Externe Wartung von Systemen – datenschutzrechtlich überhaupt erlaubt? Dr. Bernd Schütze 60. GMDS-Jahrestagung in Krefeld, 08. September 2015 28.04.2017

Dr. Bernd Schütze Studium Zusatz-Ausbildung Berufserfahrung Studium Informatik (FH-Dortmund) Studium Humanmedizin (Uni Düsseldorf / Uni Witten/Herdecke) Studium Jura (Fern-Uni Hagen) Zusatz-Ausbildung Zusatzausbildung Datenschutzbeauftragter (Ulmer Akademie für Datenschutz und IT-Sicherheit) Zusatzausbildung Datenschutz-Auditor (TüV Süd) Zusatzausbildung Medizin-Produkte-Integrator (VDE Prüf- und Zertifizierungsinstitut) Berufserfahrung 10 Jahre klinische Erfahrung 20 Jahre IT im Krankenhäusern 20 Jahre Datenschutz im Gesundheitswesen Mitarbeit in wiss. Fachgesellschaften Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS) Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) Gesellschaft für Informatik (GI) Mitarbeit in Verbänden Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) Berufsverband Medizinischer Informatiker e.V. (BVMI) Fachverband Biomedizinische Technik e.V. (fbmt) HL7 Deutschland e.V. 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Zugriff durch Externe auf Patientendaten Wann erlaubt? Eine Rechtsvorschrift erlaubt den Zugriff oder ordnet diesen an Der Betroffene hat eingewilligt Rechtsvorschrift Allgemein: keine Medizinprodukt §3 Abs. 1 MPBetreibV: „Die Instandhaltungsmaßnahmen sind unter Berücksichtigung der Angaben des Herstellers durchzuführen…“ §6 Abs. 1 MPBetreibV: „ Der Betreiber hat bei Medizinprodukten … iese nach den Angaben des Herstellers und den allgemein anerkannten Regeln der Technik sowie in den vom Hersteller angegebenen Fristen durchzuführen oder durchführen zu lassen…“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Zugriff durch Externe auf Patientendaten Einwilligung des Betroffenen „Normalfall“ Möglichkeiten Funktionsübertragung  Alle Patienten müssen einwilligen, da im Vorfeld nicht gesagt werden kann, auf welche Patientendaten im Supportfall zugegriffen werden muss Auftragsdatenverarbeitung  Keine Einwilligung des Patienten notwendig Cave: Schweigepflichtentbindung in beiden Fällen wahrscheinlich erforderlich Externe sind nach herrschender juristischer Meinung ohne Arbeitnehmerüberlassung nicht als „Gehilfen“ im Sinne des §203 StGB anzusehen Ohne Schweigepflichtentbindung = unbefugte Offenbarung von Patientengeheimnissen entsprechend §203 StGB 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Zugriff durch Externe auf Patientendaten Schweigepflichtentbindung Einholung einer Schweigepflichtentbindung erfordert Angabe, welche Daten aus welchem Grund welcher Person enthüllt wird D.h. vor Eintritt des Wartungsfall muss Patient aufgeklärt werden, auf welche Daten welcher Servicemitarbeiter der Herstellers (aus welchem Grund) zugreift  Schlicht nicht möglich Wenn ein Patient keiner Schweigepflichtentbindung zustimmt  Wartung ggfs. nicht möglich, System zur Patientenversorgung nicht mehr einsetzbar  Patientenversorgung gefährdet, also auch nicht durchführbar Einholung einer Schweigepflichtentbindung nicht realisierbar, daher strafrechtlicher Verstoß des zur Verschwiegenheit Verpflichteten (Arzt, Krankenpflege, usw.) gegeben Bundesgesundheitsministerium mittlereile von der Notwendigkeit einer Gesetzesanpassung überzeugt Bundesjustizministerium noch zögerlich 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Zugriff durch Externe auf Patientendaten Einwilligung des Betroffenen Datenschutzrechtlich im Krankenhaus (und für Sozialdaten) nur Auftragsverarbeitung (ADV ) möglich Erfordert einen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) Adv-Vertrag nicht trivial, daher erstellte eine Gruppe von Mitarbeitern der Verbände BvD, bvitg, GMDS und GDD einen kommentierten „Muster-Auftragsdatenverarbeitungsvertrag“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Warum einen weiteren Muster-ADV-Vertrag“? Es gibt Vorlagen von GDD (Stand 2009-10-14) BSI bzgl. Aktenvernichtung (Stand 2010-02) DateV (Stand 2010-04-29) Bundes Ministerium des Innern (Stand 2010-06) Hessischen DSB (Stand 2010-09-28) LDI-NRW (Stand 2010-09-28) Katholischen Kirche (Stand 2011-02-22) Hausärzteverbund (Stand 2011-03-29) LDI Bremen (Stand 2012-01-25) Bitkom (Stand 2014-01-09) … Aber keiner dieser Muster-Verträge geht auf die Besonderheiten ein, die wir in der Arztpraxis oder im Krankenhaus brauchen (von Forschung ganz zu schweigen) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Welche Besonderheiten brauchen wir denn? Sozialdaten 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Sozialdaten? Legaldefinition „Sozialdaten“§67 Abs. 1 SGB X „…Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch erhoben, verarbeitet oder genutzt werden…“ = alle in §§18-29 SGB I genannten öffentlichen Vereinigungen, Integrationsfachdienste, die Künstlersozialkasse, die Deutsche Post AG, Behörden der Zollverwaltung, Versicherungsämter, Gemeindebehörden, anerkannte Adoptionsvermittlungsstellen nach §2 Abs. 2 des Adoptionsvermittlungsgesetzes sowie die Stellen, welche Aufgaben nach §67c Abs. 3 SGB X wahrnehmen Arztpraxen, Apotheken und Krankenhäuser unterliegen damit nicht grundsätzlich dem Sozialdatenschutz 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Sozialdaten? ABER es gibt andere Auffassungen: Erhebung beim Leistungserbringer Entsprechend §67a Abs. 2 können Sozialdaten direkt beim Leistungserbringer erhoben werden. Damit können Krankenhäuser/Arztpraxen Sozialdaten z.B. für eine Krankenkasse erheben. Aus §67c SGB X in Verbindung mit §284 SGB V leiten einige Kassen ab, dass beim Leistungserbringer gespeicherte Patientendaten zugleich gespeicherte (i.S. von archivierten) Sozialdaten darstellen. OVG Münster: Weitergabe personenbezogener Daten (Beschluss vom 20.07.1989 - 18 B 613/89) Personenbezogene Daten (§ 35I SGB I), die zur Erlangung von Sozialleistungen offenbart worden sind, dürfen … unter den Voraussetzungen der §§ 67 ff. SGB X verarbeitet werden Erhalten Arztpraxen/Krankenhäuser „personenbezogene Daten zur Erlangung von Sozialleistungen“ bei Kostenübernahmeerklärungen durch Krankenkassen? Folgt man diesen (und ähnlichen) Argumentation, so gelten die ADV-Vorschriften des SGB X, bzgl. ADV also §80 SGB X. 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Sozialdaten? Aber §80 SGB X entspricht doch §11 BDSG? Fast: Auswahl des Auftragnehmers §11 Abs. 2 BDSG: „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind…“ §80 Abs. 2 SGB X: „Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind…“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Sozialdaten? §80 Aber SGB X entspricht doch §11 BDSG? Fast: Weitergehende Vorschriften für Auftraggeber und Auftragnehmers, z.B. Weisung/Kontrolle BDSG und SGB beide gemeinsam Abs. 2 Ziff. 7 „die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers“ §80 Abs. 2 Satz 3-6 SGB X Der Auftraggeber ist verpflichtet, erforderlichenfalls Weisungen zur Ergänzung der beim Auftragnehmer vorhandenen technischen und organisatorischen Maßnahmen zu erteilen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Die Auftragserteilung an eine nicht-öffentliche Stelle setzt außerdem voraus, dass der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat, Auskünfte bei ihm einzuholen, während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen Anforderungen des §80 SGB X deutlich „härter“ als die Anforderungen des §11 BDSG Und: Anzeigepflicht bei der Aufsichtsbehörde entsprechend §80 Abs. 3 SGB X 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Welche Besonderheiten brauchen wir denn? Sozialdaten Umgang mit §203 StGB 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Umgang mit §203 StGB Wir brauchen: Klarstellung, dass Datenschutz und Schweigepflicht auf unterschiedlichen Gesetzgebungen beruhen Klarstellung, dass ADV nicht die §203-Frage lösen kann Klarstellung, dass §203 StGB gemäß §205 Abs. 1 StGB ein Antragsdelikt ist, wobei den Antrag gemäß nur der Verletzte (bzw. der gesetzliche Vertreter oder im Todesfall der Erbe) stellen kann D.h.: eine Datenschutz-Aufsichtsbehörde darf Straftaten gemäß §203 StGB nicht verfolgen und auch nicht sanktionieren 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Welche Besonderheiten brauchen wir denn? Es gilt noch viel ein bisschen mehr zu beachten… Sozialdaten Umgang mit §203 StGB Umgang mit Beschlagnahmeschutz Darstellung der landes-gesundheits-rechtlichen Grundlagen für einen ADV-Vertrag Darstellung der bundes- und landesrechtlichen Anforderungen an einen ADV-Vertrag Umgang mit Datenverarbeitung außerhalb EU/EWR Umgang mit EU-Standardvertragsklausen Regelung bzgl. Umgang mit Zurückbehaltungsrecht i.S.v. § 273 BGB Schadensersatz- und Haftungsfragen ansprechen Verpflichtung entsprechend TKG/UWG Informationspflichten gemäß §13 TMG Umgang mit Zweckänderung durch den Auftragnehmer, z.B. Weitergabe der Daten nach Pseudonymisierung/Anonymisierung … 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Aktueller Stand Initialtreffen am 10. Juli 2014, Ergebnisse Alle Verbände sind der Meinung, dass die Erarbeitung eines Muster-ADV-Vertrages sinnvoll ist Grundlage soll der bitkom-Vertrag sein BvD, GDD und GMDS sind sicher, dass eine Stellungnahme bzgl. §203 StGB erforderlich ist, bvitg muss hierzu Mitglieder befragen Evtl. Änderungsvorschlag zu §203 StGB erarbeiten 1. Workshop am 12. August 2014 Gemeinsame Sichtung vorhandener Muster-ADV-Verträge im Hinblick auf notwendige Änderungen und Ergänzungen Vorschläge bzgl. der identifizierten Änderungen und Ergänzungen werden von den AG Mitgliedern erarbeitet und bilden Grundlage für den 2. Workshop 2. Workshop am 26. September 2014 Zwischen 12.08. und 26.09. wurde Überarbeitung durch die Arbeitsgruppe durchgeführt und Ergebnisse an den bvitg zwecks „Einsammlung“ gemailt Beim Treffen Abstimmung der Ergebnisse und Abgleich auf ein gemeinsames Dokument 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Aktueller Stand 01.10. bis 31.10.2014: Kommentierungsphase; angefragt wurden Arbeitsgemeinschaft Kommunaler Großkrankenhäuser (akg) Arbeitskreis der Leiter der Klinischen Rechenzentren der Universitätskliniken Deutschland (ALKRZ) Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., Arbeitskreis Medizin Bundesverband der Krankenhaus IT-Leiterinnen / Leiter e. V. (KH-IT) Bundesverband Gesundheits-IT e.V. (bvitg) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS), Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Aktueller Stand Erhaltene Rückmeldungen Bzgl. §203 StGB Überarbeitung der Darstellung in eigenem Kapitel? Darstellung Was ist eine befugte, was eine unbefugte Offenbarung? Wer ist „berufsmäßiger Gehilfe“? Einwilligung der Betroffenen vs. Schweigepflichtentbindung Eingehen auf Forschung und ADV Abgrenzung zu der Meinung bzgl. Anwendung SGB X auf Daten Krankenhaus erforderlich Beschlagnahmeschutz auch bei externen Dienstleistern? 3. Workshop am 25. November Treffen der AG zwecks Überarbeitung an Hand eingegangener Kommentare Freigabe der Überarbeitung durch die Verbände zum „Europäischer Datenschutztag“ (= 28. Januar 2015) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Ergebnis: „Muster“ ADV-Vertrag 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Ergebnis: „Muster“ ADV-Vertrag Zwei Teile 1. Teil: Einführung, Allgemeines 2. Teil: Eigentlicher Vertragsentwurf Anhänge 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Ergebnis: „Muster“ ADV-Vertrag 1. Teil Einführung Haftungsausschluss Copyright Allgemeines Was ist eine „ADV“? Abgrenzung Hinweis, dass Outsourcing auch andere Fragestellungen beinhaltet, die nicht behandelt werden Abgrenzung zu §203 StGB Wartung / Fernwartung Klarstellung, dass Wartung/Fernwartung eine ADV darstellt Sozialdatenschutz vs. Krankenhaus/Arztpraxis Vorbedingungen für einen ADV-Auftrag Darf eine ADV vom Krankenhaus beauftragt werden? Zusammenfassung der Anforderungen an den ADV-Vertrag Zusammenfassende Abbildung der landesrechtlichen Anforderungen 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: erläuternde Kapitel 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Aufbau 2. Teil: Eigentlicher Vertragsentwurf Grundlegender Aufbau an Gesetzestextkommentierungen angelehnt: zu jedem Paragraph eigenständige Kommentierung Aufbau: Präambel §1 Definitionen § 2 Gegenstand, Verantwortlichkeit und Dauer des Auftrags § 3 Pflichten des Auftragnehmers § 4 Pflichten des Auftraggebers § 5 Löschung von Daten und Rückgabe von Datenträgern § 6 Kontrollpflichten § 7 Unterauftragnehmer § 8 Individualvertragliche Ergänzung § 9 Haftung (optional) § 10 Schriftformklausel § 11 Salvatorische Klausel § 12 Erfüllungsort § 13 Rechtswahl, Gerichtsstand § 14 Anlage 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Kommentierung zu den jeweiligen Abschnitten 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Kennzeichnung „Option“ und „Alternative“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Anhänge Anhang 1: Unterauftragsverhältnis beim Auftragnehmer zum Zeitpunkt der Auftragsvergabe Darlegung der zum Zeitpunkt des ADC-Vertrages bestehenden Unterauftragsverhältnisse beim Auftragnehmer Anhang 2: Nachweis der allgemeinen technischen und organisatorischen Maßnahmen Darstellung der vom Auftragnehmer getroffenen Maßnahmen zur Abbildung der technisch-organisatorischen Anforderungen (inkl. Kurzer Erklärung/Beispiel, was gemeint ist) Anhang 3: EU-Standardvertragsklauseln (Auftragsverarbeiter) 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Anhänge 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Stellungnahme zum Thema „DS-GVO und ADV“ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Beispiel „Fernwartung“ basierend auf EVB-IT 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Beispiel „Fernwartung“ basierend auf EVB-IT 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation Abgefragt wird Allgemeines (z.B. DSB bestellt) Dokumentation beim Auftragnehmer (z.B. Datenschutzkonzept) Umsetzung Technisch-organisatorische Maßnahmen 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

„Muster“ ADV-Vertrag: Excel-Tabelle zur Prüfung der eigenen Organisation 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Zusammenfassung Ergebnisse: Schweigepflichtentbindung für Wartung/Fernwartung von Systemen (KIS, PACS, MRT, …) nicht realisierbar Für Medizingeräte evtl. MPBetreibV gesetzliche Grundlage „Muster“ ADV-Vertrag Stellungnahme zum Thema „DS-GVO und ADV“ Beispiel zur Nutzung des Musters (Anwendungsfall „Fernwartung“) Excel-Tabelle zur Prüfung der eigenen Organisationsstruktur hinsichtlich ADV-Vergabe Excel-Tabelle als Beispiel für die Einholung einer Selbstauskunft Online verfügbar unter: BvD: https://www.bvdnet.de/ak-medizin.html bvitg: http://www.bvitg.de GMDS: http://www.gesundheitsdatenschutz.org/doku.php/gmds-dgi-empfehlungen GDD: http://gddak.eh-cc.de/materialien_und_links/ 60. GMDS-Jahrestagung in Krefeld, 08. September 2015

Fragen? Kontakt: schuetze@medizin-informatik.org 60. GMDS-Jahrestagung in Krefeld, 08. September 2015