Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
21. November 2024

Auftragsverarbeitung von Patientendaten

DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks
0,00 (0)
drucken
Externe Dienstleistungen für Krankenhäuser
Eine gesetzliche Neuregelung in Bayern lenkt den Blick darauf, welche Besonderheiten die Auftragsverarbeitung von Patientendaten aus Krankenhäusern aufweist. Aus Anlass der Neuregelung ist eine Arbeitshilfe für technische und organisatorische Maßnahmen entstanden, die auf Besonderheiten bei der Verarbeitung von Patientendaten eingeht.
Die generelle Regelung über die Auftragsverarbeitung in Art. 28 Datenschutz-Grundverordnung (DSGVO) sieht bei der Auftragsverarbeitung von Gesundheitsdaten allgemein und von Patientendaten insbesondere keine ausdrücklichen Beschränkungen vor. Solche Daten im Auftrag zu verarbeiten, ist somit prinzipiell rechtlich zulässig.

Nationale Spielräume dank DSGVO

Die Regelung von Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) erlaubt in ungewöhnlich umfangreicher Weise, die Verarbeitung von Gesundheitsdaten eigenständig zu beschränken. Art. 9 Abs. 4 DSGVO lautet: „Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von (…) Gesundheitsdaten betroffen ist.“

Ausgangslage: Verbot der Auftragsverarbeitung

Vor dem 01.06.2022 enthielt das Bayerische Krankenhausgesetz (BayKrG) folgende Regelung: „Zur Verarbeitung oder Mikroverfilmung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, darf sich das Krankenhaus jedoch nur anderer Krankenhäuser bedienen“ (Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz – inzwischen aufgehoben). Diese Regelung verbot im Ergebnis die Verarbeitung medizinischer Daten von Krankenhauspatienten durch externe Dienstleister. Einzige Ausnahme hiervon war das Verarbeiten solcher Daten durch andere Krankenhäuser. Diese Ausnahme erlangte in der Praxis keine Bedeutung. Krankenhäuser, die entsprechende Dienstleistungen anbieten, gibt es nämlich so…

Dr. Eugen Ehmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Checklisten
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
12. November 2024
DP+
Unternehmen in ihrer Rolle als datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO) dürfen nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien bieten, dass sie geeignete technische und organisatorische Maßnahmen zum Datenschutz (TOMs, Art. 32 DSGVO) umsetzen
Bild: iStock.com/Galeanu Mihai

Auditierung von Auftragsverarbeitern

Praxisbericht
Checklisten Tätigkeitsberichte
11. November 2024

Download Checkliste: Berechtigungskonzept

Downloads
Checklisten
07. November 2024
DP+
Die Aufsichtsbehörden für Datenschutz nehmen auch KI in den Fokus. Stellen Sie sich heute schon auf die Kontrollkriterien ein.
Bild: iStock.com/pressureUA

Prüfanforderungen an künstliche Intelligenz – eine Checkliste

Praxisbericht
Checklisten Drittland KI
04. November 2024
DP+
Spezialisierte Security-Lösungen wie ein Cloud Access Security Broker (CASB) dienen dazu, Cloud-Sicherheitsrisiken zu mindern. DSB sollten wissen, welche Risiken dies aus Datenschutzsicht birgt.
Bild: iStock.com/rikirennes

Weniger Cloud-Risiken, dafür mehr Datenrisiken?

Ratgeber
Checklisten Drittland Homeoffice
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.