GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)
GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)
| Name/Bezeichnung der datenverarbeitenden Stelle(2) | |
| Straße Hausnummer(3) | |
| PLZ / Ort | |
| Telefon | |
| Telefax(4) | |
| E-Mail-Adresse(4) | |
| Internet-Adresse(4) |
| Rechtsform der Gesellschaft/td> | |
| Handelsregisternummer(4) | |
| Umsatzsteueridentifikationsnummer(4) | |
| Wirtschafts-Identifikationsnummer(4) |
| Vollständiger Name (n) | |
| Straße Hausnummer(3) | |
| PLZ / Ort | |
| Telefon | |
| Telefax(4) | |
| E-Mail-Adresse(4) | |
| Internet-Adresse(4) |
| Vollständiger Name (n) | |
| Straße Hausnummer(3) | |
| PLZ / Ort | |
| Telefon | |
| Telefax(4) | |
| E-Mail-Adresse(4) | |
| Internet-Adresse(4) |
| Vollständiger Name (n) | |
| Straße Hausnummer(3) | |
| PLZ / Ort | |
| Telefon | |
| Telefax(4) | |
| E-Mail-Adresse(4) | |
| Internet-Adresse(4) |
| Vollständiger Name (n) | |
| Straße Hausnummer(3) | |
| PLZ / Ort | |
| Telefon | |
| Telefax(4) | |
| E-Mail-Adresse(4) | |
| Internet-Adresse(4) |
| Vollständiger Name (n) | |
| Straße Hausnummer(3) | |
| PLZ / Ort | |
| Telefon | |
| Telefax(4) | |
| E-Mail-Adresse(4) | |
| Internet-Adresse(4) |
| Datum der Einführung | |
| Datum der Erstbeschreibung(3) | |
| Datum der letzten Änderung |
| Hinweis: Die Regelungen von Art. 6 bilden keine Erlaubnistatbestände für die Verarbeitung von besonderen Kategorien von Daten. Diesbezüglich enthält Art. 9 DS-GVO (abschließend) entsprechende Legitimationstatbestände. |
| Einwilligung(9) (Art. 6 Abs. 1 lit. a) |
|
| Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b) |
|
| Zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich (Art. 6 Abs. 1 Lit c) |
|
| Erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d) |
|
| Verarbeitung liegt im öffentlichen Interesse oder erfolgt in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e) |
|
| Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht (Art. 6 Abs. 1 lit. f) |
|
| Rechtsgrundlage EU DS-GVO | Ergänzende national-gesetzliche Regelung | |
|---|---|---|
| Einwilligung(11)(Art. 9 Abs. 2 lit. a) | ||
| Patientenbehandlung(12) (Art. 9 Abs. 2 lit. h) |
||
| Weitergabe von Daten an Mit-/Nachbehandler(12) (Art. 9 Abs. 2 lit. h) |
||
| Verarbeitung ist zum Schutz lebenswichtiger Interessen(13) der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben Art. 9 Abs. 2 lit. c) |
||
| Abrechnung von Leistungen (Art. 9 Abs. 2 lit. f) |
||
| Qualitätssicherung der Patientenversorgung(12) (Art. 9 Abs. 2 Lit i) |
||
| Gesetzlich geregelte Krankheitsregister(12) (Art. 9. Abs. 2 lit. h) |
||
| Gesundheitsstatistik des Bundes und der Länder(12) (Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1) |
||
| Arbeitsmedizinische Untersuchung(12) (Art. 9 Abs. 2 Lit h in Verbindung mit Art. 9. Abs. 3) |
||
| Untersuchung durch Gesundheitsamt(12) (Art. 9. Abs. 2 Lit i) |
||
| Impfungen in Schule usw. durch Ämter(12) (Art. 9. Abs. 2 Lit i) |
||
| Verteidigung der behandelnden Person vor Gericht(12) (Art. 9 Abs. 2. lit. f) |
||
| Wissenschaftliche u. historische Forschung(12) (Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1) |
||
| Gesetzlich vorgeschriebene Archivierung zu hist. Zwecken(12) (Art. 9 Abs. 2 lit. j in Verbindung mit Art. 89 Abs. 1) |
||
| Verarbeitung von seitens der betroffenen Person öffentlich zugänglich gemachten Daten (Art. 9 Abs. 2 lit. e) |
||
| ... |
| Kategorien betroffener Personen | Beschreibung |
|---|---|
| Patienten | |
| Mitarbeiter, Angestellte, Rentner, Bewerber, Auszubildende, Praktikanten, gewerbliche Mitarbeiter | |
| Lieferanten sowie andere Geschäftspartner, sofern diese zur Erfüllung der in Abschnitt 2.2.2 genannten Zwecke erforderlich sind | |
| Kunden, Mitarbeiter von Kunden, |
| Kategorien betroffener Personen | Beschreibung |
|---|---|
Daten der Patientenbehandlung, insbesondere
|
|
Angaben zur Person (des Betroffenen)
|
|
| Adressdaten | |
| Lieferantendaten | |
| Kundendaten | |
| Bestell- und Abrechnungsdaten | |
| Logistikdaten | |
Mitarbeiterdaten zur Personalverwaltung, insbesondere:
|
|
Mitarbeiterdaten zur Lohn- und Gehaltsabrechnung, insbesondere:
|
|
Bewerberdaten, insbesondere
|
| Empfänger/th> | Rechtsgrundlage(15) |
|---|---|
| ... |
| Empfänger/th> | Rechtsgrundlage(16) |
|---|---|
| ... |
| Name des Drittstaates | |
| Empfänger oder Kategorien von Empfängern | |
| Art der Daten oder Datenkategorien | |
| Rechtsgrundlage | |
| Angabe der geeigneten Garantien(18) |
| Kategorien personenbezogener Daten | Löschfristen |
|---|---|
| Kategorien betroffener Daten | Verfahrensbeschreibung |
|---|---|
| Kategorien betroffener Daten | Verfahrensbeschreibung |
|---|---|
| Kategorien betroffener Daten | Verfahrensbeschreibung |
|---|---|
| Kategorien betroffener Daten | Verfahrensbeschreibung |
|---|---|
| Kategorien betroffener Daten | Verfahrensbeschreibung |
|---|---|
(1) Hinweis: siehe hierzu auch Working Paper 169 "Stellungnahme 1/2010 zu den Begriffen ???für die Verarbeitung Verantwortlicher??? und ???Auftragsverarbeiter??? der Artikel-29-Datenschutzgruppe
(2) Name des Unternehmens, der Institution, der Organisation, ...
(3) Es muss eine ladungsfähige Anschrift angegeben werden; die Angabe eines Postfachs ist nicht ausreichend, kann aber natürlich als Zusatzinformation angegeben werden.
(4) Sofern vorhanden
(5) Freiwillige Angabe, jedoch ist es für eine Aufsichtsbehörde im Prüfungsfall nützlich zu wissen, wer hier der zuständige Ansprechpartner ist.
(6) Sofern vorhanden, müssen die Kontaktdaten des Datenschutzbeauftragten zwingend angegeben werden.
(7) Hinweis: Working Paper "Opinion 03/2013 on purpose limitation" der Artikel-29-Datenschutzgruppe berücksichtigen.
(9) Hinweis: siehe zum Thema "Einwilligung" auch Working Paper 187 "Stellungnahme 15/2011 zur Definition von Einwilligung" der Artikel-29-Datenschutzgruppe.
(10) Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person ,Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
(11) Hinweis: siehe zum Thema "Einwilligung" auch Working Paper 187 "Stellungnahme 15/2011 zur Definition von Einwilligung" der Artikel-29-Datenschutzgruppe.
(12) Angabe einer nationalen gesetzlichen Regelung zwingend für die gelb markierten Feldern erforderlich, da ohne diese kein wirksamer Erlaubnistatbestand entsprechend DS-GVO vorliegt.
(13) Hinweis: in Working Paper 131 "Arbeitspapier Verarbeitung von Patientendaten in elektronischen Patientenakten (EPA)" der Artikel-29-Datenschutzgruppe wird hinsichtlich der "lebenswichtigen Interessen der betroffenen Person" Stellung bezogen
(14) Hinweise (Art. 30 Abs. 1 lit. d):
(15) Rechtsgrundlage für die Offenlegung, z.B. AV-Vertrag oder ein nationales Gesetz.
(16) Rechtsgrundlage für die Offenlegung, z.B. Auftragsverarbeitungs-Vertrag oder ein nationales Gesetz.
(17) Nur wenn im Einsatz oder geplant
(18) Wenn Art. 49 Abs. 1 lit. b DS-GVO zutreffend ist
(19) Hier kann auf bestehende Dokumente wie bspw. ein IT-Sicherheitskonzept verwiesen werden, in welchem die die im Verfahren verwendeten Daten schützenden Maßnahmen konkret beschrieben sind
(20) Hinweis: bzgl. Abgrenzung Anonymisierung/Pseudonymisierung siehe auch Working Paper 216 "Stellungnahme 5/2014 zu Anonymisierungstechniken" der Artikel-29-Datenschutzgruppe.