Datenschutzmanagement im Gesundheitswesen – Best Practice-Empfehlungen

Datenschutz im Gesundheitswesen stellt Krankenhäuser, Arztpraxen und medizinische Versorgungszentren regelmäßig vor besondere Herausforderungen. Der Grund dafür: die besonders sensiblen Daten. Patient:innen oder auch Studienteilnehmer:innen offenbaren neben herkömmlichen personenbezogenen Daten wie Adresse oder Name meist sehr sensible Krankheitsdetails, die die Patient:innen grundsätzlich vor Kenntnisnahme durch unbefugte Dritte besonders geschützt wissen wollen. Für den Schutz dieser Daten sieht die Datenschutz-Grundverordnung (DSGVO) daher besonders hohe Anforderungen vor. Umso wichtiger ist es, dass medizinische Einrichtungen über ein umfassendes und besonders effektives Datenschutzmanagement verfügen, um den Datenschutzanforderungen im Gesundheitssektor gerecht werden zu können. Dies gilt insbesondere im Hinblick auf den Schutz vor Cyberangriffen. Cyberattacken auf Krankenhäuser sind besonders heikel, da bei einem Ausfall auf informationstechnische Strukturen unter Umständen lebensnotwendige Erhaltungsmaßnahmen verwehrt sind. In diesem Beitrag möchten wir einen kurzen Überblick darüber geben, worauf es bei einem erfolgreichen und DSGVO-konformen Datenschutzmanagement im Gesundheitswesen ankommt.

Was sind Gesundheitsdaten?

Dreh- und Angelpunkt für ein Datenschutzmanagement im Gesundheitswesen sind Gesundheitsdaten. Für diesen Begriff enthält die DSGVO eine Definition in Art. 4 Nr. 15 DSGVO. Dort heißt es: „Im Sinne dieser Verordnung bezeichnet der Ausdruck ‚Gesundheitsdaten‘ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen“.

Demnach fallen unter Gesundheitsdaten unter anderem beispielsweise Informationen über Diagnosen, die Medikation von Patient:innen und Ergebnisse von Laboruntersuchungen.

Verarbeitung von Gesundheitsdaten

Gesundheitsdaten dürfen grundsätzlich nicht verarbeitet werden, wie Art. 9 Abs. 1 DSGVO bestimmt. Es gilt ein generelles Verarbeitungsverbot von sensiblen Daten, worunter auch Gesundheitsdaten fallen. Hintergrund dafür ist der hohe Schutzbedarf dieser Daten. In diesem Zusammenhang ist Erwägungsgrund 51 zu sehen. Demzufolge verdienen besonders sensible Daten einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für Grundrechte und Grundfreiheiten auftreten können. Die Erwägungsgründe haben für die Auslegung der DSGVO eine zentrale Bedeutung.

Für den Gesundheitssektor von besonders großer praktischer Bedeutung sind die in Art. 9 Abs. 2 lit. h und i DSGVO geregelten Ausnahmen vom Verarbeitungsverbot. Verarbeitungen sind danach im Rahmen des Erforderlichen zum Zwecke der medizinischen Diagnostik und der Versorgung oder Behandlung im Gesundheitsbereich und für die Verwaltung von Systemen und Diensten im Gesundheitsbereich sowie aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gestattet.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Erarbeitung eines Datenschutzmanagements basierend auf den besonderen Anforderungen des Gesundheitsdatenschutzes

Ein Datenschutzmanagement dient dazu, die gesetzlichen Anforderungen des Datenschutzes strukturiert und systematisch zu organisieren, umzusetzen und zu optimieren. Da die Anforderungen an den Datenschutz im Gesundheitssektor wegen des gesteigerten Schutzbedarfes der Gesundheitsdaten erhöht sind, stellen sich im Gesundheitsbereich besondere Herausforderungen an ein gelungenes Datenschutzmanagement.

Besondere Anforderungen im Gesundheitsbereich

Ganz generell muss jedes Datenschutzmanagement die datenschutzrechtlichen Grundprinzipien (insbesondere gemäß Art. 5 und 25 DSGVO) erfüllen. Demnach muss jede Datenverarbeitung insbesondere einen legitimen Zweck verfolgen und transparent ausgestaltet sein.

Neben den sonstigen allgemeinen Prinzipien wie der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO ergeben sich noch einige Besonderheiten an den Datenschutz im Gesundheitswesen. Beispielsweise müssen im Gesundheitssektor erhöhte Anforderungen an die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen (sogenannte TOM) gem. Art. 32 DSGVO beachtet werden. Im Hinblick auf die Ausgestaltung des Zugriffsrechte- und -rollenkonzepts für Krankenhausinformationssysteme (KIS) ist insbesondere die Orientierungshilfe Krankenhausinformationssysteme der Datenschutzbehörden zu beachten. Die Anforderungen an TOM im Gesundheitsbereich werden im Übrigen darüber hinaus durch explizite spezialgesetzliche Regelungen konkretisiert. Darunter fallen unter anderem besondere Regeln zur Informationssicherheit nach § 75b SGB V (Sozialgesetzbuch fünftes Buch). Mehr Informationen zu den neuen IT-Sicherheitsanforderungen im Gesundheitswesen finden Sie hier auf unserem Blog. In diesem Zusammenhang steht die Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung. Außerdem stellen branchenspezifische Sicherheitsstandards an Krankenhäuser weitere explizite Anforderungen an einen umfassenden Datenschutz. Zudem sind etwa auch im Bereich der klinischen Forschung weitere Anforderungen an die zu implementierenden TOM aus den verschiedenen GxP-Richtlinien zu brachten.

Je nach Vorhaben im Gesundheitssektor kann auch die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) von Bedeutung für das Datenschutzmanagement sein. Diese hat aber in erster Linie nur Bedeutung für digitale Gesundheitsanwendungen, also die sog. „App auf Rezept“, und weniger für medizinische Einrichtungen wie Krankenhäuser.

Erfüllen Sie mühelos die strengen Datenschutzanforderungen im Gesundheitswesen.

Kontaktieren Sie uns jetzt für maßgeschneiderte Lösungen!

Die Datenschutz-Folgenabschätzung (DSFA) – ein Muss?

Zur Erstellung eines angemessenen Datenschutzmanagements müssen in bestimmten Fällen DSFA durchgeführt werden. Eine DSFA besteht in der Regel aus einer Vorprüfung, mit der ermittelt wird, ob eine DSFA überhaupt notwendig ist. Dies ist immer dann der Fall, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Werden sensible Gesundheitsdaten aus Art. 9 Abs. 1 DSGVO für eine umfangreiche Verarbeitung genutzt, wird die Durchführung einer DSFA regelmäßig erforderlich sein (vgl. Art. 35 Abs. 3 lit. b DSGVO). Insbesondere im Gesundheitsbereich wird daher im Hinblick auf die Verarbeitung von Patientendaten gewöhnlich eine DSFA durchzuführen sein, da die Verarbeitung von Gesundheitsdaten typischerweise in umfangreichem Maße erfolgt. Pauschal kann dies allerdings nicht beurteilt werden, vielmehr muss die Erforderlichkeit einer DSFA letzten Endes immer konkret anhand des jeweiligen Einzelfalles geprüft und das Ergebnis dieser Prüfung dokumentiert werden. Auch nach der Positivliste der Datenschutz-Aufsichtsbehörden, die eine Anleitung nach Kriterien und Fallgruppen dazu gibt, wann eine DSFA durchzuführen ist, wird als Indiz für die Erforderlichkeit einer DSFA die umfangreiche Verarbeitung von Gesundheitsdaten genannt – also zum Beispiel bei der Erfassung und Verarbeitung von Gesundheitsdaten durch Sensoren beim Patienten, etwa über Blutzuckermessgeräte oder Sauerstoffmasken (vgl. Nr. 16 der Liste) oder bei Telemedizin-Lösungen wie etwa Videosprechstunden.

Das Kernstück der DSFA bildet dann die Risikobewertung, mit dem Ziel einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge. Das jeweilige Risiko ist nach den Faktoren „Eintrittswahrscheinlichkeit“ und „mögliche Folgen für die betroffene Person“ zu bewerten. Dies kann je nach geplanter Verarbeitung der Gesundheitsdaten sehr unterschiedlich ausfallen. Während die Verarbeitung von Informationen zu Arztterminen wohl geringere datenschutzrechtliche Risiken für die betroffenen Patienten in sich trägt, kann die Verarbeitung eines Röntgenbildes bereits besonders sensible Schlussfolgerungen im Hinblick auf die gesundheitliche Situation des betroffenen Patienten zulassen und damit höhere datenschutzrechtliche Risiken mit sich bringen. Hier ist daher immer auf die konkrete Form der Verarbeitung zu achten und diese zu bewerten.

Nach der Identifizierung und Bewertung von Risiken können dann geeignete TOM bestimmt und implementiert werden, um das datenschutzrechtliche Risiko, das sich aus den Verarbeitungstätigkeiten ergibt, einzudämmen. Hier gelten dann die bereits erwähnten erhöhten Anforderungen an TOM aus den spezifischen Regelungen des Gesundheitssektors. In wenigen Ausnahmefällen soll auch das Feedback der betroffenen Person eingeholt werden, wobei im Gesundheitsbereich beispielsweise an Patientenvertretungen zu denken ist.

Sofern eine DSFA durchgeführt werden muss, sollte hiermit so früh wie möglich in der Phase der Planung und Etablierung neuer Datenverarbeitungsprozesse begonnen werden. Denn so kann die DSFA auch für das Management ein hilfreiches und Effizienz förderndes Tool zur Sicherstellung der Compliance sein, weil sie hilft, bereits in der Entwicklungsphase Datenschutz-Risiken zu identifizieren und so weit wie möglich zu vermeiden bzw. zu reduzieren.

Das könnte Sie auch interessieren:

Verzeichnis von Verarbeitungstätigkeiten (VVT) – Wie ein VVT (nicht) funktioniert

Eine Pflicht aus der DSGVO, die Krankenhäuser und Unternehmen im Gesundheitsbereich auch zur Entwicklung eines Datenschutzmanagements nutzen sollten, ist die Erstellung und laufende Pflege eines VVT (vgl. Art. 30 DSGVO). Im VVT sollen sämtliche Verarbeitungstätigkeiten aufgeführt werden und gewisse Angaben über sie enthalten. Es kann daher als zentrales Referenzdokument verstanden werden und dient der Transparenz nach innen und der Nachprüfbarkeit nach außen von Datenverarbeitungen. Es ist sinnvoll im VVT bereits über die gesetzlichen Angaben hinaus Informationen aufzunehmen, sodass eine Art Dashboard für alle Fragen im Zusammenhang mit dem Datenschutz und der Informationssicherheit entsteht. Daher kann es sinnvoll sein, neben den Angaben aus Art. 30 Abs. 1 Satz 2 lit. a-g DSGVO, also

  • Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten,
  • die Zwecke der Verarbeitung,
  • die Beschreibung und Kategorisierung betroffener Personen und der personenbezogenen Daten,
  • die Kategorien von Empfängern der Daten,
  • gegebenenfalls die Übermittlungen der Daten in ein Drittland,
  • wenn möglich, die vorgesehene Frist für die Löschung der verschiedenen Datenkategorien und eine allgemeine Beschreibung der TOM,

unter anderem folgende Aspekte im VVT mit aufzunehmen, und zwar

  • die Rechtsgrundlagen,
  • das Ergebnis der Schwellwertanalyse zur DSFA, ob eine solche erforderlich ist,
  • die Prozessdokumentation, sowie
  • die Quantifizierung von Verarbeitungstätigkeiten.

Dabei stellen sich jedoch zunächst zwei zentrale Herausforderungen beim Erstellen eines VVT:

  1. Die Identifikation der Verarbeitungstätigkeiten und
  2. Die Pflege und Aktualisierung des VVT.

1. Die Identifikation der Verarbeitungstätigkeiten

Hinsichtlich der Identifikation der Verarbeitungstätigkeit ist bereits die Begriffsbestimmung schwierig. Die DSGVO erläutert zwar den Begriff der Verarbeitung unter Nennung einiger Beispiele wie das Erheben, die Organisation, die Speicherung oder die Verwendung von personenbezogenen Daten. Was unter Tätigkeit in diesem Zusammenhang zu verstehen ist, lässt das Gesetz hingegen offen. Daher wird die Vorschrift zum VVT häufig falsch interpretiert. Zwar ist es richtig, dass Softwaretools zur Identifikation von Verarbeitungstätigkeiten (so zum Beispiel ein Krankenhausinformationssystem) verwendet werden können, jedoch stellen sie selbst nicht die Verarbeitungstätigkeit dar, sondern führen sie unter Umständen nur durch.

Ein weiteres Problem ergibt sich bei der Schwerpunktsetzung und der Anzahl der Verarbeitungstätigkeiten. Gerade in Krankenhäusern, die strukturell vielschichtig aufgebaut sind und neben der medizinischen Behandlung und Pflege von Patient:innen auch eine Verwaltung benötigen, wie etwa eine Personalabteilung, können Verarbeitungstätigkeiten zum Teil schwierig zu bestimmen sein. Für ein Krankenhaus beispielsweise sollte jedoch der Schwerpunkt eines VVT bei der Behandlungs- und Pflegetätigkeit liegen.

Um sich der Problematik der Identifikation der Verarbeitungstätigkeiten, deren Anzahl und deren Schwerpunkt zu stellen, empfiehlt es sich, diesen Gesichtspunkten zumindest anzunähern.

Das heißt, es kann hilfreich sein, zunächst eine ungefähre Zahl von Verarbeitungstätigkeiten pro Abteilung bzw. pro Station festzulegen. In einem Krankenhaus kann eine Zahl ab 100 Datenverarbeitungstätigkeiten realistisch sein.

Zur Ermittlung, ob eine oder mehrere Verarbeitungstätigkeiten vorliegen, können ebenfalls verschiedene Kriterien herangezogen werden. Je mehr der folgenden Kriterien auf mehrere Verarbeitungsschritte zutreffen, desto eher ist von einer einheitlichen Verarbeitungstätigkeit auszugehen. Zu fragen ist daher, ob die jeweiligen Verarbeitungsschritte

  • die gleichen technischen Mittel (z.B. Softwarefunktion, Tool, etc.) nutzen,
  • dieselben Kategorien von Betroffenen betreffen,
  • aufgrund einer gemeinsamen Rechtfertigung erfolgen,
  • im Verantwortungsbereich derselben internen Abteilung liegen,
  • dieselben Kategorien von Empfängern betreffen, und
  • Daten aus derselben Quelle verarbeiten.

Um keine Doppelungen oder Missverständnisse im VVT entstehen zu lassen, ist es sinnvoll eine allgemeine sprachliche Form zur Beschreibung der Verarbeitungstätigkeiten zu wählen. Wenn eine gewisse Datenverarbeitung benannt ist, sollte diese mit einfachen Worten beschrieben werden, sodass auch fachfremde Abteilungen, soweit diese Zugriff haben, den Input nachvollziehen können. Bei der Erstellung des VVT zu den einzelnen Verarbeitungstätigkeiten können sich medizinische Versorgungszentren, Arztpraxen etc. auch an anerkannten Standards orientieren. Dabei kann beispielsweise die ISO 9001 eine Hilfestellung leisten. Für Medizinprodukte wiederum kann ISO 13485:2016 zur Orientierung herangezogen werden.

Daraus ergeben sich folgende Empfehlungen für die Dokumentation von Verarbeitungstätigkeiten in Form eines VVT:

  • Benennen Sie die Verarbeitungstätigkeit so konkret wie möglich.
  • Stellen die den Zweck der Verarbeitungstätigkeit klar.
  • Beschreiben Sie, welche konkreten Tätigkeiten von der Verarbeitung umfasst sein sollen.
  • Legen Sie die zuständige Organisationseinheit fest.
  • Notieren Sie verwendete Mittel einer digitalen Datenverarbeitung.
  • Grenzen Sie die aufgenommene Tätigkeit zu anderen Verarbeitungstätigkeiten ab.

Wenn sich abzeichnet, wie viele und welche Verarbeitungstätigkeiten vorliegen, kann aufgrund dessen eine nicht zu vollgepackte, aber vollständige Liste an Verarbeitungstätigkeiten und damit ein sinnvolles VVT entwickelt werden.

2. Die Pflege und Aktualisierung des VVT

Ein VVT zu unterhalten ist ein Prozess und keine einmalige Angelegenheit. Um auch hinsichtlich der Pflege und Aktualisierung des VVT Herr der Situation zu bleiben, ist es sinnvoll keine statische Dokumentation anzustellen, sondern eine spezielle Datenschutzmanagement-Software zu verwenden, die eine abteilungsübergreifende Zusammenarbeit erlaubt. Dadurch können einzelnen Fachbereichen im Krankenhaus Zugriff auf diejenigen Bereiche im dynamischen VVT gewährt werden, wo diese jeweils sinnvollen Input geben können. Mit einem entsprechenden Rollen- und Rechtekonzept, welches den Zugriff gewisser Standardnutzer für diejenigen Fachbereiche, bei welchen man sinnvollerweise, einen Beitrag leisten kann, ermöglicht, kann das VVT auf dem Laufenden gehalten werden.

Prozess zur Wahrnehmung von Betroffenenrechte

In einem Datenschutzmanagement sollte auch immer ein Prozess zur Wahrnehmung der Betroffenenrechte (Art. 12 ff. DSGVO) enthalten sein. Betroffene haben unter anderem ein Auskunfts- und Widerspruchsrecht, sowie ein Recht auf Löschung. Einen Überblick über die Betroffenenrechte finden Sie hier auf unserem Blog. Im Falle eines Behandlungsvertrages ist darüber hinaus die Vorschrift des § 630g Bürgerliches Gesetzbuch (BGB) zu beachten.

Aufgrund der Besonderheiten des Arbeitsalltags im Gesundheitsbereich kommt es dort häufiger vor, dass datenschutzrechtliche Anliegen von Betroffenen nicht richtig oder nicht zügig genug als solche wahrgenommen und bearbeitet werden. Deswegen sollte es klare Regelungen und eine gute Schulung der Mitarbeiter dazu geben, dass und in welcher Form solche Anliegen der Betroffenen aufgenommen, intern weitergeleitet und bearbeitet werden. Auch für die internen Zuständigkeiten zur Bearbeitung solcher Anliegen wie auch für die Kontrolle der Einhaltung der Antwortfristen sollte es intern klare und gegenüber allen Mitarbeitern kommunizierte Regelungen geben.

Auch bei Löschungsersuchen (vgl. Art. 17 DSGVO) von Betroffenen gelten im Gesundheitswesen Besonderheiten. Grundsätzlich sind Verantwortliche verpflichtet, eine Löschung unverzüglich durchzuführen. Das Recht auf Löschung aus der DSGVO wird jedoch eingeschränkt, soweit Aufbewahrungspflichten entgegenstehen (vgl. Art. 17 Abs. 3 lit. b DSGVO). Gerade im Gesundheitsbereich ist hier eine Vielzahl unterschiedlicher bereichsspezifischer Aufbewahrungspflichten für unterschiedliche Daten zu beachten. So kommt Krankenhäusern gem. § 630f BGB eine Pflicht zur eigenen medizinischen Dokumentation zu. Daher gelten Sonderfristen für die Aufbewahrung von Patientendaten, wie zum Beispiel die in § 630f Abs. 3 BGB geregelte Mindestfrist von 10 Jahren für die Aufbewahrung von Patientendaten nach Abschluss der Behandlung. Für bestimmte Daten, wie etwa Aufzeichnungen über Röntgenbehandlungen, gilt sogar eine Frist von mindestens 30 Jahren. Aufgrund der Vielzahl dieser detaillierten Regelungen ist im Gesundheitsbereich auch besondere Sorgfalt bei der Erstellung von Aufbewahrungs- und Löschkonzepten geboten, die unbedingt in Abstimmung mit dem Datenschutzbeauftragten dokumentiert und implementiert werden sollten.

Management von Datenschutzvorfällen

Häufigster Fall von Datenschutzvorfällen im Gesundheitswesen ist das Versenden von Patientendaten an den falschen Empfänger oder Auskünfte an unautorisierte Personen. Der Grund hierfür liegt meistens in einer mangelnden Sorgfalt oder fehlenden Patienten-Einwilligungen. Auch unzureichende TOM und dadurch mögliche unberechtigte Zugriffe oder fehlende Kontrolle über Zugriffe können schwerwiegende Folgen mit sich bringen. Krankenhäuser ohne Berechtigungskonzepte oder mit fehlerhaften Zugriffsrechtekonzepten riskieren ebenfalls Zugriffe Unbefugter auf sensible Daten, die als Datenschutzvorfälle zu werten sind. Da im Gesundheitsbereich häufig besonders sensible Patientendaten von Datenschutzvorfällen betroffen sind, sind diese aufgrund des hohen Risikos für die betroffenen Patienten in der Regel sowohl gegenüber der Datenschutzbehörde als auch gegenüber den im Einzelfall betroffenen Patienten zu melden (vgl. Art. 33 ff. DSGVO).Ein meldepflichtiger Datenschutzvorfall kann im Gesundheitsbereich im Übrigen gerade auch bei einer Beeinträchtigung der Verfügbarkeit von personenbezogenen Daten vorliegen, etwa wenn kritische medizinische Patientendaten aufgrund eines Cyberangriffes nicht oder auch nur nicht rechtzeitig verfügbar sind und deswegen erforderliche (Not-)Operationen nicht durchgeführt werden können.

Sollte es zu einem meldepflichtigen Datenschutzvorfall kommen, muss dieser innerhalb der 72 Stunden-Frist an die zuständige Datenschutzbehörde gemeldet werden. Andernfalls drohen Sanktionen seitens der Aufsichtsbehörde.

Umso wichtiger ist es, Datenschutzvorfällen vorzubeugen. Dies gelingt insbesondere durch die Implementierung angemessener TOM und einer intensiven Schulung der Mitarbeiter. Letzteres ist gerade im Gesundheitssektor wichtig, da hier aufgrund der Besonderheiten des Arbeitsalltags die Sorgfalt im Umgang mit den Daten von Patienten mitunter auch etwas zu kurz kommen kann.

Näheres zu Meldepflichten bei Datenschutzvorfällen finden Sie hier auf unserem Blog.

Fazit

Ein umfassendes Datenschutzmanagement ist im Gesundheitswesen ein Muss. Gerade beim Umgang mit sensiblen Patienten- bzw. Gesundheitsdaten ist ein Managementsystem, das die Anforderungen an die DSGVO erfüllt, von besonderer Bedeutung. Mit einem ausgefeilten Datenschutzmanagement erleichtern sich Krankenhäuser und sonstige medizinische Einrichtungen die Einhaltung der DSGVO und können den Fokus auf die Behandlungs- und Pflegeleistungen legen – nämlich darauf, worauf es im Krankenhaus gerade ankommt.

Möchten Sie für Ihr Datenschutzmanagement beraten werden oder brauchen Sie Unterstützung bei der Entwicklung eines Datenschutzmanagements, kontaktieren Sie uns gerne! Unsere Expert:innen stehen Ihnen gerne während des Entwicklungsprozesses und für alle Fragen zum Datenschutz zur Verfügung.

Mehr zum Thema

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

    Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

    Weiterlesen

  • Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

    Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.

    Weiterlesen

  • Anonymisierung Pseudonymisierung

    Anonymisierung und Pseudonymisierung in der Praxis

    Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.

    Weiterlesen