Datenschutz im Gesundheitssektor, Präsentation von Dr. Andreas Zellhofer, Rechtsanwalt und Datenschutzexperte bei Eisenberger & Herzog in Wien, beim Roundtable "Cloud Computing & Datenschutz im Gesundheitssektor"
2. Dr. Andreas Zellhofer
Rechtsanwalt, Partner
Leiter „Wettbewerbsrecht und IP|IT“
T: +43 606 36 47
a.zellhofer@ehlaw.at
Schwerpunkte im IT-Recht
• Datenschutz
• Cloud Computing
• Outsourcing
• E-Commerce
• Softwarelizenzverträge
3. • 8 Experten für IP | IT
• 60 Juristinnen & Juristen in Wien,
Graz und Klagenfurt
• eine der führenden
Wirtschaftsrechtskanzleien
Österreichs
• 2015 | 2 x Österreichische Kanzlei
des Jahres (Chambers Europe &
JUVE)
Über uns
www.ehlaw.at
5. I. Einführung: Anwendbarkeit
• Grundrecht auf Datenschutz
• Anwendungsbereich des DSG 2000
– Bei Datenverarbeitung in Österreich (Territorialitätsprinzip)
– In EU-Mitgliedstaaten bei Verarbeitung für Zwecke einer in Österreich
gelegenen Niederlassung des Auftraggebers
– Ausgenommen: Verarbeitung in Österreich für Zwecke eines ausländischen
Auftraggebers ohne österreichische Niederlassung
• Unterscheidung verschiedener Datenarten
6
Personenbezogene
Daten
Identität feststellbar
Anonymisierte
Daten
Identität nicht
feststellbar
Indirekt
personenbezogene
Daten
Verschlüsselung
DSG 2000
www.ehlaw.at
6. I. Einführung: Akteure
7
Auftraggeber
Betroffener Dritter
Dienstleister
Übermittlung iSd § 4 Z 12 DSG 2000 (an andere Empfänger)
Überlassung iSd § 4 Z 12 DSG 2000 (an Dienstleister)
Dienstleistervertrag
www.ehlaw.at
7. • Indirekt personenbezogene Daten
– genehmigungsfreier Transfer
• Personenbezogene Daten
• Genehmigung des Transfers in Drittstaaten durch die DSB
– Nachweis eines angemessenen Datenschutzniveaus für den konkreten Fall
– Glaubhaftmachung der Wahrung von schutzwürdigen
Geheimhaltungsinteressen
• Z.B. durch Abschluss der EU-Standardvertragsklauseln
I. Einführung: Datentransfer ins Ausland
8
EU/EWR
Genehmigungsfreier
Transfer
Drittstaaten
Vorabgenehmigung der DSB
erforderlich
Ausnahme: angemessenes
Datenschutzniveau
Beachte:
seit Wegfall von Safe
Harbor
Genehmigungspflicht
auch für den Transfer in
die USA
www.ehlaw.at
8. I. Einführung: EU-Datenschutz-GrundVO
• Die EU-Datenschutz-Grundverordnung (DS-GVO) wird aufgrund ihrer
unmittelbaren Anwendbarkeit voraussichtlich ab Mitte 2018 das DSG
2000 ersetzen. Wesentliche Unterschiede:
– Schutzbereich: nur die Daten natürlicher Personen
– Erweiterung der Rechte der Betroffenen sowie der Transparenz- und
Informationspflichten gegenüber diesen
– Bei bestimmten Unternehmen: Datenschutzbeauftragter
– Unter bestimmten Voraussetzungen: Verpflichtung zur Datenschutz-
Folgenabschätzung, insb. bei Verwendung neuer Technologien, die
voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher
Personen zur Folge haben
• Orientierung am EU-Kartellrecht
– System der Selbstbeurteilung, d.h. Wegfall der Meldepflicht von
Datenanwendungen
– Sehr hohe Strafen bei Verstößen (bis zu 20 Mio. Euro oder 4% des globalen
Konzernumsatzes)
9www.ehlaw.at
10. II. Definition: Cloud Computing
• Definition des National Institute of Standards and Technology
– „Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein
Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B.
Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen,
die schnell und mit minimalem Managementaufwand oder geringer
Serviceprovider-Interaktion zur Verfügung gestellt werden können.“
• Abgrenzung zu klassischem Outsourcing
11
Outsourcing
Begrenzte Zahl großer
Auftraggeber
Maßgeschneiderte individuelle
Vereinbarungen
Cloud Computing
Potentiell unbegrenzte Zahl von
Auftraggebern
Standardisierte Vereinbarungen
www.ehlaw.at
12. III. Gesundheitssektor: Problemstellungen
• Zulässigkeit der Verwendung und Überlassung von Daten
• Verwendung von überwiegend sensiblen Daten, insb.
Gesundheitsdaten
– Besondere Verpflichtungen bei der Verwendung von Gesundheitsdaten
• Unzählige Spezialbestimmungen
• Aufbewahrungspflicht von Krankengeschichten
– Form und Dauer der Aufbewahrung
– Übertragung der Aufbewahrungspflicht
• Geheimnisschutz
– Berufsrechtliche Verschwiegenheitspflichten / Strafrechtliche Verantwortung
– Übertragung der Verschwiegenheitspflicht im Dienstleistervertrag
13www.ehlaw.at
14. III. Gesundheitssektor: Akteure
15
Auftraggeber
Ärzte, Rechtsträger der
Krankenanstalten,
Sozialversicherungsträger, Unternehmen
im Gesundheitswesen etc.
Betroffene
Patienten/
Versicherungsnehmer
Dienstleister
www.ehlaw.at
15. III. Gesundheitssektor: Sensible Daten
• Verarbeitung von überwiegend sensiblen Daten
– Gesundheitsdaten sind besonders schutzwürdig
– Allgemeines Verwendungsverbot
• Beispiele für Ausnahmen vom Verwendungsverbot
– Ausdrückliche Zustimmung des Betroffenen
– Wahrung lebenswichtiger Interessen
– Wissenschaftliche Forschung und Statistik
– Gesundheitsvorsorge, medizinische Diagnostik, Gesundheitsversorgung
oder –behandlung, Verwaltung von Gesundheitsdiensten
• Vorabkontrolle durch die DSB
– Einholung einer Genehmigung der DSB vor Aufnahme der
Datenverarbeitung notwendig
16www.ehlaw.at
16. III. Gesundheitssektor: Gesundheitsdaten I
• Gesundheitsdaten
– Personenbezogene Daten über die physische oder psychische
Befindlichkeit eines Menschen
• ELGA-Gesundheitsdaten
– Personenbezogene Daten, die in der Elektronischen Gesundheitsakte
(ELGA) verwendet werden dürfen
• Gesundheitsdiensteanbieter (GDA)
– Auftraggeber oder Dienstleister, die regelmäßig Gesundheitsdaten zu
bestimmten im GTelG 2012 definierten Zwecken verwenden
• ELGA-Gesundheitsdiensteanbieter
– GDA, denen ELGA zur Verfügung steht
17www.ehlaw.at
17. III. Gesundheitssektor: Gesundheitsdaten II
• Nach dem GTelG 2012 müssen GDA bei der elektronischen Weitergabe
von Gesundheitsdaten bestimmte Datensicherungsmaßnahmen
einhalten.
• Verschlüsselung von Gesundheitsdaten
– Der Transfer und die Speicherung von Gesundheitsdaten darf nur dann
erfolgen, wenn diese mit einem dem aktuellen Stand der Technik
entsprechenden Verfahren verschlüsselt wurden.
– Die Verschlüsselungsverfahren müssen die vollständige Verschlüsselung
der Gesundheitsdaten bewirken und deren kryptographische Algorithmen
den gesetzlichen Vorgaben entsprechen.
– Bei Einhaltung dieser Verschlüsselungsverfahren ist Cloud Computing als
zulässiges Verfahren zur Speicherung von Gesundheitsdaten anerkannt.
• Speicherort von ELGA-Gesundheitsdaten
– Die Speicherung von ELGA-Gesundheitsdaten darf nur in geeigneten
Datenspeichern im Gebiet der EU erfolgen.
18www.ehlaw.at
18. III. Gesundheitssektor: Krankengeschichten
• Nach dem KAKuG müssen Krankenanstalten Krankengeschichten
(zB Anamnese, ärztliche Leistungen, Medikation) führen und diese
mindestens 30 Jahre aufbewahren.
• Form der Aufbewahrung
– Es ist eine Form zu wählen, die die Lesbarkeit für den gesamten Zeitraum
von 30 Jahren sicherstellt und eine missbräuchliche Kenntnisnahme der
Krankengeschichten verlässlich ausschließt.
• Übertragung der Aufbewahrungsverpflichtung
– Die Weitergabe von Krankengeschichten zur Verarbeitung und
Aufbewahrung außerhalb der Krankenanstalt bedarf einer besonderen
landesgesetzlichen Ermächtigung.
– Die meisten Landesgesetze sehen die Möglichkeit der Übertragung mittels
automationsunterstützter Datenverarbeitung an andere Rechtsträger vor,
wenn diese Rechtsträger und die von ihnen beschäftigten Personen zur
Verschwiegenheit verpflichtet werden.
19www.ehlaw.at
19. III. Gesundheitssektor: Geheimnisschutz
• Das StGB untersagt das Offenbaren oder Verwerten eines
Geheimnisses, das den Gesundheitszustand einer Person betrifft.
• Dieser speziellen gesetzlichen Verschwiegenheitspflicht unterliegen
Ausübende eines Gesundheitsberufes (Ärzte, Psychologen, Apotheker,
Hebammen etc.) und Personen, die mit Aufgaben der Verwaltung einer
Krankenanstalt oder mit Versicherungsaufgaben betraut sind.
• Übertragung der Verschwiegenheitspflicht im Dienstleistervertrag
20www.ehlaw.at
21. IV. Fazit und Ausblick
• Aufgrund der Verwendung von vorwiegend sensiblen und damit
besonders schutzwürdigen Daten bestehen im Gesundheitssektor
generell – nicht nur im Bereich von Cloud Computing – erhöhte
Sorgfaltspflichten.
• Angesichts der dadurch möglichen Kostenoptimierung bei
gleichzeitiger Erhöhung der Datensicherheit ist Cloud Computing
aber auch im Gesundheitssektor eine interessante Option.
• Mit Blick auf die DS-GVO und das künftige System der
Selbstbeurteilung wird die Bedeutung der Datenschutz-Compliance in
Unternehmen in den kommenden Jahren massiv zunehmen.
22Eisenberger & Herzog 2016
22. Danke
Die Informationen, Meinungen und Rechtsansichten in diesem Dokument sind nicht als abschließende Darstellung gedacht und
können eine individuelle, auf die Besonderheiten des Sachverhaltes bezogene Beratung nicht ersetzen.
www.ehlaw.at