Datenschutz/Datensicherheit PDF

Summary

This document provides information on data privacy and security, focusing on the processing of data in the context of digital medicine. It details aspects like data processing principles, the right to be forgotten, and the importance of data minimization.

Full Transcript

Digitale Medizin

Datenschutz / Datensicherheit

Zulässigkeit der Datenverarbeitung: Grundsatz
„Verbot mit Erlaubnisvorbehalt“ (Art. 6 DSGVO)
d.h. jede Verarbeitung ist grundsätzlich verboten, wenn keine
Ausnahme in Form eines Erlaubnistatbestands vorliegt.

Diese Erlaubnis kann sich ergeben aus:
– Rechtsvorschriften
DSGVO selbst
Hessisches Datenschutz- und Informationsfreiheitsgesetz
Anderen Rechtsvorschriften (Gesetze, Verordnungen, Satzungen)
– Einwilligung
Art. 7 DSGVO: informierte Einwilligung, d.h. Freiwilligkeit, Aufklärung über Verwendungszweck der
Daten, Hinweis auf Widerrufsmöglichkeit, besondere Hinweispflichten, wenn die Erlaubnis zusammen
mit anderen Erklärungen abgegeben wird.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 1
 Digitale Medizin

Datenschutz / Datensicherheit
Zulässigkeit der Datenverarbeitung: Verarbeitungsgrundsätze
▪ Transparenz (Art. 5 Abs. 1 Buchst. a DSGVO)
Die Datenverarbeitung muss in einer für die Betroffenen nachvollziehbaren
Weise erfolgen.
▪ Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO)
Die Festlegung eindeutiger und legitimer Zwecke, d.h. Erhebung und
Weiterverarbeitung müssen mit diesen Zwecken vereinbar sein.
▪ Datensparsamkeit (Art. 5 Abs. 1 Buchst. c DSGVO)
Die personenbezogenen Daten müssen dem Zweck angemessen und
erheblich sowie auf das für die Zwecke notwendige Maß beschränkt sein
▪ Richtigkeit (Art. 5 Abs. 1 Buchst. d DSGVO)
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten
Stand sein. Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung
unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 2
 Digitale Medizin

Datenschutz / Datensicherheit
Zulässigkeit der Datenverarbeitung: Verarbeitungsgrundsätze
▪ Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO)
Daten müssen idR in einer Form gespeichert werden, die die Identifizierung
der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke,
für die sie verarbeitet werden, erforderlich ist.
▪ Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO)
Die Gewährleistung eines angemessenes Sicherheitsniveau, d.h. Schutz
vor unbefugter Verarbeitung, unbeabsichtigtem Verlust; unbeabsichtigter
Zerstörung oder Schädigung durch geeignete technische und
organisatorische Maßnahmen.

▪ Rechenschaftspflicht
Stellen, die personenbezogene Daten verarbeiten, sind nicht nur
verantwortlich für die Einhaltung der vorab genannten Grundsätze. Sie
müssen nachweisen können, dass und in welcher Weise sie die Grundsätze
einhalten.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 3
 Digitale Medizin

Datenschutz / Datensicherheit
Übung zu Artikel 5
Entwickeln Sie jeweils ein Beispiel zu den Verarbeitungsgrundsätzen

Zweckbindung
Datensparsamkeit
Richtigkeit
Speicherbegrenzung sowie

Integrität und Vertraulichkeit

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 4
 Digitale Medizin

Datenschutz / Datensicherheit
Zulässigkeit der Datenverarbeitung: Verarbeitungsgrundsätze
▪ Umfassende Informations- und Auskunftspflichten (Art. 13–15 DSGVO)

▪ Zeitpunkt: bei Erhebung der Daten sowie jederzeit auf Anfrage
▪ Inhalt:
▪ Kontaktdaten d. Verantwortlichen u. d. Datenschutzbeauftragten,
▪ Rechtsgrundlage und Zweck der Verarbeitung,
▪ Kategorien verarbeiteter Daten,
▪ Herkunft der Daten (sofern nicht vom Betroffenen),
▪ etwaige Empfänger, insbes. in Drittländern,
▪ Speicherdauer, Löschfristen
▪ Bestehen von Auskunfts-, Berichtigungs-, Löschungsanspruch, Anspruch auf
Einschränkung der Verarbeitung,

▪ Widerrufs-, Widerspruchs- u. Beschwerderecht
▪ → Recht auf Kopie der Daten
05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 5
 Digitale Medizin

Datenschutz / Datensicherheit

Wichtige Begriffe aus den Datenschutzgesetzen (Teil 1)
(noch) Beauftragter für den Datenschutz (§4f BDSG)

Sofern keine Verpflichtung für einen DSB besteht, hat der Leiter (Arzt) der
öffentlichen oder nicht öffentlichen Stelle die Aufgaben des DSB sicherzustellen !

Wichtig: Der Datenschutzbeauftragte besitzt seit 2009 einen
Sonderkündigungsschutz

Aufgaben des Beauftragten für den Datenschutz: (§4g BDSG)
– u.a. Das zur Verfügung stellen des öffentlichen Verfahrensverzeichnisses
(später mehr !)
– ordnungsgemäße Anwendung der DV Programme mit denen
personenbezogene Daten verarbeitet werden
– Schulung der Mitarbeiter

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 6
 Digitale Medizin

Datenschutz / Datensicherheit

Wichtige Begriffe aus den Datenschutzgesetzen (Teil 1)
(noch) Beauftragter für den Datenschutz (§4f BDSG)

Der Datenschutzbeauftragte muss eine erforderliche Fachkunde und Zuverlässigkeit
besitzen. Diese sind:

Rechtliche Grundkenntnisse

Grundkenntnisse der Techniken der automatisierten Datenverarbeitung

Betriebswirtschaftliche Kenntnisse

Überblick über die Organisation und Abläufe, soweit dies mit der Datenverarbeitung
zusammenhängt

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 7
 Digitale Medizin

Datenschutz / Datensicherheit

Entwicklung zur EU Datenschutzgrundverordnung

2016* 2018*

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 8
 Digitale Medizin

Datenschutz / Datensicherheit

Aktuelles zur neuen EU Datenschutz-Grundverordnung

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO oder DS-GVO)
ist ein großer Schritt in der Aktualisierung des europäischen Datenschutzrechts
wurde am 04. Mai 2016 im EU-Amtsblatt veröffentlicht.
Sie gilt ab dem 25. Mai 2018
Sie gilt direkt auch für alle Unternehmen innerhalb (und auch für einige außerhalb) der EU
und des Europäischen Wirtschaftsraums (EWR)

Die EU-DSGVO enthält einige sogenannte Ö̈ffnungsklauseln.
In einigen Bereichen müssen die Nationalstaaten diese Ö̈ffnungsklauseln mit eigenen
Regelungen ausfüllen.
In anderen Bereichen können sie die Ö̈ffnungsklauseln nutzen, um erprobte
Datenschutzregelungen im nationalen Recht zu erhalten.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 9
 Digitale Medizin

Datenschutz / Datensicherheit

Aktuelles zur neuen EU Datenschutz-Grundverordnung

Gleichzeitig mit dem Gültigwerden der DSGVO
tritt am 25. Mai 2018 das neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft und
wird das derzeit und bis dahin gültige Bundesdatenschutzgesetz (BDSG-alt) aufgehoben

Auch im Online-Bereich wird der Datenschutz auf europäischer Ebene aktualisiert.
Die derzeit auf EU-Ebene geltende EU-ePrivacy-Richtlinie soll entsprechend eines Vorschlag
der EU-Kommission ebenfalls durch eine direkt geltende EU- ePrivacy-Verordung (EU-ePriv-
VO) abgelöst werden. (➔ verschoben)
Nach der Vorstellung der EU-Kommission soll auch die EU-ePriv-VO am 25. Mai 2018 gültig
werden.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 10
 Digitale Medizin

Datenschutz / Datensicherheit

Grundsätze der Datenverarbeitung in der neuen
EU Datenschutz-Grundverordnung

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit (vgl. Art. 5 Abs. 1 DSGVO)

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen
Einhaltung nachweisen können („Rechenschaftspflicht“). (vgl. Art. 5 Abs. 2 DSGVO)

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 11
 Digitale Medizin

Datenschutz / Datensicherheit

Was ändert u.a. sich durch die neue EU Datenschutz-Grundverordnung

Die Dokumentationspflichten werden deutlich ausgeweitet (vgl. Art5 Abs.2 DSGVO)

Die Betroffenenrechte werden deutlich ausgeweitet und es wird eine Reaktionsfrist verbindlich
festlegt. (vgl. Art 12 DSGVO)

Es werden neue Bußgeldtatbestände eingeführt.

Die Bußgelder erhöhen sich drastisch auf bis zu 20 Mio € oder 4% des weltweiten
Jahresumsatzes, je nachdem , welcher Betrag höher ist.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 12
 Digitale Medizin

Datenschutz / Datensicherheit

Was ändert u.a. sich durch die neue EU Datenschutz-Grundverordnung

Weitere wichtige Änderungen sind u.a.

Die Datenschutz-Folgenabschätzung ersetzt die bisherige Vorabkontrolle und ist deutlich
umfangreicher.

Eine Risikoabschätzung ist an vielen Stellen der DSGVO erforderlich.

Die Pflichten für Auftrags(daten)verarbeiter werden umfangreicher, u.a. müssen
Auftrags(daten)verarbeiter auch ein Verzeichnis von Verarbeitungstätigkeiten führen.

Bei zu ungenauer Beauftragung können Auftrags(daten)verarbeiter ebenfalls zu
Verantwortlichen werden.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 13
 Digitale Medizin

Datenschutz / Datensicherheit

Änderungen bei den Rechten der Betroffenen

Die Informations- und Auskunftspflichten werden deutlich umfangreicher.

Neu sind
– Recht auf „Vergessenwerden“ als Erweiterung des Rechts auf Löschen
– Recht auf Datenübertragbarkeit

Es wird ein verbindliche Reaktionszeit von einem Monat eingeführt.
– Einmalig kann diese Frist um zwei Monate verlängert werden. Die betroffene Person ist
hiervon innerhalb des ersten Monats zu unter Angabe der Gründe zu informieren.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 14
 Digitale Medizin

Datenschutz / Datensicherheit

EU-Datenschutz-Grundverordnung - die 10 wichtigsten Regeln

Geltungsbereich: Die DS-GVO gilt explizit auch für Anbieter mit Sitz außerhalb der EU,
soweit sie ihre Angebote an Bürger in der EU richten (wie etwa Facebook und Google). Der
Ort der Datenverarbeitung spielt keine Rolle mehr.

Datenschutzkonzept: Jede Stelle muss nachweisen können, dass sie ein Gesamtkonzept zur
Einhaltung des Datenschutzes besitzt ("Rechenschaftspflicht"). Dieses muss sie auch
regelmäßig kontrollieren und ggf. weiterentwickeln.

Informationsrechte: Die Betroffenen sind umfangreicher als bisher über die
Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise
Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten
veröffentlicht werden. Wenn als Rechtsgrundlage die Interessensabwägung herangezogen
wird, müssen auch die "berechtigten Interessen" aufgezählt werden.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 15
 Digitale Medizin

Datenschutz / Datensicherheit

EU-Datenschutz-Grundverordnung - die 10 wichtigsten Regeln

Privacy by design und by default: Datenschutz ist schon beim Planen neuer Techniken und
neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu
berücksichtigen.

Risikoanalyse und Folgenabschätzung: Die bisherige Vorabkontrolle wird zu einer Risiko- und
Folgenabschätzung ausgebaut. Die Pflicht zu regelmäßigen Audits soll das Risiko von
Datenschutzverstößen minimieren.

Datenschutz in Konzernen: Ein Konzernprivileg gibt es weiterhin nicht, aber die
Datenverarbeitung innerhalb von Unternehmensgruppen wird vereinfacht. Einerseits werden
Übermittlungen für interne Verwaltungszwecke als "legitim" anerkannt. Andererseits können
sich mehrere Stellen zusammenschließen, um Daten gemeinsamen zu verarbeiten – sie
handeln und haften dann als gemeinsame Verantwortliche.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 16
 Digitale Medizin

Datenschutz / Datensicherheit

EU-Datenschutz-Grundverordnung - die 10 wichtigsten Regeln

Datenschutzverstöße: Zukünftig müssen alle Datenschutz-Pannen gemeldet werden,
unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss
innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch
die Betroffenen sind "ohne unangemessene Verzögerung" zu benachrichtigen.

Datenschutzbeauftragter: In Deutschland soll die Bestellpflicht für Datenschutzbeauftragte
weiterhin unverändert nach den Vorgaben des alten Bundesdatenschutzgesetzes fortbestehen.
Die DS-GVO enthält eine Öffnungsklausel, die der deutsche Gesetzgeber nutzen möchte. In
den anderen europäischen Mitgliedsstaaten müssen nur dann Datenschutzbeauftragte bestellt
werden, wenn höhere Datenschutzrisiken bestehen.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 17
 Digitale Medizin

Datenschutz / Datensicherheit

EU-Datenschutz-Grundverordnung - die 10 wichtigsten Regeln

Aufsichtsbehörden: Für internationale Organisationen ist nur noch die Datenschutz-
Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig ("federführende Aufsichtsbehörde").
Betroffene können sich an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das
Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen.

Bußgelder: Fast jeder Verstoß gegen die DS-GVO kann geahndet werden. Der Bußgeldrahmen
wird deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten
erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 18
 Digitale Medizin

Datenschutz / Datensicherheit

Strafgesetzbuch
§ 203 Verletzung von Privatgeheimnissen
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes
Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen
Heilberufs, der für die Berufsausübung oder die Führung der
Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren,
Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder
Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-,
Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer
Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des
öffentlichen Rechts anerkannt ist.
4a. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des
Schwangerschaftskonfliktgesetzes,
5. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder
6. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung
oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle

anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.
….

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 19
 Digitale Medizin

Datenschutz / Datensicherheit

Berufsordnung für die Ärztinnen und Ärzte in Hessen
§ 9 Schweigepflicht
(1) Der Arzt hat über das, was ihm in seiner Eigenschaft als Arzt anvertraut oder bekannt geworden ist -
auch über den Tod des Patienten hinaus - zu schweigen. Dazu gehören auch schriftliche Mitteilungen
des Patienten, Aufzeichnungen über Patienten, Röntgenaufnahmen und sonstige
Untersuchungsbefunde.

(2) Der Arzt ist zur Offenbarung befugt, soweit er von der Schweigepflicht entbunden worden ist oder
soweit die Offenbarung zum Schutze eines höherwertigen Rechtsgutes erforderlich ist. Gesetzliche
Aussage- und Anzeigepflichten bleiben unberührt. Soweit gesetzliche Vorschriften die Schweigepflicht
des Arztes einschränken, soll der Arzt den Patienten darüber unterrichten.

(3) Der Arzt hat seine Mitarbeiter und die Personen, die zur Vorbereitung auf den Beruf an der ärztlichen
Tätigkeit teilnehmen, über die gesetzliche Pflicht zur Verschwiegenheit zu belehren und dies schriftlich
festzuhalten.

(4) Wenn mehrere Ärzte gleichzeitig oder nacheinander denselben Patienten untersuchen oder behandeln,
so sind sie untereinander von der Schweigepflicht insoweit befreit, als das Einverständnis des Patienten
vorliegt oder anzunehmen ist.

Wichtig: Die ärztliche Schweigepflicht gilt grundsätzlich auch gegenüber
anderen Ärzten und Angehörigen

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 20
 Digitale Medizin

Datenschutz / Datensicherheit

Die ärztliche Schweigepflicht gilt nicht, wenn: (1 / 2)
Zulässige bzw. verpflichtende Gründe für die Weitergabe patientenbezogener
Daten sprechen. Diese sind:

Zweck der Abrechnung (§ 295 SGB V)

Zweck der Abrechnungsprüfung (§ 295 SGB V)

Zweck der Qualitätssicherung (§ 298 SGB V)

Zweck der Wirtschaftlichkeitsprüfung (§§ 296, 297 SGB V)

Übermittlung von AU Bescheinigungen (§ 284 i.V. m § 295 SGB V)

Zur Übermittlung an den MDK (§§ 276, 277 SGB V)

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 21
 Digitale Medizin

Datenschutz / Datensicherheit

Die ärztliche Schweigepflicht

Bereits die Tatsache, dass eine bestimmte Person Patient bei einem bestimmten Arzt
ist unterliegt der Schweigepflicht.

Die ärztliche Schweigepflicht ist nicht mehr gegeben, wenn gesetzliche Vorschriften
ihn verpflichten oder berechtigen die Daten weiterzugeben (gleich mehr dazu !)

Die Schweigepflicht wird nicht verletzt, wenn der Patient sein Einverständnis zu
Weitergabe gibt. (Achtung: Aufbewahrung der Einverständniserklärung !)
(Beispiele: ärztliche Kollegen, privatärztliche Abrechungsstellen, …)

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 22
 Digitale Medizin

Datenschutz / Datensicherheit

Die ärztliche Schweigepflicht gilt nicht, wenn: (2 / 2)
Meldepflichten- bzw. –rechte vorliegen

Infektionsschutzgesetz (§ 6 IFSG)

Krebsregistergesetzen der Länder (z.B. § 4 hess. Krebsregistergesetz )

Röntgenverordnung (§ 17 a RöV, § 28 Abs. 8 RöV)

Strahlenschutzverordnung ($ 42 Strahlenschutzverordnung)

Betäubungsmittelgesetz i. V. m. § 5 a BTMVV

Gesetzliche Unfallversicherung (§§ 201 ff. SGB VII)

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 23
 Digitale Medizin

Datenschutz / Datensicherheit

Verfahrensverzeichnisse

Es ist die Aufgabe der Unternehmensleitung (Arzt, GF im MVZ/Klinik)
Verfahrensverzeichnisse zu erstellen.

Das interne Verfahrensverzeichnis ist die Basis für Datenschutzbeauftragte

Interne Verfahrensverzeichnisse werden im Bereich des Datenschutzes für
automatisierte meldepflichtige Verarbeitungen erstellt. Sie sind die Basis für die Arbeit
der Datenschutzbeauftragten (DSB). Die Kontrolle auf Aktualität der bestehenden
Verfahrensverzeichnisse ist Aufgabe des DSB.

Die internen Verfahrensverzeichnisse enthalten konkrete und überprüfbare Angaben
über Maßnahmen zur Datensicherheit, zu den Dateninhalten, zu den an der
Verarbeitung beteiligten Benutzergruppen und IT-Systemen. Somit enthält das internen
Verfahrensverzeichnis sensible Informationen und ist aus diesem Grund nicht zur
öffentlichen Einsichtnahme bestimmt.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 24
 Digitale Medizin

Datenschutz / Datensicherheit

Verfahrensverzeichnisse

Das öffentliche Verfahrensverzeichnis - Verzeichnis für Jedermann

Im Gegensatz zu dem internen Verfahrensverzeichnis muss das öffentliche
Verfahrensverzeichnis (Verzeichnis für Jedermann) jedermann auf Anfrage zur
Verfügung
gestellt werden (§ 4g Abs. 2 Satz 2 BDSG). Darin werden unten stehende Angaben
aufgeführt, die sich aus dem §4e des Bundesdatenschutzgesetzes ergeben.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 25
 Digitale Medizin

Datenschutz / Datensicherheit

Verfahrensverzeichnisse
Das öffentliche Verfahrensverzeichnis - Inhalt der Meldepflicht

1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der
Verfassung des Unternehmens berufene Leiter und die mit der Leitung der
Datenverarbeitung beauftragten Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten
oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden
können,
7. Regelfristen für die Löschung der Daten,
8. eine geplante Datenübermittlung in Drittstaaten,
9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die
Maßnahmen nach §9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen
sind.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 26
 Digitale Medizin

Datenschutz / Datensicherheit

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 27
 Digitale Medizin

Datenschutz / Datensicherheit

Nicht erst seit der Finanzkrise müssen Unternehmen sparen. So ist es nicht
verwunderlich, dass auch im Gesundheitsbereich, bei Krankenhäusern und Ärzten,
Outsourcing ein Thema ist.
Der Fall: Ein Krankenhaus übertrug die Abrechnung von Leistungen mit der
Kassenärztlichen Vereinigung auf eine privatärztliche Abrechnungsstelle. Die jeweils
betroffenen Patienten unterzeichneten diesbezüglich eine Einwilligungserklärung,
wonach sie mit der Weitergabe von Patienten- und Leistungsdaten einverstanden
waren. Im Hinblick auf diese Abrechnungspraxis kam es zum Rechtsstreit und damit
auch zur Frage: Dürfen solch sensible Informationen über gesetzlich versicherte
Patienten auch dann nicht weitergegeben werden, wenn die betroffenen Personen
vorab schriftlich eingewilligt haben?
So urteilten die Richter: In ihrem Urteil vom 10.12.2008 (Az. B 6 KA 37/07 R) schließen
sich die Richter nicht der Ansicht der Vorinstanzen an, wonach eine
Einwilligungserklärung ausreichte.
Nach Ansicht des obersten Sozialgerichts ist die Weitergabe von Informationen zu
gesetzlich Versicherten an private Abrechnungsunternehmen auch bei Vorliegen einer
vom Patienten unterzeichneten Einwilligungserklärung unzulässig. Die gesetzlichen
Bestimmungen zur gesetzlichen Krankenversicherung sehen eine solche Handhabung
nicht vor.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 28
 Digitale Medizin

Datenschutz / Datensicherheit

Folgerung für die Praxis: Das Urteil macht deutlich, dass immer genau geprüft werden
muss, ob es ausreichende Rechtsgrundlagen für das Erheben, Verarbeiten oder Nutzen
personenbezogener Daten gibt. Dies gilt gerade für besondere Arten personenbezogener
Daten im Sinne des § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG), wie z. B.
Gesundheitsdaten.

Deutlich wird in diesem Zusammenhang, dass die datenschutzrechtliche
Einwilligungserklärung kein Allheilmittel ist, um jedes denkbare Erheben, Verarbeiten
oder Nutzen von Daten zu rechtfertigen. Ist es also für Ihr Unternehmen von
besonderer Wichtigkeit, dass bestimmte Daten erhoben, verarbeitet oder genutzt
werden können, ist es sinnvoll, wenn Spezialisten das Thema unvoreingenommen
prüfen. Hier können Sie gemäß § 38 Abs. 1 Satz 2 BDSG auch den fachlichen Rat der für
Ihr Unternehmen zuständigen Aufsichtsbehörde für den Datenschutz in Anspruch
nehmen.

05. November 2024 | FB Gesundheit | Prof. Thomas Friedl 29