SlideShare ist ein Scribd-Unternehmen logo
DATENSCHUTZ IM GESUNDHEITSSEKTOR
Wien, 28. April 2016 | RA Dr. Andreas Zellhofer
Cloud Computing & Datenschutz im Gesundheitssektor | Round Table
Dr. Andreas Zellhofer
Rechtsanwalt, Partner
Leiter „Wettbewerbsrecht und IP|IT“
T: +43 606 36 47
a.zellhofer@ehlaw.at
Schwerpunkte im IT-Recht
• Datenschutz
• Cloud Computing
• Outsourcing
• E-Commerce
• Softwarelizenzverträge
• 8 Experten für IP | IT
• 60 Juristinnen & Juristen in Wien,
Graz und Klagenfurt
• eine der führenden
Wirtschaftsrechtskanzleien
Österreichs
• 2015 | 2 x Österreichische Kanzlei
des Jahres (Chambers Europe &
JUVE)
Über uns
www.ehlaw.at
Inhalte
I. Einführung: Datenschutzgesetz 2000
II. Definition: Cloud Computing
III. Datenschutz im Gesundheitssektor
IV. Fazit und Ausblick
I. Einführung: Anwendbarkeit
• Grundrecht auf Datenschutz
• Anwendungsbereich des DSG 2000
– Bei Datenverarbeitung in Österreich (Territorialitätsprinzip)
– In EU-Mitgliedstaaten bei Verarbeitung für Zwecke einer in Österreich
gelegenen Niederlassung des Auftraggebers
– Ausgenommen: Verarbeitung in Österreich für Zwecke eines ausländischen
Auftraggebers ohne österreichische Niederlassung
• Unterscheidung verschiedener Datenarten
6
Personenbezogene
Daten
Identität feststellbar
Anonymisierte
Daten
Identität nicht
feststellbar
Indirekt
personenbezogene
Daten
Verschlüsselung
DSG 2000
www.ehlaw.at
I. Einführung: Akteure
7
Auftraggeber
Betroffener Dritter
Dienstleister
Übermittlung iSd § 4 Z 12 DSG 2000 (an andere Empfänger)
Überlassung iSd § 4 Z 12 DSG 2000 (an Dienstleister)
Dienstleistervertrag
www.ehlaw.at
• Indirekt personenbezogene Daten
– genehmigungsfreier Transfer
• Personenbezogene Daten
• Genehmigung des Transfers in Drittstaaten durch die DSB
– Nachweis eines angemessenen Datenschutzniveaus für den konkreten Fall
– Glaubhaftmachung der Wahrung von schutzwürdigen
Geheimhaltungsinteressen
• Z.B. durch Abschluss der EU-Standardvertragsklauseln
I. Einführung: Datentransfer ins Ausland
8
EU/EWR
Genehmigungsfreier
Transfer
Drittstaaten
Vorabgenehmigung der DSB
erforderlich
Ausnahme: angemessenes
Datenschutzniveau
Beachte:
seit Wegfall von Safe
Harbor
Genehmigungspflicht
auch für den Transfer in
die USA
www.ehlaw.at
I. Einführung: EU-Datenschutz-GrundVO
• Die EU-Datenschutz-Grundverordnung (DS-GVO) wird aufgrund ihrer
unmittelbaren Anwendbarkeit voraussichtlich ab Mitte 2018 das DSG
2000 ersetzen. Wesentliche Unterschiede:
– Schutzbereich: nur die Daten natürlicher Personen
– Erweiterung der Rechte der Betroffenen sowie der Transparenz- und
Informationspflichten gegenüber diesen
– Bei bestimmten Unternehmen: Datenschutzbeauftragter
– Unter bestimmten Voraussetzungen: Verpflichtung zur Datenschutz-
Folgenabschätzung, insb. bei Verwendung neuer Technologien, die
voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher
Personen zur Folge haben
• Orientierung am EU-Kartellrecht
– System der Selbstbeurteilung, d.h. Wegfall der Meldepflicht von
Datenanwendungen
– Sehr hohe Strafen bei Verstößen (bis zu 20 Mio. Euro oder 4% des globalen
Konzernumsatzes)
9www.ehlaw.at
Inhalte
I. Einführung: Datenschutzgesetz 2000
II. Definition: Cloud Computing
III. Datenschutz im Gesundheitssektor
IV. Fazit und Ausblick
II. Definition: Cloud Computing
• Definition des National Institute of Standards and Technology
– „Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein
Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B.
Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen,
die schnell und mit minimalem Managementaufwand oder geringer
Serviceprovider-Interaktion zur Verfügung gestellt werden können.“
• Abgrenzung zu klassischem Outsourcing
11
Outsourcing
Begrenzte Zahl großer
Auftraggeber
Maßgeschneiderte individuelle
Vereinbarungen
Cloud Computing
Potentiell unbegrenzte Zahl von
Auftraggebern
Standardisierte Vereinbarungen
www.ehlaw.at
Inhalte
I. Einführung: Datenschutzgesetz 2000
II. Definition: Cloud Computing
III. Datenschutz im Gesundheitssektor
IV. Fazit und Ausblick
III. Gesundheitssektor: Problemstellungen
• Zulässigkeit der Verwendung und Überlassung von Daten
• Verwendung von überwiegend sensiblen Daten, insb.
Gesundheitsdaten
– Besondere Verpflichtungen bei der Verwendung von Gesundheitsdaten
• Unzählige Spezialbestimmungen
• Aufbewahrungspflicht von Krankengeschichten
– Form und Dauer der Aufbewahrung
– Übertragung der Aufbewahrungspflicht
• Geheimnisschutz
– Berufsrechtliche Verschwiegenheitspflichten / Strafrechtliche Verantwortung
– Übertragung der Verschwiegenheitspflicht im Dienstleistervertrag
13www.ehlaw.at
III. Gesundheitssektor: Gesetzliche Grundlagen
Datenschutzgesetz 2000 (DSG 2000)
Krankenanstalten- und Kuranstaltengesetz (KaKuG)
Psychologengesetz
Gesundheitstelematikgesetz 2012 (GTelG 2012)
Ärztegesetz Psychotherapiegesetz
Landes-Krankenanstaltengesetze
uvm.
Strafgesetzbuch (StGB)
www.ehlaw.at
III. Gesundheitssektor: Akteure
15
Auftraggeber
Ärzte, Rechtsträger der
Krankenanstalten,
Sozialversicherungsträger, Unternehmen
im Gesundheitswesen etc.
Betroffene
Patienten/
Versicherungsnehmer
Dienstleister
www.ehlaw.at
III. Gesundheitssektor: Sensible Daten
• Verarbeitung von überwiegend sensiblen Daten
– Gesundheitsdaten sind besonders schutzwürdig
– Allgemeines Verwendungsverbot
• Beispiele für Ausnahmen vom Verwendungsverbot
– Ausdrückliche Zustimmung des Betroffenen
– Wahrung lebenswichtiger Interessen
– Wissenschaftliche Forschung und Statistik
– Gesundheitsvorsorge, medizinische Diagnostik, Gesundheitsversorgung
oder –behandlung, Verwaltung von Gesundheitsdiensten
• Vorabkontrolle durch die DSB
– Einholung einer Genehmigung der DSB vor Aufnahme der
Datenverarbeitung notwendig
16www.ehlaw.at
III. Gesundheitssektor: Gesundheitsdaten I
• Gesundheitsdaten
– Personenbezogene Daten über die physische oder psychische
Befindlichkeit eines Menschen
• ELGA-Gesundheitsdaten
– Personenbezogene Daten, die in der Elektronischen Gesundheitsakte
(ELGA) verwendet werden dürfen
• Gesundheitsdiensteanbieter (GDA)
– Auftraggeber oder Dienstleister, die regelmäßig Gesundheitsdaten zu
bestimmten im GTelG 2012 definierten Zwecken verwenden
• ELGA-Gesundheitsdiensteanbieter
– GDA, denen ELGA zur Verfügung steht
17www.ehlaw.at
III. Gesundheitssektor: Gesundheitsdaten II
• Nach dem GTelG 2012 müssen GDA bei der elektronischen Weitergabe
von Gesundheitsdaten bestimmte Datensicherungsmaßnahmen
einhalten.
• Verschlüsselung von Gesundheitsdaten
– Der Transfer und die Speicherung von Gesundheitsdaten darf nur dann
erfolgen, wenn diese mit einem dem aktuellen Stand der Technik
entsprechenden Verfahren verschlüsselt wurden.
– Die Verschlüsselungsverfahren müssen die vollständige Verschlüsselung
der Gesundheitsdaten bewirken und deren kryptographische Algorithmen
den gesetzlichen Vorgaben entsprechen.
– Bei Einhaltung dieser Verschlüsselungsverfahren ist Cloud Computing als
zulässiges Verfahren zur Speicherung von Gesundheitsdaten anerkannt.
• Speicherort von ELGA-Gesundheitsdaten
– Die Speicherung von ELGA-Gesundheitsdaten darf nur in geeigneten
Datenspeichern im Gebiet der EU erfolgen.
18www.ehlaw.at
III. Gesundheitssektor: Krankengeschichten
• Nach dem KAKuG müssen Krankenanstalten Krankengeschichten
(zB Anamnese, ärztliche Leistungen, Medikation) führen und diese
mindestens 30 Jahre aufbewahren.
• Form der Aufbewahrung
– Es ist eine Form zu wählen, die die Lesbarkeit für den gesamten Zeitraum
von 30 Jahren sicherstellt und eine missbräuchliche Kenntnisnahme der
Krankengeschichten verlässlich ausschließt.
• Übertragung der Aufbewahrungsverpflichtung
– Die Weitergabe von Krankengeschichten zur Verarbeitung und
Aufbewahrung außerhalb der Krankenanstalt bedarf einer besonderen
landesgesetzlichen Ermächtigung.
– Die meisten Landesgesetze sehen die Möglichkeit der Übertragung mittels
automationsunterstützter Datenverarbeitung an andere Rechtsträger vor,
wenn diese Rechtsträger und die von ihnen beschäftigten Personen zur
Verschwiegenheit verpflichtet werden.
19www.ehlaw.at
III. Gesundheitssektor: Geheimnisschutz
• Das StGB untersagt das Offenbaren oder Verwerten eines
Geheimnisses, das den Gesundheitszustand einer Person betrifft.
• Dieser speziellen gesetzlichen Verschwiegenheitspflicht unterliegen
Ausübende eines Gesundheitsberufes (Ärzte, Psychologen, Apotheker,
Hebammen etc.) und Personen, die mit Aufgaben der Verwaltung einer
Krankenanstalt oder mit Versicherungsaufgaben betraut sind.
• Übertragung der Verschwiegenheitspflicht im Dienstleistervertrag
20www.ehlaw.at
Inhalte
I. Einführung: Datenschutzgesetz 2000
II. Definition: Cloud Computing
III. Datenschutz im Gesundheitssektor
IV. Fazit und Ausblick
IV. Fazit und Ausblick
• Aufgrund der Verwendung von vorwiegend sensiblen und damit
besonders schutzwürdigen Daten bestehen im Gesundheitssektor
generell – nicht nur im Bereich von Cloud Computing – erhöhte
Sorgfaltspflichten.
• Angesichts der dadurch möglichen Kostenoptimierung bei
gleichzeitiger Erhöhung der Datensicherheit ist Cloud Computing
aber auch im Gesundheitssektor eine interessante Option.
• Mit Blick auf die DS-GVO und das künftige System der
Selbstbeurteilung wird die Bedeutung der Datenschutz-Compliance in
Unternehmen in den kommenden Jahren massiv zunehmen.
22Eisenberger & Herzog 2016
Danke
Die Informationen, Meinungen und Rechtsansichten in diesem Dokument sind nicht als abschließende Darstellung gedacht und
können eine individuelle, auf die Besonderheiten des Sachverhaltes bezogene Beratung nicht ersetzen.
www.ehlaw.at

Weitere ähnliche Inhalte

Ähnlich wie Cloud computing und Datenschutz im Gesundheitssektor 2016

Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Carl-Christian Buhr
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Michael Lanzinger
 
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Praxistage
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
Michael Lanzinger
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
Michael Lanzinger
 
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler ScannerDr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Ole Wintermann
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
EU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuances
EU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuancesEU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuances
EU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuances
nuances
 
Open Data und staatliche Arkantradition
Open Data und staatliche ArkantraditionOpen Data und staatliche Arkantradition
Open Data und staatliche Arkantradition
Danube University Krems, Centre for E-Governance
 
Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018
Stefan Kontschieder
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
Michael Lanzinger
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon Berlin
 
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen AbformungZum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
drjochendeppemsc
 
Datenschutz nach DSGVO in der Arztpraxis
Datenschutz nach DSGVO in der ArztpraxisDatenschutz nach DSGVO in der Arztpraxis
Datenschutz nach DSGVO in der Arztpraxis
jandax
 
Jugsauerland dsgvo
Jugsauerland dsgvoJugsauerland dsgvo
Jugsauerland dsgvo
Praetor Intermedia
 
Durchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in DienstenetzenDurchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in Dienstenetzen
Sven Wohlgemuth
 
Open Data und MIDATA - das Recht auf unsere Daten
Open Data und MIDATA - das Recht auf unsere DatenOpen Data und MIDATA - das Recht auf unsere Daten
Open Data und MIDATA - das Recht auf unsere Daten
Andre Golliez
 
Öffentliche Information als Wirtschaftsgut
Öffentliche Information als WirtschaftsgutÖffentliche Information als Wirtschaftsgut
Öffentliche Information als Wirtschaftsgut
Carl-Christian Buhr
 

Ähnlich wie Cloud computing und Datenschutz im Gesundheitssektor 2016 (20)

Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
 
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
 
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler ScannerDr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
EU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuances
EU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuancesEU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuances
EU-Datenschutzgrund-Verordnung-Smart-Metering-2014-Energiewirtschaft-nuances
 
Open Data und staatliche Arkantradition
Open Data und staatliche ArkantraditionOpen Data und staatliche Arkantradition
Open Data und staatliche Arkantradition
 
Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
 
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen AbformungZum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
 
Datenschutz nach DSGVO in der Arztpraxis
Datenschutz nach DSGVO in der ArztpraxisDatenschutz nach DSGVO in der Arztpraxis
Datenschutz nach DSGVO in der Arztpraxis
 
Jugsauerland dsgvo
Jugsauerland dsgvoJugsauerland dsgvo
Jugsauerland dsgvo
 
Durchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in DienstenetzenDurchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in Dienstenetzen
 
Open Data und MIDATA - das Recht auf unsere Daten
Open Data und MIDATA - das Recht auf unsere DatenOpen Data und MIDATA - das Recht auf unsere Daten
Open Data und MIDATA - das Recht auf unsere Daten
 
Öffentliche Information als Wirtschaftsgut
Öffentliche Information als WirtschaftsgutÖffentliche Information als Wirtschaftsgut
Öffentliche Information als Wirtschaftsgut
 

Cloud computing und Datenschutz im Gesundheitssektor 2016

  • 1. DATENSCHUTZ IM GESUNDHEITSSEKTOR Wien, 28. April 2016 | RA Dr. Andreas Zellhofer Cloud Computing & Datenschutz im Gesundheitssektor | Round Table
  • 2. Dr. Andreas Zellhofer Rechtsanwalt, Partner Leiter „Wettbewerbsrecht und IP|IT“ T: +43 606 36 47 a.zellhofer@ehlaw.at Schwerpunkte im IT-Recht • Datenschutz • Cloud Computing • Outsourcing • E-Commerce • Softwarelizenzverträge
  • 3. • 8 Experten für IP | IT • 60 Juristinnen & Juristen in Wien, Graz und Klagenfurt • eine der führenden Wirtschaftsrechtskanzleien Österreichs • 2015 | 2 x Österreichische Kanzlei des Jahres (Chambers Europe & JUVE) Über uns www.ehlaw.at
  • 4. Inhalte I. Einführung: Datenschutzgesetz 2000 II. Definition: Cloud Computing III. Datenschutz im Gesundheitssektor IV. Fazit und Ausblick
  • 5. I. Einführung: Anwendbarkeit • Grundrecht auf Datenschutz • Anwendungsbereich des DSG 2000 – Bei Datenverarbeitung in Österreich (Territorialitätsprinzip) – In EU-Mitgliedstaaten bei Verarbeitung für Zwecke einer in Österreich gelegenen Niederlassung des Auftraggebers – Ausgenommen: Verarbeitung in Österreich für Zwecke eines ausländischen Auftraggebers ohne österreichische Niederlassung • Unterscheidung verschiedener Datenarten 6 Personenbezogene Daten Identität feststellbar Anonymisierte Daten Identität nicht feststellbar Indirekt personenbezogene Daten Verschlüsselung DSG 2000 www.ehlaw.at
  • 6. I. Einführung: Akteure 7 Auftraggeber Betroffener Dritter Dienstleister Übermittlung iSd § 4 Z 12 DSG 2000 (an andere Empfänger) Überlassung iSd § 4 Z 12 DSG 2000 (an Dienstleister) Dienstleistervertrag www.ehlaw.at
  • 7. • Indirekt personenbezogene Daten – genehmigungsfreier Transfer • Personenbezogene Daten • Genehmigung des Transfers in Drittstaaten durch die DSB – Nachweis eines angemessenen Datenschutzniveaus für den konkreten Fall – Glaubhaftmachung der Wahrung von schutzwürdigen Geheimhaltungsinteressen • Z.B. durch Abschluss der EU-Standardvertragsklauseln I. Einführung: Datentransfer ins Ausland 8 EU/EWR Genehmigungsfreier Transfer Drittstaaten Vorabgenehmigung der DSB erforderlich Ausnahme: angemessenes Datenschutzniveau Beachte: seit Wegfall von Safe Harbor Genehmigungspflicht auch für den Transfer in die USA www.ehlaw.at
  • 8. I. Einführung: EU-Datenschutz-GrundVO • Die EU-Datenschutz-Grundverordnung (DS-GVO) wird aufgrund ihrer unmittelbaren Anwendbarkeit voraussichtlich ab Mitte 2018 das DSG 2000 ersetzen. Wesentliche Unterschiede: – Schutzbereich: nur die Daten natürlicher Personen – Erweiterung der Rechte der Betroffenen sowie der Transparenz- und Informationspflichten gegenüber diesen – Bei bestimmten Unternehmen: Datenschutzbeauftragter – Unter bestimmten Voraussetzungen: Verpflichtung zur Datenschutz- Folgenabschätzung, insb. bei Verwendung neuer Technologien, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben • Orientierung am EU-Kartellrecht – System der Selbstbeurteilung, d.h. Wegfall der Meldepflicht von Datenanwendungen – Sehr hohe Strafen bei Verstößen (bis zu 20 Mio. Euro oder 4% des globalen Konzernumsatzes) 9www.ehlaw.at
  • 9. Inhalte I. Einführung: Datenschutzgesetz 2000 II. Definition: Cloud Computing III. Datenschutz im Gesundheitssektor IV. Fazit und Ausblick
  • 10. II. Definition: Cloud Computing • Definition des National Institute of Standards and Technology – „Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“ • Abgrenzung zu klassischem Outsourcing 11 Outsourcing Begrenzte Zahl großer Auftraggeber Maßgeschneiderte individuelle Vereinbarungen Cloud Computing Potentiell unbegrenzte Zahl von Auftraggebern Standardisierte Vereinbarungen www.ehlaw.at
  • 11. Inhalte I. Einführung: Datenschutzgesetz 2000 II. Definition: Cloud Computing III. Datenschutz im Gesundheitssektor IV. Fazit und Ausblick
  • 12. III. Gesundheitssektor: Problemstellungen • Zulässigkeit der Verwendung und Überlassung von Daten • Verwendung von überwiegend sensiblen Daten, insb. Gesundheitsdaten – Besondere Verpflichtungen bei der Verwendung von Gesundheitsdaten • Unzählige Spezialbestimmungen • Aufbewahrungspflicht von Krankengeschichten – Form und Dauer der Aufbewahrung – Übertragung der Aufbewahrungspflicht • Geheimnisschutz – Berufsrechtliche Verschwiegenheitspflichten / Strafrechtliche Verantwortung – Übertragung der Verschwiegenheitspflicht im Dienstleistervertrag 13www.ehlaw.at
  • 13. III. Gesundheitssektor: Gesetzliche Grundlagen Datenschutzgesetz 2000 (DSG 2000) Krankenanstalten- und Kuranstaltengesetz (KaKuG) Psychologengesetz Gesundheitstelematikgesetz 2012 (GTelG 2012) Ärztegesetz Psychotherapiegesetz Landes-Krankenanstaltengesetze uvm. Strafgesetzbuch (StGB) www.ehlaw.at
  • 14. III. Gesundheitssektor: Akteure 15 Auftraggeber Ärzte, Rechtsträger der Krankenanstalten, Sozialversicherungsträger, Unternehmen im Gesundheitswesen etc. Betroffene Patienten/ Versicherungsnehmer Dienstleister www.ehlaw.at
  • 15. III. Gesundheitssektor: Sensible Daten • Verarbeitung von überwiegend sensiblen Daten – Gesundheitsdaten sind besonders schutzwürdig – Allgemeines Verwendungsverbot • Beispiele für Ausnahmen vom Verwendungsverbot – Ausdrückliche Zustimmung des Betroffenen – Wahrung lebenswichtiger Interessen – Wissenschaftliche Forschung und Statistik – Gesundheitsvorsorge, medizinische Diagnostik, Gesundheitsversorgung oder –behandlung, Verwaltung von Gesundheitsdiensten • Vorabkontrolle durch die DSB – Einholung einer Genehmigung der DSB vor Aufnahme der Datenverarbeitung notwendig 16www.ehlaw.at
  • 16. III. Gesundheitssektor: Gesundheitsdaten I • Gesundheitsdaten – Personenbezogene Daten über die physische oder psychische Befindlichkeit eines Menschen • ELGA-Gesundheitsdaten – Personenbezogene Daten, die in der Elektronischen Gesundheitsakte (ELGA) verwendet werden dürfen • Gesundheitsdiensteanbieter (GDA) – Auftraggeber oder Dienstleister, die regelmäßig Gesundheitsdaten zu bestimmten im GTelG 2012 definierten Zwecken verwenden • ELGA-Gesundheitsdiensteanbieter – GDA, denen ELGA zur Verfügung steht 17www.ehlaw.at
  • 17. III. Gesundheitssektor: Gesundheitsdaten II • Nach dem GTelG 2012 müssen GDA bei der elektronischen Weitergabe von Gesundheitsdaten bestimmte Datensicherungsmaßnahmen einhalten. • Verschlüsselung von Gesundheitsdaten – Der Transfer und die Speicherung von Gesundheitsdaten darf nur dann erfolgen, wenn diese mit einem dem aktuellen Stand der Technik entsprechenden Verfahren verschlüsselt wurden. – Die Verschlüsselungsverfahren müssen die vollständige Verschlüsselung der Gesundheitsdaten bewirken und deren kryptographische Algorithmen den gesetzlichen Vorgaben entsprechen. – Bei Einhaltung dieser Verschlüsselungsverfahren ist Cloud Computing als zulässiges Verfahren zur Speicherung von Gesundheitsdaten anerkannt. • Speicherort von ELGA-Gesundheitsdaten – Die Speicherung von ELGA-Gesundheitsdaten darf nur in geeigneten Datenspeichern im Gebiet der EU erfolgen. 18www.ehlaw.at
  • 18. III. Gesundheitssektor: Krankengeschichten • Nach dem KAKuG müssen Krankenanstalten Krankengeschichten (zB Anamnese, ärztliche Leistungen, Medikation) führen und diese mindestens 30 Jahre aufbewahren. • Form der Aufbewahrung – Es ist eine Form zu wählen, die die Lesbarkeit für den gesamten Zeitraum von 30 Jahren sicherstellt und eine missbräuchliche Kenntnisnahme der Krankengeschichten verlässlich ausschließt. • Übertragung der Aufbewahrungsverpflichtung – Die Weitergabe von Krankengeschichten zur Verarbeitung und Aufbewahrung außerhalb der Krankenanstalt bedarf einer besonderen landesgesetzlichen Ermächtigung. – Die meisten Landesgesetze sehen die Möglichkeit der Übertragung mittels automationsunterstützter Datenverarbeitung an andere Rechtsträger vor, wenn diese Rechtsträger und die von ihnen beschäftigten Personen zur Verschwiegenheit verpflichtet werden. 19www.ehlaw.at
  • 19. III. Gesundheitssektor: Geheimnisschutz • Das StGB untersagt das Offenbaren oder Verwerten eines Geheimnisses, das den Gesundheitszustand einer Person betrifft. • Dieser speziellen gesetzlichen Verschwiegenheitspflicht unterliegen Ausübende eines Gesundheitsberufes (Ärzte, Psychologen, Apotheker, Hebammen etc.) und Personen, die mit Aufgaben der Verwaltung einer Krankenanstalt oder mit Versicherungsaufgaben betraut sind. • Übertragung der Verschwiegenheitspflicht im Dienstleistervertrag 20www.ehlaw.at
  • 20. Inhalte I. Einführung: Datenschutzgesetz 2000 II. Definition: Cloud Computing III. Datenschutz im Gesundheitssektor IV. Fazit und Ausblick
  • 21. IV. Fazit und Ausblick • Aufgrund der Verwendung von vorwiegend sensiblen und damit besonders schutzwürdigen Daten bestehen im Gesundheitssektor generell – nicht nur im Bereich von Cloud Computing – erhöhte Sorgfaltspflichten. • Angesichts der dadurch möglichen Kostenoptimierung bei gleichzeitiger Erhöhung der Datensicherheit ist Cloud Computing aber auch im Gesundheitssektor eine interessante Option. • Mit Blick auf die DS-GVO und das künftige System der Selbstbeurteilung wird die Bedeutung der Datenschutz-Compliance in Unternehmen in den kommenden Jahren massiv zunehmen. 22Eisenberger & Herzog 2016
  • 22. Danke Die Informationen, Meinungen und Rechtsansichten in diesem Dokument sind nicht als abschließende Darstellung gedacht und können eine individuelle, auf die Besonderheiten des Sachverhaltes bezogene Beratung nicht ersetzen. www.ehlaw.at