Arbeitsgruppe

Datenschutz und IT-Sicherheit im Gesundheitswesen (DIG)

Ziele der Arbeitsgruppe

Als Aufgaben und Ziele der AG DIG gelten insbesondere

  • Einbringung und Kommentierung von Fragestellungen bzgl. Datenschutz und IT-Sicherheit im Gesundheitswesen in Politik und Recht, in medizinischer Versorgung und Forschung
  • Systematische Darstellung der Herausforderungen der Umsetzung von Fragen zu Datenschutz und IT-Sicherheit sowie die Unterbreitung von Lösungsvorschlägen
  • Fragen zu technischen Umsetzung bzgl. Datenschutzanforderungen sowie Abbildung der IT-Sicherheit im Gesundheitswesen
  • Hilfestellungen bei Organisation, Strukturierung und Integration von Datenschutz und Datensicherheit in den Arbeitsablauf von Einrichtungen der Gesundheitsversorgung

Diese Aufgaben beinhalten dementsprechend

  • Empfehlungen zur organisatorischen und technischen Umsetzung von Anforderungen von Datenschutz und IT-Sicherheit in Einrichtungen der Gesundheitsversorgung wie
    • Krankenhäusern
    • Arztpraxen
    • Forschungseinrichtungen
    • Laboren
    • ...
  • Empfehlungen zu einem oder mehreren Datenschutzkonzept(en) und IT-Sicherheitskonzept(en)
  • Fachliche Beratung zu Datenschutz-Technologien und organisatorischen Fragen
  • Durchführung von Kursen, z. B. auf der GMDS-Jahrestagung
  • Bereitstellung von Online-Informationen im Internet (siehe Ausarbeitungen auf der AG-Homepage unter gesundheitsdatenschutz.org/doku.php/themen)
  • Mitwirkung bei überregionalen Veranstaltungen zu Fragen des Datenschutzes und der IT-Sicherheit im Gesundheitswesen
  • Mitarbeit in nationalen und internationalen Gremien

Das Vorhaben der Arbeitsgruppe in diesen Gebieten besteht unter anderem in

  1. Empfehlungen bzgl. Fragen zu IT-Sicherheit und Datenschutz in der Gesundheitsversorgung
  2. Förderung und Beratung von Modellprojekten sowie ggfs. Unterstützung bei deren Durchführung
  3. Konzepte für Beratung, Ausbildung, Schulung
  4. Leitlinien für die Anwendung im laufenden Betrieb

GMDS Jahresbericht 2023

Arbeitsgruppe
Datenschutz und IT-Sicherheit im Gesundheitswesen (DIG)

Dr. Bernd Schütze, Düsseldorf (Leiter) 
Thorsten Schütz, Itzehoe (Stellvertreter) 

Tätigkeit vom 1. Januar 2023 bis 31. Dezember 2023

Die Aktivitäten der AG-Mitglieder im Themenbereich Datenschutz und IT-Sicherheit sind unvermindert weitergegangen.

1. Aktivitäten der AG

1.1 Ausarbeitungen

  • Es wurde eine Praxishilfe zum Umgang mit Auskunftsersuchen erarbeitet. (Veröffentlichung März 2023)
  • Weiterhin wurde eine Praxishilfe für die Erstellung eines „Data Transfer Impact Assessment“ (TIA) erstellt, welche sehr häufig bei einer Verarbeitung personenbezogener Daten in einem Drittland erforderlich ist (Veröffentlichung April 2023)
  • Es wurde eine Übersicht über durch den europäischen Gesetzgeber veröffentlichten und damit innerhalb von Europa geltenden Begriffsbestimmungen veröffentlicht (Veröffentlichung Oktober 2023)
  • Die Praxishilfe zur Anonymisierung und Pseudonymisierung wurde grundlegend überarbeitet (Veröffentlichung erfolgte im Januar 2024)

1.2 Zusammenarbeit mit anderen Organisationen

Zu erwähnen sind hier vor allem die gute und enge Zusammenarbeit mit

  • BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.),
  • bvitg (Bundesverband Gesundheits-IT e.V.),
  • GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) und
  • KH-IT (Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter KH-IT e. V.).

1.3 Veranstaltungen

  • Vom 4. bis 5. Mai 2023 wurde die Fachtagung „Datenschutz im Gesundheitswesen“ in Kooperation mit anderen Verbänden als Präsenzveranstaltung durchgeführt. Es nahmen 130 Menschen teil, die Resonanz der Teilnehmer war sehr gut, alle lobten die Praxisbezogenheit der Veranstaltung und die hohe Kompetenz der Referenten. (Siehe Tagungsbericht).
  • Auf der Herbsttagung des KH-IT wurde ein Vortrag zu den aktuellen Entwicklungen hinsichtlich der Themen Datenschutz und IT Sicherheit beim Cloud-Einsatz gehalten.

2. Vorgesehene Aktivitäten 2024

 

 2.1. Wahlen der AG Leitung

Im Juni endet die Amtsperiode der aktuellen AG-Leitung, daher müssen Wahlen durchgeführt werden. Aufgrund der positiven Erfahrung der Online-Wahl 2021 wird diese Wahl wieder Online durchgeführt.

2.2 Aktivitäten der AG

2.2.1. Veranstaltungen

Es sind folgende Veranstaltungen geplant:

2.2.2 Ausarbeitungen

  • Die Praxishilfe zur Darstellung der rechtlichen Grundlagen für die Weitergabe von Patientendaten wird beendet.

Weitere Ausarbeitungen werden ggf. entsprechend Anfragen von Anwendern erarbeitet.

2.2.3 Zusammenarbeit mit anderen Organisationen

Die erfolgreiche Zusammenarbeit mit den Partner-Organisationen soll fortgeführt werden.

Amtszeit der Leiter*innen und deren Vertretung 

01. Juni 2021 - 01. Juni 2024

Archiv der Tätigkeitsberichte

  • Aktivitäten im Jahr 2021

    Aktivitäten im Jahr 2021

    Dr. Bernd Schütze, Düsseldorf (Leiter) 
    Thorsten Schütz, Itzehoe (Stellvertreter)

    Tätigkeit vom 1. Januar 2021 bis 31. Dezember 2021

    1. Aktivitäten der AG
    1.1 Wahl der AG-Leitung

    Am 17. April 2021 endete die Amtszeit der AG Leitung, sodass Wahlen durchgeführt werden mussten. Aufgrund der Covid-19-Situation konnte kein Treffen der AG durchgeführt werden, sodass Online-Wahlen erfolgten. Nach Rücksprache mit der GMDS Geschäftsstelle wurde eine anonyme Online-Wahl mittels der Software LimeSurvey (gehostet auf dem Server, auf dem auch unsere AG-Webseiten liegen, d. h. in Deutschland) durchgeführt. Da diese Wahl nicht im Rahmen eines Treffens stattfand, wurde ein Wahlzeitraum vom 10. bis 31. Mai 2021 angesetzt, sodass sich trotz Urlaub usw. jedes AG-Mitglied, das wollte, sich an der Wahl beteiligen konnte.

    Wahlleiter war Prof. Dr. Ulrich Sax aus Göttingen, gewählt wurden Dr. Bernd Schütze (Leitung) und Thorsten Schütz (stellvertretende Leitung).

    1.2 Ausarbeitungen 

    • Es wurde eine Praxishilfe zur Einwilligung („Die datenschutzrechtliche Einwilligung: Freund (nicht nur) des Forschers“) erstellt. (Veröffentlichung April 2021)
    • Es wurden die bundes- und landesrechtlichen datenschutzrelevanten Anforderungen an medizinische Register im Hinblick auf die Erlaubnistatbestände erstellt (Veröffentlichung November 2021):
      • Was zu beachten ist, damit Leistungserbringer wie Krankenhäuser Patientendaten an ein Register melden darf,
      • was muss ein Register leisten, damit Krankenhäuser Patientendaten weitergeben dürfen,
      • was sind die Erlaubnistatbestände, damit ein Register die gemeldeten Daten verarbeiten darf,
      • usw. 

    1.3 Zusammenarbeit mit anderen Organisationen

    Zu erwähnen sind hier vor allem die gute und enge Zusammenarbeit mit

    • BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.),
    • bvitg (Bundesverband Gesundheits-IT e.V.),
    • DKG (Deutsche Krankenhausgesellschaft e.V.),
    • GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.),
    • IHE-D (Integrating the Healthcare Enterprise Deutschland) und
    • KH-IT (Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter KH-IT e.V.).

    1.4 Veranstaltungen

    • Am 6./4. Mai 2021 wurde die Fachtagung „Datenschutz im Gesundheitswesen“ durchgeführt, an der über 500 Personen teilnahmen; aufgrund der Pandemie-Situation fand die Fachtagung wieder virtuell statt.
    • Am 25. November 2021 wurde das Seminar „Klinische Register und Datenschutz“ angeboten, an dem die erstellte Praxishilfe vorgestellt wurde. Von den angemeldeten 300 Personen nahmen über 20 dann auch teil. Das erhaltene Feedback zeigt, wie relevant das Thema einerseits ist, zugleich aber auch, dass dem Thema deutlich mehr Aufmerksamkeit geschenkt werden muss. Daher wird überlegt, zu dem Thema 2022 einen Workshop anzubieten.

    2. Vorgesehene Aktivitäten 2022

    2.1 Treffen der AG DIG

    Aufgrund der Pandemie-SItuation ist nicht absehbar, wann ein Treffen der AG möglich ist. 

    2.2 Aktivitäten der AG 

    2.2.1 Veranstaltungen

    Es sind folgende Veranstaltungen geplant:

    • Eine Fachtagung zum Gesundheitsdatenschutz (voraussichtlich 11. bis 13 Mai 2022)
    • Einen Workshop, wie klinische Register die aus den gesetzlichen Datenschutzvorgaben resultierenden Anforderungen erfüllen können.

    2.2.2 Ausarbeitungen 

    • Es ist eine Praxishilfe geplant, was in der Gesundheitsversorgung eingesetzte Informationssysteme protokollieren müssen, damit die in Art. 39 Abs. 1 lit. b DS-GVO enthaltene Prüfpflichten eines Datenschutzbeauftragten von diesen auch erfüllt werden können.

    Weitere Ausarbeitungen werden ggf. entsprechend Anfragen von Anwendern erarbeitet.

    2.2.3 Zusammenarbeit mit anderen Organisationen

    Die erfolgreiche Zusammenarbeit mit den Partner-Organisationen soll fortgeführt werden.

    Amtszeit der Leiter*innen und deren Vertretung 

    Amtszeit der Arbeitsgruppenleitung und deren Vertretung

    17. April 2018 - 17. April 2021

    18. April 2021 - 31. Mai 2021 (kommissarisch)

    01. Juni 2021 - 01. Juni 2024

  • Aktivitäten im Jahr 2018

    Aktivitäten im Jahr 2018

    Tätigkeit vom 1. Januar 2018 bis 31. Dezember 2018

    1. Treffen der AG
    Die AG traf sich im Rahmen der conhIT am 17. April 2018 in Berlin, wo die Wahl der AG-Leitung durchgeführt wurde. Das zweite Treffen sollte am 08. Oktober 2018 in Berlin stattfinden.

    2. Aktivitäten der AG
    2.1 Ausarbeitungen
    -      Die Ausarbeitung bzgl. der von der DS-GVO geforderten Sicherheit der Verarbeitung wurde fertiggestellt
            (Veröffentlichung Februar 2018)
    -      Es wurde auf den Umgang mit Checklisten unter der DS-GVO eingegangen und beispielhaft eine Checkliste zur
            Dokumentation der
            Sicherheit der Verarbeitung erstellt (Veröffentlichung Februar 2018).
    -      Die Ausarbeitung bzgl. der Datenschutz-Folgenabschätzung entsprechend der DS-GVO wurde finalisiert
            (Veröffentlichung  April 2018).
    -      Eine Ausarbeitung bzgl. der aus der EU DS-GVO resultierenden datenschutzrechtlichen Anforderungen hinsichtlich Privacy
            by Design / Privacy by Default wurde erarbeitet (Veröffentlichung April 2018).
    -      Die Ausarbeitung bezüglich Anforderung von Datenschutz und IT-Sicherheit bei der Fernwartung wurde abgeschlossen
            (Veröffentlichung Mai 2018).
    -      Der Umgang mit dem Thema „Gemeinsame Verarbeitung“ wurde in einer eigenen Ausarbeitung beleuchtet.
            (Veröffentlichung Juni 2018)
    -      Die Ausarbeitung zu Datenaustauschplattformen wurde hinsichtlich der Anforderungen der DS-GVO aktualisiert
            (Veröffentlichung Oktober 2018)
    -      Der Mustervertrag zur Auftragsverarbeitung wurde bzgl. der geänderten Regelungen in § 203 StGB überarbeitet,
            desgleichen wurde auf die DS-GVO-Anpassungen im SGB X eingegangen. (Veröffentlichung September 2018)
    Die Stellungnahme „IHE perspective on the European Union GDPR“ von IHE Europe wurde beratend begleitet.

    2.2 Zusammenarbeit mit anderen Organisationen
    Zu erwähnen sind hier vor allem die gute und enge Zusammenarbeit mit
    -      BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.),
    -      bvitg (Bundesverband Gesundheits-IT e.V.),
    -      DKG (Deutsche Krankenhausgesellschaft e.V.),
    -      GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.),
    -      IHE-D (Integrating the Healthcare Enterprise Deutschland),
    -      KH-IT (Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter KH-IT e. V.) und
    -      ZTG (Zentrum für Telematik und Telemedizin GmbH).

    2.3 Veranstaltungen
    Am 05./06. April 2018 wurde ein zweitägiges Seminar zur Umsetzung der Datenschutz-Grundverordnung in der Medizin durchgeführt. Weiterhin wurde die AG auf diversen Veranstaltungen repräsentiert, z. B.:
    -      conhIT
    -      GMDS-Jahrestagung
    -      Auf Fachtagungen der Krankenhausgesellschaft NRW.

    2.4 Wahlen
    Auf der Sitzung am 17. April 2018 fanden auch die Wahlen zur AG-Leitung statt. Wahlleiter war Prof. Dr. Ulrich Sax aus Göttingen, gewählt wurden Dr. Bernd Schütze (Leitung) und Thorsten Schütz (stellvertretende Leitung).

    3. Vorgesehene Aktivitäten 2019
    3.1. Treffen der AG DGI
    Es sind zwei Treffen der AG geplant:
    -      Eines im Rahmen der conhIT bzw. jetzt DMEA 2019,
    -      ein weiteres Treffen soll im Rahmen der GMDS Jahrestagung stattfinden.

    3.2. Aktivitäten der AG
    3.2.1. Veranstaltungen
    Es sind folgende Veranstaltungen geplant:
    -      Ein Seminar zum Thema Forschung unter der DS-GVO (Januar 2019)
    -      Eine Tagung zum Gesundheitsdatenschutz (voraussichtlich April 2019)

    3.2.2 Ausarbeitungen
    Noch in Planung

    3.2.3 Zusammenarbeit mit anderen Organisationen
    Die erfolgreiche Zusammenarbeit mit den Partner-Organisationen soll fortgeführt werden.