Datensicherung und Datenschutz

Warum Datenschutz? Weil…

Fallbeispiel:

… Ihre Kunden Datenschutz erwarten.

… Datenschutz ein Grundrecht aller Menschen ist  Es besteht der Verdacht auf MS. Im Rahmen einer Focussuche zur … Datenschutz ein wichtiger Bestandteil des Qualitätsmanagements ist … Datenschutz zur Förderung des Ansehens der Unternehmens führt … Datenschutz gesetzlich gefordert ist  Ihr Bekannter bekommt den Job nicht.  Und er erfährt zufällig, warum er die Stelle nicht bekommen hat.

Abgrenzung der Begriffe

Datensicherung

umfasst alle Maßnahmen zur Verhinderung der unerwünchten Veränderung oder Löschung von Daten.

Datenschutz

umfasst alle Gesetze zur Regelung des Umgangs mit personenbe- zogenen Daten.

Formen der Datensicherung

Datensicherung Hardwarebereich Softwarebereich

gegen Umwelteinflüsse (z.B. Staub, Wasser Hitze) gegen Diebstahl, Einbruch Un unberechtigter Zugang durch Ausweiskontrollen Eingabe von falschen Daten durch Prüfnummernverfahren und Plausibilitätskontrollen gegen Übertragungsfehler zwischen Zentraleinheit und Peripheriegeräten durch Prüfbitverfahren Löschung und Überschreibung von Daten durch Doppelspeicherung und Backup´s gegen unberechtigten Zugrif druch Passwörter

organisatorischer Bereich

Backup-Techniken z.B.: Großvater-Vater-Sohn-Prinzip Kopiervorgängen zum Anlegen von Sicherheitskopien

Datenschutz

Definition

„Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen PERSONENBEZOGENEN Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“

BundesDatenSchutzGesetz - BDSG §1(1)

Personenbezogene Daten

• Einzelangaben: Dieses sind z.B. Angaben zum Namen und Adresse, Einkommen, Gesundheitszustand einer bestimmten oder bestimmbaren Person. Auch zusammengefasste Angaben zu Gruppen von Personen, die den Rückschluss auf eine Einzelperson ermöglichen, sind als personenbezogen Daten anzusehen. • Persönliche oder sachliche Verhältnisse: Dieses sind Angaben zum Beruf, der Konfession, zu Krankheiten, aber auch bestimmte Merkmale ("Person ist Eigentümer von"). • Bestimmte oder bestimmbare Person: Eine Person ist bestimmt oder bestimmbar, wenn Ihre Identität durch Einzelangaben eindeutig festgestellt werden kann bzw. daraus der Schluss gezogen werden kann, dass die vorliegenden Daten nur eine bestimmte Person betreffen können. Beispiel: IP-Adresse eines PC oder die Durchwahlnummer der Nebenstelle einer Telefonanlage verbunden mit der Zeitangabe in einem Protokoll, dann ist es leicht möglich herauszufinden, welche Person zu welchem Zeitpunkt das entsprechende Gerät genutzt hat.

Details zum Datenschutz

• Welche Daten unterliegen dem Datenschutz?

Einzelangaben über persönliche und sächliche Verhältnisse von Betroffenen. BDSG §3(1)

• Wer ist Betroffener?

Bestimmte oder bestimmbare natürliche Personen. BDSG §3(1)

• Welche Vorgänge unterliegen dem Datenschutz?

Jede Form der DV (Speicherung, Übermittlung, Veränderung, Löschung von Daten) BDSG §3(9)

Maßnahmen zum Datenschutz lt. BDSG

• Zutrittskontrolle (räumlicher Zutritt DV-Anlagen) • Zugangskontrolle (Einloggen in DV-Anlage) • Zugriffskontrolle (Lesen, Kopieren, Verändern oder Entfernen von Daten) • Weitergabekontrolle (bei der Datenübermittlung) • Eingabekontrolle (Feststellung, wer Daten verarbeitet hat) • Auftragskontrolle (DV im Auftrag, z. B. Abrechnungszentrum) • Verfügbarkeitskontrolle (Schutz vor Zerstörung) • Trennungsgebot (zu unterschiedlichem Zweck gehaltene Daten müssen getrennt verarbeitet werden)

Verbot mit Erlaubnisvorbehalt

Das BDSG formuliert ein Verbot mit Erlaubnisvorbehalt: DV ist grundsätzlich verboten, es sei denn...

der Betroffene gibt sein schriftliches Einverständnis.

es ist per Gesetz ausdrücklich erlaubt. (Verkehrszentralregister, Melderegister, Bundeszentralregister, gesamter Sicherheitsbereich)

Rechte des Betroffenen

• Benachrichtigung

(bei erstmaliger Speicherung der Daten)

• Auskunft

(jederzeit über alle Daten; Ausnahme: öffentliche Stellen)

• Berichtigung

(aller falschen Daten; Beweislast hat Betroffener)

• Sperrung

(wenn die Richtigkeit der Daten bestritten wird; gesperrte Daten dürfen nicht weiterverarbeitet werden)

• Löschung

(bei unzulässigen Daten)

Folgen

• Geldbuße: bis 25.000 Euro bei Verstößen gegen das Datenschutzgesetz • Bis 250.000 Euro, wenn wissentlich begangen oder in Kauf genommen und Absicht der Bereicherung vorliegt • Freiheitsstrafe bei Verletzungen des Datengeheimnisses bei Ärzten, Apothekern, Rechtsanwälten und Steuerberatern

Datenschutzbeauftrager

• Ab neun Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. • Ein Datenschutzbeauftragter (DSB) ist für den Datenschutz verantwortlich. • Die Person kann Mitarbeiter der Organisation sein oder als externer Datenschutzbeauftragter bestellt werden

Bundesdatenschutzbeauf tragter Peter Schaar

Folgende Aufgaben sind durch den betrieblichen Datenschutzbeauftragten zu erfüllen:

• Erstellen von Verfahrensbeschreibungen zu den personenbezogenen Daten (Patienten, Mitarbeiter, Lieferanten…) • Vorabkontrolle für die Verarbeitung der Patientendaten • Ortsbegehung mit Auflistung der Problemstellen • Erstellen der Datenschutzrichtlinien • Öffentliches Verfahrensverzeichnis erstellen • Schulung aller Mitarbeiter • Information der Betroffenen • Sicherheit und IT-Sicherheit planen und kontrollieren • Datenschutz zur Überprüfung der Abläufe nutzen • Beantworten von Fragen der Betroffenen • Regelmäßige Fortbildung • Datenschutzaudits (Untersuchungen) durchführen

Weitere Datenschutzgrundlagen

• • • •

Ärzte sind verpflichtet, über das Stillschweigen zu bewahren, was ihnen ihre Patienten anvertraut haben.



„heilige Pflicht“ bzw. „Eid“ des Hippokrates Das Bankgeheimnis besteht im Kern aus der Pflicht des Kreditinstituts zur Verschwiegenheit über kundenbezogene Tatsachen und Wertungen § 203 Abs. 1 StGB



bestimmt, das derjenige, der unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs oder Geschäftsgeheimnis offenbart, das ihm als Arzt … anvertraut oder sonst bekannt geworden ist, mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft wird. Gesundheitsdatenschutzgesetz NRW



"Das Gesetz hat zum Ziel, das Recht auf informationelle Selbstbestimmung im Bereich des Gesundheitswesens zu gewährleisten."

Datenschutz & Datensicherheit