The European Data Protection Board (EDPB) has provided a clear guidance on the legal basis for processing personal data when conducting clinical trials. Although the opinion refers specifically to the interaction between the GDPR and the Clinical Trial Regulation (CTR), in this article we summarize the premises applicable for the processing of personal data in […]
Gesundheitsdatenschutz
Gesundheitsdatenschutz
Effiziente Umsetzung der Betroffenenrechte im Gesundheitswesen
Die Betroffenenrechte, unter anderem auch das Auskunftsbegehren nach Art. 15 DSGVO, zählen zu den bedeutungsvollsten Instrumenten der DSGVO und sollten in jedem Fall konform umgesetzt werden. Andernfalls drohen dem Verantwortlichen sogar Bußgelder. Nach Art. 15 DSGVO steht es dem Betroffenen zu, vom Verantwortlichen umfangreiche Auskunft über die Verarbeitung der ihn betreffenden personenbezogenen Daten zu verlangen. […]
Datenschutzrechtliche Anforderungen an die BEM-Akte
Arbeitgeber in Deutschland sind gemäß § 167 Abs. 2 SGB IX dazu verpflichtet, Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, ein sog. Betriebliches Eingliederungsmanagement (BEM) anzubieten. Ziele des BEM- Verfahrens sind die Überwindung der Arbeitsunfähigkeit, die Vorbeugung weiterer Arbeitsunfähigkeitszeiten sowie der Erhalt des Arbeitsplatzes. Das wichtigste Prinzip hierbei […]
#35C3 Ausgewählte Talks vom 35C3 aus (nicht allein) datenschutzrechtlicher Sicht
Es ist mal wieder so weit. Ich versuche mich an einer höchst subjektiven Auswahl an interessanten Talks vom nun mittlerweile 35. Chaos Communication Congress. Dabei habe ich festgestellt, dass es mir nicht nur von Jahr zu Jahr leichter fällt, datenschutzrechtlich relevante Talks auszusuchen, nein, mittlerweile kann ich von dem ein oder anderen interessanten Talk gar […]
Trotz Datenschutzgrundverordnung darf die Kita vieles wissen
Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sind Eltern aber auch Kitas oftmals verunsichert, was erlaubt, was verboten ist und wofür es einer Einwilligung bedarf. Nicht zuletzt der Fall der geschwärzten Gesichter in Erinnerungsalben hat bei vielen den Eindruck erweckt, dass für alles eine Einwilligung einzuholen sei. Doch auch die Erfüllung anderer rechtlicher Verpflichtungen (Art. 6 […]
Portuguese Data Protection Authority Imposes 400,000 € Fine on Hospital
The Barreiro Hospital in Portugal was fined 400,000 € by the Portuguese Data Protection Authority CNPD (Comissão Nacional de Proteção de Dados) for incompliancy with the EU General Data Protection Regulation (GDPR) by not separating access rights to patents’ clinical data. The public sector hospital had granted access to patients’ clinical data via their system […]
Gesundheitsdaten auf dem Smartphone verfügbar
Mit der Markteinführung der Vivy-Gesundheits-App wird im Herbst 2018 ein weiterer Schritt in Richtung Digitalisierung der Gesundheitsdaten gemacht. Mehr als 13,5 Millionen Versicherte aus 14 gesetzlichen (GKV) und 2 privaten Krankenversicherung (PKV) können seit dem 17.09.2018 ihre Gesundheitsdaten kostenlos auf ihrem Smartphone verwalten. Befunde, Laborwerte, Röntgenbilder, Notfalldaten etc. können mit Einwilligung der Versicherten in der […]
Datenschutz in der Arztpraxis
Wie gestern berichtet, hat sich das Unabhängige Landeszentrum für Datenschutz (ULD) über die Anforderungen der Datenschutzgrundverordnung (DSGVO) für Heilberufler geäußert. Neben den Verlautbarungen bzgl. der Informationspflichten nach Art. 13 DSGVO gibt das ULD wertvolle Tipps und Einschätzungen zur Umsetzung der sich aus der DSGVO ergebenen Pflichten ab. Verantwortlicher und Rechtsgrundlage Der Verantwortliche, der Praxisbetreiber, Apotheker […]
Infopflichten in Arztpraxen – Telefonieren nun doch erwünscht!
Vor kurzem haben wir uns mit den Informationspflichten nach Artikel 13 Datenschutzgrundverordnung (DSGVO) befasst und die Absurdität dieser gesetzlichen Regelung für telefonische Erstkontakte an einem fiktiven Beispiel einer Terminvereinbarung in einer Arztpraxis dargestellt. Nun hat sich mit dem Unabhängigen Landeszentrum für Datenschutz (ULD) erstmals eine Datenschutzaufsichtsbehörde zu diesem Thema geäußert. Das ULD geht in seiner […]
Telefonieren unerwünscht – Informationspflichten nach der DSGVO
Nur noch wenige Wochen trennen uns vom 25. Mai 2018, dem Tag, an dem die Datenschutzgrundverordnung, im Folgenden DSGVO, europaweit anzuwenden ist. In vielen Bereichen bestehen zunehmend Unsicherheiten, wie diese rechtskonform anzuwenden ist. Ein Paradebeispiel scheint die Informationspflicht nach Artikel 13 DSGVO zu sein. Nach dieser Regelung ist die betroffene Person bei der (Direkt-)Erhebung von […]
Beschwerdeschreiben in der Patientenakte
Ein Krankenhausaufenthalt ist an sich schon unangenehm. Verläuft die Heilbehandlung dann nicht nach Plan oder jedenfalls nicht nach der Vorstellung des Patienten, ist dies umso unangenehmer. Ebbt auch nach einem zeitlichen Abstand die Unzufriedenheit nicht ab, wird eben diese immer häufiger niedergeschrieben und als Beschwerdebrief der Gesundheitseinrichtung zugesandt. Wohin mit dem Brief? Beinhaltet der Brief […]
Übermittlung von Organspenderdaten
Der Bedarf an Organspendern ist enorm. Nicht zuletzt wegen verschiedener Unregelmäßigkeiten bei der Vergabe verfügbarer Organe in der Vergangenheit, verhalten sich viele potentielle Spender zurückhaltend. Auch eine entsprechende Gesetzesänderung konnte keine signifikante Verbesserung schaffen. Von gesteigertem Interesse sind nicht zuletzt die Organe Verstorbener. Über deren Verwendung müssen oftmals dann die Angehörigen entscheiden. Was hat das […]
Wearables: Klage der Verbraucherzentrale gegen einen großen Anbieter wegen datenschutzrechtlicher Verstöße
Wir begleiten die Verarbeitung personenbezogener Daten durch Wearables bereits seit einiger Zeit [1]. Die Verbraucherzentrale NRW hatte auch auf Grundlage einer bei der datenschutz nord GmbH beauftragten technischen Analyse sowie einer datenschutzrechtlichen Untersuchung zum Datensendungsverhalten von zwölf Wearables und 24 Fitness-Apps Abmahnungen gegen mehrere Anbieter ausgesprochen. Die Ergebnisse der Untersuchung [2] wurden im April 2017 […]
Gesichtserkennung in der Apotheke
Bayer Austria hatte zwei österreichische Apotheken mit Gesichtsscannern ausgestattet. Die Gesichtsscanner können das ungefähre Alter und das Geschlecht einer Person erkennen und dieser auf den zugehörigen Werbedisplays zielgruppenrelevante Werbung anzeigen. Nach Auskunft von Bayer laufen die Erkennungsalgorithmen ausschließlich lokal auf dem Gerät und in Echtzeit. Das System generiere in Sekundenbruchteilen einen Hashwert und die Bilddaten […]
150.000 DDR-Patientenakten entdeckt – Mängel bei Archivierung und Vernichtung?
In einem ehemaligen Lehrlingswohnheim in Gera entdeckte die Thüringer Polizei nach einem Brand Anfang Oktober etwa 150. 000 Akten mit wohlmöglich hochsensiblen Patientendaten. Nach Angaben der Stadt Gera sei das Gebäude entgegen der Aussagen der Ermittlungsbehörden nicht leerstehend, sondern befände sich in regulärer städtischer Bewirtschaftung. Bei den Unterlagen handele es sich um Patientenunterlagen, die überwiegend aus […]