Cloud Computing, M-Health und Datenschutz. 20. März 2015

Transkript

1 CeBIT Hannover INDUSTRIAL USERS FORUM 20. März 2015 Dr. Andreas Splittgerber Olswang Germany LLP München

2 Entwicklungen und Chancen dieser Technologien Health-Apps als lifestyle M-Health als mobile doctor Cloud als state of the art Messen von Vitalwerten, Vernetzung von Strukturen Unterstützung und Überwachung von Behandlungsverläufen 1

3 Gesundheitsdaten: auf dem Weg zum gläsernen Menschen? Quelle: Quelle: 2

4 Gesundheitsdaten: auf dem Weg zum gläsernen Menschen? 3

5 Ist das eine wirksame Einwilligung? 4

6 Der Begriff health data 1. Personenbezug Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 Nr. 1 BDSG) BDSG Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren ( 3 Nr. 6a BDSG) 5

7 Der Begriff health data 2. Kein Personenbezug BDSG Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. ( 3 Nr. 6 BDSG) 6

8 Der Begriff health data Personenbezug Test (Y/N) Information Name -Adresse Daten zu Juristischen Personen IP-Adresse Geburtsdatum (ohne weitere Daten) Foto [######### + Geburtsdatum + Stadt + Gesundheitszustand] [########## + Stadt + Gesundheitszustand] Personenbezug Y/N Y Y N Y N Y Y N (individuell) 7

9 Gesundheitsdaten? 3 Nr. 9 BDSG: Besondere Arten personenenbezogener Daten sind Angaben über. Gesundheit Nicht nur medizinische Daten, z.b. auch Informationen zu omedikamenteneinnahme, obrillenträger, o Mitglied in Hilfsgruppen o[größe + Gewicht + Schrittzahl/Tag] oherzfrequenz oder Blutdruck 8 Verwendungszusammenhang!

10 Was nicht erlaubt ist, ist verboten 28 BDSG: (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten ( 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des 4a Abs. 3 eingewilligt hat, wenn 2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,. (7) Das Erheben von besonderen Arten personenbezogener Daten ( 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. 9

11 Gesundheitsdaten in der Cloud Controller vs. Processor Patient Einwilligung 10 Unternehmen Provider Subunternehmer ADVs 1 EU 2 Verträge: (i) Servicevertrag (ii) Schriftliche Vereinbarung zur Auftragsdatenverarbeitung (ADV)!! 203 StGB!!! Unter- Subunternehmer 2 Subunternehmer n

12 Praktische Umsetzung Privacy by Design Privacy by Default Data economy Transparency Stay local Anonymize Security Standards Informed consent 11

13 Mögliche Konsequenzen bei Verstößen Bussgelder: bis zu EUR 300,000 oder Gewinnabschöpfung Strafen: max. 2 Jahre Freiheitsstrafe (gegen handelnde Personen/GF) Unterlassungsanordnungen/Audits: durch die Datenschutzbehörde Öffentliche Informationspflichten: im Fall von Datenverlusten 12

14 Fragen? Olswang. Disrupt, Influence Kontakt: Dr. Andreas Splittgerber, Partner, OLSWANG Germany LLP, München Voted Top 25 lawyer for IT-law in Germany by Wirtschaftswoche in