Advertisement

Der Radiologe

, Volume 59, Issue 7, pp 637–642 | Cite as

Gesetzlich geregelte Teleradiologie: Umsetzung der datenschutzrechlichen Anforderungen

  • B. SchützeEmail author
  • M. Kämmerer
Informationstechnologie und Management

Zusammenfassung

Mit Wirksamwerden des Strahlenschutzgesetzes (StrlSchG) und der Strahlenschutzverordnung (StrlSchV), welche die Röntgenverordnung (RöV) zum 31.12.2018 „ablöste“, änderte sich wenig an den teleradiologiespezifischen Anforderungen. Allerdings gelten auch für die Teleradiologie die datenschutzrechtlichen Anforderungen der Datenschutz-Grundverordnung (DS-GVO). Zunächst ist jede Verarbeitung von Gesundheitsdaten verboten, wenn kein Erlaubnistatbestand vorhanden ist. Sodann müssen die in Art. 5 DS-GVO festgelegten Grundsätze nachweislich eingehalten werden, Patienten müssen informiert werden, die Sicherheit der Daten gewährleistet werden usw. Grundlegend muss geklärt werden, auf welcher Rechtsgrundlage die Zusammenarbeit zwischen dem versorgenden Krankenhaus und dem Teleradiologen erfolgt: Ist es eine eigenständige Behandlung durch den Teleradiologen selbst? Oder ist es eher eine gemeinsame Verarbeitung im Sinne der DS-GVO? Werden neue Technologien z. B. zur Datenübertragung über eine Cloud-Anwendung genutzt, muss ggf. eine Datenschutz-Folgenabschätzung erfolgen. Wenngleich viele Anforderungen der DS-GVO allein schon durch die teleradiologischen Anforderungen adressiert werden, d. h. bei einer genehmigten Teleradiologie viele Anforderungen der DS-GVO schon umgesetzt sind, bleiben noch einige Punkte, die man sich genauer ansehen sollte.

Schlüsselwörter

Patientendaten Strahlenschutzgesetz Strahlenschutzverordnung Datenschutz‐Grundverordnung Telemedizin 

Legally regulated teleradiology: implementation of data protection legal requirements

Abstract

With the introduction of the Radiation Protection Act (StrlSchG) and the Radiation Protection Regulations (StrlSchV), which “replaced” the Roentgen Regulations (RöV) on 31 December 2018, there has been little change regarding teleradiology-specific requirements. Nevertheless, the data protection requirements of the General Data Protection Regulations (GDPR) also apply to teleradiology. Primarily, any processing of healthcare data is prohibited if there is no legal basis for permission. Thereafter, the established principles laid down in Art. 5 GDPR must be demonstrably fulfilled, patients must be informed and the security of the data must be guaranteed, etc.

It is fundamentally necessary to clarify on what legal basis the cooperation between the treating hospital and the teleradiologist takes place: is it an independent treatment by the teleradiologist alone or is it more a joint processing in the sense of Art. 26 GDPR? If teleradiology is using new technologies, e.g. the distribution via a cloud solution, a data protection impact assessment may have to be carried out.

Even though many requirements of the GDPR are already addressed by the teleradiological requirements alone and they are already implemented in an approved teleradiology, there are still some points that should be looked at more closely.

Keywords

Patient data Radiation Protection Act Radiation protection regulation General data protection regulation Telemedicine 

Notes

Einhaltung ethischer Richtlinien

Interessenkonflikt

B. Schütze und M. Kämmerer geben an, dass kein Interessenkonflikt besteht.

Für diesen Beitrag wurden von den Autoren keine Studien an Menschen oder Tieren durchgeführt. Für die aufgeführten Studien gelten die jeweils dort angegebenen ethischen Richtlinien.

Literatur

  1. 1.
    Ärztekammer Nordrhein (2019) Berufsordnung für die nordrheinischen Ärztinnen und Ärzte. https://www.aekno.de/page.asp?pageID=57#_7. Zugegriffen: 26. Febr. 2019 (§ 7 Abs. 1)Google Scholar
  2. 2.
    Sächsische Landesärztekammer (2018) Berufsordnung für Ärztinnen und Ärzte in Sachsen. https://www.slaek.de/de/05/aufgaben/Berufsordnung.php. Zugegriffen: 26. Febr. 2019 (bspw. §§ 2(1), 30)Google Scholar
  3. 3.
    Bayerisches Landesamt für Datenschutzaufsicht (2018) FAQ zur DS-GVO: Stichworte „Abrechnung über private Abrechnungsstelle, KVB, MDK, Labor“. https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung_Arzt.pdf. Zugegriffen: 26. Febr. 2019Google Scholar
  4. 4.
    Bayerisches Landesamt für Datenschutzaufsicht (2018) FAQ zur DS-GVO, Stichworte „Auftragsverarbeitung, Abgrenzung“. https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf. Zugegriffen: 26. Febr. 2019Google Scholar
  5. 5.
    Kassenärztliche Vereinigung Bayern (2019) Fragen und Antworten zur Datenschutz-Grundverordnung (DS-GVO) und Datenschutz in der Arztpraxis. https://www.kvb.de/fileadmin/kvb/dokumente/Praxis/Praxisfuehrung/KVB-Infoblatt-FAQ-DSGVO.pdf. Zugegriffen: 26. Febr. 2019Google Scholar
  6. 6.
    Bayerische Landesärztekammer (2018) Datenschutz und Schweigepflicht 2018 (EU-DSGVO). https://www.blaek.de/beruf_recht/datenschutz/index.cfm. Zugegriffen: 26. Febr. 2019 (FAQ 10)Google Scholar
  7. 7.
    Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. (2019) EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO). Art. 26 DS-GVO: Gemeinsam Verantwortliche. http://ds-gvo.gesundheitsdatenschutz.org/html/gemeinsam_verantwortlich.php. Zugegriffen: 26. Febr. 2019Google Scholar
  8. 8.
    Moos F (Hrsg) (2018) Datennutzungs- und Datenschutzverträge: Muster, Klauseln, Erläuterungen, 2. Aufl. Verlag Dr. Otto Schmidt, KölnGoogle Scholar
  9. 9.
    Bundesärztekammer (BÄK), Kassenärztliche Bundesvereinigung (KBV) (2018) Technische Anlage: Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis. Dtsch Arztebl 115(25):A1239 (zitiert am 18.03.2019; verfügbar unter https://www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Ordner/Telemedizin_Telematik/Sicherheit/Schweigepflicht_Technische_Anlage_2018.pdf)Google Scholar
  10. 10.
    Schaumüller-Bichl I, Kolberger A (2016) Information Security Risk Analysis in komplexen Systemen – Neue Herausforderungen und Lösungsansätze. https://pdfs.semanticscholar.org/f72b/610fb2d1ae28ba22ec04d54a9b8f6635e565.pdf. Zugegriffen: 26. Febr. 2019Google Scholar
  11. 11.
    Wagner SM, Bode C (2007) Empirische Untersuchung von SC-Risiken und SC-Risikomanagement in Deutschland. In: Vahrenkamp R, Siepermann C (Hrsg) Risikomanagement in Supply Chains: Gefahren abwehren, Chancen nutzen, Erfolg generieren. Erich Schmidt Verlag, BerlinGoogle Scholar
  12. 12.
    Wikipedia (2019) Resilienz (Ingenieurwissenschaften). https://de.wikipedia.org/wiki/Resilienz_(Ingenieurwissenschaften). Zugegriffen: 26. Febr. 2019Google Scholar
  13. 13.
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2017) Datenschutzkonferenz: Kurzpapier Nr. 5 „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“. https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_DatenschutzFolgeabschaetzung.pdf;jsessionid=2191F877FFE87422A2F6646332B70D91.2_cid354?__blob=publicationFile&v=2. Zugegriffen: 26. Febr. 2019 (Seite 1 Abs. 2, S. 2)Google Scholar
  14. 14.
    Bundesverband Gesundheits-IT – bvitg e. V. (bvitg), Deutsche Krankenhausgesellschaft e. V.  (DK, Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. (2019) EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO). Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO. http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa.php. Zugegriffen: 26. Febr. 2019Google Scholar
  15. 15.
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2018) Datenschutzkonferenz: Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_VerarbeitungsvorgaengeDSK.html?cms_templateQueryString=DSFA&cms_sortOrder=score+desc bzw. direkt pdf-Datei unter https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile&v=3. Zugegriffen: 26. Febr. 2019Google Scholar
  16. 16.
    Arbeitsgemeinschaft Informationstechnologie der Deutschen Röntgengesellschaft (@GIT) (2019) DICOM-E-MAIL-Standardempfehlung. https://www.agit.drg.de/de-DE/1228/dicom-e-mail-standardempfehlung. Zugegriffen: 26. Febr. 2019Google Scholar
  17. 17.
    Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. (2015) Stellungnahme „Datenschutzrechtliche Bewertung der DICOM-E-MAIL-Standardempfehlung“ vom 7. August 2015. http://www.gesundheitsdatenschutz.org/lib/exe/fetch.php/Gutachten_DICOM-E-Mail-Standard.pdf. Zugegriffen: 26. Febr. 2019Google Scholar

Copyright information

© Springer Medizin Verlag GmbH, ein Teil von Springer Nature 2019

Authors and Affiliations

  1. 1.Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS)KölnDeutschland
  2. 2.VISUS Health IT GmbHBochumDeutschland

Personalised recommendations