Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 1...

Wir können Wir können beraten,beraten, weil wir Sie weil wir Sie verstehen!verstehen!

© mirus ag Datenschutz in der Medizin Folie: 1

Datenschutz in der Medizin



Wozu Datenschutz?

Zur Sicherung des Persönlichkeitsrechts von natürlichen Personen vor M I S S B R A U C H

Schutz der Privatsphäre steht dabei im Mittelpunkt

Schutz vor missbräuchlicher Datenverarbeitung z. B. durch den Staat oder durch privatrechtliche Unternehmen

Schutz vor der Beschaffung und Verwendung personenbezogener Daten durch U n b e f u g t e.



Woraus leitet sich der Datenschutz ab? (1)

Recht auf informelle Selbststimmung (Artikel 2 Abs. 1 i. V. m. Artikel 1 Abs. 1 GG)

„Jeder Mensch kann selbst entscheiden wie, wann und wer personenbezogene Informationen über ihn erhält!“

Das Recht der Verfügungsgewalt über Daten die die eigene PersonBetreffen liegt bei jedem Einzelnen selbst.



Woraus leitet sich der Datenschutz ab? (2)

Europäische Menschrechtskonvention (Art. 8 Abs. 1)

„Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs“



Worauf erstreckt sich Datenschutz? (1)

auf den Schutz personenbezogener Daten

Darunter fallen alle Daten die nicht öffentlich verfügbar sind!

Beispiele:

Religionszugehörigkeit Gesundheitszustand Sexualleben Kinder u. a. m.



Worauf erstreckt sich Datenschutz? (2)

Datenschutz erstreckt sich auf zwei Bereiche der Gesellschaft

Natürliche Personen (Endverbraucher, Patient, Klient)

und

diejenigen Stellen, die Daten verarbeiten (Staat, Unternehmen)



Rechtliche Grundlagen (1)

Gesetze auf Bundesebene

Bundesdatenschutzgesetz (BDSG)

Geltungsbereich:

Öffentliche Stellen (Kommunalverwaltungen) Nicht-öffentliche Stellen (z. B. juristische Personen (AG, GmbH u. a.) Personengesellschaften (GbR, KG etc.) nicht rechtsfähige Vereinigungen (Gewerkschaften, politische Parteien o. ä.) natürliche Personen (Ärzte, Architekten, Rechtsanwälte etc.)




Gesetze auf Landesebene

landesspezifische Datenschutzgesetze (LDSG) Landeskrankenhausgesetze bereichsspezifische Regelungen für Medien, Meldewesen, Sicherheitsbehörden und Kultur

Geltungsbereich:

Öffentliche Stellen (Landesbehörden, Kommunalverwaltungen, Krankenhäuser u.a.m.)




Spezialgesetze

bereichsspezifische Gesetze, die, entsprechend ihres Anwen- dungsbereichs, Spezialregelungen enthalten

Beispiele: Sozialgesetzbuch X Datenschutzverordnungen der Religionsgemeinschaften Bundespolizeigesetz




Subsidiaritätsprinzip

Erst wenn keine Regelungen in Spezialgesetzen für bestimmte Sachverhalte existieren, findet das BundesdatenschutzgesetzAnwendung.



Rechtliche Grundlagen (5) Anwendungsbeispiel Krankenhaus

(§1 Abs. 2 BDSG

öffentlicheStelle

(Trägerschaftdes Bundes)

Bundes-datenschutz-

gesetz (BDSG)

öffentliche Stelle (kommunale Träger/

Trägerschaft des Landes)

Landes-kranken-

hausgesetz(LKHG)

Subsidiär:Landesdaten-Schutzgesetz

(LDSG)

Nicht-öffentliche Stelle (private Träger)

LKHG BDSG




Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG)

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist v e r b o t e n!

Es sei denn, sie begründet sich

auf einer Rechtsnorm (durch Gesetz erlaubt) oder einer ausdrücklichen Einwilligung des Betroffenen (durch wirk- same Einwilligung erlaubt)




Umsetzung der Datenschutzgesetze

durch unabhängige Kontrollen

mittels innerbetrieblicher / innerbehördlicher Selbstkontrolle (durch den betrieblichen/behördlichen Datenschutzbeauftragten) mittels Fremdkontrolle (durch staatliche Aufsichtsbehörden) (Bundes- und Landesdatenschutzbeauftragten – öffentliche Stellen) (Aufsichtsbehörden – nicht öffentliche Stellen)



Selbstkontrolle (1)

Betrieblicher / innerbehördlicher Datenschutzbeauftragter

betrieblicher Datenschutzbeauftragter

Krankenhäuser, die in privater Rechtsform betrieben werden, unterliegen der Pflicht einen betrieblichen Datenschutzbeauf- tragten zu bestellen.

Auch Arztpraxen und Apotheken unterliegen dieser Pflicht eigentlich ausnahmslos.



Selbstkontrolle (2)

Bestellung eines Datenschutzbeauftragten

• ist schriftlich mittels einer Bestellungsurkunde zu bestellen;

• Pflicht zur Bestellung besteht bei - nicht-automatisierter Datenverarbeitung personenbezogener Daten soweit mindestens 20 Mitarbeiter zumindest zeitweise mit der Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind


© mirus ag Mitarbeiterschulung Datenschutz Folie: 16

Selbstkontrolle (3)


• Pflicht zur Bestellung besteht bei - automatisierter Datenverarbeitung personenbezogener Daten soweit mindestens 10 Mitarbeiter zumindest zeitweise mit der Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind



Selbstkontrolle (4)


• Pflicht zur Bestellung besteht bei automatisierten Verarbeitungen die einer Vorabkontrolle unterliegen (§ 4 f Abs. 1 Satz 6 BDSG)

In Arztpraxen und Apotheken werden „Besondere Arten personenbezogener Daten“ verarbeitet! (§ 3 Abs. 9 BDSG)

Folge: z u t r e f f e n d



Selbstkontrolle (5)



Die Verarbeitung von Daten nach § 3 Abs. 9 BDSG unterliegt der Vorabkontrolle (§ 4d Abs. 5 Ziffer 1 BDSG)




Selbstkontrolle (6)



Ein Datenschutzbeauftragter ist IMMER zu bestellen, wenn eine automatisierte Datenverarbeitung vorgenommen wird, die einer Vorab- kontrolle unterliegt (§ 4 f Abs. 1 Satz 6 BDSG)




Selbstkontrolle (7)



Ausnahmen: Gesetzliche Verpflichtung? (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG)

Der Arzt ist nach der Berufsordnung zur Dokumentation verpflichtet. Die Berufsordnung stellt jedoch keine gesetzliche Verpflichtung des Arztes dar, die Daten automatisiert zu verarbeiten. (§ 10 MBO)



Selbstkontrolle (8)



Ausnahmen: Einwilligung des Patienten (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG)

In der Praxis wird vom Patienten so gut wie nie eine Einwilligung in die automatisierte Datenverarbeitung erhoben. An die Einwilli- gung sind auch besondere Voraussetzungen gebunden.



Selbstkontrolle (9)



Ausnahmen: Einwilligung des Patienten? (§ 4 d Abs. 5 Satz 2, 2. Halbsatz BDSG)

Folge: der Ausnahmetatbestand greift i. d. R. nicht!



Selbstkontrolle (10)


• Sowohl Arztpraxen, Apotheken und andere „Heilberufe“ – soweit sie der beruflichen Schweigepflicht nach § 203 StGB unterliegen – sind nach § 4f BDSG v e r p f l i c h t e t einen Datenschutzbeauf- tragten zu bestellen. • Krankenhäuser in privater Trägerschaft sind hierzu ebenfalls verpflichtet.




Bestellung eines e x t e r n e n Datenschutzbeauftragten zulässig?

• auch bei solchen verantwortlichen Stellen, bei denen der Leiter oder eine sonstige beschäftigte Person einem Berufsgeheimnis unterliegen, dürfen einen externen Datenschutzbeauftragten zur Wahrung ihrer Verpflichtung bestellen (§ 41 f Abs. 2 Satz 3 BDSG)

• Die Kontrollbefugnis des externen Datenschutzbeauftragten erstreckt sich dabei ausdrücklich auf solche Daten, die dem Berufs- geheimnis unterliegen.





• auch der externe Datenschutzbeauftragte unterliegt dem Verbot der Offenbarung von Berufsgeheimnissen

• unbefugte Offenbarung von Berufsgeheimnissen durch den externen Datenschutzbeauftragten unterwirft diesen den gleichen Strafandrohungen wie den Berufsgeheimnisträgen (§ 203 Abs. 2a StGB)





• der Gesetzgeber hat aber auch das ärztliche Z e u g n i s - v e r w e i g e r u n g s r e c h t und den B e s c h l a g n a h m e – s c h u t z auf den betrieblichen Datenschutzbeauftragten und dessen Hilfspersonal ausgedehnt (§ 4 f Abs. 4a BDSG)

• will heißen, soweit dem Arzt (aber auch sonstigen Heilberufen) ein Zeugnisverweigerungsrecht über das zusteht, was ihm in seiner beruflichen Eigenschaft anvertraut oder bekannt geworden ist (vgl. § 53 Abs. 1 Nr. 3 StPO) gilt das Zeugnisverweigerungsrecht auch für den betriebl. Datenschutzbeauftragten (ext. oder int.)





• es handelt sich bei dem Zeugnisverweigerungsrecht des bDSB aber nicht um ein eigenes Recht, sondern ein Recht, dass grundsätzlich dem Berufsgeheimnisträger zusteht.

• es steht also dem Arzt das Recht zu, darüber zu entscheiden, ob der bDSB das Zeugnis im konkreten Fall verweigern soll oder nicht

• gleiches gilt für den Beschlagnahmeschutz – steht in Abhängig- keit vom Zeugnisverweigerungsrecht



Die ärztliche Schweigepflicht (1)

Rechtsgrundlage:

• § 203 StGB

danach macht sich strafbar, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Ge- heimnis offenbart, das ihm als Arzt anvertraut worden ist oder bekannt geworden ist.




Rechtsgrundlage:

• § 9 MBO

Ärzte haben über das, was ihnen in ihrer Eigenschaft als Arzt anvertraut oder bekannt geworden ist, zu schweigen




Reichweite der ärztlichen Schweigepflicht:

• umfasst alle Tatsachen, die nur einem bestimmten, abgenzbaren Personenkreis bekannt sind und an deren Geheimhaltung der Patient ein verständliches, also tatsächlich begründbares und damit schutzwürdiges Interesse hat

• grundsätzlich auch gegenüber anderen Ärzten, Familienange- hörigen des Patienten oder eigenen Familienangehörigen zu wahren

• besteht auch nach dem Tod des Patienten fort




Durchbrechung der ärztlichen Schweigepflicht:

• wenn gesetzliche Vorschriften dem Arzt eine Pflicht oder ein Recht zur Offenbarung auferlegen oder geben

• wenn der Patient seine Einwilligung ausdrücklich oder konkludent erteilt hat (ausdrücklich stellt hier die sichere Form dar)

• mutmaßliche Einwilligung (soweit der Patient seine Einwilligung z. B. wg. Bewusstlosigkeit nicht erklären kann)



Rechte der Betroffenen (1)

Gefahren der Datenverarbeitung

• für den Betroffenen ist oft nicht nachvollziehbar, welche Daten über ihn zu welchem Zweck gespeichert werden;

• aufgrund von großen Datensammlungen, die praktisch eine unbe- grenzte Speicherdauer haben, können umfassende Persönlichkeits- profile erstellt werden;

• Gefahr für den Betroffenen durch unzulässige Datenerhebung





• Gefahr für den Betroffenen durch rechtswidrige Verknüpfung zu- lässig erhobener Daten

• Gefahr durch Datenerhebung ohne Kenntnis des Betroffenen

• Gefahr der Erhebung und Verarbeitung falscher Daten (z. B. durch Manipulation der Daten) z. B. falsche Daten bei der Schufa bspw. wirken sich d i r e k t auf die Beurteilung der Kreditwürdigkeit des Betroffenen aus.





• werden Daten aus ihrem Kontext herausgelöst verarbeitet, kann dies ebenso zu verfälschten Ergebnissen führen

• Gefahr durch unrechtmäßige Nutzung der gespeicherten Daten z. B. rechtswidrige „Zweitverwendung“ durch den Verkauf (Adresshandel)




Recht auf Auskunftserteilung gem. § 19 BDSG

• der Betroffene hat das Recht auf Auskunftserteilung über die zu seiner Person gespeicherten Daten

Ein Patient kann also die zu seiner Person gespeicherten Daten beim Arzt erfragen und auch, zu welchen Zwecken und an wen diese übermittelt wurden oder werden.




Recht auf Benachrichtigung gem. § 19 a BDSG

• der Betroffene hat das Recht auf Benachrichtigung soweit Daten über seine Person ohne seine Kenntnis gespeichert werden.

• des weiteren ist er über den Zweck der Speicherung und den Empfänger übermittelter Daten zu informieren;

z. B. ist ein Patient bei einer Überweisung darüber zu informieren, dass seine Daten an einem Facharzt weitergegeben werden;




Recht auf Benachrichtigung gem. § 19 a BDSG

• auch, wenn der behandelnde Arzt lediglich Ratschläge eines anderen Arztes einholt und dabei Patientendaten offenbart, hat der Betroffene ein Recht auf Benachrichtigung




Recht auf Berichtigung, Löschung und Sperrung von Daten Widerspruchsrecht gem. § 20 BDSG

• der Betroffene hat das Recht auf Berichtigung seiner Daten, soweit sie unrichtig sind;

• der Betroffene hat das Recht auf Löschung seiner Daten, soweit sie unzulässig gespeichert wurden;




Recht auf Berichtigung, Löschung und Sperrung von Daten Widerspruchsrecht gem. § 20 BDSG

• der Betroffene hat das Recht auf Sperrung seiner Daten, soweit bei diesen eine Löschung wegen vorgeschriebener Aufbewah- rungsfristen unmöglich ist Die Sperrung von Daten hat die Einschränkung ihrer Verwendung zur Folge.



Ärztliche Dokumentation (1)

Rechtsgrundlage

• Verpflichtung zur Dokumentation ergibt sich aus

§ 10 Abs. MBO

§ 57 Abs. 3 BMV-Ä (Bundesmantelvertrag Ärzte)

u. a. m.




Rechtsgrundlage

• Das Erstellen einer ärztlichen Kartei (Krankenakte) ist datenschutzrechtlich erheben, verarbeiten und nutzen personenbezogener Daten

• Die Erstellung erfolgt aufgrund gesetzlicher Verpflichtung im Rahmen des Behandlungsvertrages

• erlaubt ist auch das erheben, verarbeiten und nutzen mittels EDV – es ist aber nicht gesetzlich vorgeschrieben.




Rechtsgrundlage

• im Falle der EDV-mässigen Erfassung bedarf es einer gesonderten Einwilligung des Patienten

• dies trifft insbesondere dann zu, wenn die EDV auch den Datenaus- tausch mit Dritten (egal ob in Form von senden oder empfangen) zulässt




Schutz vor Einsichtnahme, Zugriff oder Verfälschung

• Unbefugte dürfen keinen Zugriff auf die Patientenakten oder die EDV erlangen

• der EDV Arbeitsplatz ist zu sperren

• Sicherheitsmaßnahmen im Rahmen der Wartung der EDV

• Nachweis (Protokollierung) jeglicher Änderungen an den Daten




Aufbewahrungsfristen

• ärztliche Aufzeichnungen sind für die Dauer von 10 Jahren nach der Behandlung aufzubewahren

• weitere z. T. längere Aufbewahrungsfristen ergeben sich aus anderen Vorschriften

(Beispiele)



Datensicherheit (1)

Allgemeines

• Datensicherheit beinhaltet den Schutz von EDV-Komponenten wie Hard- und Software, aber auch von sensiblen personenbezogenen Daten, vor Verlust und Missbrauch zu anderen als vom Eigentümer genehmigten Zwecken • § 9 BDSG regelt, dass „öffentliche und nicht-öffentliche Stellen, die … personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes … zu gewährleisten“



Datensicherheit (2)

Allgemeines

• Anlage zu § 9 Satz 1 BDSG

stellt die Verbindung zwischen Datenschutz und Datensicherheit in der IT dar;

• Datensicherheit beinhaltet die Umsetzung aller technischen und organisatorischer Maßnahmen die zu treffen sind um die Verletz- ung des Persönlichkeitsrechts bei der Erhebung, Verarbeitung und Nutzung seiner persönlichen Daten zu verhindern.



Datensicherheit (3)

Ziele

• Gewährleistung der V e r f ü g b a r k e i t

Verhinderung von Systemausfällen,

Der Zugriff auf die Daten muss innerhalb eines vereinbarten Zeit- rahmens gewährleistet werden

Bezieht sich nicht nur auf die Daten sondern auch auf die Hard- und Software



Datensicherheit (4)

Ziele


Beispiele:

Maßnahmen zur Ausfallsicherung (Ersatz-Server, Einsatz redun- danter Datenträger, schnelle Wiederanlaufverfahren oder Wieder- einspielungen eines Datenbestandes u. a. m.)

unterbrechungsfreie Stromversorgung (USV),



Datensicherheit (5)

Ziele


Beispiele:

Schutz vor äußerlichen Einflüssen (Feuer, Wasser, Vandalismus, magnetische Störung u. a. m.)

sichere Aufbewahrung von Datenträgern oder sonstigen Back-Up Medien (DATA Safe oder Datensicherungsraum mit RAL-Prüfsiegeln)



Datensicherheit (6)

Ziele

• Gewährleistung der A u t h e n t i z i t ä t

hauptsächlich bei elektronisch übertragenen Dokumenten bedroht (Arztbriefe, Austausch von Laborergebnissen mit ext. Laboren etc.)

ist gegeben, wenn nachgewiesen werden kann, dass empfangene Daten auch tatsächlich von autorisierten und authentisierten Be- nutzern stammen;



Datensicherheit (7)

Ziele

• Gewährleistung der A u t h e n t i z i t ä t

Beispiel:

Signaturverfahren

- bei denen rechtsverbindlich festgestellt werden kann, ob die Daten von Betroffenen autorisiert (z. B. digital signiert) sind oder wer Urheber von Daten ist, die nicht von den Betroffenen stammen (z. B. bei Datenübermittlung)



Datensicherheit (8)

Ziele

• Gewährleistung der I n t e g r i t ä t

wenn Daten und Datenbestände unversehrt, vollständig und aktuell sind, also v e r l ä s s l i c h r i c h t i g;

muss während der Erhebung und allen Phasen der Verarbeitung und Nutzung gewährleistet sein;

mit Anschluss ans Internet muss die Verfälschung durch Schadpro- gramme und Viren ausgeschlossen werden



Datensicherheit (9)

Ziele


Beispiele:

- Plausibilitätskontrollen bei der Eingabe von Daten

- regelmäßige Überprüfung der Aktualisierung der Datenbestände

- Kontrolle der Durchführung von Reparaturen, Wartung oder Fern- wartung von Hard- und Software durch Fremdfirmen



Datensicherheit (10)

Ziele


Beispiele:

- Einsatz von Virenprogrammen

- Einsatz von Firewall-Systemen zur Abschottung von Krankenhaus- netzen gegenüber Fremdnetzen (z. B. dem Internet)




Ziele

• Gewährleistung der R e v i s i o n s f ä h i g k e i t

- es muss nachvollziehbar sein, wie Daten in einen Datenbestand gelangt sind

- es muss nachvollziehbar sein, welchen Veränderungen Daten im Laufe der Zeit unterlegen sind




Ziele


- es muss nachprüfbar sein, wer Daten in einen Datenbestand aufge- nommen hat;

- es muss nachvollziehbar sein, wer Daten im Datenbestand ver- ändert hat




Ziele


- es muss nachprüfbar sein, wer Daten aus einem Datenbestand entfernt hat;

- P r o b l e m: die Protokolldaten bergen selbst ein datenschutzrechtliches Problem und unterliegen einer engen Zweckbindung;




Ziele


Beispiele:

- Auswertung von Protokolldateien;

- Auswertungstools für Protokolldateien (Nachvollziehen, wer in welcher Weise Daten eingegeben, verändert und/oder gelöscht hat oder woher und wohin Daten übermittelt wurden)




Ziele

• Gewährleistung der T r a n s p a r e n z

Automatisierte Verfahren sind in aktueller Form nachvollziehbar zu dokumentieren;

die einzelnen Verfahrensschritte müssen dabei so beschrieben werden, dass die systematische Richtigkeit der Prozesse nachvollziehbar werden;




Ziele


steht in besonderem Zusammenhang mit der Auskunftspflicht gegenüber Betroffenen;

Dokumentation der Freigabe und Vorabkontrolle nach § 4 d (2) BDSG i . V. m. § 4 e BDSG

Dokumentation von wesentlichen Programmänderungen bzw. Fortschreibung der Programmdokumentation (Prüfung / Nachvollzug)




Ziele


ordnungsgemäße Führung des Verfahrensverzeichnisses § 4 g (2) i. V. m. § § 4 e Satz 1 BDSG



Auftragsdatenverarbeitung (1)

Anforderungen an den schriftlichen Auftrag (§ 11 Abs. 2 Satz 2 BDSG)

1. Gegenstand und Dauer des Auftrages

Meist in einem der Geschäftsbeziehung zu Grunde liegenden zivilrechtlichen Vertrag geregelt

Im Rahmen von Nr 1. des § 11 Abs. 2 Satz 2 kann auf diesen Vertrag verwiesen werden

Ansonsten sind Gegenstand und Dauer des Auftrags in der Vereinbarung nach § 11 BDSG zu spezifizieren





2. Konkretisierung des Auftragsinhaltes

Folgende Festlegungen sind schriftlich zu fixieren:

- Umfang, Art und Zweck der Datenverwendung

- Art der Daten

- Kreis der Betroffenen






Aus der schriftlichen Vereinbarung muss hervorgehen, um was es bei der konkreten Auftragsdatenverarbeitung im Einzelnen geht

Beispiel 1: Ein Entsorger muss nur wissen, dass es sich um sensible personenbezogene Daten handelt; er braucht keine detaillierte Beschreibung der Daten






Aus der schriftlichen Vereinbarung muss hervorgehen, um was es bei der konkreten Auftragsdatenverarbeitung im Einzelnen geht

Beispiel 2: Ein Callcenter benötigt für die Erfüllung seiner Aufgaben hingegen nähere Angaben über die sensiblen personenbezogenen Daten, die zur Erfüllung der Aufgaben erforderlich sind.





3. Technisch-organisatorische Maßnahmen (gem. § 9 BDSG)

• Maßnahmen zur Zutrittskontrolle

• Maßnahmen zur Zugangskontrolle

• Maßnahmen zur Datenträgerkontrolle

• Maßnahmen zur Speicherkontrolle





3. Technisch-organisatorische Maßnahmen (gem. § 9 BDSG)

• Maßnahmen zur Benutzerkontrolle

• Maßnahmen zur Zugriffskontrolle

• Maßnahmen zur Transportkontrolle

• Maßnahmen zur Organisationskontrolle



Strafbarkeit von Datenschutzverstößen (1)

Schadenersatz (§ 7 BDSG)

„Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadenersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.“




Ordnungswidrigkeit / Straftat (§§ 43, 44 BDSG)

Grundsätzlich macht sich derjenige wegen Verstoßes gegen

den Datenschutz strafbar, der einen der in § 43 Abs. 2 BDSG

aufgeführten Tatbestände verwirklicht.





Adressaten der Verbotstatbestände

• jeder einzelne Mitarbeiter hat gemäß Dienstvereinbarung (Datenschutzerklärung bzw. Verschwiegenheitserklärung) eigenverantwortlich den datenschutzgerechten Umgang mit personenbezogenen Daten zu gewährleisten

• Datenschutzverstöße können für den Arbeitnehmer evtl. auch arbeitsvertraglich relevante Folgen haben (ggfs. Kündigungsgrund)






• die Führungskräfte sind für die Umsetzung der datenschutzrechtlichen Maßnahmen und Organisationsanweisungen verantwortlich

• im Fall der Auftragsdatenverarbeitung haftet der Auftragnehmer, wenn er seine Pflicht nicht erfüllt oder sich nicht an Weisungen des Auftraggebers hält und dadurch einen Schaden beim Auftraggeber oder beim Betroffenen verursacht






• der Datenschutzbeauftragte (DSB) muss auf die Einhaltung der gesetzlichen Vorschriften nach den jeweiligen Bestimmungen zu Datenschutz in Unternehmen hinwirken und die Mitarbeiter mit den entsprechenden Datenschutzregelungen vertraut machen. Der Datenschutzbeauftragte haftet bei Pflichtverletzung. • da der Datenschutzbeauftragte keine Weisungsbefugnis besitzt – lediglich auf die Einhaltung des Datenschutzes hinwirken muss – ist eine Zurechnung im Schadensfall genau zu prüfen.






Beispiel:

Erfolgt trotz Hinweises auf die Einhaltung datenschutzrechtlicher Vorschriften ein Verstoß dagegen, ist zu prüfen, ob geeignete Maßnahmen durch den DSB eingeleitet wurden und die Geschäftsleitung davon in Kenntnis gesetzt wurde.




Übersicht: Rechtsfolgen bei Datenschutzverstößen

Ordnungswidrigkeit(§ 43 Abs 1 BDSG)

Geldstrafe bis zu Euro 300.00,00

Straftat(§ 43 Abs. 2 BDSG)Handlung geg. Entgelt

bzw. Bereicherungsabsicht

Freiheitsstrafe bis zu2 Jahren

oder Geldstrafe

Datenschutzverstoßdurch

Mitarbeiter

Ggf. Kündigung des Arbeitsverhältnisses bzw.

Durchgriffshaftung



Vielen Dank für Ihre Aufmerksamkeit

Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 1...

Documents

Transcript of Wir können beraten, weil wir Sie verstehen! © mirus ag Datenschutz in der Medizin Folie: 1...