeitung (5) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 3. Technisch-organisatorische Maßnahmen (gem. § 9 BDSG) Maßnahmen zur Zutrittskontrolle Maßnahmen zur Zugangskontrolle Maßnahmen zur Datenträgerkontrolle Maßnahmen zur Speicherkontrolle

67 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 67 Auftragsdatenverarbeitung (5) Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG) 3. Technisch-organisatorische Maßnahmen (gem. § 9 BDSG) Maßnahmen zur Benutzerkontrolle Maßnahmen zur Zugriffskontrolle Maßnahmen zur Transportkontrolle Maßnahmen zur Organisationskontrolle

68 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 68 Strafbarkeit von Datenschutzverstößen (1) Schadenersatz (§ 7 BDSG) Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadenersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

69 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 69 Strafbarkeit von Datenschutzverstößen (2) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Grundsätzlich macht sich derjenige wegen Verstoßes gegen den Datenschutz strafbar, der einen der in § 43 Abs. 2 BDSG aufgeführten Tatbestände verwirklicht.

70 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 70 Strafbarkeit von Datenschutzverstößen (3) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände jeder einzelne Mitarbeiter hat gemäß Dienstvereinbarung (Datenschutzerklärung bzw. Verschwiegenheitserklärung) eigenverantwortlich den datenschutzgerechten Umgang mit personenbezogenen Daten zu gewährleisten Datenschutzverstöße können für den Arbeitnehmer evtl. auch arbeitsvertraglich relevante Folgen haben (ggfs. Kündigungsgrund)

71 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 71 Strafbarkeit von Datenschutzverstößen (4) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände die Führungskräfte sind für die Umsetzung der datenschutzrechtlichen Maßnahmen und Organisationsanweisungen verantwortlich im Fall der Auftragsdatenverarbeitung haftet der Auftragnehmer, wenn er seine Pflicht nicht erfüllt oder sich nicht an Weisungen des Auftraggebers hält und dadurch einen Schaden beim Auftraggeber oder beim Betroffenen verursacht

72 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 72 Strafbarkeit von Datenschutzverstößen (5) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände der Datenschutzbeauftragte (DSB) muss auf die Einhaltung der gesetzlichen Vorschriften nach den jeweiligen Bestimmungen zu Datenschutz in Unternehmen hinwirken und die Mitarbeiter mit den entsprechenden Datenschutzregelungen vertraut machen. Der Datenschutzbeauftragte haftet bei Pflichtverletzung. da der Datenschutzbeauftragte keine Weisungsbefugnis besitzt – lediglich auf die Einhaltung des Datenschutzes hinwirken muss – ist eine Zurechnung im Schadensfall genau zu prüfen.

73 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 73 Strafbarkeit von Datenschutzverstößen (6) Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG) Adressaten der Verbotstatbestände Beispiel: Erfolgt trotz Hinweises auf die Einhaltung datenschutzrechtlicher Vorschriften ein Verstoß dagegen, ist zu prüfen, ob geeignete Maßnahmen durch den DSB eingeleitet wurden und die Geschäftsleitung davon in Kenntnis gesetzt wurde.

74 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 74 Strafbarkeit von Datenschutzverstößen (7) Übersicht: Rechtsfolgen bei Datenschutzverstößen Ordnungswidrigkeit (§ 43 Abs 1 BDSG) Geldstrafe bis zu Euro ,00 Straftat (§ 43 Abs. 2 BDSG) Handlung geg. Entgelt bzw. Bereicherungsabsicht Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe Datenschutzverstoß durch Mitarbeiter Ggf. Kündigung des Arbeitsverhältnisses bzw. Durchgriffshaftung

75 Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 74 Vielen Dank für Ihre Aufmerksamkeit


Herunterladen ppt "Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 1 Datenschutz in der Medizin."

Ähnliche Präsentationen


Google-Anzeigen