Datenschutzrecht

Outsourcing


Outsourcing

Beim Outsourcing von IT-Leistungen haben die Dienstleister notwendig Kontakt mit personenbezogenen Daten von Ihren Kunden oder Mitarbeitern. Dasselbe gilt auch bei den meisten anderen Fällen des Business Process Outsourcing. Daher muss das Outsourcing stets datenschutzrechtlich begleitet werden: durch die gesetzlich vorgeschriebenen Begleitvereinbarungen zum Datenschutz und durch eine angemessene regelmäßige Prüfung der Sicherheitsmaßnahmen des Anbieters.

Wir haben umfassende Erfahrung in diversen Outsourcing-Konstellationen vom Kleinbetrieb bis zum Großunternehmen. Diese stammt unter anderem aus der Beratung zum Outsourcing folgender Leistungen:

  • IT-Wartung (auch Fernwartung)
  • IT-Infrastruktur (z.B. Desktopbetrieb, Help Desk)
  • ERP-Systeme (z.B. SAP, ProAlpha)
  • E-Commerce-Systeme
  • Website-Betrieb
  • Druckoutput
  • Marketing (z.B. Letter-Shop)
  • Kundenbetreuung (z.B. Call-Center)
  • Qualitäts- und Servicekontrolle (z.B. Mystery Shopping)

Auch mit komplexeren Fragen wie dem gesetzeskonformen Einsatz internationaler Dienstleister und der richtigen Gestaltung mehrstufiger Auftragsverhältnisse sind wir aus unserer Praxis bestens vertraut und unterstützen Sie dabei gern.

Gesundheitsdatenschutz


Der Umgang mit Gesundheitsdaten unterliegt besonderen datenschutzrechtlichen Anforderungen. Zum einen zählt das Bundesdatenschutzgesetz die Gesundheitsdaten zu den sensiblen Daten (§ 3 Abs. 9 BDSG), die einem strengeren Schutz unterliegen. Zum anderen gibt es eine Reihe von Spezialregelungen, die je nach Sachverhalt ggf. vorrangig vor dem Bundesdatenschutzgesetz anzuwenden sind.

Wir haben Erfahrungen aus der Beratung diverser Leistungserbringer und Unternehmen im Gesundheitsbereich (z.B. Ärzteverbände, Apotheken, Pharmazieunternehmen) und sind daher nicht nur mit dem allgemeinen Gesundheitsdatenschutz nach dem BDSG, sondern auch mit den zahlreichen datenschutzrechtlichen Sondervorschriften gut vertraut. Hierzu zählen die Datenschutzregeln in

  • dem Sozialgesetzbuch,
  • dem Arzneimittelgesetz,
  • den Landeskrankenhausgesetzen,
  • den Heilberufe-Kammergesetzen,
  • den Berufsordnungen der Ärzte und Apotheker,
  • der Apothekenbetriebsordnung,
  • der Betäubungsmittel-Verschreibungsverordnung.

Wir beraten daher Patienten, Arztpraxen, Apotheken, Kliniken, Hersteller und andere Beteiligte gerne in allen datenschutz- und IT-rechtlichen Angelegenheiten.

E-Health – datenschutzgerechte Gestaltung von Angeboten


Bieten Sie Produkte oder Dienstleistungen mit Bezug zu Gesundheitsdaten an? Dann helfen wir Ihnen bei der datenschutzkonformen und zugleich praxisgerechten Gestaltung Ihrer Angebote. Aufgrund des technischen Hintergrundes von Claudia Bischof (Studium der Softwaretechnik) und Dr. Bernhard Freund (Master of Computer Science, erfahrener Programmierer) durchdringen wir auch komplexe IT-Sachverhalte leicht und effizient. So können wir Sie optimal dabei unterstützen, kaufmännisch und rechtlich ausgewogene Lösungen zu entwickeln. Beispiele für E-Health-Lösungen, bei denen wir Sie beraten, sind:

  • E-Health-Apps
  • Onlinedienste und Websites im E-Health-Bereich
  • Fernwartung medizinischer Infrastruktur
  • Wearables
  • Software zur Verarbeitung von Gesundheitsdaten

Viele kritische Verfahren lassen sich z.B. durch Einsatz technischer Sicherheitsmaßnahmen, durch Pseudonymisierung, Hashverfahren oder den Rückgriff auf Dritte als Datentreuhänder datenschutzgerecht gestalten. Wir vertreten Sie dabei – auf Wunsch anonym – auch in Beratungen mit den zuständigen Datenschutzaufsichtsbehörden.

Alternativ zur Beratung bei der Produktgestaltung werden wir als Sachverständiger für Sie tätig. Wenn Sie z.B. den Erwerb des Datenschutz-Gütesiegels des ULD anstreben, um sich vom Wettbewerb abzusetzen, erstellen wir das hierfür erforderliche Gutachten zu ihrem IT-Produkt.

Datenschutz in der Finanzbranche


Banken und Versicherungen sind in besonderem Maß zur Gewährleistung von Datenschutz und Datensicherheit verpflichtet. Die hohe Sensibilität von Daten zu Bank- oder Kreditkartenkonten kommt bereits im Bundesdatenschutzgesetz z.B. in § 42a BDSG zum Ausdruck (wonach Meldepflichten bestehen, wenn solche Daten unbefugt Dritten zur Kenntnis gelangen).

Zudem sind bei jedem Outsourcing im Finanzsektor die aufsichtsrechtlichen Anforderungen der MaRisk zu beachten. Daher muss vertraglich und technisch ein besonders hohes Datenschutzniveau sichergestellt werden. In der Personenversicherung spielt beim Outsourcing von IT-Leistungen ferner der Geheimnisschutz eine wichtige Rolle; hier gilt es, eine Strafbarkeit nach § 203 StGB (Verletzung von Privatgeheimnissen) zu vermeiden.

Wir haben umfassende Beratungserfahrung zum Datenschutz im Finanzsektor, unter anderem aus folgenden Sachverhalten:

  • (Fern-)Wartung von Kernbankensystemen (insbesondere SAP)
  • Outsourcing des Kreditkartenprocessings (Technisches Processing und Serviceprocessing)
  • Übertragung des Privatkundengeschäftes
  • Outsourcing des Druckoutputs mehrerer Versicherungen
  • Restrukturierung / Schaffung eines zentralen konzernweiten IT-Dienstleisters für sämtliche Risikoträger einer Versicherungsgruppe

Wir sind zudem mit den besonderen Anforderungen an Payment-Applikationen vertraut. So haben wir unter anderem datenschutzrechtlich beratend bei der Gestaltung einer Software zur Verarbeitung von Kreditkartendaten mitgewirkt. Auch bei Fragen bezüglich PCI-DSS, dem IT-Sicherheitsstandard der Kreditkartenbranche, helfen wir Ihnen gerne weiter und beraten Sie zu einer entsprechenden Zertifizierung.