Datenschutzgrundverordnung (DSGVO)...Vorrangige Rechtsgrundlagen klinische Studie: 40, 41 AMG / 20,...
Transcript of Datenschutzgrundverordnung (DSGVO)...Vorrangige Rechtsgrundlagen klinische Studie: 40, 41 AMG / 20,...
Datenschutzgrundverordnung (DSGVO)Auswirkungen auf medizinische Forschung/klinische Studien
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Überblick Datenschutzgrundverordnung
■ Ab 25. Mai 2018 unmittelbar geltendes Recht
■ Ersetzt bisheriges Datenschutzrecht (BDSG, LDSG)
■ Nationale Ausführungsgesetze: BDSG-neu, LDSG-neu im Entwurf, andere Gesetze werden noch angepasst
Inhalte■ Z.T. geänderte Begriffe, Definitionen: Z.B. Verfahren, Vorabkontrolle,
Auftragsverarbeiter, Anonymisierung/Pseudonymisierung.
■ Mehrere (Gemeinsam-)Verantwortliche möglich
■ Betrieblicher Datenschutzbeauftragte/r: Aufgabenwandel (Beratung, Überwachung)
■ Mehr Betroffenenrechte
■ U.a. Information, Auskunft, Datenkopie, Übertragbarkeit, Widerspruch, Sperrung, Löschung, Recht auf Vergessenwerden
■ Mehr Informationspflichten, geänderte Einwilligungsanforderungen
■ Betroffenenrechte, Kontakt, Schriftform entfällt
■ Umfangreiche „Rechenschaftspflichten“
■ Einhaltung Datenschutzgrundsätze, Datenschutzrecht, Dokumentation
2
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Überblick Datenschutzgrundverordnung
■ Anforderungen an Sicherheit (Technische, organisatorische Maßnahmen)
■ Nicht mehr 11 „-kontrolle“-Bereiche (z.B. Zutrittskontrolle)
■ Angelehnt an IT-Sicherheit: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
■ Neue Beschäftigtenverpflichtung
■ Kein gesetzliches „Datengeheimnis“ mehr, aber Verpflichtung durch Vorgesetzte bzgl. Weisungen
■ Beschäftigtendatenschutz
■ Weitgehend unverändert, Recht zu nationalen Regelungen nicht umgesetzt, Freiwilligkeit der Einwilligung beschränkt
■ Auftragsverarbeitung
■ Haftung auch des Auftragnehmers
■ Verarbeitungsverzeichnis für Auftragsverarbeitung
■ Meldepflicht
■ „Von Verletzungen des Schutzes personenbezogener Daten“
■ Meldung an Aufsichtsbehörde und ggf. Information Betroffene
■ Bußgelder
■ Höher (bis 2% Jahresumsatz weltweit/10 Mio. oder 4%/20 Mio.)
■ Viel mehr Tatbestände, die bisher keinem Bußgeld unterlagen
3
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
4
DatenschutzgrundsätzeAllgemeine Grundsätze für die Zulässigkeit der Datenverarbeitung
■ Gesundheitsdaten: Besonderer Schutz
■ Rechtmäßigkeit der Verarbeitung: Insb. aufgrund zulässiger Rechtsgrundlage oder Einwilligung, („Erlaubnisvorbehalt“)
■ Verarbeitung nach Treu und Glauben: (Originaltext: Fairness) Redlichkeit der DV
■ Transparenz: Informationspflichten, Gewährleistung Betroffenenrechte, Datenschutz durch Technik, entsprechende Voreinstellungen, Zertifizierungen und Siegel
■ Zweckbindung: Erhebung für festgelegte, eindeutige und legitime Zwecke, Daten dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
■ Datenminimierung: Auf das notwendige Maß beschränkt. (Datenvermeidung, Datensparsamkeit und Erforderlichkeitsgrundsatz)
■ Richtigkeit der DV: Sachlich richtig, auf dem neuesten Stand
■ Speicherbegrenzung: Speicherung in einer Form, die die Identifizierung nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Danach: Löschung, Aufhebung der Identifizierung. (Vorrang der Pseudonymisierung)
■ Integrität und Vertraulichkeit: Gewährleistung angemessener Sicherheit der Daten, Schutz vor unbefugter, rechtswidriger Verarbeitung, Verlust, Zerstörung, Schädigung durch geeignete Maßnahmen (Technisch-organisatorische Maßnahmen)
■ Rechenschaftspflicht bzgl. Einhaltung!
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Informationspflichten
■ Inhalt
■ Verantwortliche Stelle, Kontaktdaten
■ Datenschutzbeauftragter, Kontaktdaten
■ Zweck und Rechtsgrundlage für Datenerhebung, ggf. berechtigtes Interesse
■ Empfänger/Kategorien von Empfängern
■ Übermittlung in ein Drittland oder internationale Organisation, Maßnahmen
■ Dauer der Speicherung
■ Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Vergessenwerden, Einschränkung der Verarbeitung, Widerspruch, Recht auf Datenübertragung)
■ Ggf. Widerruflichkeit der Einwilligung
■ Beschwerderechte bei den Datenschutz-Aufsichtsbehörden
■ Ggf. Profiling automatisiert
■ Zeitpunkt: Informationspflichten bereits bei der Erhebung der Daten
■ Umsetzung: Nachweis (Rechenschaftspflicht), Dokumentation, Prozesse
■ Einmalig: Nicht erforderlich, wenn Person schon über die Informationen verfügt
5
Universitätsklinikum Heidelberg | März 2018 | Datenschutz6
■ Anforderung: Transparent und verständlich!
■ Informed Consent
■ Aufklärung: Grundsätzliche Informationspflichten
■ Darstellung Datenverwendung und Datenflüsse
■ Zweck der Verarbeitung
■ Zugriffsberechtigte
■ Pseudonymisierung/ Verschlüsselung,
■ Empfänger der Daten /Kategorien von Empfängern
■ Verbleib/Dauer der Speicherung
■ Hinweise auf Freiwilligkeit, Zweckbindung, Widerrufsrecht/Widerruflichkeit der Einwilligung, Verweigerungsfolgen
■ Erweiterte Informationspflichten nach DSGVO
■ Verantwortliche Stelle, Kontaktdaten
■ Datenschutzbeauftragter, Kontaktdaten
■ Übermittlung in ein Drittland oder internationale Organisation, Maßnahmen
■ Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Recht auf Datenübertragung)
■ Beschwerderechte bei den Datenschutz-Aufsichtsbehörden
Einwilligung
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Einwilligung■ Spezielle Informationspflichten bei klinischen Studien (AMG/MPG)
■ Vorrangige Rechtsgrundlagen klinische Studie: §§ 40, 41 AMG / §§ 20, 21 MPG
■ Speicherung im Prüfzentrum (Klardaten)
■ Einsichtnahme durch Überwachungsbehörden und Monitore, Auditoren, EK o.ä.
■ Pseudonymisierte Weitergabe an Auftraggeber, beauftragte Stelle, Zulassungsbehörde o.ä., Pseudonymisierte Übertragung der Angaben in das Case Report Form (CRF)
■ Unwiderruflichkeit der Einwilligung zur Datenverarbeitung
■ Weiterverwendung der Daten bei Beendigung der Studienteilnahme
■ Aufbewahrungsfristen
■ Besonderheiten Minderjährige/Nicht Geschäftsfähige
■ Einwilligung Gesetzlicher Vertreter und des Minderjährigen/Geschäftsunfähigen soweit Einsichtsfähigkeit. Andernfalls: Berücksichtigung mutmaßlicher Wille
■ Entsprechende verstandesgerechte Aufklärung
■ Besonderheiten bei der AMG Studie
■ Nicht Einsichtsfähige: Nutzen für den Probanden, Einwilligung Gesetzlicher Vertreter/Betreuer/Sachwalter
■ Notfälle: Zur Rettung, Weitere Teilnahme: Nachholung Einwilligung sobald möglich
Mustertexte Aufklärung/Einwilligung: http://www.ak-med-ethik-komm.de unter: Hinweise für Antragsteller
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Form der Einwilligung■ Klinische Studien: Spezialgesetzliche Formvorschriften (z.B. AMG, LKHG)
■ Schriftform, Eigenhändige Unterschrift
■ Ausnahme von Schriftform wegen besonderer Umstände (§ 40 f. AMG)
■ Unterschrift des Aufklärenden
■ Krankenhaus BW: Patienteneinwilligung „schriftlich“, § 50 LKHG
■ Andere Bereiche: DSGO sieht keine Schriftform mehr vor
■ Textform, Elektronisch oder durch aktives Handeln (Nicken) ausreichend
■ Ausdrücklich: Aktive Handlung. Keine rechtskonforme Einwilligung bei stillschweigendem Einverständnis, standardmäßig angekreuzten Kästchen oder Untätigkeit der Betroffenen
■ Aber: Rechenschaftspflichten: Nachweis, dass Einwilligung rechtskonform eingeholt wurde. Problem: Wie? (Empfohlen: Unterschrift…)
■ Festgelegter, dokumentierter Prozess für Nachweis
■ Aufklärung und Einwilligung elektronisch (z.B. Internetfragebogen) ausreichend Opt-In mit Protokollierung
Einwilligung
8
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Form der Einwilligung■ Für den konkreten Einzelfall:
■ Für eine bestimmte Verarbeitung, keine Pauschaleinwilligung, keine Blankoeinwilligung
■ Forschung: Einwilligung nur für bestimme Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße möglich
■ Weitergeltung bereits vorhandener Einwilligungen (längerfristige Studien, z.B. Nachsorge
Onkologie, Krankheitsregister) ■ Soweit vor DSGVO rechtskonform erfolgt, auch nach Geltung der DSGVO wirksam.
■ Abgeschlossene Studien: Keine Besonderheiten
■ Laufende Studien: Empfohlen: Ergänzende Information bzgl. noch nicht enthaltener Informationen
■ Verantwortliche Stelle, Kontaktdaten
■ Datenschutzbeauftragter, Kontaktdaten
■ Übermittlung in ein Drittland oder internationale Organisation, Maßnahmen
■ Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Recht auf Datenübertragung)
■ Beschwerderechte bei den Datenschutz-Aufsichtsbehörden
■ Anstehende Studien: Berücksichtigung der zusätzlichen Inhalte
Einwilligung
9
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Forschung ohne Einwilligung?
Wegfall der zulässigen „Eigenforschung“ in Baden-Württemberg
■ Relevant für Nutzen vorhandener Daten aus der Patientenversorgung (KIS) für Forschungszwecke
■ Grundsätzlich: Nutzung von Behandlungsdaten ist nur für die Versorgung im Krankenhaus erlaubt
■ Nutzung für Forschungszwecke = Zweckänderung = Rechtsgrundlage erforderlich!
■ Ausnahme bisher: „Eigenforschung“ der Behandler
■ In manchen Bundesländern im Landeskrankenhausgesetz geregelt, in BW § 15 LDSG-BW
■ Nutzung von Behandlungsdaten eigener Patienten für eigene Forschungszwecke erlaubt
■ Gilt nur für die eigene Nutzung durch Behandler, Weitergabe/Einsicht Dritte: Einwilligung erforderlich.
■ DSGVO: Keine Regelungen zur Eigenforschung
■ Bundesländer mit Regelung im LKHG: Wahrscheinlich Fortbestand der Regelungen nach Anpassung der LKHG an die DSGVO, im Auge behalten.
■ Problem Baden-Württemberg:
– Entwurf LDSG-neu: Wegfall der alten Regelung.
– Entwurf Änderung LKHG: Keine Regelung Eigenforschung
10
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Forschung ohne Einwilligung?
Forschungsklauseln (BDSG/LDSG-neu) zur Nutzung vorhandener Daten aus der Patientenversorgung ■ Relevanz für BW und andere Bundesländer ohne Regelung im LKHG,
niedergelassener Prüfarzt, Prüfzentrum außerhalb Krankenhaus
■ Öffnungsklausel in der DSGVO für Forschungsklauseln in BDSG und LDSG
■ § 27 BDSG-neu: Personenbezogenen Daten besonderer Art dürfen verarbeitet
werden,
■ wenn dies für die wiss. Forschungszwecke erforderlich ist und
■ die Interessen des Forschenden denen der betroffenen Person erheblich überwiegen (§ 27 Abs. 1 BDSG neu) und
■ wenn angemessene Schutzmaßnahmen (§ 22 Abs. 2 S. 2 BDSG-neu) vorgesehen sind, wie z.B. technische und organisatorische Maßnahmen, Pseudonymisierung, Verschlüsselung.
■ Entwurf LDSG-BW entsprechend: Ebenfalls erhebliches Überwiegen
vorgesehen
■ Indiz: Erhebliche Bedeutung für Gesundheit oder soziale Sicherheit der
Allgemeinheit
11
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Forschung ohne Einwilligung?Ausschluss Faktische Anonymisierung
■ Relevanz: Forschung durch Dritte (andere Abteilungen im Krankenhaus/ Externe), z.B.
Sekundärdatenforschung: Verwendung vorhandener pseudonymisierter Daten aus anderen Projekten
zu Forschungszwecken (u.a. Forschungsdatenbank) oder Zurverfügungstellung pseudonymisierter
Daten für Dritte (Datenpool)
■ Lösung bisher: Argumentation (z.B. Rechtsgutachten TMF):
■ Nutzung/Zurverfügungstellung „faktisch anonymisierter“ Daten zulässig
■ Faktische Anonymisierung: Zuordnung zu bestimmter/bestimmbarer Person nicht mehr mit
verhältnismäßigem Aufwand möglich ist. D.h. Wenn Daten für Dritte nicht zu identifizieren, dann
faktisch anonym für diese.
■ Folge: Keine Geltung Datenschutzrecht mehr. Freie Sekundärnutzung, Übermittlung an Dritte
ohne Einwilligung zulässig.
■ Streitig, z.T. Aufsichtsbehörden anderer Auffassung
■ DSGVO: Neudefinition Pseudonymisierung
■ Keine Definition Anonymsierung mehr. Anbindung an Identifizierbarkeit.
■ Definition „Pseudonym“ der EU DS-GVO beinhaltet, was Stand heute in Deutschland als „faktisch
anonym“ angesehen wird.
■ Pseudonymisierte Daten können nicht anonym sein. Immer noch personenbeziehbar, Geltung
Datenschutzrecht. (Art. 29 Gruppe)
■ Folge: Sekundärdatenforschung / Weitergabe pseudonymisierter Daten an Dritte ohne
Rechtsgrundlage/Einwilligung ist unzulässig
■ Forschungsklausel § 27 BDSG-neu hilft nicht weiter:
■ Bezogen auf schon vorhandene Daten, Datenweitergabe/ Übermittlung an Dritte nicht umfasst 12
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Neue Begriffsdefinition PseudonymisierungBundesdatenschutzgesetz/LDSG
§3 Abs. 6a: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren
---------------------------------------------------
§ 3 Abs. 6: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können-
EU Datenschutzgrundverordnung
Art. 4 Abs. 5: "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden
----------------------------------------------------------------------------
Anonymisieren (-)
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Pseudonymisierung und Anonymisierung
Abgrenzung: Wann sind Daten „anonym“, wann pseudonym? ■ Anonym:
■ Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen (von „Natur“ aus anonym)
■ Personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Verarbeitung „Anonymisierung“ durchgeführt)
■ Grundsätze des Datenschutzes (DSGVO) gelten nicht für anonyme Informationen, keine Definition mehr im Datenschutzgesetz
■ Datenverwendung und –weitergabe ohne weiteres zulässig
■ Pseudonym
■ Definition „Pseudonym“ der DSGVO beinhaltet, was bisher als „faktisch anonym“ angesehen wird
■ Identifizierung der Person (durch Zuordnungsliste) möglich
■ Datenschutzrecht bleibt anwendbar
■ Keine Erleichterungen bzgl. Nutzung/Übermittlung
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Datenübermittlung in DrittstaatenZ.B. Sponsor in USA, Kooperationspartner in Spanien, in der Schweiz
■ Immer erforderlich: Zulässigkeit der Übermittlung
■ Allg. Rechtmäßigkeitsgründe (Art. 6 DSGVO): U.a. Gesetzl. Erlaubnis, Rechtsgeschäft, Einwilligung, rechtl. Verpflichtung
■ Verantwortung für Zulässigkeit: bei übermittelnder Stelle
■ Übermittlung in EU/EWR Staaten
■ Keine Besonderheiten, allg. Rechtmäßigkeit (Art. 6 DSGVO)
■ Drittstaaten außerhalb der EU mit angemessenem Datenschutzniveau:
■ Keine Besonderheiten, allg. Rechtmäßigkeit (Art. 6 DSGVO)
■ Keine besondere Genehmigung erforderlich.
■ Angemessenheitsbeschluss EU-Kommission: Derzeit: Argentinien, Schweiz, Kanada, Isle of Man, Jersey, Guernsey, Faröer, Isle of Man, Neuseeland, Uruguay, Israel, Andorra (USA: Sonderfall, weitere Voraussetzungen)
■ Liste zu finden unter http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm
15
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
■ Staaten außerhalb der EU ohne angemessenes Datenschutzniveau
■ Übermittlung nur unter weiteren besonderen Voraussetzungen zulässig:
■ Nachweis geeigneter Garantien
■ durchsetzbare Rechte für Betroffene und
■ wirksame Rechtsbehelfe für Betroffene (Art. 46 Abs. 1 DSGVO)
■ 1. Möglichkeit: Rechtlich bindendes und durchsetzbares Dokument
zwischen den Behörden oder öffentlichen Stellen der Staaten
■ Angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen und Institutionen, die das Zertifizierungsverfahren des „EU-US Privacy Shield“-Abkommens durchlaufen haben. (Entscheidung EU-Kommission, Freigabe durch EU-Ausschuss am 12.07.2016)
■ US-Handelsministerium veröffentlicht eine Liste aller zertifizierten Unternehmen im Internet: https://www.privacyshield.gov/list
■ Problem: Privacy Shield steht in der Kritik, nicht sämtliche Vorgaben des „Safe Harbor“-Urteils zu berücksichtigen. Möglich: Erneute Klage, erneutes Verwerfen durch EuGH
16
Datenübermittlung in Drittstaaten
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Datenübermittlung ins Ausland
■ 2. Möglichkeit: EU Standardvertragsklauseln
■ Sofern die Klauseln unverändert übernommen werden, ist keine weitere Prüfung durch die Aufsichtsbehörde notwendig.
■ Problem: Kritik bzgl. Betroffenenrechte, staatliche Überwachung ähnlich wie bei Safe Harbor. Ggf. in Folge des „Safe Harbor“-Urteils angreifbar.
■ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:DE:PDF
■ 3. Möglichkeit: Binding Corporate Rules
■ Verbindliche unternehmensinterne Datenschutzvorschriften
■ Müssen in Genehmigungsverfahren unter Beteiligung der EU-Kommission und der Aufsichtsbehörde zertifiziert werden (Art. 46 Abs. 2, Art. 47 DSGVO).
■ Wirksamkeit nur für Datenaustausch im eigenen Unternehmensverbund (Konzern), nicht gegenüber Drittunternehmen
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Datenübermittlung ins Ausland■ Möglichkeit 4: Genehmigte Vertragsklauseln (Art. 46 Abs. 3 lit. a) DSGVO)
■ Durch die Aufsichtsbehörde genehmigt
■ Auch nach alter Rechtslage erfolgte Genehmigungen bleiben wirksam, bis sie von der Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden (Art. 46 Abs. 5 DSGVO)
■ Möglichkeit 5: Genehmigte Verhaltensgarantien (Art. 40 DSGVO) und genehmigte Zertifizierungsverfahren (Art. 42 DSGVO)
■ Kammern, Berufsverbände sowie freiwillige Zusammenschlüsse von Unternehmen können eigenes Datenschutzrecht erstellen.
■ Dieses darf aber nur das vorhandene Datenschutzrecht präzisieren, nicht unterschreiten.
■ Genehmigung/Abstimmung Aufsichtsbehörde, Kommission
■ Fraglich, ob und wie viel Nutzen eine solche Erstellung mit einem aufwändigen Abstimmungsprozess mit den Aufsichtsbehörden bringen kann.
■ Abhängig davon ob darin tatsächliche Erleichterungen liegen und wie bzw. von wem diese Verhaltensregeln letztlich kontrolliert werden.
■ Zertifizierungsverfahren (Art. 42 DSGVO): Noch unklar, wie diese aussehen werden
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Datenübermittlung ins Ausland
Kein Angemessenheitsbeschluss, keine Garantien? ■ Übermittlung dennoch möglich (Art. 49 DSGVO) bei ausdrücklicher
Einwilligung der Betroffenen zu Übermittlung in dieses Land/an diese
Organisation
■ Voraussetzungen
■ Allgemeine Anforderungen an eine Einwilligung und zusätzlich
■ Information des Betroffenen über die bestehenden möglichen Risiken bei Datenübermittlungen in einen Drittstaat ohne angemessenes Datenschutzniveau
■ Einwilligung für den konkreten Einzelfall, keine pauschale Einwilligung möglich
■ Umsetzung in Aufklärung/Studieneinwilligung
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Rechenschaftspflicht
Umsetzung der Rechenschaftspflicht Art.5 Abs.2 DSGVO
■ Verantwortlicher muss Einhaltung der Grundsätze/Vorschriften für die Verarbeitung personenbezogener Daten nachweisen
■ Gegenüber den Betroffenen, der Öffentlichkeit und den Behörden
■ Grundlage zur Erfüllung der Rechenschaftspflicht ist vollständige und aktuelle Datenschutzdokumentation, Dokumentation der Maßnahmen zur Gewährleistung des Datenschutzes bei der Verarbeitung,
■ Dienst auch zu Beweiszwecken und kann prozessentscheidend sein.
■ Richtige Erfüllung der Rechenschaftspflicht ist von Datenschutzbehörde bei der Entscheidung über eine mögliche Geldbuße zu berücksichtigen.
■ Rechtzeitig mit Planung und Umsetzung strukturierter Datenschutzdokumentation beginnen!
Notwendige Vorarbeiten - Notwendige Dokumentation für jede Studie ■ Erstellen eines Datenschutzkonzeptes (in klinischer Studie im
Studienprotokoll)
■ Meldung zum Verarbeitungsverzeichnis
■ Ggf. Datenschutzfolgenabschätzung
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
RechenschaftspflichtDatenschutzkonzept/Studienprotokoll- zwingende Inhalte■ Inhalt und Zweck Projekt
■ Beschreibung des Projekts in allgemein verständlicher Form
■ Betroffener Personenkreis
■ Patienten, Probanden, Beschäftigte, Verwandte o.ä.
■ Beteiligte speichernde Stellen
■ Welche Stellen erheben Daten, speichern Daten, erhalten Daten, an wen wird weitergegeben, wer hat Zugriff
■ Wer ist zur Einhaltung des Datenschutzes im Projekt verantwortlich
■ Art der Daten, Erforderlichkeit, Zweck der Datenverarbeitung
■ Darstellen des Datenerhebungsprozesses; Datenherkunft
■ Rechtsgrundlagen, Darstellung Aufklärungs-/Einwilligungsprozess
■ Wahrung der Rechte Betroffener, Informationspflichten
■ Darstellung der Pseudonymisierungsfunktion, Voraussetzungen Reidentifizierung
■ Darstellen von Datenweitergaben, Datenflüssen, -weitergaben, Zugriffsmöglichkeiten evtl. graphische Datenflüsse
■ Workflow
■ Beschreibung typischer Abläufe
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
RechenschaftspflichtDatenschutzkonzept/Studienprotokoll- zwingende Inhalte■ Darstellung der IT-gestützten Verarbeitung
■ Übersicht über technische Mittel
■ Beschreibung der verwendeten Datenbanken und zugehörigen Server
■ Beschreibung der Komponenten bei Datenlieferanten und Datenabrufenden
(Clients)
■ Vernetzungsstruktur zwischen den beteiligten Komponenten
■ Verantwortlichkeiten für die Komponenten
■ Anwendungen, eingesetzte Software
■ Technische und organisatorische Sicherheitsmaßnahmen für alle
Komponenten der beschriebenen Systemstruktur (voriger Punkt)
■ Server, Clients, Netzinfrastruktur, Räume, Anwendungen zum
Datenmanagement
Beispiel: https://www.ztg-nrw.de/wp-content/uploads/2016/12/2016-12_Leitfaden-fu%CC%88r-
die-Erstellung-von-Datenschutzkonzepten-im-Gesundheitswesen.pdf
Datenschutzkonzept der TM für medizinische Datensammlungen und Biobanken
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Verzeichnis der Verarbeitungen
■ Führen ist gesetzliche Pflicht der Einrichtung/Verantwortlichen. Kann auf DSB delegiert
werden.
■ Zweck: Muss auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden.
■ Erweiterte Inhalte:
■ Angaben des Verantwortlichen (Art. 30 Abs. 1 DSGVO)
■ Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
■ Zwecke der Verarbeitung
■ Kategorien betroffener Personen und personenbezogener Daten
■ Kategorien von Empfängern
■ Übermittlungen von personenbezogenen Daten an ein Drittland
■ Fristen für Löschung
■ Beschreibung der technischen und organisatorischen Maßnahmen
■ Angaben des Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO)
■ Name und Kontaktdaten des Auftragsverarbeiters und des Verantwortlichen, ihrer Vertreter und des
Datenschutzbeauftragten
■ Kategorien von Verarbeitungen
■ Übermittlungen von personenbezogenen Daten an ein Drittland
■ Formulare werden zentral bereitgestellt
Rechenschaftspflicht
23
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Rechenschaftspflicht
Verzeichnis der Verarbeitungen
■ Neu: Nicht elektronische Verarbeitungen meldepflichtig
■ Datenverarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren
ausgeführte Vorgang oder Vorgangsreihe im Zusammenhang mit
personenbezogenen Daten
■ Elektronische Verarbeitung: Programmgesteuert, durch EDV
■ Nichtautomatisierte Verarbeitung: Auswertung möglich (Kartei, Akten, Archiv)
■ Vorgänge: Erheben, Erfassen, Organisation, das Ordnen, Speicherung,
Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung
durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
Abgleich oder die Verknüpfung, Einschränkung, Löschen oder die Vernichtung
■ Studie: Oft Vorgangsreihe mit beiden Elementen=Eine Meldung
■ Sonstige Verarbeitungen prüfen: Papierakten, Archiv, Entsorgung, Biobank etc)
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Rechenschaftspflicht
Datenschutz-Folgenabschätzung■ Durchzuführen wenn voraussichtlich hohes Risiko für persönliche Rechte
und Freiheiten Betroffener durch
■ neue Technologien
■ Art, Umfang, Umstände, Zwecke der Datenverarbeitung
■ Immer durchzuführen (Regelbeispiele für Durchführungspflicht):
■ Persönlichkeitsbewertung
systematische und umfassende Bewertung persönlicher Aspekte mit
automatisierter Verarbeitung und
Grundlage für Entscheidungen mit Rechtswirkung■ Umfangreiche Verarbeitung
besondere Kategorien von Daten (Gesundheitsdaten!) oder
über strafrechtliche Verurteilungen und Straftaten■ Systematische Überwachung öffentlich zugänglicher Bereiche (z.B.
Videoüberwachung)
■ Positivlisten der Aufsichtbehörden, wann durchzuführen
■ Erstellung ist Pflicht der Aufsichtsbehörden
■ Können Liste erstellen, bei denen keine DSFA durchzuführen ist.
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
RechenschaftspflichtWie ist eine DSFA durchzuführen? Mindestanforderungen:■ Systematische Beschreibung Verarbeitungsvorgänge, Zwecke
der Verarbeitung, ggf. berechtigte Interessen der Verantwortlichen
■ Bewertung der Verarbeitungsvorgänge Notwendigkeit und Verhältnismäßigkeit (zum Zweck)
■ Bewertung der Risiken für Rechte und Freiheiten Betroffener
■ Geplante Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die Datenschutz sicher gestellt werden soll
■ Berücksichtigen der Interessen Betroffener
■ Beratung durch Datenschutzbeauftragten vorgesehen, DSB ist aber nicht verantwortlich!
■ Zentrale Formulare UKH
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
RechenschaftspflichtWas ist zu tun, wenn ein erhöhtes Risiko festgestellt wird?■ Meldung des Verfahrens an die Aufsichtsbehörde noch vor Durchführung des
Verarbeitungsvorgangs
■ Die Meldung muss folgende Informationen enthalten (vgl. Art. 36 Abs. 3 DSGVO):
■ Zuständigkeiten des Verantwortlichen/Verantwortlicher
■ die Zwecke und die Mittel der beabsichtigten Verarbeitung;
■ die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO vorgesehenen Maßnahmen und Garantien;
■ gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
■ die Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und
■ alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
■ Aufsichtsbehörde gibt Empfehlungen ab (fehlerhafte DSFA oder unzureichende Schutzmaßnahmen)
■ Aber: Meldung nur wenn der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 Abs. 1)
■ Verantwortlicher kann also der Konsultationspflicht entgehen, wenn Schutzmaßnahmen für den Datenverarbeitungsprozess ergriffen werden.
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Sicherheit der Verarbeitung
Technisch organisatorische Maßnahmen: Art. 32 Abs. 1 lit. a-d
Diese Maßnahmen schließen gegebenenfalls Folgendes ein: ■ Pseudonymisierung und Verschlüsselung personenbezogener Daten;
■ Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der
Verarbeitung personenbezogener Daten auf Dauer sicherzustellen;
■ die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei
einem physischen oder technischen Zwischenfall rasch
wiederherzustellen;
■ ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
der Wirksamkeit der technischen und organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Sicherheit der Verarbeitung
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
■ Zutrittskontrolle■ Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten,
Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;
■ Zugangskontrolle■ Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperr-
mechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
■ Zugriffskontrolle■ Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.:
Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
■ Trennungskontrolle■ Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B.
Mandantenfähigkeit, Sandboxing;
■ Pseudonymisierung■ Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne
Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Sicherheit der Verarbeitung
Integrität (Art. 32 Abs. 1 lit. b DS-GVO) ■ Weitergabekontrolle
■ Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
■ Eingabekontrolle
■ Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)■ Verfügbarkeitskontrolle
■ Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
■ Belastbarkeit
■ Originaltext DSGVO „Belastbarkeit“ = „resilience“
■ Übersetzung „resilience“ in dt. IT-Fachliteratur: „Widerstandsfähigkeit“ oder „Ausfallsicherheit“
■ Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Bußgelder
■ Höher (bis 2% Jahresumsatz weltweit/10 Mio. oder 4%/20 Mio.)
■ Mehr Tatbestände, die bisher keinem Bußgeld unterlagen (u.a Verarbeitungsverzeichnis, Sicherheit, Betroffenenrechte)
■ BDSG-neu/LDSG-neu:
■ Keine Bußgelder für öffentliche Einrichtungen/Behörden.
■ Anders: Wettbewerbsunternehmen
■ Verhängung nur Ultima Ratio
Folgen von Verstößen
31
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Meldepflicht bei Datenpannen- Art.33 DSGVO
■ Warum: Verletzung des Schutzes personenbezogener Daten
■ Was: Alle personenbezogenen Daten (z.B. auch Kontakt-, Kontodaten, Abrechnungsdaten etc.);
■ Wann: Vorfall muss voraussichtlich zu Risiko für Rechtsgüter der Betroffenen führen (sonst keine Meldepflicht)
■ Zu tun:
■ Meldung an Aufsichtsbehörde
■ Meldefrist: 72 Stunden (!)
■ Benachrichtigung Betroffener nur bei hohem Risiko Gefährdung Rechtsgüter.
■ Keine Benachrichtigungspflicht, wenn
technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die
Daten unzugänglich werden, z.B. Verschlüsselung
Wenn Folgemaßnahmen sicherstellen, dass das hohe Risiko aller Wahrscheinlichkeit nicht
mehr besteht
■ Vielzahl Betroffene/Unverhältnismäßiger Aufwand: Öffentliche Bekanntmachung/ähnlich wirksame Maßnahme
■ Festlegung Prozess: Wer ist Ansprechpartner, wer meldet an Aufsichtsbehörde, Format etc. Vorgaben, Formulare zentral UKH
Folgen von Verstößen
32
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Praxis: Verstöße
■ Offener Informationsaustausch/Gespräch mit und vor Dritten (Gespräche/Telefonate vor Publikum, Aufnahme/Patientengespräch im Wartebereich, Besprechungen bei offener Tür, Mittagstisch)
■ Einsehbare Unterlagen/Daten (Tresen, Mittagstisch, Bildschirm, Parkplatz, Besprechungstisch)
■ Offene Räume/Archive/Aktenschränke/Serverräume/Lager Biomaterial
■ Zugängliche Ablagen, Postfächer, Probenbereitstellung auf dem Gang
■ Offene Übersichten, Aushänge, Bearbeitungsstatus
■ Frei zugängliche Kopierer, Faxgeräte, Netzwerkdrucker
■ Patienteninfo im Altpapier, Müll oder auf der Straße (Besprechungsnotizen, Fehldrucke etc.; Entsorgte Rechner mit Patientendaten, Verlorene Sicherungsbänder, USB-Sticks u.a.)
■ Fehlversand von Unterlagen (Verklicken, Amtsnull (Fax), unverschlüsselte Mail, Mailverteiler)
■ Zu weite Zugriffsberechtigungen in Systemen, Unsichere Systeme, Datenlecks
■ Systemnutzung für eigene Zwecke/Neugier, Weitergabe Info an Nachbarschaft
■ Patienteninformationen versehentlich im Internet, Patientendaten in unsicherer Cloud
Rechtswidrige Datenverarbeitung - Bruch der Schweigepflicht – Haftung!
33
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Datenschutz im Klinikum
Das Datenschutz-Team
Martin S c h u r e r (Datenschutzbeauftragter)
Dr. Regina M a t h e s
Büro: Marsilius Arkaden Turm Nord
Im Neuenheimer Feld 130.1
Telefon: 56-7036E-Mail: [email protected]
34
Universitätsklinikum Heidelberg | März 2018 | Datenschutz
Endlich…..die letzte Folie!
Vielen Dank für Ihre Aufmerksamkeit