GESUNDHEITSDATENSCHUTZ -- Berichte vom Umgang mit Gesundheitsdaten
Ebene höher | home
An: [unbekannt], INTERNET:bvd-Forum@ibh.tfu.uni-ulm.de
Von: INTERNET:bvd-forum@it-sec.de, INTERNET:bvd-forum@it-sec.de
Datum: 13.01.98, 22:00
Empf: bvd-forum: Datenschutz_in_Oesterreich?
Sender: owner-bvd-forum@ibh.tfu.uni-ulm.de
[...]
Message-Id: <199801132046.VAA10693@ns.adis.at>
Comments: Authenticated sender is <boder@EMail.Adis.at>
From: Boder@ns.adis.at
Organization: BODER-Informationsystems
To: bvd-Forum@ibh.tfu.uni-ulm.de
[...]
Sender: owner-bvd-forum@it-sec.de
Reply-To: bvd-forum@it-sec.de
Liebe Listenmitglieder !
Da auch in Deutschland eine nicht unerheblich Anzahl an unten
beschriebenen klinischen Informationssystemen in öffentlichen
Krankenanstalten installiert ist, erlaube ich mir, dieser Liste eine
kleine Geschichte zum Thema Schutz sensibler Daten 'auf österreichisch'
zuzusenden.
Unbemerkt vom öffentlichen Interesse, hat die österreichische Daten-
schutzkommission am 23. Oktober 1997 einen Bescheid erlassen, der
wohl richtungsweisend für den weiteren Umgang mit sogenannten
sensiblen Daten sein wird.
Bei den im Bescheid 177.886/5-DSK/97 (s Anlage) genannten Systemen
handelt es sich um EDV-Systeme zur Administration von
Krankengeschichte direkt am OP-Tisch, Intensivbett, Neonatologiebett,
Kinderintensivbett oder Dialysebett. Diese Systeme werden vom Land
betrieben betrieben und enthalten somit Gesundheitsdaten (Krankenakten)
aus dem öffentlichen Bereich.
Nach Angaben des Betreibers der Datenverarbeitung ist das von ihm
angeschaffte Produkt derart fehleranfällig, daß seit 1995 eine große
Anzahl an Patientendaten an den Hersteller im Ausland Überlassen
werden mußten. Auf Grund der aufgetretenen Fehler hält es der Hersteller
nämlich für erforderlich, den gesamten Datenbestand in die USA zu
Überlassen und stellte, nachdem er dies vorher ohne Genehmigung
vorgenommen hatte, einen Antrag bei der Datenschutzkommission.
Der ergangene Bescheid hat allerdings kleine Schönheitsfehler.
Wie VfGH, VwGH und die Datenschutzkommission selbst in ihren
Entscheidungen bestätigen, ist die Voraussetzung einer
Datenüberlassung nach §34 DSG die Rechtmäßigkeit der Datenverarbeitung
nach §34 (2) Z1 an sich. Diese Rechtmäßigkeit liegt nicht vor, weil
bis dato weder eine entsprechende Datenverarbeitung registriert wurde,
noch alle notwendigen Betriebsbewilligungen nach dem
Arbeitsverfassungsgesetz vorliegen.
Derzeit besteht die paradoxe Situation, daß sensible Daten ins Ausland
gelangen, deren Erhebung und Verarbeitung im Datenverarbeitungsregister
nicht aufscheinen; der Betreiber der Datenverarbeitungen trotz
Aufforderungen nach §45 DSG seiner gesetzlichen Mitwirkungspflicht im
Beschwerdefall gegenüber der Datenschutzkommission nicht nachkommt;
die Datenschutzkommission somit die Zuverlässigkeit des Betreibers
nicht überprüfen kann aber trotzdem den Datenüberlassungen zustimmt.
Somit wurde ein Präzedenzfall geschaffen, der es in naher Zukunft
jedem Unternehmen ermöglicht, unter Berufung auf oben genannten
Bescheid und das sich seine EDV-Systeme nach dem Verkauf plötzlich als
'Komplex' und 'Fehleranfällig' herausstellen, seine gegenüber der
öffentlichen Hand nach ÖNORM 2050 (1.8.3) zugesagten Service- und
Wartungsverpflichtungen ins kostengünstigere Ausland auszulagern.
Gesundheitsdaten bilden naturgemäß eine äußerst attraktive und auch
lukrative Informationsquelle. Ich möchte hier an den Bundespräsidenten
erinnern, der auf einem dieser Systeme als Patient aufgenommen war und
dessen Gesundheitsdaten einen eher ungewöhnlichen Presserummel
verursachten und noch verursachen. Der gewöhnliche Bürger würde, auf
Grund derartiger 'Indiskretionen' seinen Arbeitsplatz verlieren -
natürlich nicht offensichtlich -, oder seine als Kleinkind
aufgenommenen Daten in einigen Jahren auf einer Gesundheitssperrliste
vorfinden.
Zu den nicht genehmigten Datenüberlassungen sowie zur fehlenden
Registrierung im Datenverarbeitungsregister sind seit Juni 1996
Beschwerden bei der Datenschutzkommission anhängig. Bisher ohne
Entscheidung. Patienten haben meines Wissens noch keine Beschwerde
erheben können, da die Datenschutzkommission noch kein amtswegiges
Verfahren nach §15 DSG eingeleitet hat.
Alle angeführten Informationen sind öffentlich zugänglich und konnten
ohne Umgehung von Gesetzen beschafft werden.
Mit freundlichen Grüßen
Robert Boder
----------------------------------------------------------------------
| Anhang 1: Bescheid der österr. Datenschutzkommission 177.886/5-DSK/97
----------------------------------------------------------------------
A-1010 Wien, Ballhausplatz
Tel. (0222) 531 1510
REPUBLIK ÖSTERREICH Fax: (0222) 531 15/2690
DATENSCHUTZKOMMISSION Fernschreib-Nr. 1370-900
DVR: 0000019
GZ 177.886/5-DSK/97 HR. H.
xxxx
Internationaler Datenverkehr; yz GesmbH;
Bescheid der Datenschutzkommission
An die
yz GesmbH
z.Hd. RA Dr. G.L.
R.-straße xx/x
1010 Wien
B E S C H E I D
Die Datenschutzkommission hat unter dem Vorsitz von Dr. MAIER und in
Anwesenheit der Mitglieder Mag. KLEISER, Dr. KOTSCHY und Dr. VESELY
sowie des Schriftführers Mag. LECHNER in ihrer Sitzung vom 23. Oktober
1997 folgenden Beschluß gefaßt:
S p r u c h
Aufgrund des mit Schreiben vom 17. Jänner 1997 gestellten und mit
Ergänzungsschreiben vom 12. August 1997 konkretisierten Antrages auf
Genehmigung des Internationalen Datenverkehrs wird (ergänzend zu den
mit Bescheid vom 30. Oktober 1986, GZ 175.173/10-DSK/86 und Bescheid
vom 16. März 1989, GZ 175.173/B3-DSK/89 und Bescheid vom 22. August
1996, GZ 175.173/C14-DSK/96 bereits erteilten Genehmigungen) gemäß §
34 des Datenschutzgesetzes, BGBl. Nr. 565/1978, dieses zuletzt
geändert durch das Bundesgesetz BGBl. Nr. 632/1994 (DSG), die
Genehmigung zur Überlassung von Daten, aus dem klinischen
Informationssystem yz CareVue 9000 (siehe Anlage), zum Zweck der
Erfüllung von Service- und Wartungsverpflichtungen (insbesondere der
Fehlerbehebung), soweit dies zur Erfüllung der mit dem Vertragspartner
vereinbarten Verpflichtungen unbedingt notwendig ist und in Österreich
nicht durchgeführt werden kann, an Ihre Konzernmuttergesellschaft
yz Company, xxxx H.street, Palo Alto, California xxxxx, USA, unter
der Voraussetzung, daß der Auftraggeber hievon in Kenntnis gesetzt wurde
und nicht widersprochen hat, erteilt.
Begründung
Soweit aufgrund der Komplexität des Systems die Service- und
Wartungsverpflichtungen, insbesondere im Fehlerfall, von dem
Antragsteller, der eine österreichische Tochtergesellschaft der
yz Company, USA, ist, nicht erbracht werden können, war
es erforderlich, in diesen Fällen die Überlassung von Daten an die
Programmentwickler bei der Konzernmuttergesellschaft zu genehmigen. Da
sowohl eine dem § 19 DSG entsprechende Vereinbarung der ausländischen
Konzernmutter vorlag sowie die ausdrückliche Aussage des
Dienstleisters, daß in derartigen Fällen der Auftraggeber über die
Datenüberlassung informiert wird, konnte die Genehmigung erteilt
werden.
Da im übrigen antragsgemäß entschieden wurde, konnte eine weitere
Begründung gemäß § 58 Abs. 2 AVG entfallen.
R e c h t s m i t t e l b e l e h r u n g
Gegen diesen Bescheid ist ein ordentliches Rechtsmittel nicht
zulässig.
H i n w e i s
Gegen diesen Bescheid kann innerhalb von sechs Wochen ab der
Zustellung eine Beschwerde an den Verwaltungsgerichtshof oder
Verfassungsgerichtshof erhoben werden. Sie muß von einem Rechtsanwalt
unterschrieben sein.
Anlage
23. Oktober 1997
Für die Datenschutzkommission
Der stellvertretende Vorsitzende:
SenPräs. des OGH Dr. MAIER
----------------------------------------------------------------------
| Anhang 2: §1 Datenschutzgesetz
----------------------------------------------------------------------
(Verfassungsbestimmung)
GRUNDRECHT AUF DATENSCHUTZ
§ 1. (1) Jedermann hat Anspruch auf Geheimhaltung der ihn
betreffenden personenbezogenen Daten, soweit er daran ein
schutzwürdiges Interesse, insbesondere im Hinblick auf Achtung
seines Privat- und Familienlebens hat.
(2) Beschränkungen des Rechtes nach Abs. 1 sind nur zur Wahrung
berechtigter Interessen eines anderen oder auf Grund von Gesetzen
zulässig, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum
Schutz der Menschenrechte und Grundfreiheiten (BGBl. Nr. 210/1958)
genannten Gründen notwendig sind. Auch im Falle solcher Beschränkungen
muß der vertraulichen Behandlung personenbezogener Daten Vorrang
gegeben werden.
(3) Jedermann hat, soweit Daten über ihn automationsunterstützt
verarbeitet werden, nach Maßgabe gesetzlicher Bestimmungen das Recht
auf Auskunft darüber, wer Daten über ihn ermittelt oder verarbeitet,
woher die Daten stammen, welcher Art und welchen Inhaltes die Daten
sind und wozu sie verwendet werden.
(4) Jedermann hat, soweit Daten über ihn automationsunterstützt
verarbeitet werden, nach Maßgabe gesetzlicher Bestimmungen das Recht
auf Richtigstellung unrichtiger und das Recht auf Löschung
unzulässigerweise ermittelter oder verarbeiteter Daten.
(5) Beschränkungen der Rechte nach Abs. 3 und 4 sind nur unter den
in Abs. 2 genannten Voraussetzungen zulässig.
(6) Soweit Rechtsträger in Formen des Privatrechts tätig sind, ist
das Grundrecht auf Datenschutz im ordentlichen Rechtsweg geltend zu
machen.
----------------------------------------------------------------------
| Anhang: §15 Datenschutzgesetz
----------------------------------------------------------------------
AMTSWEGIGE VERFAHREN
§ 15. (1) Ergibt ein Verfahren nach § 14 (Anm. Beschwerde), daß auch
andere Personen in ihren Rechten nach den Bestimmungen dieses Bundesgesetzes
oder der auf Grund dieses Bundesgesetzes erlassenen Durchführungs-
bestimmungen verletzt wurden, so hat dies die Datenschutzkommission
bescheidmäßig auszusprechen und dem Auftraggeber und dem Dienstleister
mitzuteilen. Dieser Bescheid ist von der Datenschutzkommission im Amtsblatt
zur Wiener Zeitung kundzumachen.
(2) Der Auftraggeber oder der Dienstleister haben dem Bescheid der
Datenschutzkommission binnen einer von dieser festzusetzenden,
angemessenen Frist zu entsprechen.
----------------------------------------------------------------------
| Anhang: §19 Datenschutzgesetz
----------------------------------------------------------------------
Dienstleistung im Datenverkehr
§ 19.
Dienstleister haben bei der Verwendung von Daten für den Auftraggeber
folgende Pflichten:
1. die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers
zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten
ohne Auftrag des Auftraggebers verboten;
2. alle gemäß § 21 erforderlichen Sicherheitsmaßnahmen zu treffen;
insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter
herangezogen werden, die sich dem Dienstleister gegenüber gemäß § 20
zur Geheimhaltung von Daten verpflichtet haben;
3. den Auftraggeber von der beabsichtigten Heranziehung eines weiteren
Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls
untersagen kann;
4. - sofern dies nach der Art der Dienstleistung in Frage kommt - im
Einvernehmen mit dem Auftraggeber die notwendigen technischen und
organisatorischen Voraussetzungen für die Erfüllung der Auskunfts-,
Richtigstellungs- und Löschungspflicht des Auftraggebers zu schaffen;
5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und
Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben bzw. in
dessen Auftrag zu vernichten oder für ihn weiter aufzubewahren;
6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur
Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen
notwendig sind.
----------------------------------------------------------------------
| Anhang: §34 Datenschutzgesetz
----------------------------------------------------------------------
GENEHMIGUNG VON DIENSTLEISTUNGEN IM AUSLAND
§ 34. (1) In den nicht dem § 32 unterliegenden Fällen ist vor der
Überlassung von Daten in das Ausland zum Zweck der Erbringung einer
Dienstleistung eine Genehmigung der Datenschutzkommission einzuholen.
(2) Die Genehmigung ist zu versagen, wenn
1. die Datenverarbeitung, aus der in das Ausland übermittelt werden
soll, rechtswidrig ist oder
2. der Dienstleister im Ausland dem Antragsteller die Einhaltung
der im § 19 aufgezählten Pflichten nicht schriftlich zugesagt hat
oder
3. Bedenken bestehen, daß schutzwürdige Geheimhaltungsinteressen
der Betroffenen durch den Datenverkehr im Ausland gefährdet sind
oder
4. öffentliche Interessen einschließlich völkerrechtlicher
Verpflichtungen entgegenstehen.
(3) Die Datenschutzkommission hat eine Ausfertigung jedes
Bescheides, mit dem eine Überlassung von Daten in das Ausland
genehmigt wurde, dem Datenverarbeitungsregister zuzumitteln; die
Bescheidausfertigung ist zum Registrierungsakt zu nehmen.
Anmerkung: Derertige Überlassungen können, entgegen Übermittlungen,
nicht vom Betroffenen unterbunden werden.
----------------------------------------------------------------------
| Anhang: §45 Datenschutzgesetz
----------------------------------------------------------------------
GEMEINSAME BESTIMMUNGEN FÜR DATENSCHUTZKOMMISSION
UND DATENSCHUTZRAT
§ 45. (1) (Verfassungsbestimmung) Alle Organe von Rechtsträgern nach
§§ 4 und 5 haben die Datenschutzkommission und den Datenschutzrat bei
der Besorgung ihrer Aufgaben zu unterstützen, ihnen Einsicht in Akten,
Datenträger und sonstige Einrichtungen des Datenverkehrs zu gewähren
und auf Verlangen die erforderlichen Auskünfte zu erteilen.
(2) (Verfassungsbestimmung) Die Beratungen der
Datenschutzkommission und des Datenschutzrates sind vertraulich. Die
Organe können die Vertraulichkeit ihrer Beratungen insoweit aufheben,
als sie dies nach dem Gegenstand und dem Zwecke der Beratungen für
notwendig erachten und nicht die Geheimhaltung im öffentlichen
Interesse oder im Interesse einer Partei geboten ist.
(3) Die Datenschutzkommission und der Datenschutzrat können
nach Bedarf zur Beratung besonderer Fragen Sachverständige zuziehen.
(4) Der Bundeskanzler beruft die jeweils erste Sitzung der
Datenschutzkommission und des Datenschutzrates ein. Im
Datenschutzrat führt das an Jahren älteste Mitglied bis zur Wahl des
Vorsitzenden den Vorsitz.
---------------------------------------------------------------------
Interessierte können die österreichischen Gesetze am Web-Server des
Bundeskanzleramtes abrufen.
http://www.ris.bka.gv.at
----------------------------------------------------
BODER-Informationsystems
A-1210 Vienna, Austria
Pastorstrasse 14-9
Tel. : +43 (1) 586 3357 ext. 0
FAX : +43 (1) 586 3357 ext. 27
EMail: BODER@email.adis.at
----------------------------------------------------
-------------------------------------------------------------------------
Hilfe zu den BvD Mailinglisten? An- oder Abmelden?
Mail an bvd-majordomo@ibh.tfu.uni-ulm.de, Subject: egal, Text: help
ODER: http://www.fh-ulm.de/bvd
URL: http://ourworld.compuserve.com/homepages/gesundheitsdatenschutz/export.htm
oben | Ebene höher | home