31
Software-Anbieter unterschlägt Zugangsdaten zur Datenbank (RIS System - Datenschutz - DSGVO)
Hallo zusammen,
wir haben ein zentrales RIS System (Radiologieinformationssystem zur Dokumentation und Verwaltung medizinischer und administrativer Daten in der Radiologie) eines marktführenden Anbieters gekauft (inkl. der Dienstleistungen zur Installation und der Wartung). Dieses System ist an einigen unserer Standorten bereits produktiv eingeführt. Einige weitere Standorte sind aktuell in der Migrationsphase.
Um die Kontrollpflichten der DSGVO durchzuführen, haben wir administrative Zugangsdaten für die Datenbank angefragt. Der Datenbankserver zu dem System ist im Kaufvertrag enthalten. In der Datenbank sind u.a. Gesundheitsdaten unserer Patienten. Der Anbieter weigert sich allerdings diese Daten Zugangsdaten herauszugeben.
Nun suche ich die Rechtsgrundlage um die Zugangsdaten zu der von uns gekauften Software und Datenbank zu erhalten.
Über eine Hilfe dabei würde ich mich freuen (am liebsten ein Paragraph aus einem der vielen IT- oder Datenschutz-Gesetze oder verbindlichen Normen).
Vielen Dank im Voraus!
wir haben ein zentrales RIS System (Radiologieinformationssystem zur Dokumentation und Verwaltung medizinischer und administrativer Daten in der Radiologie) eines marktführenden Anbieters gekauft (inkl. der Dienstleistungen zur Installation und der Wartung). Dieses System ist an einigen unserer Standorten bereits produktiv eingeführt. Einige weitere Standorte sind aktuell in der Migrationsphase.
Um die Kontrollpflichten der DSGVO durchzuführen, haben wir administrative Zugangsdaten für die Datenbank angefragt. Der Datenbankserver zu dem System ist im Kaufvertrag enthalten. In der Datenbank sind u.a. Gesundheitsdaten unserer Patienten. Der Anbieter weigert sich allerdings diese Daten Zugangsdaten herauszugeben.
Nun suche ich die Rechtsgrundlage um die Zugangsdaten zu der von uns gekauften Software und Datenbank zu erhalten.
Über eine Hilfe dabei würde ich mich freuen (am liebsten ein Paragraph aus einem der vielen IT- oder Datenschutz-Gesetze oder verbindlichen Normen).
Vielen Dank im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 646000
Url: https://administrator.de/contentid/646000
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
31 Kommentare
Neuester Kommentar
Zitat von @m-jelinski:
Hallo zusammen,
wir haben ein zentrales RIS System (Radiologieinformationssystem zur Dokumentation und Verwaltung medizinischer und administrativer Daten in der Radiologie) eines marktführenden Anbieters gekauft (inkl. der Dienstleistungen zur Installation und der Wartung). Dieses System ist an einigen unserer Standorten bereits produktiv eingeführt. Einige weitere Standorte sind aktuell in der Migrationsphase.
Um die Kontrollpflichten der DSGVO durchzuführen, haben wir administrative Zugangsdaten für die Datenbank angefragt. Der Datenbankserver zu dem System ist im Kaufvertrag enthalten. In der Datenbank sind u.a. Gesundheitsdaten unserer Patienten. Der Anbieter weigert sich allerdings diese Daten Zugangsdaten herauszugeben.
Nun suche ich die Rechtsgrundlage um die Zugangsdaten zu der von uns gekauften Software und Datenbank zu erhalten.
Hallo zusammen,
wir haben ein zentrales RIS System (Radiologieinformationssystem zur Dokumentation und Verwaltung medizinischer und administrativer Daten in der Radiologie) eines marktführenden Anbieters gekauft (inkl. der Dienstleistungen zur Installation und der Wartung). Dieses System ist an einigen unserer Standorten bereits produktiv eingeführt. Einige weitere Standorte sind aktuell in der Migrationsphase.
Um die Kontrollpflichten der DSGVO durchzuführen, haben wir administrative Zugangsdaten für die Datenbank angefragt. Der Datenbankserver zu dem System ist im Kaufvertrag enthalten. In der Datenbank sind u.a. Gesundheitsdaten unserer Patienten. Der Anbieter weigert sich allerdings diese Daten Zugangsdaten herauszugeben.
Nun suche ich die Rechtsgrundlage um die Zugangsdaten zu der von uns gekauften Software und Datenbank zu erhalten.
Es ergibt sich aus dem Wartungsvertrag - oder es steht darin, dass das ausgeschlossen ist. Das wäre auch OK, wenn sich dazu passende Regeln in der Vereinbarung zur Auftragsdatenverarbeitung ergeben würden.
Also: Wartungsvertrag und Vereinbarung zur Auftragsdatenverarbeitung lesen und dann weiter sehen.
Grüße
lcer
Der Wartungsvertrag ist aktuell noch nicht unterzeichnet. Der Entwurf dazu enthält keine Punkte bezüglich der Zugangsrechte zum gekauften Datenbankserver.
Auch in der Vereinbarung zur Auftragsdatenverarbeitung gibt es keine entsprechenden Punkte.
Aus meiner Sicht haben wir sowohl die Datenbanksoftware wie auch das RIS-System gekauft. Wir verarbeiten unsere Patienten in dem System. Daher kann aus meiner Sicht der Anbieter uns diese Zugangsdaten nicht unterschlagen. Zumal es Prüfpflichten auf Datenschutzkonformität gibt, welche uns verpflichtet zu prüfen ob wir alle Datenschutzgesetze einhalten (leider habe ich aktuell keine Paragraphen zur Hand).
Grüße
Michael
Auch in der Vereinbarung zur Auftragsdatenverarbeitung gibt es keine entsprechenden Punkte.
Aus meiner Sicht haben wir sowohl die Datenbanksoftware wie auch das RIS-System gekauft. Wir verarbeiten unsere Patienten in dem System. Daher kann aus meiner Sicht der Anbieter uns diese Zugangsdaten nicht unterschlagen. Zumal es Prüfpflichten auf Datenschutzkonformität gibt, welche uns verpflichtet zu prüfen ob wir alle Datenschutzgesetze einhalten (leider habe ich aktuell keine Paragraphen zur Hand).
Grüße
Michael
Moin,
vorab: eine Rechtsberatung erhällst du hier im Forum nicht, wir sind keine Rechtsanwällte.
Oder ist das ein Dienst der "bei euch" läuft und Daten aufnimmt/herausgibt? Dann ist es sicher kein KV, sonern ein Nutzungs/Lizenzvertrag.
Wie gesagt, ist keine Rechtsberatung. Sucht euch am besten auf IT-Recht spezieliisierten Anwalt.
lg,
Slainte
vorab: eine Rechtsberatung erhällst du hier im Forum nicht, wir sind keine Rechtsanwällte.
Aus meiner Sicht haben wir sowohl die Datenbanksoftware wie auch das RIS-System gekauft
Nein, sicher nicht. Was ihr erworben habt ist das Recht die Software zu nutzen (=Lizenz)Der Datenbankserver zu dem System ist im Kaufvertrag enthalten
Wenn due "Datenbankserver" schreibst, meinst du da die Hardware? Dann könnte as ein KV sein.Oder ist das ein Dienst der "bei euch" läuft und Daten aufnimmt/herausgibt? Dann ist es sicher kein KV, sonern ein Nutzungs/Lizenzvertrag.
Wie gesagt, ist keine Rechtsberatung. Sucht euch am besten auf IT-Recht spezieliisierten Anwalt.
lg,
Slainte
Hallo,
das ist bei vielen medizinischen Softwareprodukte üblich.
Damit wird eine MPG-Auflage, das verhindern der Manipulation der Daten durch den Nutzer, erfüllt.
Sobald Du Zugang zur Core-Daten hast, kannst Du den Inhalt der Datenbankfelder manipulieren und z.B. Aufnahmen restlos löschen oder Informationen überschreiben.
Dadurch ist das System nicht mehr manipulationssicher und kommt den Anforderungen des MPG nicht mehr nach.
Ich arbeite häufig für Zahnärzte Änderungen an der Datenbank führt in der Regel nur der Support des Softwareherstellers aus. Nichtmal deren Support vor Ort hat diese Zugangsdaten.
Stefan
PS: Wie Oben schon beschrieben hast Du "nur" ein Nutzungsrecht für die Software gekauft. Nicht die Software selber.
das ist bei vielen medizinischen Softwareprodukte üblich.
Damit wird eine MPG-Auflage, das verhindern der Manipulation der Daten durch den Nutzer, erfüllt.
Sobald Du Zugang zur Core-Daten hast, kannst Du den Inhalt der Datenbankfelder manipulieren und z.B. Aufnahmen restlos löschen oder Informationen überschreiben.
Dadurch ist das System nicht mehr manipulationssicher und kommt den Anforderungen des MPG nicht mehr nach.
Ich arbeite häufig für Zahnärzte Änderungen an der Datenbank führt in der Regel nur der Support des Softwareherstellers aus. Nichtmal deren Support vor Ort hat diese Zugangsdaten.
Stefan
PS: Wie Oben schon beschrieben hast Du "nur" ein Nutzungsrecht für die Software gekauft. Nicht die Software selber.
Hi,
zunächstmal der übliche Disclaimer:
Ich bin kein Anwalt, dies ist keine Rechtsberatung. Für eine entsprechend abgesicherte Beratung musst du den Anwalt deines Vertrauens konsultieren.
Jetzt zurück zum Thema:
Ihr werdet nicht das RIS gekauft haben, sondern die Lizenzen zur Nutzung desselbigen. Der Hersteller des RIS ist für die Einhaltung des MPG und die Funktionsfähigkeit des Systems verantwortlich und wird daher nicht wollen, dass an der Datenhaltung irgendetwas verändert wird. Zudem gehören DB-Trigger, Prozeduren, etc. auch im weitesten Sinne zum Quellcode der Software, die der Anbieter verständlicherweise nicht preisgeben möchte. Microsoft zeigt ja auch nicht den Quellcode von Office, damit ich mal schauen kann, ob hier alles datenschutzrechtlich korrekt gehandhabt wird.
Die im System vorhandenen Daten solltest du auch über die Benutzeroberfläche deines RIS entsprechend einsehen können und damit die Konformität bestätigen können. Für alles was dahinter liegt, bist dann nicht du, sondern der Softwareanbieter verantwortlich und dieser sollte euch die Einhaltung der Bestimmungen der DSGVO bestätigen können.
In meinen Augen handelt der RIS-Hersteller damit vollkommen korrekt, und ich kann auch keinen Rechtsanspruch auf die Herausgabe der Zugangsdaten erkennen.
Wenn du unbedingt an die Datenbank willst... Nunja, da gibt es immer Mittel und Wege, aber vermutlich sind die Daten dort auch zusätzlich verschlüsselt, so dass es dir nichts bringen wird.
VG
zunächstmal der übliche Disclaimer:
Ich bin kein Anwalt, dies ist keine Rechtsberatung. Für eine entsprechend abgesicherte Beratung musst du den Anwalt deines Vertrauens konsultieren.
Jetzt zurück zum Thema:
Ihr werdet nicht das RIS gekauft haben, sondern die Lizenzen zur Nutzung desselbigen. Der Hersteller des RIS ist für die Einhaltung des MPG und die Funktionsfähigkeit des Systems verantwortlich und wird daher nicht wollen, dass an der Datenhaltung irgendetwas verändert wird. Zudem gehören DB-Trigger, Prozeduren, etc. auch im weitesten Sinne zum Quellcode der Software, die der Anbieter verständlicherweise nicht preisgeben möchte. Microsoft zeigt ja auch nicht den Quellcode von Office, damit ich mal schauen kann, ob hier alles datenschutzrechtlich korrekt gehandhabt wird.
Die im System vorhandenen Daten solltest du auch über die Benutzeroberfläche deines RIS entsprechend einsehen können und damit die Konformität bestätigen können. Für alles was dahinter liegt, bist dann nicht du, sondern der Softwareanbieter verantwortlich und dieser sollte euch die Einhaltung der Bestimmungen der DSGVO bestätigen können.
In meinen Augen handelt der RIS-Hersteller damit vollkommen korrekt, und ich kann auch keinen Rechtsanspruch auf die Herausgabe der Zugangsdaten erkennen.
Wenn du unbedingt an die Datenbank willst... Nunja, da gibt es immer Mittel und Wege, aber vermutlich sind die Daten dort auch zusätzlich verschlüsselt, so dass es dir nichts bringen wird.
VG
Ist diese Prüfpflicht nicht schon damit erfüllt, dass nicht jeder das Datenbankpasswort erhält?
Diese Argumentation kann ich nicht nachvollziehen. Wenn ich mir einen Microsoft SQL Server kaufe und auf meinem Windows Server installiere, habe ich ja auch vollen Zugang zu den Daten (womit sicher nicht der Quelltext sondern die Datenbanken gemeint sind).
Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems. Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).
Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems. Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).
Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Wenn ich mir einen Microsoft SQL Server kaufe
Tust du nicht 
habe ich ja auch vollen Zugang zu den Daten
das ist richtig.Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir
auch richtig. Der Rest steht mit Sicherheit im Lizenzvertrag - lass den doch einfach mal von Anwalt prüfen./EDIT
Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Mit der mitgelieferten RIS-Software?
Die Frage ist hier eher: bis wohin sind wir verantwortlich.
Wenn Ihr Euren Teil also erfüllt habt und Daten gehen verloren, ist der Anbieter verantwortlich.
Gefallen tut mir das auch nicht.
Aber andersherum.
Du hast Admin-Zugriff auf die ganze Datenbank.
Jetzt überschreibst Du eine Information und änderst auch alle Protokolle. Danach rufst Du den Support an und meckerst dass die Software doof ist weil diese was falsch geschrieben hat. Wie sollen die sich oder Deine Daten vor Dir schützen?
Zitat von @m-jelinski:
Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems.
JaDer Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems.
Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).
Bedingt. Der Lieferant der Software hat Euch Rahmenvorgaben für den Betrieb gemacht und für was Ihr verantwortlich seid. Zum Beispiel Updates und Datensicherung. Für die interne Datensicherheit ist der Anbieter verantwortlich.Wenn Ihr Euren Teil also erfüllt habt und Daten gehen verloren, ist der Anbieter verantwortlich.
Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Gar nicht. Dieser stellt eine Anfrage an den Anbieter und vom ihm bekommt er eine Bescheinigung. Die heftet er ab und fertig.Gefallen tut mir das auch nicht.
Aber andersherum.
Du hast Admin-Zugriff auf die ganze Datenbank.
Jetzt überschreibst Du eine Information und änderst auch alle Protokolle. Danach rufst Du den Support an und meckerst dass die Software doof ist weil diese was falsch geschrieben hat. Wie sollen die sich oder Deine Daten vor Dir schützen?
Zitat von @StefanKittel:
Die Frage ist hier eher: bis wohin sind wir verantwortlich.
Die Frage ist hier eher: bis wohin sind wir verantwortlich.
Zitat von @m-jelinski:
Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems.
JaDer Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems.
Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).
Bedingt. Der Lieferant der Software hat Euch Rahmenvorgaben für den Betrieb gemacht und für was Ihr verantwortlich seid. Zum Beispiel Updates und Datensicherung. Für die interne Datensicherheit ist der Anbieter verantwortlich.Das sieht die DSGVO leider ganz anders. Mercedes ist ja als Anbieter meines Autos auch nicht dafür verantwortlich, das ich nicht zu schnell fahre.
Wenn Ihr Euren Teil also erfüllt habt und Daten gehen verloren, ist der Anbieter verantwortlich.
Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Gar nicht. Dieser stellt eine Anfrage an den Anbieter und vom ihm bekommt er eine Bescheinigung. Die heftet er ab und fertig.Leider ist der Eigentümer/Betreiber einer Anlage für die Datensicherheit verantwortlich. Nicht der Lieferant.
Gefallen tut mir das auch nicht.
Aber andersherum.
Du hast Admin-Zugriff auf die ganze Datenbank.
Jetzt überschreibst Du eine Information und änderst auch alle Protokolle. Danach rufst Du den Support an und meckerst dass die Software doof ist weil diese was falsch geschrieben hat. Wie sollen die sich oder Deine Daten vor Dir schützen?
Aber andersherum.
Du hast Admin-Zugriff auf die ganze Datenbank.
Jetzt überschreibst Du eine Information und änderst auch alle Protokolle. Danach rufst Du den Support an und meckerst dass die Software doof ist weil diese was falsch geschrieben hat. Wie sollen die sich oder Deine Daten vor Dir schützen?
Mal angenommen das Dein Beispiel in der Realität so vorkommen würde. Einen Fehler müsste ich dem Anbieter nachweisen. Dieser zückt dann das Audit-Trail und sieht meine Änderungen...
Vielleicht finden wir ja noch jemanden, der sich professionell mit der DSGVO beschäftigt (z.B. einen Datenschutzbeauftragten)?
Also:
Die meisten hier, genau wie ich auch sind der Ansicht, dass der RIS-Hersteller die Zugangsdaten nicht herausgeben muss und dass du für den Nachweis der DSGVO-Konformität keinen Admin-Zugang zur Datenbank brauchst.
Was wäre denn, wenn das System die Daten in einer integrierten Datenhaltung speichern würde? Dann hättest du technisch noch nichtmal die Möglichkeit ausserhalb der RIS-Software auf die Daten zuzugreifen.
Jetzt kannst du also entweder unserer Meinung hier in Verbindung mit der Aussage deines RIS-Herstellers Glauben schenken oder aber falls du das nicht kannst bzw. willst einen Anwalt einschalten und das Thema schlimmstenfalls vor Gericht klären lassen.
Die DSGVO ist jedenfalls kein Grund für den Admin-Zugang zur DB. Dafür wird dein RIS-System eine passende Oberfläche haben.
Die meisten hier, genau wie ich auch sind der Ansicht, dass der RIS-Hersteller die Zugangsdaten nicht herausgeben muss und dass du für den Nachweis der DSGVO-Konformität keinen Admin-Zugang zur Datenbank brauchst.
Was wäre denn, wenn das System die Daten in einer integrierten Datenhaltung speichern würde? Dann hättest du technisch noch nichtmal die Möglichkeit ausserhalb der RIS-Software auf die Daten zuzugreifen.
Jetzt kannst du also entweder unserer Meinung hier in Verbindung mit der Aussage deines RIS-Herstellers Glauben schenken oder aber falls du das nicht kannst bzw. willst einen Anwalt einschalten und das Thema schlimmstenfalls vor Gericht klären lassen.
Die DSGVO ist jedenfalls kein Grund für den Admin-Zugang zur DB. Dafür wird dein RIS-System eine passende Oberfläche haben.
Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems. Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).
Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.
Hallo,
Grüße
lcer
Zitat von @m-jelinski:
Vielleicht finden wir ja noch jemanden, der sich professionell mit der DSGVO beschäftigt (z.B. einen Datenschutzbeauftragten)?
Ich denke, die meisten, die hier geantwortet haben, befassen sich professionell mit Datenschutz und DSGVO. Was sagt denn Dein Datenschutzbesuftragter? Unserer ist übrigens Volljurist und durchaus in der Lage auch die lokalen bundeslandspezifischen Ausprägungen des Datenschutzrechts zu überblicken. Wenn Du Dich mit Deiner Softwarefirma anlegen willst, solltest Du einen ähnlich qualifizierten Menschen suchen. Im übrigen hast Du die Möglichkeit, bei Unklarheiten Deinen Landesdatenschutzbeauftragten Um Stellungnahme zu bitten. Der freut sich bestimmt schon.Vielleicht finden wir ja noch jemanden, der sich professionell mit der DSGVO beschäftigt (z.B. einen Datenschutzbeauftragten)?
Grüße
lcer
Hallo,
hast du schon mal mit den Softwareentwicklern darüber gesprochen, wie dies bei anderen Kunden gehandhabt wird, die sollten hier doch an ähnliche Grenzen/Probleme gestoßen sein und/oder Absprachen getroffen haben. Vieleicht bietet die RIS Software ja sogar ein DSGVO Kontrollsystem an. Grade bei Patientendaten wird beim Einhalten von Datenschutz ein sehr hoher Wert auf Transparenz gelegt oder?
Grüße
LordAsriel
hast du schon mal mit den Softwareentwicklern darüber gesprochen, wie dies bei anderen Kunden gehandhabt wird, die sollten hier doch an ähnliche Grenzen/Probleme gestoßen sein und/oder Absprachen getroffen haben. Vieleicht bietet die RIS Software ja sogar ein DSGVO Kontrollsystem an. Grade bei Patientendaten wird beim Einhalten von Datenschutz ein sehr hoher Wert auf Transparenz gelegt oder?
Grüße
LordAsriel
Hallo,
Aus dem medizinischen Bereich und dem Datenschutz dahinter kann ich jetzt nicht sprechen, nur aus dem SQL-DB Bereich, aber Daten aus einer Datenbank zu löschen ist tatsächlich das dümmste, was man tatsächlich tun kann --> Stichwort Referentielle Integrität. Wenn, werden solche Daten mit Löschkennzeichen vermerkt, aber tatsächlich gelöscht werden sollten diese nicht. Es reicht schon einen Wert zu verändern, auf denen weitere Tabellen innerhalb der DB Zugreifen und dir fällt das ganze wie ein Kartenhaus zusammen.
Was mir nur einfallen würde, wäre ein Read-Only Zugang zur Datenbank, jedoch würde ich als Datenbank-Hoster auch niemanden einen Vollzugriff geben, womit er theoretisch(!) sogar die ganze DB löschen könnte. Die höchsten Rechte die ich ihm geben würden, wären SELECT - mehr aber auch nicht.
Aus dem medizinischen Bereich und dem Datenschutz dahinter kann ich jetzt nicht sprechen, nur aus dem SQL-DB Bereich, aber Daten aus einer Datenbank zu löschen ist tatsächlich das dümmste, was man tatsächlich tun kann --> Stichwort Referentielle Integrität. Wenn, werden solche Daten mit Löschkennzeichen vermerkt, aber tatsächlich gelöscht werden sollten diese nicht. Es reicht schon einen Wert zu verändern, auf denen weitere Tabellen innerhalb der DB Zugreifen und dir fällt das ganze wie ein Kartenhaus zusammen.
Was mir nur einfallen würde, wäre ein Read-Only Zugang zur Datenbank, jedoch würde ich als Datenbank-Hoster auch niemanden einen Vollzugriff geben, womit er theoretisch(!) sogar die ganze DB löschen könnte. Die höchsten Rechte die ich ihm geben würden, wären SELECT - mehr aber auch nicht.
Vorab du hast keine Chance und das ist auch gut so.
Wir hatten bei zwei Kunden schon Probleme mit Datenbanken und deren Zugriffsdaten.
Eins war eine Stempelsoftware die nie richtig lief und bei der wir versucht haben auf die Datenbank zu kommen um wenigsten die IP der Stadionen zu ändern damit die Fehlermeldungen endlich enden.
Ergebnis war null. Wir haben dann ein Subnetz gebaut.
Bei einer anderen Software wollten wir die Datenbank auslesen um sie in eine andere Anwendung übergeben zu können. Auch hier sind die Anwälte gescheitert.
Über die DSGVO versuchen an die Datenbank zu kommen ist ein lustiger Ansatz nur wirst du da auch scheitern. Es gibt sicherlich Möglichkeiten ein Datenbankpasswort zu erschnüffeln, aber wir haben keine Anleitung und keinen gefunden der das bis jetzt geschafft hat.
Trotzdem einen schönen Sonntag
Wir hatten bei zwei Kunden schon Probleme mit Datenbanken und deren Zugriffsdaten.
Eins war eine Stempelsoftware die nie richtig lief und bei der wir versucht haben auf die Datenbank zu kommen um wenigsten die IP der Stadionen zu ändern damit die Fehlermeldungen endlich enden.
Ergebnis war null. Wir haben dann ein Subnetz gebaut.
Bei einer anderen Software wollten wir die Datenbank auslesen um sie in eine andere Anwendung übergeben zu können. Auch hier sind die Anwälte gescheitert.
Über die DSGVO versuchen an die Datenbank zu kommen ist ein lustiger Ansatz nur wirst du da auch scheitern. Es gibt sicherlich Möglichkeiten ein Datenbankpasswort zu erschnüffeln, aber wir haben keine Anleitung und keinen gefunden der das bis jetzt geschafft hat.
Trotzdem einen schönen Sonntag
@7Gizmo7
Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.
LG, Thomas
Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.
Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.
LG, Thomas
Hallo
Ich kann hierzu ein Beispiel nennen, wo das ähnlich gehandhabt wird. Die DATEV Software für Anwaltskanzleien. Die Rechtslage mit Mandantendaten ist ja im weitesten Sinne vergleichbar mit Patientendaten.
Man kann hierfür die Freigabe des Datenbankpasswortes beantragen. ABER: Man unterschreibt damit im Gegenzug, daß man jeglichen Supportanspruch verliert. Und im Grunde auch die Zertifizierung der Software flöten geht. Wenn mal ein Problem mit der Datenbank bestehen sollte, hebt der DATEV Support die Hände und grüßt durch.
Man muss das auch von der Gegenseite betrachten. Der Softwarehersteller ist zertifiziert und muss sicherstellen, daß kein Unbefugter auf die Datenbank zugreifen kann. Das geht nur mit aktivem Passwortschutz. Zugriff auf die Patientendaten darf einzig und alleine über die Software selbst und die eingebauten Sicherheitsmechanismen erfolgen. Weitere Beispiele sind Datenarchive, Mailarchive oder Dealer Management Systeme z.B. bei Autohäusern.
Alle Kontrollpflichten, Löschmechanismen, Auditschnittstellen müssen in der Software selbst realisiert sein.
MfG,
Conner
Ich kann hierzu ein Beispiel nennen, wo das ähnlich gehandhabt wird. Die DATEV Software für Anwaltskanzleien. Die Rechtslage mit Mandantendaten ist ja im weitesten Sinne vergleichbar mit Patientendaten.
Man kann hierfür die Freigabe des Datenbankpasswortes beantragen. ABER: Man unterschreibt damit im Gegenzug, daß man jeglichen Supportanspruch verliert. Und im Grunde auch die Zertifizierung der Software flöten geht. Wenn mal ein Problem mit der Datenbank bestehen sollte, hebt der DATEV Support die Hände und grüßt durch.
Man muss das auch von der Gegenseite betrachten. Der Softwarehersteller ist zertifiziert und muss sicherstellen, daß kein Unbefugter auf die Datenbank zugreifen kann. Das geht nur mit aktivem Passwortschutz. Zugriff auf die Patientendaten darf einzig und alleine über die Software selbst und die eingebauten Sicherheitsmechanismen erfolgen. Weitere Beispiele sind Datenarchive, Mailarchive oder Dealer Management Systeme z.B. bei Autohäusern.
Alle Kontrollpflichten, Löschmechanismen, Auditschnittstellen müssen in der Software selbst realisiert sein.
MfG,
Conner
Hallo,
ich versuche mal zu übersetzen
Denn Ihr habt beide recht (m-jelinsi - MacLeod)
Der Anbieter kann Niemanden erlauben direkt auf seine DB zuzugreifen weil er damit DSGVO und MPG verliert.
Denn dieser Jemand kann ja direkt die Tabellen manipulieren.
Der Nutzer ist für gewisse Dinge bezüglich Datenschutz und DSGVO verantwortlich und ein reines abschieben an den Anbieter ist nicht zulässig.
Dafür gibt es keine Lösung.
Du könntest aber z.B. nach einem Nur-Lesen-Zugriff fragen.
Damit kommst Du Deiner Kontrollpflicht bei, kannst die Software aber nicht manipulieren.
Meine Firma hat lange für die Compugroup gearbeitet.
Und obwohl DSGVO neu ist, ist das Thema aus Datenschutzsicht nicht neu. Aber es nie Jemand danach gefragt.
Also mit Nieman meine ich 0,0.
Auch aktuell nicht möglich: Das Recht eine Patienten-Daten in digitaler Form aus einer Abrechnungssoftware mitnehmen zu können. Oder das vollständige Löschen seiner Daten. etc.
Stefan
ich versuche mal zu übersetzen
Denn Ihr habt beide recht (m-jelinsi - MacLeod)
Der Anbieter kann Niemanden erlauben direkt auf seine DB zuzugreifen weil er damit DSGVO und MPG verliert.
Denn dieser Jemand kann ja direkt die Tabellen manipulieren.
Der Nutzer ist für gewisse Dinge bezüglich Datenschutz und DSGVO verantwortlich und ein reines abschieben an den Anbieter ist nicht zulässig.
Dafür gibt es keine Lösung.
Du könntest aber z.B. nach einem Nur-Lesen-Zugriff fragen.
Damit kommst Du Deiner Kontrollpflicht bei, kannst die Software aber nicht manipulieren.
Meine Firma hat lange für die Compugroup gearbeitet.
Und obwohl DSGVO neu ist, ist das Thema aus Datenschutzsicht nicht neu. Aber es nie Jemand danach gefragt.
Also mit Nieman meine ich 0,0.
Auch aktuell nicht möglich: Das Recht eine Patienten-Daten in digitaler Form aus einer Abrechnungssoftware mitnehmen zu können. Oder das vollständige Löschen seiner Daten. etc.
Stefan
Zitat von @keine-ahnung:
@7Gizmo7
Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.
LG, Thomas
@7Gizmo7
Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.
Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.
LG, Thomas
Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.
https://dsgvo-gesetz.de/art-17-dsgvo/
Hallo,
Grüße
lcer
Zitat von @7Gizmo7:
Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.
https://dsgvo-gesetz.de/art-17-dsgvo/
effektiv sieht das bei Radiologiedaten so aus, dass die eine ziemlich lange Zeit gar nicht gelöscht werden dürfen.Zitat von @keine-ahnung:
@7Gizmo7
Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.
LG, Thomas
@7Gizmo7
Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.
Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.
LG, Thomas
Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.
https://dsgvo-gesetz.de/art-17-dsgvo/
Grüße
lcer
Gleichzeitig hat die Arztpraxis die Pflicht alle geschäftsrelevanten Daten nach GoB
https://www.rechnungswesen-info.de/gob.html
zu speichern und schlimmstenfalls bis zu 10 Jahre manipulationssicher zu archivieren. Dazu gehören auch Vorgänge am oder mit dem Patienten, Rezeptverschreibungen, Berichte, Diagnosen etc.
Du erkennst das Dilemma? Hierfür wird es wohl nie eine saubere Lösung geben.
https://www.rechnungswesen-info.de/gob.html
zu speichern und schlimmstenfalls bis zu 10 Jahre manipulationssicher zu archivieren. Dazu gehören auch Vorgänge am oder mit dem Patienten, Rezeptverschreibungen, Berichte, Diagnosen etc.
Du erkennst das Dilemma? Hierfür wird es wohl nie eine saubere Lösung geben.
@7Gizmo7
Nö
Man muss schon den ganzen Text lesen, den man verlinkt - in diesem Fall auch Absatz 3
Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.
Nö
Man muss schon den ganzen Text lesen, den man verlinkt - in diesem Fall auch Absatz 3
Wann gilt ein Datensatz juristisch als gelöscht?
Wenn ihn kein "Benutzer der Software" mehr auslesen kann?
Wenn ihn kein "Benutzer der Software" mehr auslesen kann?
Zitat von @MacLeod:
Gleichzeitig hat die Arztpraxis die Pflicht alle geschäftsrelevanten Daten nach GoB
https://www.rechnungswesen-info.de/gob.html
zu speichern und schlimmstenfalls bis zu 10 Jahre manipulationssicher zu archivieren. Dazu gehören auch Vorgänge am oder mit dem Patienten, Rezeptverschreibungen, Berichte, Diagnosen etc.
Du erkennst das Dilemma? Hierfür wird es wohl nie eine saubere Lösung geben.
Gleichzeitig hat die Arztpraxis die Pflicht alle geschäftsrelevanten Daten nach GoB
https://www.rechnungswesen-info.de/gob.html
zu speichern und schlimmstenfalls bis zu 10 Jahre manipulationssicher zu archivieren. Dazu gehören auch Vorgänge am oder mit dem Patienten, Rezeptverschreibungen, Berichte, Diagnosen etc.
Du erkennst das Dilemma? Hierfür wird es wohl nie eine saubere Lösung geben.
JAin hier geht es um Rechnungslegung und Steuer. Das Röntgenbild was digital gespeichert wurde, kann ich löschen lassen.
Zitat von @keine-ahnung:
@7Gizmo7
Nö
Man muss schon den ganzen Text lesen, den man verlinkt - in diesem Fall auch Absatz 3
@7Gizmo7
Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.
Nö
Man muss schon den ganzen Text lesen, den man verlinkt - in diesem Fall auch Absatz 3
aber
Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
Aber mein Röntgenbild ist nicht dem öffentlichen Interesse geschuldet. Wenn ich meinen Radiologen wechsle, dann kann ich das Einverständnis zu Verarbeitung meiner besonderen schützenwerten personenbezogenen Daten widerrufen und die Löschung der Daten verlangen im Rahmen der gesetzlicher Aufbewahrungsfristen.
https://www.kvn.de/internet_media/Mitglieder/Beratung/IT+in+der+Arztprax ...
SO mein Verständnis
Worauf willst Du hinaus?
Da steht klipp und klar, daß der Arzt Röntgenbilder 10 Jahre aufheben muss. Daran wirst Du auch mit einem Löschantrag nichts ändern.
Es wird einzig der Zugang zu deinen Daten im System gesperrt und ist er ist nur noch im Rahmen eines wichtigen Audits aufrufbar.
Die Vorzimmerdame sieht dich nicht mehr im System aber bei rechtlichen Ansprüchen wird im Beisein von Chef und Anwalt das nötigenfalls wieder entsperrt.
Gleiches gilt beim Kauf eines Autos. Solange noch Garantie und Gewährleistungsansprüche bestehen, bleibt dein Kaufvorgang sogar noch im aktiven System gespeichert.
Aber wir schweifen ab.
Gute Nacht
Da steht klipp und klar, daß der Arzt Röntgenbilder 10 Jahre aufheben muss. Daran wirst Du auch mit einem Löschantrag nichts ändern.
Es wird einzig der Zugang zu deinen Daten im System gesperrt und ist er ist nur noch im Rahmen eines wichtigen Audits aufrufbar.
Die Vorzimmerdame sieht dich nicht mehr im System aber bei rechtlichen Ansprüchen wird im Beisein von Chef und Anwalt das nötigenfalls wieder entsperrt.
Gleiches gilt beim Kauf eines Autos. Solange noch Garantie und Gewährleistungsansprüche bestehen, bleibt dein Kaufvorgang sogar noch im aktiven System gespeichert.
Aber wir schweifen ab.
Gute Nacht
@7Gizmo7
Jupp - nach 10 Jahren, wenn Du zum Zeitpunkt der Anfertigung > 18 Jahre alt warst.
Wenn ich meinen Radiologen wechsle, dann kann ich das Einverständnis zu Verarbeitung meiner besonderen schützenwerten personenbezogenen Daten widerrufen und die Löschung der Daten verlangen im Rahmen der gesetzlicher Aufbewahrungsfristen.
Jupp - nach 10 Jahren, wenn Du zum Zeitpunkt der Anfertigung > 18 Jahre alt warst.
Der Vorgang wurde nun durch 2 externe Datenschutzbeauftragte unabhängig voneinander geprüft. Beide sind zu dem eindeutigen Schluss gekommen, das uns administrative Zugangsdaten ohne wenn und aber zustehen.
Ich bin nun in weiterer Kommunikation mit dem Anbieter der RIS Software. Sollte dieser weiterhin nicht einlenken, wird unser Datenschutzbeauftragte den Fall an den Hessischen Datenschutzbeauftragten weitergeben, welcher unseren Anbieter dann "überzeugt" (was wohl mit einem Bußgeld für den Anbieter verbunden sein könnte).
Ich bin nun in weiterer Kommunikation mit dem Anbieter der RIS Software. Sollte dieser weiterhin nicht einlenken, wird unser Datenschutzbeauftragte den Fall an den Hessischen Datenschutzbeauftragten weitergeben, welcher unseren Anbieter dann "überzeugt" (was wohl mit einem Bußgeld für den Anbieter verbunden sein könnte).
Hallo,
Grüße
lcer
Zitat von @m-jelinski:
Der Vorgang wurde nun durch 2 externe Datenschutzbeauftragte unabhängig voneinander geprüft. Beide sind zu dem eindeutigen Schluss gekommen, das uns administrative Zugangsdaten ohne wenn und aber zustehen.
ist da einer der beiden Jurist? Ich würde das nicht ohne (fach)juristische Beratung eskalieren.Der Vorgang wurde nun durch 2 externe Datenschutzbeauftragte unabhängig voneinander geprüft. Beide sind zu dem eindeutigen Schluss gekommen, das uns administrative Zugangsdaten ohne wenn und aber zustehen.
Grüße
lcer
Wollte ich auch gerade sagen. Datenschutzbeauftragter zu sein bedeutet keinerlei juristische Qualifikation. Sieht man ja daran wer in manchen Firmen den DB machen muss. Also bitte juristischen Rat holen, der fundiert ist.
Aber egal, wenn das wirklich ein Marktführer in der Softwarebranche ist wird er sich lieber von euch als Kunden trennen, anstatt sein Datenbankkonzept zu durchlöchern. So etwas stellt sicherlich einen außerordentlichen Kündigungsgrund dar. Für beide Seiten.
Aber egal, wenn das wirklich ein Marktführer in der Softwarebranche ist wird er sich lieber von euch als Kunden trennen, anstatt sein Datenbankkonzept zu durchlöchern. So etwas stellt sicherlich einen außerordentlichen Kündigungsgrund dar. Für beide Seiten.
