Rechtsanwältin für Datenschutz im Gesundheitswesen
Rechtsanwältin für Datenschutz im Gesundheitswesen
Rechtsanwältin für Datenschutz im Gesundheitswesen

Case Study zum produktbezogenen Datenschutz

Home Datenschutz Case Study zum produktbezogenen Datenschutz

Case Study zum produktbezogenen Datenschutz

(Fiktives) Beispiel für die Einführung eines neuen Produktes im Gesundheitsbereich aus datenschutzrechtlicher Sicht*:

Ein eHealth Start-up BeHealthy GmbH plant Entwicklung einer neuen Gesundheits-App zur Messung von Blutzuckerwerten einer an der Diabetes erkrankten Person, die zusammen mit einem Armband, das von der Tochtergesellschaft NoSugar GmbH, angewendet wird. Die App soll über App-Store downloadbar sein, nach dem das Armband aktiviert wurde.

BeHealthy GmbH plant, hierzu drei Dienstleister einzusetzen, die aus Deutschland, Schweiz und China ihre Dienstleistungen anbieten.

Worauf muss die BeHealthy GmbH als Verantwortliche muss präventiv achten?

Die BeHealthy GmbH als Verantwortliche iSd DSGVO muss mindestens folgende Frage beantworten und erforderliche Maßnahmen umsetzen

Block 1

  • Welche personenbezogenen Daten werden verarbeitet?
  • Von welchen Personen werden die Daten verarbeitet? Wer darf auf die Daten zugreifen?
  • Zu welchen Zwecken werden die personenbezogenen Daten verarbeitet?
  • Wie lange werden diese personenbezogenen Daten von dem Verantwortlichen verarbeitet? Wann werden diese Daten gelöscht? Bestehen gesetzliche Aufbewahrungspflichten?
  • Sind Vertraulichkeit, Richtigkeit und Integrität der verarbeiteten personenbezogenen Daten gewährleistet?

To-Dos:

  • Zugriff- und Berechtigungskonzept erstellen
  • Löschkonzept erstellen
  • Verzeichnis der Verarbeitungstätigkeiten vervollständigen
  • TOM und Datensicherheitskonzept ausarbeiten
  • Dokumentationsprozesse etablieren
  • Prozess bei Anfragen der betroffenen Personen festlegen

Block 2

  • Gibt es eine korrekte Datenschutzerklärung?
  • Werden Gesundheitsdaten verarbeitet?
  • Gibt es für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage?
  • Wurde die Datenschutz-Folgenabschätzung durchgeführt?

To-Dos

  • Datenschutzerklärung in der App richtig abbilden
  • Ggf. Datenschutz-Folgenabschätzung durchführen
  • Rechtsgrundlagen checken: Falls erforderlich Einwilligungstexte vorbereiten, bei Verarbeitung der Gesundheitsdaten die besonderen Anforderungen an eine Einwilligung prüfen

Block 3

  • Sind die technisch-organisatorischen Maßnahmen festgelegt?
  • Werden die Aufgaben outgesourced?
  • Werden die Daten in ein Drittland übermittelt?

To-Dos

  • TOM mit der IT-Abteilung anpassen
  • Beim Outsourcing Dienstleister überprüfen und AV-Verträge abschließen
  • Bei Drittlandübermittlung zusätzliche Anforderungen prüfen

Block 4

  • Sind weitere Verschwiegenheitsverpflichtungen erforderlich?
  • Sind Entbindungen von der Schweigepflicht erforderlich?
  • Sind weitere medizinrechtliche Zulassungen erforderlich?

To-Dos

  • Weitere erforderliche Dokumentation einholen
  • Weitere nicht-datenschutzrechtliche Voraussetzungen einhalten
  • Datenschutzfreundlichen Voreinstellungen (Privacy-by-Design) richtig gestalten

*Diese Case Study ist zu Lernzwecken gedacht. Es ist weder vollständig noch real. Es sind jedoch typische Sachverhalte und Problemstellungen herangezogen, um die Aktualität der datenschutzrechtlichen Problemen zu veranschaulichen. Es handelt sich nicht um eine Rechtsberatung.

Neueste Beiträge

Kategorien

Rechtsanwältin für Datenschutz im Gesundheitswesen
+49 08665 6990572