Datenschutzgrundverordnung (DSGVO)...Vorrangige Rechtsgrundlagen klinische Studie: 40, 41 AMG / 20,...

Datenschutzgrundverordnung (DSGVO)Auswirkungen auf medizinische Forschung/klinische Studien

Universitätsklinikum Heidelberg | März 2018 | Datenschutz


Überblick Datenschutzgrundverordnung

■ Ab 25. Mai 2018 unmittelbar geltendes Recht

■ Ersetzt bisheriges Datenschutzrecht (BDSG, LDSG)

■ Nationale Ausführungsgesetze: BDSG-neu, LDSG-neu im Entwurf, andere Gesetze werden noch angepasst

Inhalte■ Z.T. geänderte Begriffe, Definitionen: Z.B. Verfahren, Vorabkontrolle,

Auftragsverarbeiter, Anonymisierung/Pseudonymisierung.

■ Mehrere (Gemeinsam-)Verantwortliche möglich

■ Betrieblicher Datenschutzbeauftragte/r: Aufgabenwandel (Beratung, Überwachung)

■ Mehr Betroffenenrechte

■ U.a. Information, Auskunft, Datenkopie, Übertragbarkeit, Widerspruch, Sperrung, Löschung, Recht auf Vergessenwerden

■ Mehr Informationspflichten, geänderte Einwilligungsanforderungen

■ Betroffenenrechte, Kontakt, Schriftform entfällt

■ Umfangreiche „Rechenschaftspflichten“

■ Einhaltung Datenschutzgrundsätze, Datenschutzrecht, Dokumentation

2


Überblick Datenschutzgrundverordnung

■ Anforderungen an Sicherheit (Technische, organisatorische Maßnahmen)

■ Nicht mehr 11 „-kontrolle“-Bereiche (z.B. Zutrittskontrolle)

■ Angelehnt an IT-Sicherheit: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit

■ Neue Beschäftigtenverpflichtung

■ Kein gesetzliches „Datengeheimnis“ mehr, aber Verpflichtung durch Vorgesetzte bzgl. Weisungen

■ Beschäftigtendatenschutz

■ Weitgehend unverändert, Recht zu nationalen Regelungen nicht umgesetzt, Freiwilligkeit der Einwilligung beschränkt

■ Auftragsverarbeitung

■ Haftung auch des Auftragnehmers

■ Verarbeitungsverzeichnis für Auftragsverarbeitung

■ Meldepflicht

■ „Von Verletzungen des Schutzes personenbezogener Daten“

■ Meldung an Aufsichtsbehörde und ggf. Information Betroffene

■ Bußgelder

■ Höher (bis 2% Jahresumsatz weltweit/10 Mio. oder 4%/20 Mio.)

■ Viel mehr Tatbestände, die bisher keinem Bußgeld unterlagen

3


4

DatenschutzgrundsätzeAllgemeine Grundsätze für die Zulässigkeit der Datenverarbeitung

■ Gesundheitsdaten: Besonderer Schutz

■ Rechtmäßigkeit der Verarbeitung: Insb. aufgrund zulässiger Rechtsgrundlage oder Einwilligung, („Erlaubnisvorbehalt“)

■ Verarbeitung nach Treu und Glauben: (Originaltext: Fairness) Redlichkeit der DV

■ Transparenz: Informationspflichten, Gewährleistung Betroffenenrechte, Datenschutz durch Technik, entsprechende Voreinstellungen, Zertifizierungen und Siegel

■ Zweckbindung: Erhebung für festgelegte, eindeutige und legitime Zwecke, Daten dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

■ Datenminimierung: Auf das notwendige Maß beschränkt. (Datenvermeidung, Datensparsamkeit und Erforderlichkeitsgrundsatz)

■ Richtigkeit der DV: Sachlich richtig, auf dem neuesten Stand

■ Speicherbegrenzung: Speicherung in einer Form, die die Identifizierung nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Danach: Löschung, Aufhebung der Identifizierung. (Vorrang der Pseudonymisierung)

■ Integrität und Vertraulichkeit: Gewährleistung angemessener Sicherheit der Daten, Schutz vor unbefugter, rechtswidriger Verarbeitung, Verlust, Zerstörung, Schädigung durch geeignete Maßnahmen (Technisch-organisatorische Maßnahmen)

■ Rechenschaftspflicht bzgl. Einhaltung!


Informationspflichten

■ Inhalt

■ Verantwortliche Stelle, Kontaktdaten

■ Datenschutzbeauftragter, Kontaktdaten

■ Zweck und Rechtsgrundlage für Datenerhebung, ggf. berechtigtes Interesse

■ Empfänger/Kategorien von Empfängern

■ Übermittlung in ein Drittland oder internationale Organisation, Maßnahmen

■ Dauer der Speicherung

■ Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Vergessenwerden, Einschränkung der Verarbeitung, Widerspruch, Recht auf Datenübertragung)

■ Ggf. Widerruflichkeit der Einwilligung

■ Beschwerderechte bei den Datenschutz-Aufsichtsbehörden

■ Ggf. Profiling automatisiert

■ Zeitpunkt: Informationspflichten bereits bei der Erhebung der Daten

■ Umsetzung: Nachweis (Rechenschaftspflicht), Dokumentation, Prozesse

■ Einmalig: Nicht erforderlich, wenn Person schon über die Informationen verfügt

5

Universitätsklinikum Heidelberg | März 2018 | Datenschutz6

■ Anforderung: Transparent und verständlich!

■ Informed Consent

■ Aufklärung: Grundsätzliche Informationspflichten

■ Darstellung Datenverwendung und Datenflüsse

■ Zweck der Verarbeitung

■ Zugriffsberechtigte

■ Pseudonymisierung/ Verschlüsselung,

■ Empfänger der Daten /Kategorien von Empfängern

■ Verbleib/Dauer der Speicherung

■ Hinweise auf Freiwilligkeit, Zweckbindung, Widerrufsrecht/Widerruflichkeit der Einwilligung, Verweigerungsfolgen

■ Erweiterte Informationspflichten nach DSGVO




■ Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Recht auf Datenübertragung)


Einwilligung


Einwilligung■ Spezielle Informationspflichten bei klinischen Studien (AMG/MPG)

■ Vorrangige Rechtsgrundlagen klinische Studie: §§ 40, 41 AMG / §§ 20, 21 MPG

■ Speicherung im Prüfzentrum (Klardaten)

■ Einsichtnahme durch Überwachungsbehörden und Monitore, Auditoren, EK o.ä.

■ Pseudonymisierte Weitergabe an Auftraggeber, beauftragte Stelle, Zulassungsbehörde o.ä., Pseudonymisierte Übertragung der Angaben in das Case Report Form (CRF)

■ Unwiderruflichkeit der Einwilligung zur Datenverarbeitung

■ Weiterverwendung der Daten bei Beendigung der Studienteilnahme

■ Aufbewahrungsfristen

■ Besonderheiten Minderjährige/Nicht Geschäftsfähige

■ Einwilligung Gesetzlicher Vertreter und des Minderjährigen/Geschäftsunfähigen soweit Einsichtsfähigkeit. Andernfalls: Berücksichtigung mutmaßlicher Wille

■ Entsprechende verstandesgerechte Aufklärung

■ Besonderheiten bei der AMG Studie

■ Nicht Einsichtsfähige: Nutzen für den Probanden, Einwilligung Gesetzlicher Vertreter/Betreuer/Sachwalter

■ Notfälle: Zur Rettung, Weitere Teilnahme: Nachholung Einwilligung sobald möglich

Mustertexte Aufklärung/Einwilligung: http://www.ak-med-ethik-komm.de unter: Hinweise für Antragsteller


Form der Einwilligung■ Klinische Studien: Spezialgesetzliche Formvorschriften (z.B. AMG, LKHG)

■ Schriftform, Eigenhändige Unterschrift

■ Ausnahme von Schriftform wegen besonderer Umstände (§ 40 f. AMG)

■ Unterschrift des Aufklärenden

■ Krankenhaus BW: Patienteneinwilligung „schriftlich“, § 50 LKHG

■ Andere Bereiche: DSGO sieht keine Schriftform mehr vor

■ Textform, Elektronisch oder durch aktives Handeln (Nicken) ausreichend

■ Ausdrücklich: Aktive Handlung. Keine rechtskonforme Einwilligung bei stillschweigendem Einverständnis, standardmäßig angekreuzten Kästchen oder Untätigkeit der Betroffenen

■ Aber: Rechenschaftspflichten: Nachweis, dass Einwilligung rechtskonform eingeholt wurde. Problem: Wie? (Empfohlen: Unterschrift…)

■ Festgelegter, dokumentierter Prozess für Nachweis

■ Aufklärung und Einwilligung elektronisch (z.B. Internetfragebogen) ausreichend Opt-In mit Protokollierung

Einwilligung

8


Form der Einwilligung■ Für den konkreten Einzelfall:

■ Für eine bestimmte Verarbeitung, keine Pauschaleinwilligung, keine Blankoeinwilligung

■ Forschung: Einwilligung nur für bestimme Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße möglich

■ Weitergeltung bereits vorhandener Einwilligungen (längerfristige Studien, z.B. Nachsorge

Onkologie, Krankheitsregister) ■ Soweit vor DSGVO rechtskonform erfolgt, auch nach Geltung der DSGVO wirksam.

■ Abgeschlossene Studien: Keine Besonderheiten

■ Laufende Studien: Empfohlen: Ergänzende Information bzgl. noch nicht enthaltener Informationen




■ Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Recht auf Datenübertragung)


■ Anstehende Studien: Berücksichtigung der zusätzlichen Inhalte

Einwilligung

9


Forschung ohne Einwilligung?

Wegfall der zulässigen „Eigenforschung“ in Baden-Württemberg

■ Relevant für Nutzen vorhandener Daten aus der Patientenversorgung (KIS) für Forschungszwecke

■ Grundsätzlich: Nutzung von Behandlungsdaten ist nur für die Versorgung im Krankenhaus erlaubt

■ Nutzung für Forschungszwecke = Zweckänderung = Rechtsgrundlage erforderlich!

■ Ausnahme bisher: „Eigenforschung“ der Behandler

■ In manchen Bundesländern im Landeskrankenhausgesetz geregelt, in BW § 15 LDSG-BW

■ Nutzung von Behandlungsdaten eigener Patienten für eigene Forschungszwecke erlaubt

■ Gilt nur für die eigene Nutzung durch Behandler, Weitergabe/Einsicht Dritte: Einwilligung erforderlich.

■ DSGVO: Keine Regelungen zur Eigenforschung

■ Bundesländer mit Regelung im LKHG: Wahrscheinlich Fortbestand der Regelungen nach Anpassung der LKHG an die DSGVO, im Auge behalten.

■ Problem Baden-Württemberg:

– Entwurf LDSG-neu: Wegfall der alten Regelung.

– Entwurf Änderung LKHG: Keine Regelung Eigenforschung

10


Forschung ohne Einwilligung?

Forschungsklauseln (BDSG/LDSG-neu) zur Nutzung vorhandener Daten aus der Patientenversorgung ■ Relevanz für BW und andere Bundesländer ohne Regelung im LKHG,

niedergelassener Prüfarzt, Prüfzentrum außerhalb Krankenhaus

■ Öffnungsklausel in der DSGVO für Forschungsklauseln in BDSG und LDSG

■ § 27 BDSG-neu: Personenbezogenen Daten besonderer Art dürfen verarbeitet

werden,

■ wenn dies für die wiss. Forschungszwecke erforderlich ist und

■ die Interessen des Forschenden denen der betroffenen Person erheblich überwiegen (§ 27 Abs. 1 BDSG neu) und

■ wenn angemessene Schutzmaßnahmen (§ 22 Abs. 2 S. 2 BDSG-neu) vorgesehen sind, wie z.B. technische und organisatorische Maßnahmen, Pseudonymisierung, Verschlüsselung.

■ Entwurf LDSG-BW entsprechend: Ebenfalls erhebliches Überwiegen

vorgesehen

■ Indiz: Erhebliche Bedeutung für Gesundheit oder soziale Sicherheit der

Allgemeinheit

11


Forschung ohne Einwilligung?Ausschluss Faktische Anonymisierung

■ Relevanz: Forschung durch Dritte (andere Abteilungen im Krankenhaus/ Externe), z.B.

Sekundärdatenforschung: Verwendung vorhandener pseudonymisierter Daten aus anderen Projekten

zu Forschungszwecken (u.a. Forschungsdatenbank) oder Zurverfügungstellung pseudonymisierter

Daten für Dritte (Datenpool)

■ Lösung bisher: Argumentation (z.B. Rechtsgutachten TMF):

■ Nutzung/Zurverfügungstellung „faktisch anonymisierter“ Daten zulässig

■ Faktische Anonymisierung: Zuordnung zu bestimmter/bestimmbarer Person nicht mehr mit

verhältnismäßigem Aufwand möglich ist. D.h. Wenn Daten für Dritte nicht zu identifizieren, dann

faktisch anonym für diese.

■ Folge: Keine Geltung Datenschutzrecht mehr. Freie Sekundärnutzung, Übermittlung an Dritte

ohne Einwilligung zulässig.

■ Streitig, z.T. Aufsichtsbehörden anderer Auffassung

■ DSGVO: Neudefinition Pseudonymisierung

■ Keine Definition Anonymsierung mehr. Anbindung an Identifizierbarkeit.

■ Definition „Pseudonym“ der EU DS-GVO beinhaltet, was Stand heute in Deutschland als „faktisch

anonym“ angesehen wird.

■ Pseudonymisierte Daten können nicht anonym sein. Immer noch personenbeziehbar, Geltung

Datenschutzrecht. (Art. 29 Gruppe)

■ Folge: Sekundärdatenforschung / Weitergabe pseudonymisierter Daten an Dritte ohne

Rechtsgrundlage/Einwilligung ist unzulässig

■ Forschungsklausel § 27 BDSG-neu hilft nicht weiter:

■ Bezogen auf schon vorhandene Daten, Datenweitergabe/ Übermittlung an Dritte nicht umfasst 12


Neue Begriffsdefinition PseudonymisierungBundesdatenschutzgesetz/LDSG

§3 Abs. 6a: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren

---------------------------------------------------

§ 3 Abs. 6: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können-

EU Datenschutzgrundverordnung

Art. 4 Abs. 5: "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden

----------------------------------------------------------------------------

Anonymisieren (-)


Pseudonymisierung und Anonymisierung

Abgrenzung: Wann sind Daten „anonym“, wann pseudonym? ■ Anonym:

■ Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen (von „Natur“ aus anonym)

■ Personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Verarbeitung „Anonymisierung“ durchgeführt)

■ Grundsätze des Datenschutzes (DSGVO) gelten nicht für anonyme Informationen, keine Definition mehr im Datenschutzgesetz

■ Datenverwendung und –weitergabe ohne weiteres zulässig

■ Pseudonym

■ Definition „Pseudonym“ der DSGVO beinhaltet, was bisher als „faktisch anonym“ angesehen wird

■ Identifizierung der Person (durch Zuordnungsliste) möglich

■ Datenschutzrecht bleibt anwendbar

■ Keine Erleichterungen bzgl. Nutzung/Übermittlung


Datenübermittlung in DrittstaatenZ.B. Sponsor in USA, Kooperationspartner in Spanien, in der Schweiz

■ Immer erforderlich: Zulässigkeit der Übermittlung

■ Allg. Rechtmäßigkeitsgründe (Art. 6 DSGVO): U.a. Gesetzl. Erlaubnis, Rechtsgeschäft, Einwilligung, rechtl. Verpflichtung

■ Verantwortung für Zulässigkeit: bei übermittelnder Stelle

■ Übermittlung in EU/EWR Staaten

■ Keine Besonderheiten, allg. Rechtmäßigkeit (Art. 6 DSGVO)

■ Drittstaaten außerhalb der EU mit angemessenem Datenschutzniveau:

■ Keine Besonderheiten, allg. Rechtmäßigkeit (Art. 6 DSGVO)

■ Keine besondere Genehmigung erforderlich.

■ Angemessenheitsbeschluss EU-Kommission: Derzeit: Argentinien, Schweiz, Kanada, Isle of Man, Jersey, Guernsey, Faröer, Isle of Man, Neuseeland, Uruguay, Israel, Andorra (USA: Sonderfall, weitere Voraussetzungen)

■ Liste zu finden unter http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

15


■ Staaten außerhalb der EU ohne angemessenes Datenschutzniveau

■ Übermittlung nur unter weiteren besonderen Voraussetzungen zulässig:

■ Nachweis geeigneter Garantien

■ durchsetzbare Rechte für Betroffene und

■ wirksame Rechtsbehelfe für Betroffene (Art. 46 Abs. 1 DSGVO)

■ 1. Möglichkeit: Rechtlich bindendes und durchsetzbares Dokument

zwischen den Behörden oder öffentlichen Stellen der Staaten

■ Angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen und Institutionen, die das Zertifizierungsverfahren des „EU-US Privacy Shield“-Abkommens durchlaufen haben. (Entscheidung EU-Kommission, Freigabe durch EU-Ausschuss am 12.07.2016)

■ US-Handelsministerium veröffentlicht eine Liste aller zertifizierten Unternehmen im Internet: https://www.privacyshield.gov/list

■ Problem: Privacy Shield steht in der Kritik, nicht sämtliche Vorgaben des „Safe Harbor“-Urteils zu berücksichtigen. Möglich: Erneute Klage, erneutes Verwerfen durch EuGH

16

Datenübermittlung in Drittstaaten


Datenübermittlung ins Ausland

■ 2. Möglichkeit: EU Standardvertragsklauseln

■ Sofern die Klauseln unverändert übernommen werden, ist keine weitere Prüfung durch die Aufsichtsbehörde notwendig.

■ Problem: Kritik bzgl. Betroffenenrechte, staatliche Überwachung ähnlich wie bei Safe Harbor. Ggf. in Folge des „Safe Harbor“-Urteils angreifbar.

■ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:DE:PDF

■ 3. Möglichkeit: Binding Corporate Rules

■ Verbindliche unternehmensinterne Datenschutzvorschriften

■ Müssen in Genehmigungsverfahren unter Beteiligung der EU-Kommission und der Aufsichtsbehörde zertifiziert werden (Art. 46 Abs. 2, Art. 47 DSGVO).

■ Wirksamkeit nur für Datenaustausch im eigenen Unternehmensverbund (Konzern), nicht gegenüber Drittunternehmen


Datenübermittlung ins Ausland■ Möglichkeit 4: Genehmigte Vertragsklauseln (Art. 46 Abs. 3 lit. a) DSGVO)

■ Durch die Aufsichtsbehörde genehmigt

■ Auch nach alter Rechtslage erfolgte Genehmigungen bleiben wirksam, bis sie von der Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden (Art. 46 Abs. 5 DSGVO)

■ Möglichkeit 5: Genehmigte Verhaltensgarantien (Art. 40 DSGVO) und genehmigte Zertifizierungsverfahren (Art. 42 DSGVO)

■ Kammern, Berufsverbände sowie freiwillige Zusammenschlüsse von Unternehmen können eigenes Datenschutzrecht erstellen.

■ Dieses darf aber nur das vorhandene Datenschutzrecht präzisieren, nicht unterschreiten.

■ Genehmigung/Abstimmung Aufsichtsbehörde, Kommission

■ Fraglich, ob und wie viel Nutzen eine solche Erstellung mit einem aufwändigen Abstimmungsprozess mit den Aufsichtsbehörden bringen kann.

■ Abhängig davon ob darin tatsächliche Erleichterungen liegen und wie bzw. von wem diese Verhaltensregeln letztlich kontrolliert werden.

■ Zertifizierungsverfahren (Art. 42 DSGVO): Noch unklar, wie diese aussehen werden


Datenübermittlung ins Ausland

Kein Angemessenheitsbeschluss, keine Garantien? ■ Übermittlung dennoch möglich (Art. 49 DSGVO) bei ausdrücklicher

Einwilligung der Betroffenen zu Übermittlung in dieses Land/an diese

Organisation

■ Voraussetzungen

■ Allgemeine Anforderungen an eine Einwilligung und zusätzlich

■ Information des Betroffenen über die bestehenden möglichen Risiken bei Datenübermittlungen in einen Drittstaat ohne angemessenes Datenschutzniveau

■ Einwilligung für den konkreten Einzelfall, keine pauschale Einwilligung möglich

■ Umsetzung in Aufklärung/Studieneinwilligung


Rechenschaftspflicht

Umsetzung der Rechenschaftspflicht Art.5 Abs.2 DSGVO

■ Verantwortlicher muss Einhaltung der Grundsätze/Vorschriften für die Verarbeitung personenbezogener Daten nachweisen

■ Gegenüber den Betroffenen, der Öffentlichkeit und den Behörden

■ Grundlage zur Erfüllung der Rechenschaftspflicht ist vollständige und aktuelle Datenschutzdokumentation, Dokumentation der Maßnahmen zur Gewährleistung des Datenschutzes bei der Verarbeitung,

■ Dienst auch zu Beweiszwecken und kann prozessentscheidend sein.

■ Richtige Erfüllung der Rechenschaftspflicht ist von Datenschutzbehörde bei der Entscheidung über eine mögliche Geldbuße zu berücksichtigen.

■ Rechtzeitig mit Planung und Umsetzung strukturierter Datenschutzdokumentation beginnen!

Notwendige Vorarbeiten - Notwendige Dokumentation für jede Studie ■ Erstellen eines Datenschutzkonzeptes (in klinischer Studie im

Studienprotokoll)

■ Meldung zum Verarbeitungsverzeichnis

■ Ggf. Datenschutzfolgenabschätzung


RechenschaftspflichtDatenschutzkonzept/Studienprotokoll- zwingende Inhalte■ Inhalt und Zweck Projekt

■ Beschreibung des Projekts in allgemein verständlicher Form

■ Betroffener Personenkreis

■ Patienten, Probanden, Beschäftigte, Verwandte o.ä.

■ Beteiligte speichernde Stellen

■ Welche Stellen erheben Daten, speichern Daten, erhalten Daten, an wen wird weitergegeben, wer hat Zugriff

■ Wer ist zur Einhaltung des Datenschutzes im Projekt verantwortlich

■ Art der Daten, Erforderlichkeit, Zweck der Datenverarbeitung

■ Darstellen des Datenerhebungsprozesses; Datenherkunft

■ Rechtsgrundlagen, Darstellung Aufklärungs-/Einwilligungsprozess

■ Wahrung der Rechte Betroffener, Informationspflichten

■ Darstellung der Pseudonymisierungsfunktion, Voraussetzungen Reidentifizierung

■ Darstellen von Datenweitergaben, Datenflüssen, -weitergaben, Zugriffsmöglichkeiten evtl. graphische Datenflüsse

■ Workflow

■ Beschreibung typischer Abläufe


RechenschaftspflichtDatenschutzkonzept/Studienprotokoll- zwingende Inhalte■ Darstellung der IT-gestützten Verarbeitung

■ Übersicht über technische Mittel

■ Beschreibung der verwendeten Datenbanken und zugehörigen Server

■ Beschreibung der Komponenten bei Datenlieferanten und Datenabrufenden

(Clients)

■ Vernetzungsstruktur zwischen den beteiligten Komponenten

■ Verantwortlichkeiten für die Komponenten

■ Anwendungen, eingesetzte Software

■ Technische und organisatorische Sicherheitsmaßnahmen für alle

Komponenten der beschriebenen Systemstruktur (voriger Punkt)

■ Server, Clients, Netzinfrastruktur, Räume, Anwendungen zum

Datenmanagement

Beispiel: https://www.ztg-nrw.de/wp-content/uploads/2016/12/2016-12_Leitfaden-fu%CC%88r-

die-Erstellung-von-Datenschutzkonzepten-im-Gesundheitswesen.pdf

Datenschutzkonzept der TM für medizinische Datensammlungen und Biobanken

https://www.ztg-nrw.de/wp-content/uploads/2016/12/2016-12_Leitfaden-fu%CC%88r-die-Erstellung-von-Datenschutzkonzepten-im-Gesundheitswesen.pdf


Verzeichnis der Verarbeitungen

■ Führen ist gesetzliche Pflicht der Einrichtung/Verantwortlichen. Kann auf DSB delegiert

werden.

■ Zweck: Muss auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden.

■ Erweiterte Inhalte:

■ Angaben des Verantwortlichen (Art. 30 Abs. 1 DSGVO)

■ Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten

■ Zwecke der Verarbeitung

■ Kategorien betroffener Personen und personenbezogener Daten

■ Kategorien von Empfängern

■ Übermittlungen von personenbezogenen Daten an ein Drittland

■ Fristen für Löschung

■ Beschreibung der technischen und organisatorischen Maßnahmen

■ Angaben des Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO)

■ Name und Kontaktdaten des Auftragsverarbeiters und des Verantwortlichen, ihrer Vertreter und des

Datenschutzbeauftragten

■ Kategorien von Verarbeitungen

■ Übermittlungen von personenbezogenen Daten an ein Drittland

■ Formulare werden zentral bereitgestellt


23



Verzeichnis der Verarbeitungen

■ Neu: Nicht elektronische Verarbeitungen meldepflichtig

■ Datenverarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren

ausgeführte Vorgang oder Vorgangsreihe im Zusammenhang mit

personenbezogenen Daten

■ Elektronische Verarbeitung: Programmgesteuert, durch EDV

■ Nichtautomatisierte Verarbeitung: Auswertung möglich (Kartei, Akten, Archiv)

■ Vorgänge: Erheben, Erfassen, Organisation, das Ordnen, Speicherung,

Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung

durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,

Abgleich oder die Verknüpfung, Einschränkung, Löschen oder die Vernichtung

■ Studie: Oft Vorgangsreihe mit beiden Elementen=Eine Meldung

■ Sonstige Verarbeitungen prüfen: Papierakten, Archiv, Entsorgung, Biobank etc)



Datenschutz-Folgenabschätzung■ Durchzuführen wenn voraussichtlich hohes Risiko für persönliche Rechte

und Freiheiten Betroffener durch

■ neue Technologien

■ Art, Umfang, Umstände, Zwecke der Datenverarbeitung

■ Immer durchzuführen (Regelbeispiele für Durchführungspflicht):

■ Persönlichkeitsbewertung

systematische und umfassende Bewertung persönlicher Aspekte mit

automatisierter Verarbeitung und

Grundlage für Entscheidungen mit Rechtswirkung■ Umfangreiche Verarbeitung

besondere Kategorien von Daten (Gesundheitsdaten!) oder

über strafrechtliche Verurteilungen und Straftaten■ Systematische Überwachung öffentlich zugänglicher Bereiche (z.B.

Videoüberwachung)

■ Positivlisten der Aufsichtbehörden, wann durchzuführen

■ Erstellung ist Pflicht der Aufsichtsbehörden

■ Können Liste erstellen, bei denen keine DSFA durchzuführen ist.


RechenschaftspflichtWie ist eine DSFA durchzuführen? Mindestanforderungen:■ Systematische Beschreibung Verarbeitungsvorgänge, Zwecke

der Verarbeitung, ggf. berechtigte Interessen der Verantwortlichen

■ Bewertung der Verarbeitungsvorgänge Notwendigkeit und Verhältnismäßigkeit (zum Zweck)

■ Bewertung der Risiken für Rechte und Freiheiten Betroffener

■ Geplante Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die Datenschutz sicher gestellt werden soll

■ Berücksichtigen der Interessen Betroffener

■ Beratung durch Datenschutzbeauftragten vorgesehen, DSB ist aber nicht verantwortlich!

■ Zentrale Formulare UKH


RechenschaftspflichtWas ist zu tun, wenn ein erhöhtes Risiko festgestellt wird?■ Meldung des Verfahrens an die Aufsichtsbehörde noch vor Durchführung des

Verarbeitungsvorgangs

■ Die Meldung muss folgende Informationen enthalten (vgl. Art. 36 Abs. 3 DSGVO):

■ Zuständigkeiten des Verantwortlichen/Verantwortlicher

■ die Zwecke und die Mittel der beabsichtigten Verarbeitung;

■ die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO vorgesehenen Maßnahmen und Garantien;

■ gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

■ die Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und

■ alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

■ Aufsichtsbehörde gibt Empfehlungen ab (fehlerhafte DSFA oder unzureichende Schutzmaßnahmen)

■ Aber: Meldung nur wenn der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 Abs. 1)

■ Verantwortlicher kann also der Konsultationspflicht entgehen, wenn Schutzmaßnahmen für den Datenverarbeitungsprozess ergriffen werden.


Sicherheit der Verarbeitung

Technisch organisatorische Maßnahmen: Art. 32 Abs. 1 lit. a-d

Diese Maßnahmen schließen gegebenenfalls Folgendes ein: ■ Pseudonymisierung und Verschlüsselung personenbezogener Daten;

■ Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und

Belastbarkeit der Systeme und Dienste im Zusammenhang mit der

Verarbeitung personenbezogener Daten auf Dauer sicherzustellen;

■ die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei

einem physischen oder technischen Zwischenfall rasch

wiederherzustellen;

■ ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

der Wirksamkeit der technischen und organisatorischen Maßnahmen zur

Gewährleistung der Sicherheit der Verarbeitung



Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

■ Zutrittskontrolle■ Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten,

Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;

■ Zugangskontrolle■ Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperr-

mechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;

■ Zugriffskontrolle■ Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.:

Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;

■ Trennungskontrolle■ Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B.

Mandantenfähigkeit, Sandboxing;

■ Pseudonymisierung■ Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne

Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen



Integrität (Art. 32 Abs. 1 lit. b DS-GVO) ■ Weitergabekontrolle

■ Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

■ Eingabekontrolle

■ Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)■ Verfügbarkeitskontrolle

■ Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;

■ Belastbarkeit

■ Originaltext DSGVO „Belastbarkeit“ = „resilience“

■ Übersetzung „resilience“ in dt. IT-Fachliteratur: „Widerstandsfähigkeit“ oder „Ausfallsicherheit“

■ Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)


Bußgelder

■ Höher (bis 2% Jahresumsatz weltweit/10 Mio. oder 4%/20 Mio.)

■ Mehr Tatbestände, die bisher keinem Bußgeld unterlagen (u.a Verarbeitungsverzeichnis, Sicherheit, Betroffenenrechte)

■ BDSG-neu/LDSG-neu:

■ Keine Bußgelder für öffentliche Einrichtungen/Behörden.

■ Anders: Wettbewerbsunternehmen

■ Verhängung nur Ultima Ratio

Folgen von Verstößen

31


Meldepflicht bei Datenpannen- Art.33 DSGVO

■ Warum: Verletzung des Schutzes personenbezogener Daten

■ Was: Alle personenbezogenen Daten (z.B. auch Kontakt-, Kontodaten, Abrechnungsdaten etc.);

■ Wann: Vorfall muss voraussichtlich zu Risiko für Rechtsgüter der Betroffenen führen (sonst keine Meldepflicht)

■ Zu tun:

■ Meldung an Aufsichtsbehörde

■ Meldefrist: 72 Stunden (!)

■ Benachrichtigung Betroffener nur bei hohem Risiko Gefährdung Rechtsgüter.

■ Keine Benachrichtigungspflicht, wenn

technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die

Daten unzugänglich werden, z.B. Verschlüsselung

Wenn Folgemaßnahmen sicherstellen, dass das hohe Risiko aller Wahrscheinlichkeit nicht

mehr besteht

■ Vielzahl Betroffene/Unverhältnismäßiger Aufwand: Öffentliche Bekanntmachung/ähnlich wirksame Maßnahme

■ Festlegung Prozess: Wer ist Ansprechpartner, wer meldet an Aufsichtsbehörde, Format etc. Vorgaben, Formulare zentral UKH

Folgen von Verstößen

32


Praxis: Verstöße

■ Offener Informationsaustausch/Gespräch mit und vor Dritten (Gespräche/Telefonate vor Publikum, Aufnahme/Patientengespräch im Wartebereich, Besprechungen bei offener Tür, Mittagstisch)

■ Einsehbare Unterlagen/Daten (Tresen, Mittagstisch, Bildschirm, Parkplatz, Besprechungstisch)

■ Offene Räume/Archive/Aktenschränke/Serverräume/Lager Biomaterial

■ Zugängliche Ablagen, Postfächer, Probenbereitstellung auf dem Gang

■ Offene Übersichten, Aushänge, Bearbeitungsstatus

■ Frei zugängliche Kopierer, Faxgeräte, Netzwerkdrucker

■ Patienteninfo im Altpapier, Müll oder auf der Straße (Besprechungsnotizen, Fehldrucke etc.; Entsorgte Rechner mit Patientendaten, Verlorene Sicherungsbänder, USB-Sticks u.a.)

■ Fehlversand von Unterlagen (Verklicken, Amtsnull (Fax), unverschlüsselte Mail, Mailverteiler)

■ Zu weite Zugriffsberechtigungen in Systemen, Unsichere Systeme, Datenlecks

■ Systemnutzung für eigene Zwecke/Neugier, Weitergabe Info an Nachbarschaft

■ Patienteninformationen versehentlich im Internet, Patientendaten in unsicherer Cloud

Rechtswidrige Datenverarbeitung - Bruch der Schweigepflicht – Haftung!

33


Datenschutz im Klinikum

Das Datenschutz-Team

Martin S c h u r e r (Datenschutzbeauftragter)

Dr. Regina M a t h e s

Büro: Marsilius Arkaden Turm Nord

Im Neuenheimer Feld 130.1

Telefon: 56-7036E-Mail: [email protected]

34


Endlich…..die letzte Folie!

Vielen Dank für Ihre Aufmerksamkeit

Datenschutzgrundverordnung (DSGVO)...Vorrangige Rechtsgrundlagen klinische Studie: 40, 41 AMG / 20,...

Documents

Transcript of Datenschutzgrundverordnung (DSGVO)...Vorrangige Rechtsgrundlagen klinische Studie: 40, 41 AMG / 20,...