Sie sind auf Seite 1von 3

Datenschutz

Prinzipien des Datenschutzes


a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person
nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu
und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer
mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine
Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für
wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt
gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken
(„Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung
notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle
angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf
die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
(„Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so
lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen
Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer
Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der
betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende
Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für
statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und
organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Stufen der Anonymität


• Absolute Anonymität
Absolut anonyme Daten werden durch Vergröberungen und die Entfernung von Merkmalen
so weit verändert, dass eine Identifizierung der Auskunftgebenden unmöglich gemacht wird.

• Faktische Anonymität
Mikrodaten werden als faktisch anonym bezeichnet, wenn eine Deanonymisierung zwar
nicht gänzlich ausgeschlossen werden kann, die Angaben jedoch „nur mit einem
unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft“ der jeweiligen
Merkmalsträgerin bzw. dem jeweiligen Merkmalsträger zugeordnet werden können
• Formale Anonymität
Für die Herstellung der formalen Anonymität werden die direkten Identifikatoren und
Hilfsmerkmale aus dem Datenmaterial entfernt, der weitere Merkmalsumfang und die
fachlichen und regionalen Gliederungen bleiben dagegen erhalten.

Technische und organisatorische Maßnahmen


Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter
nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird,
für Unbefugte (Zugangskontrolle),

2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
(Datenträgerkontrolle),

3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten
Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
(Speicherkontrolle),

4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur
Datenübertragung durch Unbefugte (Benutzerkontrolle),

5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten


ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang
haben (Zugriffskontrolle),

6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene
Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt
wurden oder werden können (Übertragungskontrolle),

7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche


personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme
eingegeben oder verändert worden sind (Eingabekontrolle),

8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von
Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird (Transportkontrolle),

9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können


(Wiederherstellbarkeit),

10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende
Fehlfunktionen gemeldet werden (Zuverlässigkeit),

11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des
Systems beschädigt werden können (Datenintegrität),

12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggeberverarbeitet werden können (Auftragskontrolle),

13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
(Verfügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt
verarbeitet werden können (Trennbarkeit).

Anwendungen der deutschen Telematikinfrastruktur


• eGK als Krankenversicherungskarte verpflichtend seit 2015
• Elektronischer Medikationsplan (eMP) seit 2020 abhängig von der technischen Ausstattung
der Praxis erfordert PIN des Patienten
• Notfalldatenmanagement seit Mitte 2020
• Elektronische Patientenakte ab 1.Juli 2021 technische Voraussetzung bei allen Vertragsärzten
• E-Rezept verpflichtend ab Januar 2022