Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Anforderungen an ein Datenschutz-Cockpit

Unterstützung bei der Verarbeitung von Gesundheitsdaten

„Datenschutz-Cockpit“?

Gerade bei sensiblen Gesundheitsdaten ist es unerlässlich, dass Verantwortliche und insbesondere deren Datenschutzbeauftragte einen umfassenden (oder: ganzheitlichen) Überblick über die Verarbeitung der Gesundheitsdaten behalten:

  • Wie können die Rechte von betroffenen Personen gewährleistet und deren Anfragen bearbeitet werden? Z.B.
    • Wer hat wann aus welchen Gründen auf welche Daten von welchen Patienten zugegriffen?
    • Welche Daten müssen gelöscht oder gesperrt werden?
  • Gibt es zu erledigende Aufgaben?
  • Wie viele und welche in dem Informationssystem integrierten Verarbeitungstätigkeiten benötigen die Aufmerksamkeit des oder der Datenschutzbeauftragten?

Kurz: Analog zu einem Cockpit im Flugzeug, welches einem Piloten alle Informationen und Aufgaben übersichtlich zur Verfügung stellt, soll der Datenschutzbeauftragte in „seinem“ Cockpit eine Unterstützung bei der Bearbeitung und Erfüllung der aus dem Datenschutz resultierenden Aufgaben erhalten.

Betroffener Personenkreis

Unabhängig von Patientendaten werden bei einem Unternehmen wie einem Krankenhaus oder einer Arztpraxis weitere personenbezogene Daten verarbeitet wie beispielsweise Daten von Beschäftigten- oder Bewerberdaten bzw. auch Daten von Dritten wie z. B. Lieferanten, Angehörigen oder anderen Besuchern. Werden IT-Systeme für die Verarbeitung von deren Daten wie beispielsweise SAP Human Capital Management (HCM) bzw. SAP Human Experience Management (HXM), wie es künftig heisst, eingesetzt, so gelten dieselben Anforderungen an ein Datenschutz-Cockpit entsprechend auch für diese Systeme. D. h. wenn im Folgenden von „Patientendaten“ gesprochen wird, so dient dies nur der besseren Lesbarkeit. Die beschriebenen Anforderungen müssen natürlich auch bei Beschäftigten- sowie allen weiteren personenbezogenen Daten umsetzbar sein.

Ganzheitlicher Überblick erforderlich

Um einen Überblick hinsichtlich der Verarbeitung der personenbezogenen Daten eines Patienten zu erhalten, ist es erforderlich, dass Daten aus den verschiedenen, notwendigerweise eingesetzten Informationssystemen, wie z. B. Krankenhaus-Informations-System (KIS), Labor-Informations-System (LIS) oder eines Archivsystems wie ein Picture Archiving and Communication System (PACS), zusammen ausgewertet werden können. Insbesondere die Protokolle der einzelnen informationstechnischen Systeme sollten zentral auswertbar sein.

Es ist daher zu fordern, dass Hersteller von derartigen, in der Gesundheitsversorgung eingesetzten informationstechnischen Systemen sich auf

  • einen einheitlichen Standard hinsichtlich der Protokollierungsfunktionalität,
  • auf inhaltliche Vorgaben, die eine semantische Interoperabilität ermöglichen, sowie
  • auf einen einheitlichen Austauschmechanismus, welcher die Zusammenführung der Protokolldaten aus den verschiedenen Informationssystemen ermöglicht

einigen.

Bestandteile eines Datenschutz-Cockpits

Ein Datenschutz-Cockpit muss die grundsätzlichen Funktionalitäten bereitstellen, welche die Erfüllung der datenschutzrechtlichen Verpflichtungen, insbesondere hinsichtlich der Dokumentations- und Rechenschaftspflichten, ermöglichen. Dies sind insbesondere:

  • Gewährleistung der Betroffenenrechte
  • Auswertungsmöglichkeiten
  • Reporting

Betroffenenrechte

Als „betroffene Personen“ im Sinne von Art. 4 Ziff. 1 DS-GVO sind sowohl Patienten und Beschäftigte als auch Bewerber oder Dritte anzusehen, wenn von diesen Personengruppen personenbezogene Daten verarbeitet werden. Hinsichtlich der Sensibilität und Kritikalität der Daten beinhalten Patientendaten immer personenbezogene Daten der in Art. 9 Abs. 1 DS-GVO definierten besonderen Kategorien. Beschäftigtendaten beinhalten – zumindest in den hier besprochenen Systemen – regelhaft Informationen, welche eine Zuordnung der Zugriffsrechte ermöglichen, also Daten wie

  • Name,
  • Organisationszugehörigkeit wie z. B. „Station 23“ oder
  • im Unternehmen eingesetzte Funktion wie beispielsweise Ärztin oder Pfleger.

Sie fallen regelmässig nicht unter die in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten.

Ein Datenschutz-Cockpit muss hinsichtlich der Gewährleistung der Betroffenenrechte insbesondere folgende Funktionalitäten bereitstellen:

  • Erteilung einer Auskunft entsprechend Art. 15 Abs. 1 DS-GVO
    • Welche Daten sind wo über den jeweiligen Betroffenen erfasst?
    • Wer hat wann aus welchen Gründen auf welche Daten zugegriffen?
    • Wer hat was wann warum geändert? Oder eingeschränkt?
  • Erteilung einer Kopie für den Betroffenen entsprechend Art. 15 Abs. 3 DS-GVO bzw. – sofern die Erstellung selbst nicht ermöglicht werden kann – die Erteilung und Zuweisung eines Auftrags zur Erstellung einer Kopie.
  • Beauftragung der Überprüfung der Richtigkeit der Daten bzw. Beauftragung der Korrektur fehlerhafter Daten entsprechend Art. 16 DS-GVO
  • Beauftragung der Löschung personenbezogener Daten gemäss Art. 17 DS-GVO
  • Beauftragung einer Einschränkung der Verarbeitung („Sperrung“) der Daten entsprechend Art. 18 DS-GVO
  • Überprüfung, ob der in Art. 19 DS-GVO verankerten Mitteilungspflicht bei Berichtigung, Verarbeitungseinschränkung oder Löschung personenbezogener Daten genügt wurde, inklusive Einsichtnahme
    • wann dies erfolgte bzw.
    • Einsichtnahme in die Begründung, warum die Mitteilung nicht erfolgte. Die Begründung muss auch die Informationen enthalten, wer die Begründung wann verfasste.
  • Beauftragung einer Übertragung personenbezogener Daten an einen anderen Verantwortlichen entsprechend Art. 20 Abs. 1 DS-GVO
  • Beauftragung der Bereitstellung) einer Kopie der sie betreffenden personenbezogenen Daten (zur Weiterverarbeitung) in elektronischer Form für die betroffene Person entsprechend Art. 20 Abs. 1 DS-GVO
  • Dokumentation des Widerspruchs einer betroffenen Person hinsichtlich der Verarbeitung dieser Person zuordenbare Daten sowie Weiterleitung des Widerspruchs zwecks Bearbeitung an die jeweils zuständige Person bzw. Abteilung.

Zu den einzelnen Funktionen müssen Auftragslisten vorhanden sein, aus denen ersichtlich wird, wann etwas beauftragt wurde, wer für die Bearbeitung zuständig ist, bis wann die Abarbeitung des Auftrags erfolgt sein soll und wie der aktuelle Bearbeitungsstatus ist. Die Auftragslisten sollten die Möglichkeit bieten, dass man nach Betroffenengruppen (Patienten, Beschäftigte, Dritte) filtern kann.

Auswertungsmöglichkeiten

Ein Datenschutz-Cockpit muss diverse Auswertungen ermöglichen, welche eine stichprobenartige Kontrolle hinsichtlich der Rechtmässigkeit der Verarbeitung erlaubt.

Hierzu gehören insbesondere folgende Auswertungsmöglichkeiten:

  • Wer hat wann aus welchen Gründen auf welche Daten zugegriffen? Z.B.
    • zu Zwecken der Abrechnung oder der Versorgung auf Patientendaten,
    • zu Zwecken der Administration von Zugriffsrechten auf Beschäftigtendaten,
    • zu Zwecken der Datenschutzkontrolle
  • Wer hat welche Rechte hinsichtlich welcher Verarbeitung von welchen personenbezogenen Daten? Dies beinhaltet eine Überprüfung bezüglich
    • Welche Rechte hat welche Person?
    • Welche Rechte hat welche Rolle?
    • Welche Rollen sind welcher Person zugeordnet?
    • Wer darf auf Daten eines bestimmten Patienten zugreifen?
  • Ermöglichung der stichprobenartigen Auswertung von Protokolldateien hinsichtlich Ereignissen, welche potenziell auf Datenschutzverstösse hinweisen. Hierzu können insbesondere gehören:
    • Mehrfache Anmeldung des Benutzers, wobei „mehrfach“ durch den Verantwortlichen festgelegt wird
    • Änderung Systemrichtlinien
    • Anmeldung ausserhalb der Dienstzeit
    • Anmeldung im Subsystem ausserhalb des KIS- Kontextes, aber mit KIS-Zugangsdaten
    • Anzahl Fehlanmeldungen > 3
    • Druck > 1 Dokument ohne Begründung
    • Erweitern der Benutzerberechtigung zu administrativen Rechten
    • Export > 1 Dokument ohne Begründung
    • Löschen von Dokumenten
    • Löschen von Dokumenten ohne Begründung
    • Notfallanmeldung ohne Begründung
    • Suche über mehrere Patienten
    • Suche über mehrere Patienten über Abteilungsgrenzen hinweg
    • Veränderung am Regelwerk zur Protokollierung
    • Veränderung am Regelwerk zur Protokollierung ohne Begründung
    • Zugriff auf Auditprotokoll
    • Zugriff auf Auditprotokoll ohne Begründung
    • Zugriff auf Patientendaten ausserhalb des Behandlungskontextes
    • Zugriff auf VIP-Daten (bzw. entsprechend geschützte Daten) ausserhalb des Behandlungskontextes
    • Zugriff mit „Super-User“-Rechten ausserhalb der Arbeit an der Systemkonfiguration
  • Die Ermöglichung der Überprüfung, wer wann welche Protokolldaten aus welchem Grund ausgewertet hat.
  • Eine Überprüfung der Sicherheit der Verarbeitung, beinhaltend insbesondere
    • Richtlinien hinsichtlich Vergabe von Passwörtern/Passphrasen (Stichwort „Kennwortkomplexität“)
    • Vorgaben bzgl. automatischer Abmeldung bei Inaktivität
    • Suche nach inaktiven Benutzern, wobei die Zeitdauer der Inaktivität individuell einstellbar sein muss
  • Suche nach Systemanwendern, die seit x Tage kein Login hatten (z. B. wegen Ausscheiden aus dem Unternehmen)

Natürlich müssen die Aktionen hinsichtlich der datenschutzrechtlichen Auswertungen protokolliert und festgehalten werden, sodass nachvollziehbar ist, wer wann aus welchen Gründen auf diese Funktionalitäten zugegriffen hat.

Neben den medizinischen IT-Systemen werden andere Systeme eingesetzt, die massgeblich mit zu beachten sind, weil diese für einen ordnungsgemässen Betrieb unabdingbar sind. Hierzu gehören z. B. auch Firewall-Systeme, welche eine Fernwartung ermöglichen. Auch hierfür sind entsprechende Funktionalitäten unabdingbar. Gerade im Bereich einer Firewall muss eine Funktionalität verfügbar sein, welche einen Überblick über alle verfügbaren externen Anbindungen bietet: Welcher externe Partner darf unter welchen Umständen wie in das interne Netz gelangen um was zu leisten?

Reporting

Ein Datenschutz-Cockpit muss ein Reporting, insbesondere hinsichtlich der Ergebnisse der beschriebenen Auswertungen, ermöglichen. Dabei ist zu gewährleisten, dass Reports sowohl ausgedruckt wie auch als pdf-Datei exportiert werden können.

Um Entwicklungen darstellen zu können, sollten auch Reports von zwei Zeitpunkten miteinander verglichen und Änderungen dargestellt werden können.

GMDS Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG); 08.05.2020

https://www.gesundheitsdatenschutz.org/html/datenschutzcockpit.php

https://creativecommons.org/licenses/by-sa/4.0/deed.de

Kategorie: Datenschutz

Cookie (Consent)-Banner – Die aktuelle Rechtslage

07/2020 – Fachartikel Swiss Infosec AG

Cookie-Banner kennt mittlerweile jeder. Sie erscheinen beim ersten Aufruf der Webseite und informieren den Webseitenbesucher über die Nutzung von Cookies und/oder Tracking, holen dessen Zustimmung für die Verwendung von Cookies und/oder Tracking ein oder stellen ihm Wahlmöglichkeiten für die Verwaltung bereit. Brauchen Webseitenbetreiber einen solchen Cookie-Banner überhaupt? Wissen Sie als Webseitenbetreiber, wie Sie Ihr Cookie-Banner rechts- bzw. vor allem DSGVO-konform gestalten? Kennen Sie die (aktuellen) rechtlichen Grundlagen für die Erstellung eines Cookie-Banners?

Situation in der Europäischen Union

Die rechtliche Situation zu den Cookies wird in der EU bereits seit 2009 durch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG) geregelt. Sie kommt nur für Nutzer in jenen EU-Ländern zur Anwendung, in welchen die Cookie-Richtlinie umgesetzt wurde.

Die Cookie-Richtlinie sieht bei entsprechender Umsetzung im EU-Mitgliedstaat vor, dass Cookies, welche nicht unbedingt erforderlich sind, nur noch verwendet werden dürfen, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat (sog. Opt-In-Prinzip). Dies erfolgt mittels Cookie-Banner, mit welchem auf die Verwendung von Cookies hingewiesen wird.

Wurde die Cookie-Richtlinie nicht umgesetzt, gelten entsprechend nationale Regelungen bzw. die Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält keine explizite «Cookie-Regelung» – es gelten die allgemeinen Grundsätze. Werden personenbezogene Daten durch Cookies verarbeitet, kommen in der Regel das berechtigte Interesse oder die Einwilligung der betroffenen Person (Opt-in) als Rechtsgrundlagen in Betracht.

Spätestens seit dem «Planet49»-Urteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019 (Rs. C673/17) besteht nun auch etwas Klarheit darüber, wie eine Einwilligung für das Setzen von «nicht unbedingt erforderlichen» Cookies einzuholen ist.

Der EuGH kam in seinem Urteil zum Schluss, dass ein voreingestelltes Ankreuzkästchen keine wirksame Einwilligung im Sinne der Cookie-Richtlinie als auch der DSGVO darstellt. Daraus folgt, dass die Einwilligung durch eine aktive, gesonderte und ausdrückliche Erklärung der Nutzer erfolgen muss. Cookies, die unbedingt erforderlich sind, bedürfen keiner Einwilligung. Es sind aber ggf. die Anforderungen der DSGVO zu beachten.

Situation in der Schweiz

In der Schweiz besteht seit 2007 in Art. 45c lit. b des Fernmeldegesetzes (FMG) eine eigene Cookie-Regelung für Webseitenbetreiber. Sie ist im Vergleich zur Cookie-Richtlinie und der DSGVO deutlich weniger restriktiv.

Eine explizite Einwilligung ist in der Regel nicht erforderlich. Eine solche ist nach neuem schweizerischem Datenschutzgesetz (nDSG) allerdings dann notwendig, wenn über Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden oder Profiling mit hohem Risiko durchgeführt wird (Art. 6 Abs. 7 nDSG).

Rein auf die Schweiz bezogen genügt also in der Regel ein entsprechender Hinweis in der Datenschutzerklärung und die Möglichkeit eines «Opt-Out».

Muss ich als Schweizer Unternehmen nun ebenfalls einen «Cookie (Consent)-Banner» implementieren?

Mit grosser Wahrscheinlichkeit, ja. Denn obwohl die DSGVO ein Regelwerk der EU ist und sie somit primär für alle EWR-Länder gilt (EU-Länder plus Liechtenstein, Norwegen und Island) gilt, ist sie aufgrund bestimmter Kriterien auch ausserhalb des EU-Territoriums für viele Schweizer Unternehmen anwendbar (sog. Verhaltensbeobachtung).

Gerne beantworten wir all Ihre spezifischen Fragen zum Cookie-Banner und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»

Swiss Infosec AG; 01.07.2020, überarbeitet: 05.07.2023

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage
© Swiss Infosec AG 2026