Datenschutz im elektronischen Archiv – Feature oder Handicap? Dr. Bernd Schütze, LL.B....

Datenschutz im elektronischen Archiv –Feature oder Handicap?

Dr. Bernd Schütze, LL.B.Akten-Symposium, 7. Dezember 2011

Wieso stehe ich hier?

Ausbildung Studium Informatik

FH-Dortmund

Studium HumanmedizinUni Düsseldorf / Uni Witten/Herdecke

Studium JuraFern-Uni Hagen

Datenschutz Seit 1995 Beschäftigung mit

dem Datenschutz im Gesundheitswesen

Seit 2002 Datenschutzbeauftragter

Ausbildung bei UDIS Mitarbeit in der GDD, AG

Gesundheitswesen Mitarbeit bei der GMDS-AG

Datenschutz

Datenschutz: Rechtlicher Hintergrund

SGB

LDSGSubsidiaritätsprinzip

Öffentlicher Bereich

Nicht-Öffentlicher Bereich

Bereichsspez. Gesetze

Kirchenrecht

Subsidiaritätsprinzip

SubsidiaritätsprinzipBDSG

StGB TMG …

Richtlinie 95/46/EG Richtlinie 2002/58/EG

Richtlinie 2006/24/EG EU-Charta der Grundrechte

Genauer: Rechtsvorschriften vonBund und Kirche

• Grundgesetz (GG)• Bundesdatenschutzgesetz (BDSG)• Sozialgesetzbuch (SGB)• Verordnung über die Erfassung und

Übermittlung von Daten für die Träger der Sozialversicherung (DEÜV)

• Telekommunikationsgesetz (TKG)• Verordnung über die technische und

organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (TKÜV)

• Telemediengesetz (TMG)• Signaturgesetz (SigG)• Verordnung zur elektronischen Signatur

(SigV)• Informations- und Kommunikationsdienste-

Gesetzes (IuKDG)• Gesetz über das Bundesamt für Sicherheit in

der Informationstechnik („BSI-Gesetz“)• Postgesetz (PostG)• Strafgesetzbuch (StGB)• Strafprozessordnung (StPO)• Zivilprozessordnung (ZPO)• Betriebsverfassungsgesetz (BetrVG)• Bürgerliches Gesetzbuch (BGB)

• Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD)

• Verordnung über die in das Gemeindeverzeichnis aufzunehmenden Datender Kirchenmitglieder mit ihren Familienangehörigen

• Verordnung über den automatisierten zwischenkirchlichen Datenaustausch

• Verordnung mit Gesetzeskraft zur Einführung des Datenschutzes in der Vereinigten Evangelisch-Lutherischen Kirche Deutschlands vom 17. November 1995 (ABl. Bd. VII S. 3)

• Anordnung über die Sicherung und Nutzung der Archive der Katholischen Kirche

• Anordnung über das kirchliche Meldewesen (KMAO) für Bistum …

• Anordnung über den kirchlichen Datenschutz (KDO) für Bistum …

• Durchführungsverordnung zur KDO (KDO-DVO)

• Ordnung zum Schutz von Patientendaten • in katholischen Krankenhäusern (PatDSO)

Datenschutz im Landesrecht

1. Baden-Württemberg

2. Bayern

3. Berlin

4. Brandenburg

5. Bremen

6. Hamburg

7. Hessen

8. Mecklenburg Vorpommern

9. Niedersachsen

10. Nordrhein-Westfalen

11. Rheinland-Pfalz

12. Saarland

13. Sachsen

14. Sachsen-Anhalt

15. Schleswig-Holstein

16. Thüringen

- Landeskrankenhausgesetz- Landeskrankenhausgesetz - Landeskrankenhausgesetz - Krankenhausdatenschutzverordnung- Krankenhausdatenschutzgesetz- Landeskrankenhausgesetz- Landeskrankenhausgesetz- Landeskrankenhausgesetz- Gesetz ü. d. öffentl. Gesundheitsdienst- Gesundheitsdatenschutzgesetz- Landeskrankenhausgesetz- Landeskrankenhausgesetz- Landeskrankenhausgesetz- Gesundheitsdienstgesetz - Landesdatenschutzgesetz - Landeskrankenhausgesetz

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr )

( mehr)

( mehr )

Dann sind da noch 1 oder 2nationale und internationale Normen

• DIN 6789-6: Dokumentationssystematik - Teil 6: Verfälschungssicherheit digitaler technischer Dokumentation

• DIN EN 12251: Sichere Nutzeridentifikation im Gesundheitswesen - Management und Sicherheit für die Authentifizierung durch Passwörter

• DIN EN 13606-4: Kommunikation von Patientendaten in elektronischer Form DIN EN 14169-1: Schutzprofile für Sichere Signaturerstellungseinheiten

• DIN EN 14169-2: Schutzprofile für Sichere Signaturerstellungseinheiten• DIN EN 14169-3: Schutzprofile für Sichere Signaturerstellungseinheiten• DIN EN 14169-4: Schutzprofile für Sichere Signaturerstellungseinheiten• DIN EN 14169-5: Schutzprofile für Sichere Signaturerstellungseinheiten• DIN EN 14169-6: Schutzprofile für Sichere Signaturerstellungseinheiten• DIN EN 14484: Internationaler Austausch von unter die EU-

Datenschutzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-Statements

• DIN EN 14485: Anleitung zur Verwendung von persönlichen Gesundheitsdaten in internationalen Anwendungen vor dem Hintergrund der EU-Datenschutzrichtlinie

• DIN CEN/TS 15260: Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten

• DIN CEN/TS 15260: Medizinische Informatik - Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten

• DIN EN 15713: Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln

• DIN ISO/IEC 27000: Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und Terminologie

• DIN ISO/IEC 27001: Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen

• DIN ISO/IEC 27002: Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management

• DIN EN ISO 27789: Audit-Trails für elektronische Gesundheitsakten• DIN EN ISO 27799: Sicherheitsmanagement im Gesundheitswesen bei

Verwendung der ISO/IEC 27002• DIN 31644: Information und Dokumentation - Kriterien für vertrauenswürdige

digitale Langzeitarchive• DIN 31645:Information und Dokumentation - Leitfaden zur

Informationsübernahme in digitale Langzeitarchive• DIN 66399-1: Büro- und Datentechnik - Vernichten von Datenträgern - Teil 1:

Grundlagen und Begriffe• DIN 66399-2: Büro- und Datentechnik - Vernichten von Datenträgern - Teil 2:

Anforderungen an Maschinen zur Vernichtung von Datenträgern• DIN EN 80001-1: Anwendung des Risikomanagements für IT-Netzwerke mit

Medizinprodukten - Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten

• ISO/IEC 2382-8: Informationstechnik - Begriffe - Teil 8: Sicherheit• ISO/IEC FDIS 9797-3: Information technology - Security techniques - Message Authentication Codes (MACs)• ISO/IEC 9798-1: Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen• ISO/IEC 9798-2: Informationstechnik - IT-Sicherheitsverfahren - Authentifikation von Instanzen• ISO/IEC 9798-3: Information technology - Security techniques - Entity authentication• ISO/IEC 9798-4: Information technology - Security techniques - Entity authentication• ISO/IEC 9798-5: Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen• ISO/IEC 9798-6: Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen• ISO/IEC 11586-1: Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten

OSI-Schichten: Konzepte, Modelle und Notation• ISO/IEC 11586-3: Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten

OSI-Schichten: Protokollspezifikationen für das Dienstelement für den Austausch von Sicherheitsinformationen (SESE)• ISO/IEC 11586-4: Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten

OSI-Schichten: Spezifikationen der schützenden Übertragungssyntax• ISO/TR 11633-1: Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen• ISO/TR 11633-2: Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen• ISO/TR 11636: Dynamisch abrufbares virtuelles privates Netzwerk für die Informationsinfrastruktur im Gesundheitswesen• ISO/IEC 15408-1: Information technology - Security techniques - Evaluation criteria for IT security• ISO/IEC 15408-2: Information technology - Security techniques - Evaluation criteria for IT security• ISO/IEC 15408-3: Information technology - Security techniques - Evaluation criteria for IT security• ISO/IEC TR 15443-1: Information technology - Security techniques - A framework for IT security assurance• ISO/TS 13606-4: Kommunikation von Patientendaten in elektronischer Form - Teil 4: Sicherheit• ISO/IEC TR 15443-2: Information technology - Security techniques - A framework for IT security assurance• ISO/IEC TR 15443-3: Information technology - Security techniques - A framework for IT security assurance• ISO/IEC TR 15446: Information technology - Security techniques - Guide for the production of Protection Profiles and Security Targets• ISO/IEC 15816: Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsobjekte für Zugriffskontrolle• ISO 17090-1: Public-Key-Infrastruktur• ISO 17090-2: Public-Key-Infrastruktur• ISO 17090-3: Public-Key-Infrastruktur• ISO/IEC 18031: Information technology - Security techniques - Random bit generation• ISO/IEC 18033-1: IT-Sicherheitsverfahren - Verschlüsselungsalgorithmen• ISO/IEC 18033-2: Information technology - Security techniques - Encryption algorithms• ISO/IEC 18033-3: Informationstechnik - IT Sicherheitsverfahren - Verschlüsselungsalgorithmen• ISO/IEC 18033-4: Information technology - Security techniques - Encryption algorithms• ISO/IEC 18043: Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems• ISO/IEC 18045: Information technology - Security techniques - Methodology for IT security evaluation• ISO/IEC 19772: Information technology - Security techniques - Authenticated encryption• ISO/IEC TR 19791: Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsbeurteilung operativer Systeme• ISO/IEC 19792: Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsevaluation der Biometrie• ISO/TS 21091: Verzeichnisdienste für Sicherheit, Kommunikation und Identifikation von Heilberuflern und Patienten• ISO/TS 22220: Identifikation von Objekten des Gesundheitswesen• ISO/TS 22600-1: Privilegienmanagement und Zugriffssteuerung• ISO/TS 22600-2: Privilegienmanagement und Zugriffssteuerung• ISO/TS 22600-3: Privilegmanagement und Zugriffssteuerung• ISO/IEC 24745: Information technology - Security techniques - Biometric information protection• ISO/IEC 24761: Information technology - Security techniques - Authentication context for biometrics• ISO/IEC 24762: Information technology - Security techniques - Guidelines for information and communications technology disaster recovery

services• ISO/IEC 24767-1: Informationstechnik - Sicherheit von Heim-Netzwerken• ISO/IEC 24767-2: Informationstechnik - Sicherheit von Heim-Netzwerken• ISO/TS 25237: Pseudonymisierung• ISO/TS 25238: Klassifikation der Sicherheitsrisiken von Software aus dem Bereich Gesundheitswesen• ISO/DIS 22857: Leitlinien für den Datenschutz zur Ermöglichung grenzüberschreitender Kommunikation von persönlichen

Gesundheitsinformationen• ISO/IEC 27003: Information technology - Security techniques - Information security management system implementation guidance• ISO/IEC 27004: Information technology - Security techniques - Information security management - Measurement• ISO/IEC 27005: Information technology - Security techniques - Information security risk management• ISO/IEC 27006: Information technology - Security techniques - Requirements for bodies providing audit and certification of information security

management systems• ISO/IEC 27007: Information technology - Security techniques - Guidelines for information security management systems auditing• ISO/IEC 27011: Information technology - Security techniques - Information security management guidelines for telecommunications organizations

based on ISO/IEC 27002• ISO/IEC 27031: Information technology - Security techniques - Guidelines for information and communication technology readiness for business

continuity• ISO/IEC 27035: Information technology - Security techniques - Information security incident management• ISO/TR 27809: Sicherstellung von Patientensicherheit bei Software im Gesundheitswesen• ISO/IEC 27033-1: Information technology - Security techniques - Network security - Part 1: Overview and concepts• ISO/IEC 27033-3: Information technology - Security techniques - Network security - Part 3: Reference networking scenarios - Threats, design

techniques and control issues• ISO/IEC FDIS 27034-1: Information technology - Security techniques - Application security - Part 1: Overview and concepts

Kurzform:

Datenschutz ist doch ganz

schön kompliziert…

Archive im Krankenhaus

1) Dokumente der Behandlung

2) Dokumente entsprechend sonstiger Rechtsprechung (Steuerrecht, …)

D.h. Personenbezogene Daten sind

- Personaldatena) Öffentliche Einrichtung → Landesrecht

b) Einrichtung der Kirche → Kirchenrecht

c) Privatwirtschaftliche Einrichtung → Bundesrecht

- Patientendaten(= Spezialgesetzgebung Krankenhaus)

Patientendaten am Beispiel NRW:Bevor es los geht…: Die Vorabkontrolle

• Vor Einführung von IT-Verfahren ist die „Beherrschbarkeit“ zu prüfen

• Rechtsgrundlage: § 10 Abs. 3 DSG NRW→ Risikoabschätzung für das IT-System→ Dokumentation der Sicherungsmaßnahmen

(Technische und organisatorische Maßnahmen)→ Dokumentation der (geplanten) Datenverarbeitung

(„Transparenzgebot“)→ Darlegung, wie das Recht auf informationelle

Selbstbestimmung für den Patienten gewahrt bleibt

Patientendaten am Beispiel NRW:Digitalisierung Papierakten

• Datensicherungsmaßnahmen entsprechend §10 DSG NRW, d.h.– Vertraulichkeit

(= Zugriff nur für Befugte)– Integrität

(= Unversehrtheit während Bearbeitung)– Verfügbarkeit

(Akten stehen zeitgerecht zur Verfügung)– Authentizität

(= jederzeit dem Ursprung zuordenbar)– Revisionsfähigkeit

(= Nachweis, wer wann welche Daten in welcher Weise verarbeitet hat)– Transparenz

(= Verfahrensweise der Verarbeitung ist vollständig und aktuell dokumentiert)


• Dienstanweisung bzgl. Digitalisierung– Wer darf welche Krankenunterlagen unter welchen Voraussetzungen

digitalisieren?– Festlegung von Mindestanforderung (Auflösung, Farbe vs. Sw, …)– Prüfung und Abnahme der digitalisierten Ergebnisse– Aufbewahrung der erzeugten Daten bzw. Datenträger (bei

Mikroverfilmung)– Sicherstellung der Unveränderbarkeit der erzeugten digitalen Kopie– Berichtigung fehlerhafter oder fehlerhaft gewordener Daten– Gewährleistung der Reproduktion über die gesamte Lebenszeit– Protokollierung

• Digitalisierung bzw. der entstandenen Fehler• Zugriffsversuche Unberechtigter

– Nachweis über Kontrolle bzgl. Einhaltung Dienstvorschrift


Externe Dienstleister (= Outsourcing)– Archivierung, Mikroverfilmung und Digitalisierung von

Krankenunterlagen im Krankenhaus ist grundsätzlich der Vorzug zu geben(§7 Abs.1 GDSG NRW)

– In (engen) Grenzen können diese Maßnahmen von privaten Firmen durchgeführt werden(§7 Abs. 2 GDSG NRW)

– Keine Funktionsübertragung möglich → Digitalisierung durch Dritte = Auftragsdatenverarbeitung(§7 Abs. 1 GDSG NRW)

– D.h., Vertragsgestaltung entsprechend §9 BDSG– ABER: Privater Auftragnehmer ≠ Berufsgehilfe nach §203 Abs. 1

→ Ärztliche Schweigepflicht lässt sich durch vertragliche Vereinbarungen nicht gewährleisten

→ Schweigepflichtentbindungserklärung von den betroffenen Patienten erforderlich

→ Alternative: anonyme oder pseudonyme Datenverarbeitung(wenig realistisch)

„Fremde“ in der eigenen Klinik

In 5 Bundesländern ist der Datenaustausch zwischen Abteilungen innerhalb eines Krankenhauses geregelt:

Der Datenaustausch zwischen einzelnen Krankenhausabteilungen wird dann wie eine Datenübermittlung nach extern bewertet.

Patientendaten am Beispiel NRW:Zugriff auf elektronische Daten

• Andere Organisationseinheiten im Krankenhaus sind datenschutzrechtlich „Dritte“ (§5 Abs. 1 GDSG NRW)– D.h., Zugriff von nicht unmittelbar mit Untersuchungen, Behandlungen

und der Leistungsabrechnung befassten Personen muss verhindert werden

• Forschung mit Patientendaten ist nur mit den in der eigene Abteilung erfassten Daten erlaubtoderder Patient willigt zur Nutzung seiner Daten in die Forschung ein (§6 GDSG NRW)(bei retrospektiven Studien…?)

• Qualitätssicherung sowie Aus-, Fort- und Weiterbildung muss mit anonymisierten Daten erfolgen(außer, der Zweck ist mit anonymisierten Daten nicht erreichbar → Dokumentation des Grundes!)

Patientendaten am Beispiel NRW:Löschung elektronischer Daten

• Patientendaten sind zu löschen(§8 GDSG NRW), wenn– Speicherung unzulässig ist– Die Daten zur Erfüllung der Zwecke entsprechend GDSG NRW nicht

mehr erforderlich sind– Die durch Rechtsvorschriften oder ärztliche Berufsordnung

vorgeschriebenen Aufbewahrungsfristen abgelaufen sind– Kein Grund für die Annahme besteht, dass durch die Löschung

schutzwürdige Belange des Patienten beeinträchtigt werden

Patientendaten am Beispiel NRW:Apropos Fristen

• Aufbewahrungsfrist von Patientenakten i.d.R. 10 Jahre(Rechtsgrundlage §10 Abs. 3 MBO)

• Verjährungsfrist für „Schadensersatzansprüche, die auf Verletzung des Lebens, des Körpers, der Gesundheit oder der Freiheit beruhen“ verjähren in 30 Jahren von der Begehung an(Rechtsgrundlage §199 Abs. 2 BGB)

„Löschvorschriften“ der Datenschutzgesetze:Personenbezogene Daten sind zu löschen, wenn- Ihre Speicherung unzulässig ist

(z.B. gesetzliche Aufbewahrungsfrist ist abgelaufen)- Ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer

Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist(zu den Aufgaben könne z.B. auch eine Risikominimierung gegenüber Haftungsansprüchen gehören)

Patientendaten am Beispiel NRW:Anforderungen der Aufsichtsbehörde(n)

(Auswahl aus der „Orientierungshilfe“ KIS)

• Funktion zur Freigabe (Vidierung) eingegebener Daten muss vorhanden sein• Zugriffe nur an Hand von Notwendigkeiten erlaubt, d.h.

→ Notfallzugriff im Sinne Notkompetenz eines Behandelnden→ Abbildung von „Springern“

Wenn administratives System dies nicht an das Archiv durchreicht, muss dies vom Archivsystem selbst abgebildet werden

• Bei der Aufnahme kann der Patient der Hinzuziehung von Daten aus früheren abgeschlossenen Behandlungsfällen in demselben Krankenhaus ganz oder teilweise widersprechen.

→ Ggf. darf das elektronische Archiv nicht alle Fälle anzeigen oder nur einzelne Teile eines Falles

• Aussagefähige und revisionsfeste Protokollierung schreibender und lesender Zugriffe sowie geeignete Auswertungsmöglichkeiten

• Die Archivsoftware muss über eine Funktion verfügen, mit der eine Übersicht erstellt werden kann, welche Personen während der Dauer der Speicherung eines Behandlungsfalles auf diesen zugegriffen haben

• Speichermedien, welche Daten des KIS aufnehmen, müssen eine Verschlüsselung ermöglichen(Datenträger- / Datenbank- / Dateisystemverschlüsselung)

Ausblick

• Die europäische Richtlinie wurde von einer Kommission überarbeitet

• Die Überarbeitung wird am 24. Januar 2012 als Datenschutz-Verordnung den parlamentarischen Gremien übergeben– Die Verordnung bietet Gestaltungsspielraum für spezielle Fragen

(Arbeitsrecht, Gesundheitswesen, …)

– Aber wir bekommen mit einer EU-Verordnung ein europaweitgeltendes Rahmenwerk für den Datenschutz

– Und haben damit die Hoffnung, dass auch in Deutschlandmittelfristig das Datenschutzrecht einheitlicherund damit überschaubarer wird

Die Antwort auf die Ausgangsfrage

Feature• Kein Patient möchte, dass

jeder auf Daten zugreifen kann• Mitarbeiter als Patienten sind

besonders sensibel

→ Datenschutz ist ein wichtiges Feature

Handicap• Keine klare Gesetzgebung• Forderungen oftmals an der

(sinnvollen) Praxis vorbei ↔ Patientenversorgung muss an 1. Stelle stehen

→ Datenschutz in der derzeit geforderten Form erweist sich mitunter als Handicap

Datenschutz im elektronischen Archiv – Feature oder Handicap?

Irgendwie weiß ich nicht, wie

ich mich entscheiden

soll…

Kontakt: [email protected]

Vielen Dank für Ihre Aufmerksamkeit!

Landesrecht in Baden-WürttembergDatenschutz

• Landesdatenschutzgesetz (LDSG)• Datenschutzzuständigkeitsverordnung (DSZuVO)• Landesarchivgesetz (LArchG)• Justizvollzugsdatenschutzgesetz (JVollzDSG)• Meldegesetz (MG)• Meldeverordnung (MVO)• Gesundheitsdienstgesetz (ÖGDG)• Landeskrankenhausgesetz Baden-Württemberg (LKHG)• Landeskrebsregistergesetz (LKrebsRG)• Landeshochschulgesetz (LHG)• Verordnung des Finanzministeriums über die Gewährung von Beihilfe in

Geburts-, Krankheits-, Pflege- und Todesfällen• Gesetz über das Friedhofs- und Leichenwesen (Bestattungsgesetz)

Landesrecht in BayernDatenschutz

• Bayerisches Datenschutzgesetz (BayDSG)• Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen

Datenschutzgesetzes • Meldegesetz (MeldeG)• Bayerisches Archivgesetz (BayArchivG)• Bayerisches Hochschulgesetz (BayHSchG) • Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG)• Bayerisches Krankenhausgesetz (BayKrG)• Bayerisches Rettungsdienstgesetz (BayRDG)• Krebsregistergesetz (BayKRG)• Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG• Bestattungsgesetz (BestG)• Bestattungsverordnung (BestV)• Unterbringungsgesetz (UnterbrG)

Landesrecht in BerlinDatenschutz

• Berliner Datenschutzgesetz (BlnDSG)• Archivgesetz des Landes Berlin (ArchGB)• Berliner Hochschulgesetz (BerlHG)• Meldegesetz• Gesundheitsdienst-Gesetz (GDG)• Gesundheitsdienst-Zuständigkeitsverordnung (GDZustVO)• Landeskrankenhausgesetz• Krankenhaus-Verordnung (KhsVO)• Krankenhausförderungs-Verordnung (KhföVO)• Gesetz zur Einführung einer Meldepflicht für Krebserkrankungen (PsychKG)• Gesetz zum Staatsvertrag über das Gemeinsame Krebsregister der Länder

Berlin, Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und Thüringen

• Rettungsdienstgesetz (RDG)• Bestattungsgesetz• Verordnung zur Durchführung des Bestattungsgesetzes (DVO-

Bestattungsgesetz)

Landesrecht in BrandenburgDatenschutz

• Brandenburgisches Datenschutzgesetz (BbgDSG)• Verordnung über die Regelung von Zuständigkeiten im Datenschutz (DSZustV)• Brandenburgisches Meldegesetz (BbgMeldeG)• Krankenhausgesetz des Landes Brandenburg (LKGBbg)• Krankenhausdatenschutzverordnung (KHDsV)• Onkologische Pflege-Weiterbildungsverordnung (OnkPWBV)• Intensivpflege- und Anästhesie-Weiterbildungsverordnung (IuAWBV)• Operationsdienst-Weiterbildungsverordnung (OpWBV)• Ambulante Pflege-Weiterbildungsverordnung (APWBV)• Brandenburgisches Gesundheitsdienstgesetz (BbgGDG)• Heilberufsgesetz (HeilBerG)• Brandenburgisches Rettungsdienstgesetz (BbgRettG)• Gesetz zu dem Staatsvertrag über das Gemeinsame Krebsregister der Länder Berlin,

Brandenburg, Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und Thüringen

• Gesetz zur Umsetzung des Brustkrebs-Früherkennungsprogramms und zur Einführung einer Meldepflicht für Krebserkrankungen

• Brandenburgisches Krankenhausentwicklungsgesetz • Brandenburgisches Bestattungsgesetz (BbgBestG)• Bestattungsdatenschutzverordnung (BestDSV)• Brandenburgisches Psychisch-Kranken-Gesetz (BbgPsychKG)

Landesrecht in BremenDatenschutz

• Bremisches Datenschutzgesetz (BremDSG)• Landeskrankenhausgesetz• Datenschutz-Übereinkommensgesetz-Zuständigkeits-

bekanntmachung (DSÜbkZuBek)• DatenschutzG-OWi-ZuständigkeitsVO (DSGOWiZustVO)• Bremische Datenschutzauditverordnung (BremDSAuditV)• Meldegesetz (MG)• Internet-Richtlinie (ItBerRL)• Richtlinien für den Einsatz der Technikunterstützten Informationsverarbeitung in der

bremischen Verwaltung (TuI Einsatz): Richtlinien für den Datenschutz am Arbeitsplatz

• Bremisches Krankenhausdatenschutzgesetz (BremKHDSG)• Gesundheitsdienstgesetz (ÖGDG)• Krebsregistergesetz (BremKRG)• Bremische Heilfürsorgeverordnung (BremHfV)• Psychische-Krankheitengesetz (PsychKG)• Krankenpflegerordnung (KrPflO)• Gesetz über das Leichenwesen

Landesrecht in HamburgDatenschutz

• Hamburgisches Datenschutzgesetz (HmbDSG)• Anordnung über Zuständigkeiten auf dem Gebiet des

Datenschutzes • Datenschutzgebührenordnung (DSGebO) • Datenschutzordnung der Hamburgischen Bürgerschaft • Hamburgisches Mediengesetz (HmbMedienG)• Hamburgisches Meldegesetz (HmbMG)• Meldedatenübermittlungsverordnung (MDÜV)• Hamburgisches Archivgesetz (HmbArchG) • Hamburgisches Krankenhausgesetz (HmbKHG) • Hamburgisches Gesundheitsdienstgesetz (HmbGDG)• Hamburgisches Krebsregistergesetz (HmbKrebsRG) • Hamburgisches Rettungsdienstgesetz (HmbRDG)• Hamburgisches Kammergesetz für die Heilberufe (HmbKGH) • Hamburgisches Gesetz über Hilfen und Schutzmaßnahmen bei

psychischen Krankheiten (HmbPsychKG)• Bestattungsgesetz (BestattG)

Landesrecht in HessenDatenschutz

• Hessisches Datenschutzgesetz (HDSG)• Verordnung zur Regelung der Zuständigkeiten nach dem

Bundesdatenschutzgesetz und anderen Gesetzen zum Datenschutz• Hessisches Archivgesetz (HArchivG)• Hessisches Meldegesetz (HMG)• Hessisches Krankenhausgesetz (HKHG)• Hessisches Gesetz über den öffentlichen Gesundheitsdienst (HGöGD)• Hessisches Krebsregistergesetz (HKRG)• Verordnung zur Ausführung des Hessischen Krebsregistergesetzes• Hessisches Rettungsdienstgesetz (HRDG)• Verordnung zur Ausführung der §§ 5 und 6 des Gesetzes zur Neuordnung

des Rettungsdienstes in Hessen• Hessisches Katastrophenschutzgesetz (HKatSG)• Hessisches Gesetz über den Brandschutz, die Allgemeine Hilfe und den

Katastrophenschutz (HBKG)• Brandschutzhilfeleistungsgesetz (BrSHG)• Kindergesundheitsschutzgesetz• Hessisches Freiheitsentziehungsgesetz

Landesrecht in Mecklenburg-Vorpommern

Datenschutz

• Landesdatenschutzgesetz (DSG M-V)• Landesmeldegesetz (LMG)• Landesarchivgesetz (LArchivG M-V) • Landeskrankenhausgesetz (LKHG M-V)• Gesetz über den Öffentlichen Gesundheitsdienst (ÖGDG M-V)• Heilberufsgesetz (HeilBerG) • Berufsordnung für Hebammen und Entbindungspfleger (HebBO) • Rettungsdienstgesetz (RDG M-V) • Staatsvertrag über das Gemeinsame Krebsregister der Länder Berlin,


• Krebsregisterausführungsgesetz (KrebsRAG M-V) • Psychischkrankengesetz (PsychKG M-V) • Bestattungsgesetz (BestattG M-V)

Landesrecht in NiedersachsenDatenschutz

• Niedersächsisches Datenschutzgesetz (NDSG)• Verordnung über Ausnahmen von der Pflicht zur Bestellung von Datenschutzbeauftragten

(DSBAusnVO)• Zuständigkeit für die Kontrolle der Durchführung des Datenschutzes im nicht öffentlichen

Bereich nach dem Bundesdatenschutzgesetz• Niedersächsisches Meldegesetz (NMG)• Niedersächsisches Hochschulgesetz (NHG)• Niedersächsisches Gesetz über den öffentlichen Gesundheitsdienst (NGöGD)• Gesetz über das Epidemiologische Krebsregister Niedersachsen (GEKN)• Kammergesetz für die Heilberufe (HKG)• Niedersächsisches Katastrophenschutzgesetz (NKatSG)• Gesetz über das Leichen-, Bestattungs- und Friedhofswesen (BestattG)• Verordnung über die Haushaltswirtschaft kaufmännisch geführter kommunaler

Einrichtungen (EinrVO-Kom)• Verordnung über die Weiterbildung in Gesundheitsfachberufen• Abkommen über die Zentralstelle der Länder für Gesundheitsschutz bei Medizinprodukten• Niedersächsisches Gesetz über das Einladungs- und Meldewesen für

Früherkennungsuntersuchungen von Kindern (NFrüherkUG)• Niedersächsisches Gesetz über Hilfen und Schutzmaßnahmen für psychisch Kranke

(NPsychKG)

Landesrecht in NRWDatenschutz

• Archivgesetz (ArchivG)• Gesetz über die Ausführung des Gesetzes zu Artikel 10 Grundgesetz

(AG G 10 NW)• Berufsordnung der Ärztekammer Westfalen-Lippe• Berufsordnung für die nordrheinischen Ärztinnen und Ärzte• Berufsordnung für Apothekerinnen und Apotheker der Apothekerkammer Nordrhein• Berufsordnung für Apothekerinnen und Apotheker derApothekerkammer Westfalen-Lippe• Datenschutzgesetz (DSG NRW)• Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG)• Gesetz über den Feuerschutz und die Hilfeleistung• Gesetz über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG)• Gesetz über Tageseinrichtungen für Kinder (GTK)• Gesundheitsdatenschutzgesetz (GDSG NW)• Gesetz zur Einrichtung eines flächendeckenden bevölkerungsbezogenen Krebsregisters in

Nordrhein-Westfalen (EKR-NRW)• Gutachterausschussverordnung (GAVO NRW)• Heilberufsgesetz (HeilBerG)• Hochschulgesetz (HG)• Krankenhausgesetz (KHG NRW) • Meldedatenübermittlungsverordnung (MeldDÜV NRW)• Meldegesetz (MG NRW)• Sicherheitsüberprüfungsgesetz (SÜG NRW)• Verordnung zur Durchführung des Meldegesetzes (DVO MG NRW)

Landesrecht in Rheinland-PfalzDatenschutz

• Landesdatenschutzgesetz (LDSG)• Datenschutzordnung des Landtags• Meldegesetz (MG)• Landesarchivgesetz (LArchG) • Hochschulgesetz (HochSchG) • Landeskrankenhausgesetz (LKG) • Landesgesetz über den öffentlichen Gesundheitsdienst (ÖGdG)• Landesgesetz zur Weiterführung des Krebsregisters (LKRG) • Heilberufsgesetz (HeilBG) • Landesgesetz für psychisch kranke Personen (PsychKG)• Rettungsdienstgesetz (RettDG )• Brand- und Katastrophenschutzgesetz (LBKG ) • Bestattungsgesetz (BestG)• Landesverordnung zur Durchführung des Bestattungsgesetzes• Landesgesetz zum Schutz von Kindeswohl und Kindergesundheit

Landesrecht in SaarlandDatenschutz

• Saarländisches Datenschutzgesetz (SDSG)• Meldegesetz (MG)• Verordnung zur Durchführung von Vorschriften des Meldegesetzes

(Meldeverordnung)• Saarländisches Archivgesetz (SArchG)• Saarländisches Krankenhausgesetz • Gesundheitsdienstgesetz (ÖGDG)• Berufsordnung für Pflegefachkräfte im Saarland• Gesetz über das Saarländische Krebsregister und zur Durchführung von

Maßnahmen zur Krankheitsfrüherkennung (SKRG)• Verordnung zur Ausführung des Saarländischen Krebsregistergesetzes • Gesetz Nr. 1597 zur Ausführung des Schwangerschaftskonfliktgesetzes• Saarländisches Rettungsdienstgesetz (SRettG)• Unterbringungsgesetz (UBG) • Gesetz über den Brandschutz, die Technische Hilfe und den

Katastrophenschutz im Saarland (SBKG)• Bestattungsgesetz (BestattG)• Bestattungsverordnung

Landesrecht in SachsenDatenschutz

• Sächsisches Datenschutzgesetz (SächsDSG)• Archivgesetz für den Freistaat Sachsen (SächsArchivG)• Sächsisches Meldegesetz (SächsMG)• Sächsische Meldeverordnung (SächsMeldVO)• Sächsisches Krankenhausgesetz (SächsKHG)• Staatsvertrag über das Gemeinsame Krebsregister der Länder Berlin, Brandenburg,

Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und Thüringen• Sächsisches Krebsregisterausführungsgesetz (SächsKRGAG)• Sächsisches Früherkennungsdurchführungsgesetz (SächsFrühErDurchfG)• Gesetz über die Durchführung eines Mammographie-Screenings und anderer

Früherkennungsmaßnahmen im Freistaat Sachsen (SächsGVBl)• Sächsisches Gesetz über den Brandschutz, Rettungsdienst und Katastrophenschutz

(SächsBRKG)• Sächsisches Bestattungsgesetz (SächsBestG)• Verwaltungsvorschrift des Sächsischen Staatsministeriums für Soziales, Gesundheit und

Familie zur Durchführung bestimmter Regelungen des Sächsischen Bestattungsgesetzes• Sächsisches Hochschulgesetz (SächsHSG)• Sächsisches Bestattungsgesetz• Sächsische Kinderschutz- und Kindergesundheitsgesetz• Sächsisches Gesetz über die Hilfen und die Unterbringung bei psychischen Krankheiten

(SächsPsychKG)

Landesrecht in Sachsen-AnhaltDatenschutz

• Gesetz zum Schutz personenbezogener Daten der Bürger (DSG-LSA)• Meldegesetz des Landes Sachsen-Anhalt (MG LSA)• Verordnung zur Durchführung von regelmäßigen Datenübermittlungen der Meldebehörden in

Sachsen-Anhalt (MeldDÜVO-LSA)• Landesarchivgesetz (ArchG-LSA• Gesundheitsdienstgesetz (GDG LSA)• Krankenhausgesetz Sachsen-Anhalt (KHG LSA)• Gesetz über Hilfen für psychisch Kranke und Schutzmaßnahmen des Landes Sachsen-Anhalt

(PsychKG LSA)• Gesetz zum Staatsvertrag über das Gemeinsame Krebsregister der Länder Berlin, Brandenburg,

Mecklenburg-Vorpommern, Sachsen-Anhalt und der Freistaaten Sachsen und Thüringen• Gesetz zum Abkommen über die Zentralstelle der Länder für Gesundheitsschutz bei

Medizinprodukten• Rettungsdienstgesetz Sachsen-Anhalt (RettDG LSA)• Gesetz über die Kammern für Heilberufe Sachsen-Anhalt (KGHB-LSA)• Hebammen-Berufsverordnung (HebBerufsV)• Verordnung zur Durchführung des Ausführungsgesetzes des Landes Sachsen-Anhalt zum

Schwangerschaftskonfliktgesetz (SchKVO LSA)• Bestattungsgesetz des Landes Sachsen-Anhalt (BestattG LSA)• Hochschulgesetz des Landes Sachsen-Anhalt (HSG LSA)• Hochschulmedizingesetz des Landes Sachsen-Anhalt (HMG LSA)• Gesetz zum Schutz des Kindeswohls und zur Förderung der Kindergesundheit

Landesrecht in Schleswig-HolsteinDatenschutz

• Landesdatenschutzgesetz (LDSG)• Datenschutzauditverordnung (DSAVO)• Informationsfreiheitsgesetz Schleswig-Holstein (IFG-SH)• Datenschutzverordnung (DSVO)• Gesundheitsdienst-Gesetz (GDG)• Rettungsdienstgesetz (RDG)• Landesverordnung zur Durchführung des Rettungsdienstgesetzes (DVO-

RDG)• Psychisch-Kranken-Gesetz (PsychKG)• Landeskrebsregistergesetz (LKRG)• Landesverordnung über den Kohortenabgleich mit Daten des

Krebsregisters• Landesmeldegesetz (LMG)• Landesmeldeverordnung (LMVO)• Hochschulgesetz (HSG)• Bestattungsgesetz (BestattG)

Landesrecht in ThüringenDatenschutz

• Thüringer Datenschutzgesetz (ThürDSG)• Thüringer Verordnung über den elektronischen Rechtsverkehr (ThürERVVO)• Thüringer Archivgesetz (ThürArchivG)• Thüringer Meldegesetz (ThürMeldeG)• Thüringer Meldeverordnung (ThürMeldeVO)• Thüringer Krankenhausgesetz (ThürKHG)• Thüringer Gesetz zur Hilfe und Unterbringung psychisch kranker Menschen (ThürPsychKG)• Thüringer Gesetz zu dem Staatsvertrag über das Gemeinsame Krebsregister der Länder Berlin,


• Thüringer Gesetz zur Einführung der Meldepflicht an das Gemeinsame Krebsregister (KrebsRegMPflG TH)

• Thüringer Gesetz zur Förderung der Teilnahme an Früherkennungsuntersuchungen für Kinder (ThürFKG)

• Thüringer Berufsordnung für Hebammen und Entbindungspfleger• Thüringer Verordnung über die Zuständigkeiten auf dem Gebiet des Berufsrechts der Fachberufe

im Gesundheitswesen• Thüringer Heilberufegesetz (ThürHeilBG)• Thüringer Rettungsdienstgesetz (ThürRettG)• Thüringer Bestattungsgesetz (ThürBestG)• Thüringer Gesetz zur Förderung der Teilnahme an Früherkennungsuntersuchungen für Kinder

Datenschutz im elektronischen Archiv – Feature oder Handicap? Dr. Bernd Schütze, LL.B....

Documents

Transcript of Datenschutz im elektronischen Archiv – Feature oder Handicap? Dr. Bernd Schütze, LL.B....