Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ nach der englischen Bezeichnung für die gemeinsame Verantwortlichkeit, oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben. Dies gilt insbesondere im Gesundheitsbereich in vielen Konstellationen (wie z.B. bei der Verarbeitung der Daten von Teilnehmern klinischer Studien oder auch bei telemedizinischen Leistungen), da hier vielfach besondere Anforderungen an die Art und Weise der Datenverarbeitung und die diesbezüglichen technisch-organisatorischen Maßnahmen (wie insbesondere die Verwendung von Verschlüsselungsmechanismen, elektronischen Signaturen und Quittierungsverfahren) bestehen können. So kann es zum Beispiel im Rahmen von klinischen Studien besonders wichtig sein, sich mit den übrigen verantwortlichen Stakeholdern in Form eines JCA darüber zu verständigen, welche Partei im Fall von Auskunfts- oder Löschungsverlangen der Patientinnen und Patienten, bei Einwilligungswiderrufen oder im Fall von Datenpannen welche konkreten Aufgaben, Zuständigkeiten, Informations- und Mitwirkungspflichten haben soll.
Davon abgesehen besteht im Übrigen eine Pflicht zum Abschluss eines JCA, wenn eine gemeinsame Verantwortlichkeit in der Praxis vorliegt – ohne ein JCA drohen Bußgelder.
Wir zeigen Ihnen in diesem Beitrag anhand einiger Beispiele aus dem Gesundheitsbereich, was unter der gemeinsamen Verantwortlichkeit zu verstehen ist, welche Regelungen im Joint Controller Agreement getroffen werden müssen und wie ein JCA für verantwortliche Unternehmen sinnvoll und gewinnbringend ausgestaltet werden kann.
Wann liegt ein Joint Controllership vor?
Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO liegt nicht erst vor, wenn Akteure sie vertraglich vereinbaren, sondern bereits dann, wenn ihre Voraussetzungen in der Praxis tatsächlich gegeben sind. Damit gelten auch die spezifischen datenschutzrechtlichen Vorgaben, weshalb Unternehmen immer prüfen sollten, ob es sich bei ihrer konkreten Konstellation um eine gemeinsame Verantwortlichkeit gemäß DSGVO handeln könnte.
Anders als im Rahmen einer Auftragsverarbeitung, bei welcher der Auftragsverarbeiter gegenüber dem Verantwortlichen weisungsgebunden ist, sind bei der gemeinsamen Verantwortlichkeit zwei oder mehr Verantwortliche an der Datenverarbeitung beteiligt. In Abgrenzung zur getrennten Verantwortlichkeit müssen diese zudem die Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen. Dies ergibt sich aus dem Gesetzeswortlaut von Art. 26 DSGVO, welcher diese gemeinsame Festlegung zur entscheidenden Eigenschaft der gemeinsamen Verantwortlichkeit macht. Für die Beurteilung, wann eine solche gemeinsame Festlegung vorliegt, gibt es keine festen Kriterien. Den aktuellen Leitlinien des Europäischen Datenschutzausschusses (EDSA) zufolge ist sie aber dann gegeben, wenn mehr als eine Stelle einen entscheidenden Einfluss auf das „Ob“ und „Wie“ einer Datenverarbeitung ausübt. Hierbei können einige Anhaltspunkte und Indizien für die eine oder die andere Konstellation herangezogen werden, die vor allem vom Europäischen Gerichtshof (EuGH) in einigen Urteilen benannt worden sind. So setzten die europäischen Richter und Richterinnen keine gleichmäßig verteilte Entscheidungsgewalt voraus. Eine gemeinsame Verantwortlichkeit kann auch dann vorliegen, wenn jede Stelle ihre eigenen Zwecke verfolgt oder nicht jeder Verantwortliche in gleichem Umfang oder überhaupt Zugriff auf die Daten hat. Es reicht unter Umständen sogar aus, wenn eine Stelle nur mitursächlich für die Datenverarbeitung ist. Der Begriff der gemeinsamen Verantwortlichkeit ist demnach sehr weit zu verstehen. Eher von einer getrennten Verantwortlichkeit ist beispielsweise dann auszugehen, wenn die Zwecke der Akteure keinerlei Zusammenhang aufweisen und der Zweck des einen auch ohne die Beteiligung des anderen gut erreicht werden kann.
Die Identifizierung der gemeinsamen Verantwortlichkeit und ihre Abgrenzung zur Auftragsverarbeitung ist praktisch bedeutsam, da die DSGVO unterschiedliche Anforderungen in Hinblick auf die jeweils abzuschließenden Verträge enthält. Zudem bedarf es zur Rechtfertigung der Datenübermittlung zwischen gemeinsam Verantwortlichen – anders als bei der Auftragsverarbeitung – stets eines Erlaubnistatbestandes. Es ist in der Praxis also sinnvoll, sich mit dem Thema frühzeitig zu beschäftigen. Im Gesundheitsbereich sollte vor allem im Bereich klinischer Studien (hierzu auch die EDSA-Leitlinien, Rn. 68), der Telemedizin, bei der Nutzung eines gemeinsamen Datenpools oder der gemeinsamen Nutzung von Gesundheitsdaten in einem Konzern an die gemeinsame Verantwortlichkeit gedacht werden. Auch kann datenschutzrechtlich eine gemeinsame Verantwortlichkeit zum Beispiel im Fall besonderer, neuer Versorgungsformen vorliegen, bei denen die Zusammenarbeit bzw. Involvierung mehrerer Stakeholder aus verschiedenen Bereichen erforderlich oder gar vorgeschrieben ist (wie zum Beispiel bei der wissenschaftlichen Begleitung von neuen Versorgungsformen gemäß § 92a Abs. 1 SGB V).
Sie haben tiefergehende Fragestellungen zu Joint Controller Agreements?
Was folgt aus dem Joint Controller Agreement?
Im Falle einer gemeinsamen Verantwortlichkeit muss zwischen den Akteuren das Joint Controller Agreement abgeschlossen werden. Darüber hinaus müssen die betroffenen Personen über die wesentlichen Punkte der Vereinbarung informiert werden, wozu insbesondere die Verteilung der Zuständigkeiten gehört. Schließlich kann die gemeinsame Verantwortlichkeit bei Rechtsverletzungen von Betroffenen eine gesamtschuldnerische Haftung der beteiligten Verantwortlichen zur Folge haben, wenn aufgrund von Datenschutzverstößen Geldbußen verhängt oder Schadensersatzansprüche geltend gemacht werden. Das bedeutet, dass Betroffene nach Art. 26 Abs. 3 DSGVO grundsätzlich einen der gemeinsam Verantwortlichen für den gesamten Schaden in Anspruch nehmen können. Der Ausgleich im Innenverhältnis ist den Verantwortlichen untereinander überlassen. Das JCA nimmt hier eine Beweissicherungs- und Zurechnungsfunktion ein. Es erleichtert die Zuweisung von Verantwortungen für bestimmte Schäden. Durch sie können Verantwortlichkeiten für bestimmte Schäden klar zugewiesen und geltend gemacht werden. Damit dient das JCA auch einem erleichterten Haftungsausgleich zwischen den beteiligten Akteuren.
Zudem ist es für Verantwortliche wichtig zu beachten, dass die Vereinbarung eine gemeinsame Verantwortlichkeit nicht als alleinige Rechtsgrundlage für Datenverarbeitungen herangezogen werden sollte. Auch wenn es Stimmen gibt, die das Joint Controller Agreement als Rechtsgrundlage befürworten, vertritt die überwiegende Mehrheit einschließlich der Aufsichtsbehörden eine andere Ansicht. In der Praxis sollte daher auf die allgemeinen Rechtsgrundlagen nach Art. 6 und 9 DSGVO sowie etwaige spezialgesetzliche Rechtsgrundlagen zurückgegriffen werden.
Das könnte Sie auch interessieren:
- Voraussetzungen und Haftungsfragen im Rahmen der Auftragsverarbeitung
- Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Welche Inhalte gehören in das Joint Controller Agreement?
Sobald eine gemeinsame Verantwortlichkeit vorliegt, sollten sich verantwortliche Unternehmen um den Abschluss eines vollständigen Joint Controller Agreements bemühen, um keine Rechtsverletzungen und Bußgelder zu riskieren. Es kann als gute Möglichkeit genutzt werden, um klare Regelungen zur Zusammenarbeit zwischen den beteiligten Verantwortlichen zu schaffen. Denn bei Herausforderungen wie der Bearbeitung von Datenschutzvorfällen oder Betroffenenanfragen können die Vereinbarungen beim schnellen und rechtskonformen Umgang helfen. Für das Joint Controller Agreement gibt es einige Inhalte, die verpflichtend aufgenommen werden müssen, und einige, deren Regelung freiwillig, aber häufig sinnvoll ist.
Zwingende Inhalte
In jedem Fall müssen die Zwecke und Mittel der Verarbeitung in der Vereinbarung mit enthalten sein. Genauso wie die Beschreibung der wesentlichen Funktionen und Rollen der gemeinsamen Verantwortlichen, etwa welche Stelle im Krankenhaus den Kontakt zu den Patienten pflegt oder welche der beteiligten Stakeholder im Rahmen von klinischen Studien als Kontakt gegenüber den teilnehmenden Patienten für die Geltendmachung von deren datenschutzrechtlichen Ansprüchen oder für die Erklärung von Einwilligungswiderrufen fungieren soll. Auch die interne Zuständigkeitsverteilung muss im Joint Controller Agreement geregelt werden, also insbesondere die Frage, wer die Informationspflichten erfüllt, Einwilligungen einholt, Einwilligungswiderrufe umsetzt und beantwortet etc. Wichtig ist, dass darüber hinaus die weiteren Betroffenenrechte (vor allem auf Auskunft, Berichtigung, Einschränkung der Datenverarbeitung und Datenportabilität) klaren Zuständigkeiten unterliegen. Beispielsweise wird im Rahmen klinischer Studien meist nicht mit den Daten im Klartext, sondern mit pseudonymisierten Datensätzen gearbeitet. Hier ist nur die Stelle, die das Pseudonymisierungs-Management betreibt und die Pseudonymisierung wieder auflösen kann, in der Lage, die Datensätze einer konkreten Person zuzuordnen und damit die Betroffenenrechte zu erfüllen. In solchen Konstellationen kann es daher sinnvoll sein, genaue Regelungen zur Zuständigkeit und Zusammenarbeit zu treffen. Diese sind auch mit Blick auf die geltenden Fristen, etwa von 72 Stunden für die Meldung von Datenschutzvorfällen an die Aufsichtsbehörde, hilfreich. Im Gesundheitsbereich kommt wegen der verarbeiteten sensiblen Gesundheitsdaten in der Regel die Meldepflicht gegenüber den betroffenen Personen hinzu, die unverzüglich zu erfolgen hat.
Sinnvolle Inhalte
Sinnvoll ist es vor allem, Gegenstand, Art und Umfang der Datenverarbeitungen noch einmal genauer und konkreter zu beschreiben. Für Unternehmen ist die Regelung in der Praxis empfehlenswert, um Datenschutzvorfälle und die betroffenen Daten schnell und vollständig identifizieren zu können. Eine solche Regelung sollte sicherstellen, dass in der Praxis möglichst schnell und zweifelsfrei eruiert werden kann, ob ein bestimmtes Datum vom Bereich der gemeinsamen Verantwortlichkeit erfasst ist oder nicht. Dies ist zum Beispiel dann wichtig und sehr praxisrelevant, wenn es im Hinblick auf konkrete und auf bestimmten Systemen verarbeiteten Daten zu einem Datenschutzvorfall (etwa durch einen Hacking-Angriff) gekommen ist und die Beteiligten nun innerhalb der Meldefrist von 72 Stunden möglichst schnell und sicher feststellen müssen, ob im Hinblick auf den Vorfall eine gemeinsame Verantwortlichkeit besteht und damit die Regelungen des JCA im Hinblick auf bestimmte Zuständigkeiten und Prozesse Anwendung finden oder eben nicht.
Darüber hinaus kann auch eine gemeinsame Anlaufstelle vereinbart werden. Dies kann hilfreich sein, um zu vermeiden, dass solche an einer Datenverarbeitung beteiligte Stellen mit der Bearbeitung von Datenschutzvorfällen und Betroffenenanfragen konfrontiert werden, die sie unter Umständen gar nicht bearbeiten können, weil ihnen bestimmte hierfür erforderliche Informationen fehlen. Dies kann zum Beispiel im Rahmen von klinischen Studien der Fall sein, wenn betroffene Studienteilnehmer und -teilnehmerinnen sich mit Einwilligungswiderrufen oder Auskunftsbegehren an den Sponsor oder die Clinical Research Organisation selbst richten, die aufgrund der Pseudonymisierung der Daten ggf. gar nicht in der Lage sind, die Daten einem/einer namentlich bekannten Studienteilnehmer/-teilnehmerin zuzuordnen. Die Benennung einer geeigneten gemeinsamen Anlaufstelle wird von der EDSA empfohlen (Leitlinien, Rn. 184) und kann helfen, die betroffenen Personen im Hinblick auf ihre jeweiligen Anliegen direkt an denjenigen gemeinsamen Verantwortlichen zu leiten, der auch zur Bearbeitung der Anfrage am ehesten geeignet ist. So können unnötiger Arbeitsaufwand von den übrigen beteiligten Verantwortlichen ferngehalten und die diesbezüglichen Prozesse möglichst ökonomisch und effizient gestaltet und festgelegt werden.
Des Weiteren ist es hilfreich, gemeinsame technische Standards und technische und organisatorische Maßnahmen (TOM) festzulegen. Besonders bei der Übermittlung von Gesundheits- und Patientendaten sowie in der Telemedizin sind sichere Maßnahmen notwendig, um die Daten vor unbefugtem Zugriff und Veränderung zu schützen und sicherzustellen, dass nur der richtige Empfänger sie erhält. Das ist nicht nur aus rein datenschutzrechtlichen Gründen wichtig; sondern anderenfalls besteht beispielsweise im Rahmen einer Behandlung die Gefahr, dass diese mit den Daten des falschen Patienten erfolgt und so eine direkte Gesundheitsgefährdung für den bzw. die betroffenen Patienten entsteht.
Eine im Bereich der Forschung im Gesundheitsbereich (insbesondere der klinischen Forschung) wichtige und äußerst praxisrelevante Frage ist, ob und inwieweit die einmal gesammelten Daten später für andere Forschungsvorhaben oder Auswertungen verwertet werden können, die zwar mit dem ursprünglichen Forschungsvorhaben im Zusammenhang stehen, aber zum Zeitpunkt des Beginns der Studie noch nicht konkret geplant oder gar absehbar waren. Um eine Datenverarbeitung für solche wissenschaftlichen Sekundärzwecke (im Rahmen des datenschutzrechtlich Zulässigen) zu ermöglichen, ist es für alle beteiligten gemeinsam Verantwortlichen wichtig, schon zum Zeitpunkt des Beginns der Studie die Patienteneinwilligungen (sog. „Broad Consent“) und die Patienteninformationen entsprechend zu gestalten. Ein entsprechend großes Interesse hieran haben aber oftmals gerade die Stellen (wie der Sponsor oder die CRO), die keinen direkten Kontakt zu den betroffenen Patienten/Patientinnen bzw. Studienteilnehmern/-teilnehmerinnen haben und die nicht für die Einholung der Patienteneinwilligungen zuständig sind. Aus diesem Grund wird es für diese Stellen entsprechend wichtig sein, den genauen Wortlaut der Einwilligungen und Patienteninformationen mit den für deren Einholung zuständigen Prüfzentren verbindlich abzustimmen. Dies kann sinnvollerweise gerade auch in Form eines JCA geschehen.
Weitere Punkte, deren Vereinbarung im Rahmen des JCA sinnvoll sein kann, sind zum Beispiel die Durchführung von Datenschutz-Folgenabschätzungen, der Einsatz von Auftragsverarbeitern, Kosten– und Haftungsfragen sowie die Verarbeitung von Daten in Drittstaaten. Letzteres ist datenschutzrechtlich ohnehin mit hohen Anforderungen verbunden, ganz besonders im Gesundheitsbereich. Wenn Verarbeitungen außerhalb der EU geplant sind, sollten diese genau im Joint Controller Agreement geregelt sein.
Welche Herausforderungen ergeben sich bei den Betroffenenrechten?
Wie bereits erwähnt, sind die Informationspflichten datenschutzrechtlich zentral für die betroffenen Personen. Die Information muss nach den Vorgaben des Art. 12 DSGVO erfolgen, vor allem ist sie vollständig und in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Für den Gesundheitsbereich müssen zusätzlich bereichsspezifische Vorschriften wie § 40 Abs. 2 und 2a des Arzneimittelgesetzes (AMG) für klinische Prüfungen beachtet werden. Verantwortliche müssen zudem die erforderlichen Einwilligungen in die Datenverarbeitungen sowie gegebenenfalls Schweigepflichtentbindungen einholen. Auch hier können Spezialnormen wie § 40 Abs. 1 Nr. 3 lit. b, c AMG relevant sein. Die betroffenen Personen können in diesem Zusammenhang ihre Einwilligung jederzeit widerrufen oder gegen bestimmte Datenverarbeitungen einen Widerspruch einlegen; beides sollte schnell und vollständig umgesetzt werden. Weitere Betroffenenrechte der DSGVO sind das Recht auf Auskunft (Art. 15), auf Berichtigung und Vervollständigung (Art. 16), auf Löschung (Art. 17), auf Einschränkung der Verarbeitung (Art. 18) und auf Datenübertragbarkeit (Art. 20).
Für Verantwortliche liegen die Herausforderungen vor allem in der Einhaltung der teilweise sehr kurzen Fristen und im Umstand, dass betroffene Personen sich an jeden Verantwortlichen wenden können. Letzteres gilt unabhängig von den Regelungen des Joint Controller Agreements: Die verantwortliche Stelle, an die eine betroffene Person sich gewandt hat, ist für die schnelle und vollständige Bearbeitung der Anfrage zuständig. Nicht zuletzt deshalb empfiehlt sich die Implementierung der zentralen Anlaufstelle, sodass zumindest faktisch Beteiligte mit ihren Anfragen möglichst der für die initiale Bearbeitung und Beantwortung geeignetste Stelle (bei klinischen Studien etwa das jeweilige Prüfzentrum) geleitet werden können.
Hierbei sollte beachtet werden, dass bei jeder Nichterfüllung der Betroffenenrechte die Möglichkeit von Bußgeldern besteht und betroffene Personen sich mit Beschwerden an die Aufsichtsbehörden wenden können. Weitere Herausforderungen sind die Festlegung der Prozesse und klarer Zuständigkeiten zwischen den Partnern sowie die Implementierung technischer Möglichkeiten: Die Zuständigkeiten und Prozesse zur Bearbeitung von Betroffenenanfragen sollte möglichst an dem bestehenden Management der Pseudonymisierung orientiert werden, Systeme sollten anhand von Klardaten und Pseudonymen durchsucht werden können. Des Weiteren müssen Daten effektiv gelöscht werden können, wofür Regellöschfristen definiert und die betroffenen Datensätze festgelegt werden müssen. Hierbei sollten die gesetzlichen Aufbewahrungsfristen zugrunde gelegt werden, die für die an der Datenverarbeitung beteiligten Stakeholder bestehen und die gerade im Gesundheitsbereich sehr zahlreich und vielfältig sind. Zudem müssen Daten aus den verwendeten Systemen heraus exportierbar sein und die Zuständigkeitsverteilung sollte sich in geeigneten Zugriffsberechtigungskonzepten und der Möglichkeit der Datensperrung für bestimmte Datenverarbeitungen widerspiegeln.
Welche technischen Anforderungen werden an die Datenverarbeitung gestellt?
Für die technischen Anforderungen maßgeblich ist die Regelung des Art. 32 DSGVO. Demnach müssen Verantwortliche die Sicherheit der Datenverarbeitungen gewährleisten. Dazu müssen angemessene Schutzmaßnahmen nach dem aktuellen Stand der Technik ergriffen werden. Auf Gesundheitsdaten und Datenübermittlungen sollte aufgrund des erhöhten Risikos ein besonderes Augenmerk gerichtet werden. Auch insofern gilt, dass hier gerade im Gesundheitsbereich oft besondere bereichsspezifische Vorgaben gelten und berücksichtigt werden müssen. Auch Verstöße gegen die Sicherheit der Datenverarbeitungen können mit Bußgeldern geahndet werden. Mit den technischen Sicherheitsanforderungen sollten insbesondere folgende Ziele sichergestellt werden können:
- Vertraulichkeit der Daten (etwa durch Verschlüsselung)
- Integrität der Daten, d. h. der Schutz vor unerkannter Veränderung (durch Kontrolle und Revision)
- Authentizität und Verfügbarkeit der Daten
- Validität der Daten
- Interoperabilität
Um die technische Sicherheit im Rahmen der gemeinsamen Verantwortlichkeit gewährleisten zu können, ist eine enge Abstimmung mit den anderen an einer Datenverarbeitung beteiligten gemeinsam Verantwortlichen erforderlich. Es empfiehlt sich daher, auch hierfür Regelungen im Joint Controller Agreement zu treffen.
Verteilung der Verantwortlichkeiten
Zur Frage, wie die Verantwortlichkeiten zu verteilen sind, hat der EuGH in seiner Rechtsprechung hervorgehoben, dass eine gemeinsame Verantwortlichkeit nicht automatisch auch eine gleichwertige Verantwortlichkeit der beteiligten Akteure bedeuten muss. Stattdessen könnten diese „in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein“ (Urt. v. 05.06.2018 – C-210/16). Dabei sei „der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen“. Dem EuGH zufolge trage eine Stelle die Verantwortung nur für den Vorgang oder die Vorgänge einer Datenverarbeitung, für den bzw. die sie auch über entsprechende Zwecke und Mittel entscheidet. Auch nach dem EDSA gehe es darum, datenschutzrechtliche Verpflichtungen bei gemeinsamer Verantwortlichkeit den tatsächlichen Gegebenheiten entsprechend zuzuweisen. Solange die gemeinsam Verantwortlichen die Einhaltung der DSGVO im Datenverarbeitungsprozess sicherstellten, gäbe es eine gewisse Flexibilität hinsichtlich der Aufteilung von Verpflichtungen. Maßgeblich sei, welcher der Verantwortlichen in der Lage ist, den entsprechenden Verpflichtungen nachzukommen.
Form der Vereinbarung
Die Verpflichtungen der Verantwortlichen müssen transparent niedergelegt werden, Art. 26 Abs. 1 S. 2 DSGVO. Die Norm enthält keine ausdrückliche Vorgabe an die Form der Vereinbarung (so zuletzt auch AG Mannheim, Urt. v. 11.09.2019 – 5 C 1733/19 WEG). Aufgrund der Transparenzpflicht und drohender Bußgelder ist es allerdings empfehlenswert, die Vereinbarung schriftlich oder elektronisch festzuhalten. Auch die EDSA-Leitlinien legen dies aus Gründen der Rechtssicherheit, und um Transparenz und Verantwortung zu zeigen, nahe (Leitlinien, Rn. 173). Ohnehin setzt die Pflicht der Bereitstellung des Inhalts an den Betroffenen die Möglichkeit einer dauerhaften Fixierung voraus und erfordert damit mehr als eine mündliche Überlieferung. Dabei reicht es aus, wenn die Information auf einer Webseite abgerufen werden kann (zu anderen Möglichkeiten der Zurverfügungsstellung, Leitlinine, Rn. 181).
Joint Controller Agreement – Fazit
Das Joint Controller Agreement ist für verantwortliche Unternehmen nicht nur eine zusätzliche datenschutzrechtliche Verpflichtung, sondern kann ein gutes Instrument für eine klar geregelte und koordinierte Zusammenarbeit mehrerer verantwortlicher Stellen sein. Die vielen datenschutzrechtlichen Vorgaben können schneller und einfacher umgesetzt werden, es können Klarheit in der Zusammenarbeit geschaffen sowie nachträglicher Aufwand und Bußgelder vermieden werden.
-
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
-
Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?
Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
-
Anonymisierung und Pseudonymisierung in der Praxis
Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.