Zusammenfassung
Mit Wirksamwerden des Strahlenschutzgesetzes (StrlSchG) und der Strahlenschutzverordnung (StrlSchV), welche die Röntgenverordnung (RöV) zum 31.12.2018 „ablöste“, änderte sich wenig an den teleradiologiespezifischen Anforderungen. Allerdings gelten auch für die Teleradiologie die datenschutzrechtlichen Anforderungen der Datenschutz-Grundverordnung (DS-GVO). Zunächst ist jede Verarbeitung von Gesundheitsdaten verboten, wenn kein Erlaubnistatbestand vorhanden ist. Sodann müssen die in Art. 5 DS-GVO festgelegten Grundsätze nachweislich eingehalten werden, Patienten müssen informiert werden, die Sicherheit der Daten gewährleistet werden usw. Grundlegend muss geklärt werden, auf welcher Rechtsgrundlage die Zusammenarbeit zwischen dem versorgenden Krankenhaus und dem Teleradiologen erfolgt: Ist es eine eigenständige Behandlung durch den Teleradiologen selbst? Oder ist es eher eine gemeinsame Verarbeitung im Sinne der DS-GVO? Werden neue Technologien z. B. zur Datenübertragung über eine Cloud-Anwendung genutzt, muss ggf. eine Datenschutz-Folgenabschätzung erfolgen. Wenngleich viele Anforderungen der DS-GVO allein schon durch die teleradiologischen Anforderungen adressiert werden, d. h. bei einer genehmigten Teleradiologie viele Anforderungen der DS-GVO schon umgesetzt sind, bleiben noch einige Punkte, die man sich genauer ansehen sollte.
Abstract
With the introduction of the Radiation Protection Act (StrlSchG) and the Radiation Protection Regulations (StrlSchV), which “replaced” the Roentgen Regulations (RöV) on 31 December 2018, there has been little change regarding teleradiology-specific requirements. Nevertheless, the data protection requirements of the General Data Protection Regulations (GDPR) also apply to teleradiology. Primarily, any processing of healthcare data is prohibited if there is no legal basis for permission. Thereafter, the established principles laid down in Art. 5 GDPR must be demonstrably fulfilled, patients must be informed and the security of the data must be guaranteed, etc.
It is fundamentally necessary to clarify on what legal basis the cooperation between the treating hospital and the teleradiologist takes place: is it an independent treatment by the teleradiologist alone or is it more a joint processing in the sense of Art. 26 GDPR? If teleradiology is using new technologies, e.g. the distribution via a cloud solution, a data protection impact assessment may have to be carried out.
Even though many requirements of the GDPR are already addressed by the teleradiological requirements alone and they are already implemented in an approved teleradiology, there are still some points that should be looked at more closely.
Notes
Europäischer Gerichtshof (EuGH). Urt. V. 05.06.2018, AZ: C-210/16. Rn. 38. Online, zitiert am 2018-06-12; Verfügbar unter: http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=568857.
Z. B. durch § 22 Abs. 2 BDSG.
Erwägungsgrund 91 DS-GVO führt aus, dass die Verarbeitung personenbezogener Daten nicht als umfangreich gilt, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.
Literatur
Ärztekammer Nordrhein (2019) Berufsordnung für die nordrheinischen Ärztinnen und Ärzte. https://www.aekno.de/page.asp?pageID=57#_7. Zugegriffen: 26. Febr. 2019 (§ 7 Abs. 1)
Sächsische Landesärztekammer (2018) Berufsordnung für Ärztinnen und Ärzte in Sachsen. https://www.slaek.de/de/05/aufgaben/Berufsordnung.php. Zugegriffen: 26. Febr. 2019 (bspw. §§ 2(1), 30)
Bayerisches Landesamt für Datenschutzaufsicht (2018) FAQ zur DS-GVO: Stichworte „Abrechnung über private Abrechnungsstelle, KVB, MDK, Labor“. https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung_Arzt.pdf. Zugegriffen: 26. Febr. 2019
Bayerisches Landesamt für Datenschutzaufsicht (2018) FAQ zur DS-GVO, Stichworte „Auftragsverarbeitung, Abgrenzung“. https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf. Zugegriffen: 26. Febr. 2019
Kassenärztliche Vereinigung Bayern (2019) Fragen und Antworten zur Datenschutz-Grundverordnung (DS-GVO) und Datenschutz in der Arztpraxis. https://www.kvb.de/fileadmin/kvb/dokumente/Praxis/Praxisfuehrung/KVB-Infoblatt-FAQ-DSGVO.pdf. Zugegriffen: 26. Febr. 2019
Bayerische Landesärztekammer (2018) Datenschutz und Schweigepflicht 2018 (EU-DSGVO). https://www.blaek.de/beruf_recht/datenschutz/index.cfm. Zugegriffen: 26. Febr. 2019 (FAQ 10)
Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. (2019) EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO). Art. 26 DS-GVO: Gemeinsam Verantwortliche. http://ds-gvo.gesundheitsdatenschutz.org/html/gemeinsam_verantwortlich.php. Zugegriffen: 26. Febr. 2019
Moos F (Hrsg) (2018) Datennutzungs- und Datenschutzverträge: Muster, Klauseln, Erläuterungen, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Bundesärztekammer (BÄK), Kassenärztliche Bundesvereinigung (KBV) (2018) Technische Anlage: Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis. Dtsch Arztebl 115(25):A1239 (zitiert am 18.03.2019; verfügbar unter https://www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Ordner/Telemedizin_Telematik/Sicherheit/Schweigepflicht_Technische_Anlage_2018.pdf)
Schaumüller-Bichl I, Kolberger A (2016) Information Security Risk Analysis in komplexen Systemen – Neue Herausforderungen und Lösungsansätze. https://pdfs.semanticscholar.org/f72b/610fb2d1ae28ba22ec04d54a9b8f6635e565.pdf. Zugegriffen: 26. Febr. 2019
Wagner SM, Bode C (2007) Empirische Untersuchung von SC-Risiken und SC-Risikomanagement in Deutschland. In: Vahrenkamp R, Siepermann C (Hrsg) Risikomanagement in Supply Chains: Gefahren abwehren, Chancen nutzen, Erfolg generieren. Erich Schmidt Verlag, Berlin
Wikipedia (2019) Resilienz (Ingenieurwissenschaften). https://de.wikipedia.org/wiki/Resilienz_(Ingenieurwissenschaften). Zugegriffen: 26. Febr. 2019
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2017) Datenschutzkonferenz: Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“. https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_DatenschutzFolgeabschaetzung.pdf;jsessionid=2191F877FFE87422A2F6646332B70D91.2_cid354?__blob=publicationFile&v=2. Zugegriffen: 26. Febr. 2019 (Seite 1 Abs. 2, S. 2)
Bundesverband Gesundheits-IT – bvitg e. V. (bvitg), Deutsche Krankenhausgesellschaft e. V. (DK, Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. (2019) EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO). Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO. http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa.php. Zugegriffen: 26. Febr. 2019
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2018) Datenschutzkonferenz: Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_VerarbeitungsvorgaengeDSK.html?cms_templateQueryString=DSFA&cms_sortOrder=score+desc bzw. direkt pdf-Datei unter https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile&v=3. Zugegriffen: 26. Febr. 2019
Arbeitsgemeinschaft Informationstechnologie der Deutschen Röntgengesellschaft (@GIT) (2019) DICOM-E-MAIL-Standardempfehlung. https://www.agit.drg.de/de-DE/1228/dicom-e-mail-standardempfehlung. Zugegriffen: 26. Febr. 2019
Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. (2015) Stellungnahme „Datenschutzrechtliche Bewertung der DICOM-E-MAIL-Standardempfehlung“ vom 7. August 2015. http://www.gesundheitsdatenschutz.org/lib/exe/fetch.php/Gutachten_DICOM-E-Mail-Standard.pdf. Zugegriffen: 26. Febr. 2019
Author information
Authors and Affiliations
Corresponding author
Ethics declarations
Interessenkonflikt
B. Schütze und M. Kämmerer geben an, dass kein Interessenkonflikt besteht.
Für diesen Beitrag wurden von den Autoren keine Studien an Menschen oder Tieren durchgeführt. Für die aufgeführten Studien gelten die jeweils dort angegebenen ethischen Richtlinien.
Additional information
Redaktion
P. Mildenberger, Mainz
Aus Gründen der besseren Lesbarkeit wird in dieser Fachpublikation in der Regel das generische Maskulinum als geschlechtsneutrale Form verwendet.
Rights and permissions
About this article
Cite this article
Schütze, B., Kämmerer, M. Gesetzlich geregelte Teleradiologie: Umsetzung der datenschutzrechlichen Anforderungen. Radiologe 59, 637–642 (2019). https://doi.org/10.1007/s00117-019-0536-3
Published:
Issue Date:
DOI: https://doi.org/10.1007/s00117-019-0536-3