SächsKHG - Gesetz zur Neuordnung des Krankenhauswesens – Sächsisches Krankenhausgesetz
SächsKHG - Gesetz zur Neuordnung des Krankenhauswesens – Sächsisches Krankenhausgesetz |
| Sektor | Gesundheit |
|---|---|
| Branche | Medizinische Versorgung |
| Ebene | Landesrecht |
| Bundesland | Sachsen |
| Rechtsakt | Gesetzlich |
Gesetz zur Neuordnung des Krankenhauswesens – Sächsisches Krankenhausgesetz
SächSKHG§§ 32-34
§ 32 Auskunftspflichten und Datenverarbeitung
Der Krankenhausträger ist verpflichtet, der zuständigen Behörde jährlich die für die Krankenhausplanung erforderlichen Angaben zu übermitteln. Die Auskunftspflicht gemäß § 28 KHG bleibt unberührt.
§ 33 Datenschutz(1) 1Soweit in diesem Gesetz nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften über den Schutz personenbezogener Daten anzuwenden. 2Patientendaten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patienten aus dem Bereich der Krankenhäuser. 3Patientendaten sind auch die personenbezogenen Daten von Angehörigen, anderen Bezugspersonen des Patienten sowie sonstiger Dritter, die dem Krankenhaus im Zusammenhang mit der Behandlung bekannt werden.
(2) 1Patientendaten dürfen unbeschadet anderer Rechtsvorschriften verarbeitet werden, soweit
1. dies im Rahmen des Behandlungsverhältnisses auf vertraglicher Grundlage mit einem Angehörigen eines Gesundheitsberufs, der dem Berufsgeheimnis unterliegt, oder durch andere Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, erforderlich ist; die Verarbeitung von Daten zu diesen Zwecken richtet sich nach den für die genannten Personen geltenden Geheimhaltungspflichten, oder
2. dies zur Ausbildung oder Fortbildung erforderlich ist und dieser Zweck nicht in vertretbarer Weise mit anonymisierten Daten erreichbar ist.
2Beruht die Verarbeitung auf einer Einwilligung des Patienten, bedarf diese einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 3Wird die Einwilligung mündlich erteilt, ist diese aufzuzeichnen.
(3) 1Eine Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, soweit sie erforderlich ist
1. zur Erfüllung einer gesetzlich vorgeschriebenen Behandlungs- oder Mitteilungspflicht,
2. a) zur Entscheidungsfindung der Krankenkassen, ob und inwieweit Präventions-, Rehabilitations- oder andere komplementäre Maßnahmen angezeigt sind,
b) zur Durchführung des Behandlungsvertrages einschließlich der Nachbehandlung,
soweit der Patient nach Hinweis auf die beabsichtigte Übermittlung nicht etwas anderes bestimmt hat,
3. zur Abwehr von gegenwärtigen Gefahren für das Leben, die Gesundheit oder die persönliche Freiheit des Patienten oder eines Dritten, sofern diese Rechtsgüter das Geheimhaltungsinteresse des Patienten deutlich überwiegen,
4. zur Durchführung qualitätssichernder Maßnahmen in der Krankenversorgung, wenn das Interesse der Allgemeinheit an der Durchführung der beabsichtigten Maßnahme die schutzwürdigen Belange des Patienten erheblich überwiegt,
5. zur Durchführung eines mit der Behandlung zusammenhängenden gerichtlichen Verfahrens,
6. zur Feststellung der Leistungspflicht, Abrechnung und Überprüfung der Wirtschaftlichkeit durch die Sozialleistungsträger,
7. zur Unterrichtung der Angehörigen, soweit der Patient nicht seinen gegenteiligen Willen kundgetan hat oder sonstige Anhaltspunkte bestehen, dass eine Übermittlung nicht angebracht ist
8. oder sie in einer anderen Rechtsvorschrift geregelt ist.
2In anderen Fällen ist eine Übermittlung von Daten nur mit Einwilligung des Patienten zulässig. 3Absatz 2 Satz 2 und 3 gilt entsprechend.
(4) 1Stellen oder Personen, denen nach dieser Vorschrift personenbezogene Daten befugt übermittelt worden sind, dürfen diese nur zu dem Zweck verwenden, der die Befugnis begründet. 2Im Übrigen haben sie diese Daten unbeschadet sonstiger Datenschutzbestimmungen in demselben Umfang geheimzuhalten wie das Krankenhaus selbst.
(5) 1Dem Patienten ist auf Antrag kostenfrei Einsicht, insbesondere in seine Krankendaten, zu gewähren.
2Soweit Auskunfts- und Einsichtsansprüche medizinische Daten des Patienten betreffen, darf sie nur der behandelnde Arzt erfüllen. 3Die Auskunfts- und Einsichtsansprüche können im Interesse der Gesundheit des Patienten begrenzt werden; durch berechtigte Geheimhaltungsinteressen Dritter werden sie eingeschränkt.
(6) 1Nach Abschluss der Behandlung unterliegen personenbezogene Daten, die in automatisierten Verfahren gespeichert und direkt abrufbar sind, dem alleinigen Zugriff der jeweiligen Fachabteilung. 2Dies gilt nicht für diejenigen Daten, die für das Auffinden der sonstigen Patientendaten erforderlich sind. 3Die Eröffnung des Direktzugriffs auf den Gesamtdatenbestand für andere Stellen im Krankenhaus ist unter den Voraussetzungen des Absatzes 2 nur mit Zustimmung der Fachabteilung zulässig.
(7) Der Krankenhausträger hat einen Datenschutzbeauftragten zu benennen.
(8) 1Soweit sich das Krankenhaus bei der Verarbeitung von Patientendaten eines Auftragsverarbeiters bedient, ist insbesondere sicherzustellen, dass dieser die § 203 des Strafgesetzbuches entsprechende Schweigepflicht einhält. 2Die Auftragserteilung bedarf der Zustimmung der zuständigen Behörde. 3Der Auftragsverarbeiter hat einen Datenschutzbeauftragten zu benennen.
§ 34 Datenschutz bei Forschungsvorhaben(1) 1Ärzte dürfen Patientendaten, die innerhalb ihrer Fachabteilung oder bei Hochschulen innerhalb ihrer medizinischen Einrichtungen, in den Universitätsklinika oder in sonstigen medizinischen Einrichtungen gespeichert sind, für eigene wissenschaftliche Forschungsvorhaben verarbeiten. 2Satz 1 gilt entsprechend für sonstiges wissenschaftliches Personal dieser Einrichtungen, soweit es der Geheimhaltungspflicht des § 203 des Strafgesetzbuches unterliegt.
(2) 1Zu Zwecken der wissenschaftlichen Forschung ist die Übermittlung von Patientendaten an Dritte und die Verarbeitung durch sie zulässig, soweit der Patient eingewilligt hat. 2§ 33 Absatz 2 Satz 2 und 3 gilt entsprechend.
(3) 1Der Einwilligung des Patienten bedarf es nicht, wenn der Zweck eines bestimmten Forschungsvorhabens nicht auf andere Weise erfüllt werden kann und
1. das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse des Patienten erheblich überwiegt oder
2. es nicht zumutbar ist, die Einwilligung einzuholen und schutzwürdige Belange des Patienten nicht beeinträchtigt werden.
2Die übermittelnde Stelle hat den Empfänger, die Art der zu übermittelnden Daten, die betroffenen Patienten und das Forschungsvorhaben aufzuzeichnen.
(4) 1Sobald es der Forschungszweck erlaubt, sind die personenbezogenen Daten derart zu verändern, dass sie keine Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person mehr sind. 2Soweit dies nicht möglich ist, sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu speichern, sobald es der Forschungszweck erlaubt; die Merkmale sind zu löschen, sobald der Forschungszweck erreicht ist.
(5) Soweit die Bestimmungen dieses Gesetzes auf den Empfänger von Patientendaten keine Anwendung finden, dürfen sie nur übermittelt werden,
1. wenn sich der Empfänger verpflichtet,
a) die Daten nur für das von ihm genannte Forschungsvorhaben zu verwenden,
b) die Bestimmungen des Absatzes 4 einzuhalten und
c) dem Sächsischen Datenschutzbeauftragten auf Verlangen Einsicht und Auskunft zu gewähren, und
2. wenn der Empfänger nachweist, dass bei ihm die technischen und organisatorischen Voraussetzungen vorliegen, um der Verpflichtung nach Nummer 1 Buchst. b zu entsprechen.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Brönneke/Kipker, GesR 2015, 211 (Medizinische IT-Innovationen und Datenschutz)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hanika, PflR 2008, 572 (RFID im Gesundheitswesen)
- Herkenhöner/Fischer/de Meer, DuD 2011, 870 (Outsourcing im Pflegedienst)
- Hornung/Sixt, CR 2015, 828 (IT-Enhancement im Gesundheitswesen)
- Huneke/Hanzelmann, RDG 2009, 256 (Transsektoraler Datentransfer)
- Jandt/Hohmann, K&R 2015, 694 (Medizinische Apps und Datenschutz)
- Jandt/Roßnagel/Wilke, NZS 2011, 641 (Outsourcing Datenverarbeitung Patientendaten)
- Kingreen/Kühling, Gesundheitsdatenschutzrecht, Studienband zum öffentlichen Recht Band 13, Baden-Baden 2015;
- Kircher, Der Schutz personenbezogener Daten im Gesundheitswesen, Baden-Baden 2016
- Kremer, CR 2017, 367 (Neues BDSG)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Liedke, DuD 2015, 806 (Datenschutzrechtliche Fragen der digitalisierten Pflegedokumentation)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Menzel, RDV 2013, 59 (Auftragsdatenverarbeitung im Gesundheitswesen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Orientierungshilfe des BFDI: Datenschutz und Telemedizin Anforderungen an Medizinnetze
- Paul/Gendelev, ZD 2012, 315 (Outsourcing von Krankenhausinformationssystemen (KIS))
- Peil, WzS 2014, 174 (Datenschutz in der Pflege)
- Pitschas, NZS 2009,177 (Elektronische Gesundheitskarte)
- Rehmann/Heimhalt, A&R 2014, 250 (Rechtliche Aspekte von Health-Apps)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schreibauer/Spittka, ITRB 2015, 240 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen)
- Schütze/Kamler, DMW 2007, 453 (Probleme der Telemedizin)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer, RDG 2012, 272 (Datenverarbeitung und Datenschutz im Gesundheitswesen, technische Möglichkeiten, rechtliche Grundlagen)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VG Gelsenkirchen, B. v. 14.10.2013 – 17 L 304/13 (Sammlung von Patientendaten, Datenschutz)
- Vedder, DuD 2014, 821 (Datenschutz in Arztpraxen)
- Weichert, DuD 2014, 831 (Big Data im Gesundheitswesen)
- Winandy, DuD 2012, 419 (Informationssicherheit in der Arztpraxis)
-
Ergebnis 41
DIN EN ISO 13606-4:2019-06
Deutsch: Medizinische Informatik - Kommunikation von Patientendaten in elektronischer Form - Teil 4: Sicherheit
Englisch: Health informatics - Electronic health record communication - Part 4: Security
Ergebnis 42
DIN EN ISO 13606-5:2019-06
Deutsch: Medizinische Informatik - Kommunikation von Patientendaten in elektronischer Form - Teil 5: Interface Spezifikation
Englisch: Health informatics - Electronic health record communication - Part 5: Interface specification
Ergebnis 43
DIN CEN ISO TS 14441, DIN SPEC 58996:2014-04
Deutsch: Medizinische Informatik - Sicherheits- und Datenschutzanforderungen für die Konformitätsprüfung von EGA-Systemen (ISO/TS 14441:2013); Deutsche Fassung CEN ISO/TS 14441:2013
Englisch: Health informatics - Security and privacy requirements of EHR systems for use in conformity assessment (ISO/TS 14441:2013); German version CEN ISO/TS 14441:2013
Ergebnis 44
DIN EN ISO 22600-1:2015-02
Deutsch: Medizinische Informatik - Privilegienmanagement und Zugriffssteuerung - Teil 1: Übersicht und Policy-Management (ISO 22600-1:2014); Deutsche Fassung EN ISO 22600-1:2014
Englisch: Health informatics - Privilege management and access control - Part 1: Overview and policy management (ISO 22600-1:2014); German version EN ISO 22600-1:2014
Ergebnis 45
DIN EN ISO 22600-2:2015-02
Deutsch: Medizinische Informatik - Privilegienmanagement und Zugriffssteuerung - Teil 2: Formale Modelle (ISO 22600-2:2014); Deutsche Fassung EN ISO 22600-2:2014
Englisch: Health informatics - Privilege management and access control - Part 2: Formal models (ISO 22600-2:2014); German version EN ISO 22600-2:2014
Ergebnis 46
DIN EN ISO 22600-3:2015-02
Deutsch: Medizinische Informatik - Privilegmanagement und Zugriffssteuerung - Teil 3: Implementierungen (ISO 22600-3:2014); Deutsche Fassung EN ISO 22600-3:2014
Englisch: Health informatics - Privilege management and access control - Part 3: Implementations (ISO 22600-3:2014); German version EN ISO 22600-3:2014
Ergebnis 47
DIN EN 80001-1 VDE 0756-1:2011-11
Deutsch: Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten - Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 80001-1:2010); Deutsche Fassung EN 80001-1:2011
Englisch: Application of risk management for IT-networks incorporating medical devices - Part 1: Roles, responsibilities and activities (IEC 80001-1:2010); German version EN 80001-1:2011
Ergebnis 48
IEC TR 80001-2-2:2012-07
Deutsch: Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten - Teil 2-2: Leitfaden zur Angabe von Bedingungen für die Kommunikationssicherheit von Medizinprodukten, Risiken und Risikobeherrschung
Englisch: Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
Ergebnis 49
IEC TR 80001-2-9:2017-01
Deutsch: Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten - Teil 2-9: Anwendungsleitfaden - Leitfaden für die Verwendung von Assurance Cases zur Bestätigung der Übereinstimmung mit IEC/TR 80001-2-2 Kommunikationssicherheit
Englisch: Application of risk management for it-networks incorporating medical devices - Part 2-9: Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC TR 80001-2-2 security capabilities