m-jelinski
Goto Top

Software-Anbieter unterschlägt Zugangsdaten zur Datenbank (RIS System - Datenschutz - DSGVO)

Hallo zusammen,

wir haben ein zentrales RIS System (Radiologieinformationssystem zur Dokumentation und Verwaltung medizinischer und administrativer Daten in der Radiologie) eines marktführenden Anbieters gekauft (inkl. der Dienstleistungen zur Installation und der Wartung). Dieses System ist an einigen unserer Standorten bereits produktiv eingeführt. Einige weitere Standorte sind aktuell in der Migrationsphase.

Um die Kontrollpflichten der DSGVO durchzuführen, haben wir administrative Zugangsdaten für die Datenbank angefragt. Der Datenbankserver zu dem System ist im Kaufvertrag enthalten. In der Datenbank sind u.a. Gesundheitsdaten unserer Patienten. Der Anbieter weigert sich allerdings diese Daten Zugangsdaten herauszugeben.

Nun suche ich die Rechtsgrundlage um die Zugangsdaten zu der von uns gekauften Software und Datenbank zu erhalten.

Über eine Hilfe dabei würde ich mich freuen (am liebsten ein Paragraph aus einem der vielen IT- oder Datenschutz-Gesetze oder verbindlichen Normen).

Vielen Dank im Voraus!

Content-ID: 646000

Url: https://administrator.de/forum/software-anbieter-unterschlaegt-zugangsdaten-zur-datenbank-ris-system-datenschutz-dsgvo-646000.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

lcer00
lcer00 29.01.2021 um 12:31:48 Uhr
Goto Top
Zitat von @m-jelinski:

Hallo zusammen,

wir haben ein zentrales RIS System (Radiologieinformationssystem zur Dokumentation und Verwaltung medizinischer und administrativer Daten in der Radiologie) eines marktführenden Anbieters gekauft (inkl. der Dienstleistungen zur Installation und der Wartung). Dieses System ist an einigen unserer Standorten bereits produktiv eingeführt. Einige weitere Standorte sind aktuell in der Migrationsphase.

Um die Kontrollpflichten der DSGVO durchzuführen, haben wir administrative Zugangsdaten für die Datenbank angefragt. Der Datenbankserver zu dem System ist im Kaufvertrag enthalten. In der Datenbank sind u.a. Gesundheitsdaten unserer Patienten. Der Anbieter weigert sich allerdings diese Daten Zugangsdaten herauszugeben.

Nun suche ich die Rechtsgrundlage um die Zugangsdaten zu der von uns gekauften Software und Datenbank zu erhalten.

Es ergibt sich aus dem Wartungsvertrag - oder es steht darin, dass das ausgeschlossen ist. Das wäre auch OK, wenn sich dazu passende Regeln in der Vereinbarung zur Auftragsdatenverarbeitung ergeben würden.

Also: Wartungsvertrag und Vereinbarung zur Auftragsdatenverarbeitung lesen und dann weiter sehen.

Grüße

lcer
m-jelinski
m-jelinski 29.01.2021 aktualisiert um 12:55:26 Uhr
Goto Top
Der Wartungsvertrag ist aktuell noch nicht unterzeichnet. Der Entwurf dazu enthält keine Punkte bezüglich der Zugangsrechte zum gekauften Datenbankserver.
Auch in der Vereinbarung zur Auftragsdatenverarbeitung gibt es keine entsprechenden Punkte.

Aus meiner Sicht haben wir sowohl die Datenbanksoftware wie auch das RIS-System gekauft. Wir verarbeiten unsere Patienten in dem System. Daher kann aus meiner Sicht der Anbieter uns diese Zugangsdaten nicht unterschlagen. Zumal es Prüfpflichten auf Datenschutzkonformität gibt, welche uns verpflichtet zu prüfen ob wir alle Datenschutzgesetze einhalten (leider habe ich aktuell keine Paragraphen zur Hand).

Grüße
Michael
SlainteMhath
SlainteMhath 29.01.2021 um 13:09:41 Uhr
Goto Top
Moin,

vorab: eine Rechtsberatung erhällst du hier im Forum nicht, wir sind keine Rechtsanwällte.

Aus meiner Sicht haben wir sowohl die Datenbanksoftware wie auch das RIS-System gekauft
Nein, sicher nicht. Was ihr erworben habt ist das Recht die Software zu nutzen (=Lizenz)

Der Datenbankserver zu dem System ist im Kaufvertrag enthalten
Wenn due "Datenbankserver" schreibst, meinst du da die Hardware? Dann könnte as ein KV sein.
Oder ist das ein Dienst der "bei euch" läuft und Daten aufnimmt/herausgibt? Dann ist es sicher kein KV, sonern ein Nutzungs/Lizenzvertrag.

Wie gesagt, ist keine Rechtsberatung. Sucht euch am besten auf IT-Recht spezieliisierten Anwalt.

lg,
Slainte
StefanKittel
StefanKittel 29.01.2021 aktualisiert um 13:18:35 Uhr
Goto Top
Hallo,

das ist bei vielen medizinischen Softwareprodukte üblich.
Damit wird eine MPG-Auflage, das verhindern der Manipulation der Daten durch den Nutzer, erfüllt.

Sobald Du Zugang zur Core-Daten hast, kannst Du den Inhalt der Datenbankfelder manipulieren und z.B. Aufnahmen restlos löschen oder Informationen überschreiben.
Dadurch ist das System nicht mehr manipulationssicher und kommt den Anforderungen des MPG nicht mehr nach.

Ich arbeite häufig für Zahnärzte Änderungen an der Datenbank führt in der Regel nur der Support des Softwareherstellers aus. Nichtmal deren Support vor Ort hat diese Zugangsdaten.

Stefan

PS: Wie Oben schon beschrieben hast Du "nur" ein Nutzungsrecht für die Software gekauft. Nicht die Software selber.
BirdyB
BirdyB 29.01.2021 um 13:18:20 Uhr
Goto Top
Hi,

zunächstmal der übliche Disclaimer:
Ich bin kein Anwalt, dies ist keine Rechtsberatung. Für eine entsprechend abgesicherte Beratung musst du den Anwalt deines Vertrauens konsultieren.

Jetzt zurück zum Thema:
Ihr werdet nicht das RIS gekauft haben, sondern die Lizenzen zur Nutzung desselbigen. Der Hersteller des RIS ist für die Einhaltung des MPG und die Funktionsfähigkeit des Systems verantwortlich und wird daher nicht wollen, dass an der Datenhaltung irgendetwas verändert wird. Zudem gehören DB-Trigger, Prozeduren, etc. auch im weitesten Sinne zum Quellcode der Software, die der Anbieter verständlicherweise nicht preisgeben möchte. Microsoft zeigt ja auch nicht den Quellcode von Office, damit ich mal schauen kann, ob hier alles datenschutzrechtlich korrekt gehandhabt wird.
Die im System vorhandenen Daten solltest du auch über die Benutzeroberfläche deines RIS entsprechend einsehen können und damit die Konformität bestätigen können. Für alles was dahinter liegt, bist dann nicht du, sondern der Softwareanbieter verantwortlich und dieser sollte euch die Einhaltung der Bestimmungen der DSGVO bestätigen können.
In meinen Augen handelt der RIS-Hersteller damit vollkommen korrekt, und ich kann auch keinen Rechtsanspruch auf die Herausgabe der Zugangsdaten erkennen.

Wenn du unbedingt an die Datenbank willst... Nunja, da gibt es immer Mittel und Wege, aber vermutlich sind die Daten dort auch zusätzlich verschlüsselt, so dass es dir nichts bringen wird.

VG
NordicMike
NordicMike 29.01.2021 um 13:18:23 Uhr
Goto Top
Ist diese Prüfpflicht nicht schon damit erfüllt, dass nicht jeder das Datenbankpasswort erhält?
m-jelinski
m-jelinski 29.01.2021 aktualisiert um 15:53:20 Uhr
Goto Top
Diese Argumentation kann ich nicht nachvollziehen. Wenn ich mir einen Microsoft SQL Server kaufe und auf meinem Windows Server installiere, habe ich ja auch vollen Zugang zu den Daten (womit sicher nicht der Quelltext sondern die Datenbanken gemeint sind).

Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems. Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).

Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
SlainteMhath
SlainteMhath 29.01.2021 aktualisiert um 15:56:59 Uhr
Goto Top
Wenn ich mir einen Microsoft SQL Server kaufe
Tust du nicht face-smile

habe ich ja auch vollen Zugang zu den Daten
das ist richtig.

Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir
auch richtig. Der Rest steht mit Sicherheit im Lizenzvertrag - lass den doch einfach mal von Anwalt prüfen.

/EDIT
Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Mit der mitgelieferten RIS-Software?
StefanKittel
StefanKittel 29.01.2021 um 16:16:58 Uhr
Goto Top
Die Frage ist hier eher: bis wohin sind wir verantwortlich.

Zitat von @m-jelinski:
Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems.
Ja

Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).
Bedingt. Der Lieferant der Software hat Euch Rahmenvorgaben für den Betrieb gemacht und für was Ihr verantwortlich seid. Zum Beispiel Updates und Datensicherung. Für die interne Datensicherheit ist der Anbieter verantwortlich.

Wenn Ihr Euren Teil also erfüllt habt und Daten gehen verloren, ist der Anbieter verantwortlich.

Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Gar nicht. Dieser stellt eine Anfrage an den Anbieter und vom ihm bekommt er eine Bescheinigung. Die heftet er ab und fertig.

Gefallen tut mir das auch nicht.

Aber andersherum.
Du hast Admin-Zugriff auf die ganze Datenbank.
Jetzt überschreibst Du eine Information und änderst auch alle Protokolle. Danach rufst Du den Support an und meckerst dass die Software doof ist weil diese was falsch geschrieben hat. Wie sollen die sich oder Deine Daten vor Dir schützen?
m-jelinski
m-jelinski 29.01.2021 um 16:52:15 Uhr
Goto Top
Zitat von @StefanKittel:

Die Frage ist hier eher: bis wohin sind wir verantwortlich.

Zitat von @m-jelinski:
Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems.
Ja

Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).
Bedingt. Der Lieferant der Software hat Euch Rahmenvorgaben für den Betrieb gemacht und für was Ihr verantwortlich seid. Zum Beispiel Updates und Datensicherung. Für die interne Datensicherheit ist der Anbieter verantwortlich.

Das sieht die DSGVO leider ganz anders. Mercedes ist ja als Anbieter meines Autos auch nicht dafür verantwortlich, das ich nicht zu schnell fahre.


Wenn Ihr Euren Teil also erfüllt habt und Daten gehen verloren, ist der Anbieter verantwortlich.

Wie sollte z.B. unser Datenschutzbeauftragter prüfen können ob wir Daten gelöscht haben, zu deren Löschung wir gesetzlich verpflichtet sind?
Gar nicht. Dieser stellt eine Anfrage an den Anbieter und vom ihm bekommt er eine Bescheinigung. Die heftet er ab und fertig.

Leider ist der Eigentümer/Betreiber einer Anlage für die Datensicherheit verantwortlich. Nicht der Lieferant.

Gefallen tut mir das auch nicht.

Aber andersherum.
Du hast Admin-Zugriff auf die ganze Datenbank.
Jetzt überschreibst Du eine Information und änderst auch alle Protokolle. Danach rufst Du den Support an und meckerst dass die Software doof ist weil diese was falsch geschrieben hat. Wie sollen die sich oder Deine Daten vor Dir schützen?

Mal angenommen das Dein Beispiel in der Realität so vorkommen würde. Einen Fehler müsste ich dem Anbieter nachweisen. Dieser zückt dann das Audit-Trail und sieht meine Änderungen...

Vielleicht finden wir ja noch jemanden, der sich professionell mit der DSGVO beschäftigt (z.B. einen Datenschutzbeauftragten)?
BirdyB
BirdyB 29.01.2021 um 17:41:14 Uhr
Goto Top
Also:
Die meisten hier, genau wie ich auch sind der Ansicht, dass der RIS-Hersteller die Zugangsdaten nicht herausgeben muss und dass du für den Nachweis der DSGVO-Konformität keinen Admin-Zugang zur Datenbank brauchst.
Was wäre denn, wenn das System die Daten in einer integrierten Datenhaltung speichern würde? Dann hättest du technisch noch nichtmal die Möglichkeit ausserhalb der RIS-Software auf die Daten zuzugreifen.

Jetzt kannst du also entweder unserer Meinung hier in Verbindung mit der Aussage deines RIS-Herstellers Glauben schenken oder aber falls du das nicht kannst bzw. willst einen Anwalt einschalten und das Thema schlimmstenfalls vor Gericht klären lassen.

Die DSGVO ist jedenfalls kein Grund für den Admin-Zugang zur DB. Dafür wird dein RIS-System eine passende Oberfläche haben.
7Gizmo7
7Gizmo7 29.01.2021 um 18:22:32 Uhr
Goto Top
Zitat von @m-jelinski:


Der Eigentümer der darin gespeicherten Daten sind ja zweifelsfrei wir und nicht der Softwareanbieter des RIS Systems. Genauso wie wir verantwortlich für die Datensicherheit sind (nicht der RIS Anbieter).

Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.
lcer00
lcer00 29.01.2021 um 18:28:53 Uhr
Goto Top
Hallo,
Zitat von @m-jelinski:

Vielleicht finden wir ja noch jemanden, der sich professionell mit der DSGVO beschäftigt (z.B. einen Datenschutzbeauftragten)?
Ich denke, die meisten, die hier geantwortet haben, befassen sich professionell mit Datenschutz und DSGVO. Was sagt denn Dein Datenschutzbesuftragter? Unserer ist übrigens Volljurist und durchaus in der Lage auch die lokalen bundeslandspezifischen Ausprägungen des Datenschutzrechts zu überblicken. Wenn Du Dich mit Deiner Softwarefirma anlegen willst, solltest Du einen ähnlich qualifizierten Menschen suchen. Im übrigen hast Du die Möglichkeit, bei Unklarheiten Deinen Landesdatenschutzbeauftragten Um Stellungnahme zu bitten. Der freut sich bestimmt schon.

Grüße

lcer
LordAsriel
LordAsriel 29.01.2021 um 23:20:12 Uhr
Goto Top
Hallo,

hast du schon mal mit den Softwareentwicklern darüber gesprochen, wie dies bei anderen Kunden gehandhabt wird, die sollten hier doch an ähnliche Grenzen/Probleme gestoßen sein und/oder Absprachen getroffen haben. Vieleicht bietet die RIS Software ja sogar ein DSGVO Kontrollsystem an. Grade bei Patientendaten wird beim Einhalten von Datenschutz ein sehr hoher Wert auf Transparenz gelegt oder?

Grüße
LordAsriel
c0d3.r3d
c0d3.r3d 29.01.2021 um 23:35:25 Uhr
Goto Top
Hallo,

Aus dem medizinischen Bereich und dem Datenschutz dahinter kann ich jetzt nicht sprechen, nur aus dem SQL-DB Bereich, aber Daten aus einer Datenbank zu löschen ist tatsächlich das dümmste, was man tatsächlich tun kann --> Stichwort Referentielle Integrität. Wenn, werden solche Daten mit Löschkennzeichen vermerkt, aber tatsächlich gelöscht werden sollten diese nicht. Es reicht schon einen Wert zu verändern, auf denen weitere Tabellen innerhalb der DB Zugreifen und dir fällt das ganze wie ein Kartenhaus zusammen.

Was mir nur einfallen würde, wäre ein Read-Only Zugang zur Datenbank, jedoch würde ich als Datenbank-Hoster auch niemanden einen Vollzugriff geben, womit er theoretisch(!) sogar die ganze DB löschen könnte. Die höchsten Rechte die ich ihm geben würden, wären SELECT - mehr aber auch nicht.
ThomasFl
ThomasFl 31.01.2021 um 07:00:59 Uhr
Goto Top
Vorab du hast keine Chance und das ist auch gut so.

Wir hatten bei zwei Kunden schon Probleme mit Datenbanken und deren Zugriffsdaten.
Eins war eine Stempelsoftware die nie richtig lief und bei der wir versucht haben auf die Datenbank zu kommen um wenigsten die IP der Stadionen zu ändern damit die Fehlermeldungen endlich enden.
Ergebnis war null. Wir haben dann ein Subnetz gebaut.

Bei einer anderen Software wollten wir die Datenbank auslesen um sie in eine andere Anwendung übergeben zu können. Auch hier sind die Anwälte gescheitert.

Über die DSGVO versuchen an die Datenbank zu kommen ist ein lustiger Ansatz nur wirst du da auch scheitern. Es gibt sicherlich Möglichkeiten ein Datenbankpasswort zu erschnüffeln, aber wir haben keine Anleitung und keinen gefunden der das bis jetzt geschafft hat.

Trotzdem einen schönen Sonntag
keine-ahnung
keine-ahnung 31.01.2021 um 11:10:17 Uhr
Goto Top
@7Gizmo7

Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.

Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.

LG, Thomas
MacLeod
MacLeod 01.02.2021 um 10:28:27 Uhr
Goto Top
Hallo
Ich kann hierzu ein Beispiel nennen, wo das ähnlich gehandhabt wird. Die DATEV Software für Anwaltskanzleien. Die Rechtslage mit Mandantendaten ist ja im weitesten Sinne vergleichbar mit Patientendaten.
Man kann hierfür die Freigabe des Datenbankpasswortes beantragen. ABER: Man unterschreibt damit im Gegenzug, daß man jeglichen Supportanspruch verliert. Und im Grunde auch die Zertifizierung der Software flöten geht. Wenn mal ein Problem mit der Datenbank bestehen sollte, hebt der DATEV Support die Hände und grüßt durch.

Man muss das auch von der Gegenseite betrachten. Der Softwarehersteller ist zertifiziert und muss sicherstellen, daß kein Unbefugter auf die Datenbank zugreifen kann. Das geht nur mit aktivem Passwortschutz. Zugriff auf die Patientendaten darf einzig und alleine über die Software selbst und die eingebauten Sicherheitsmechanismen erfolgen. Weitere Beispiele sind Datenarchive, Mailarchive oder Dealer Management Systeme z.B. bei Autohäusern.
Alle Kontrollpflichten, Löschmechanismen, Auditschnittstellen müssen in der Software selbst realisiert sein.
MfG,
Conner
StefanKittel
StefanKittel 01.02.2021 um 11:42:50 Uhr
Goto Top
Hallo,

ich versuche mal zu übersetzen face-smile
Denn Ihr habt beide recht (m-jelinsi - MacLeod)

Der Anbieter kann Niemanden erlauben direkt auf seine DB zuzugreifen weil er damit DSGVO und MPG verliert.
Denn dieser Jemand kann ja direkt die Tabellen manipulieren.

Der Nutzer ist für gewisse Dinge bezüglich Datenschutz und DSGVO verantwortlich und ein reines abschieben an den Anbieter ist nicht zulässig.

Dafür gibt es keine Lösung.
Du könntest aber z.B. nach einem Nur-Lesen-Zugriff fragen.
Damit kommst Du Deiner Kontrollpflicht bei, kannst die Software aber nicht manipulieren.

Meine Firma hat lange für die Compugroup gearbeitet.
Und obwohl DSGVO neu ist, ist das Thema aus Datenschutzsicht nicht neu. Aber es nie Jemand danach gefragt.
Also mit Nieman meine ich 0,0.

Auch aktuell nicht möglich: Das Recht eine Patienten-Daten in digitaler Form aus einer Abrechnungssoftware mitnehmen zu können. Oder das vollständige Löschen seiner Daten. etc.

Stefan
7Gizmo7
7Gizmo7 01.02.2021 um 21:53:53 Uhr
Goto Top
Zitat von @keine-ahnung:

@7Gizmo7

Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.

Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.

LG, Thomas

Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.

https://dsgvo-gesetz.de/art-17-dsgvo/
lcer00
lcer00 01.02.2021 um 22:20:00 Uhr
Goto Top
Hallo,
Zitat von @7Gizmo7:

Zitat von @keine-ahnung:

@7Gizmo7

Das stimmt so auch nicht, dem Patienten gehören die Daten. Ihr erstellt und verwaltet nur diese Daten.

Das ist nun auch wieder ein Schmarrn ... der Patient hat lediglich ein Recht auf Einsichtnahme u./o. Kopie.

LG, Thomas

Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.

https://dsgvo-gesetz.de/art-17-dsgvo/
effektiv sieht das bei Radiologiedaten so aus, dass die eine ziemlich lange Zeit gar nicht gelöscht werden dürfen.

Grüße

lcer
MacLeod
MacLeod 01.02.2021 um 22:24:19 Uhr
Goto Top
Gleichzeitig hat die Arztpraxis die Pflicht alle geschäftsrelevanten Daten nach GoB
https://www.rechnungswesen-info.de/gob.html
zu speichern und schlimmstenfalls bis zu 10 Jahre manipulationssicher zu archivieren. Dazu gehören auch Vorgänge am oder mit dem Patienten, Rezeptverschreibungen, Berichte, Diagnosen etc.
Du erkennst das Dilemma? Hierfür wird es wohl nie eine saubere Lösung geben.
keine-ahnung
keine-ahnung 02.02.2021 um 13:15:44 Uhr
Goto Top
@7Gizmo7

Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.

face-smile

Man muss schon den ganzen Text lesen, den man verlinkt - in diesem Fall auch Absatz 3 face-wink
NordicMike
NordicMike 02.02.2021 um 13:20:24 Uhr
Goto Top
Wann gilt ein Datensatz juristisch als gelöscht?
Wenn ihn kein "Benutzer der Software" mehr auslesen kann?
7Gizmo7
7Gizmo7 02.02.2021 um 22:26:46 Uhr
Goto Top
Zitat von @MacLeod:

Gleichzeitig hat die Arztpraxis die Pflicht alle geschäftsrelevanten Daten nach GoB
https://www.rechnungswesen-info.de/gob.html
zu speichern und schlimmstenfalls bis zu 10 Jahre manipulationssicher zu archivieren. Dazu gehören auch Vorgänge am oder mit dem Patienten, Rezeptverschreibungen, Berichte, Diagnosen etc.
Du erkennst das Dilemma? Hierfür wird es wohl nie eine saubere Lösung geben.

JAin hier geht es um Rechnungslegung und Steuer. Das Röntgenbild was digital gespeichert wurde, kann ich löschen lassen.
7Gizmo7
7Gizmo7 02.02.2021 um 22:32:53 Uhr
Goto Top
Zitat von @keine-ahnung:

@7Gizmo7

Na nach DSGVO , habe ich das Recht das sie gelöscht werden, weil es meine Personenbezogenen Daten sind.

face-smile

Man muss schon den ganzen Text lesen, den man verlinkt - in diesem Fall auch Absatz 3 face-wink

aber

Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

Aber mein Röntgenbild ist nicht dem öffentlichen Interesse geschuldet. Wenn ich meinen Radiologen wechsle, dann kann ich das Einverständnis zu Verarbeitung meiner besonderen schützenwerten personenbezogenen Daten widerrufen und die Löschung der Daten verlangen im Rahmen der gesetzlicher Aufbewahrungsfristen.

https://www.kvn.de/internet_media/Mitglieder/Beratung/IT+in+der+Arztprax ...

SO mein Verständnis
MacLeod
MacLeod 02.02.2021 um 23:01:03 Uhr
Goto Top
Worauf willst Du hinaus?
Da steht klipp und klar, daß der Arzt Röntgenbilder 10 Jahre aufheben muss. Daran wirst Du auch mit einem Löschantrag nichts ändern.
Es wird einzig der Zugang zu deinen Daten im System gesperrt und ist er ist nur noch im Rahmen eines wichtigen Audits aufrufbar.
Die Vorzimmerdame sieht dich nicht mehr im System aber bei rechtlichen Ansprüchen wird im Beisein von Chef und Anwalt das nötigenfalls wieder entsperrt.
Gleiches gilt beim Kauf eines Autos. Solange noch Garantie und Gewährleistungsansprüche bestehen, bleibt dein Kaufvorgang sogar noch im aktiven System gespeichert.
Aber wir schweifen ab.
Gute Nacht
keine-ahnung
keine-ahnung 03.02.2021 um 10:59:48 Uhr
Goto Top
@7Gizmo7

Wenn ich meinen Radiologen wechsle, dann kann ich das Einverständnis zu Verarbeitung meiner besonderen schützenwerten personenbezogenen Daten widerrufen und die Löschung der Daten verlangen im Rahmen der gesetzlicher Aufbewahrungsfristen.

Jupp - nach 10 Jahren, wenn Du zum Zeitpunkt der Anfertigung > 18 Jahre alt warst.
m-jelinski
m-jelinski 07.03.2021 um 19:07:49 Uhr
Goto Top
Der Vorgang wurde nun durch 2 externe Datenschutzbeauftragte unabhängig voneinander geprüft. Beide sind zu dem eindeutigen Schluss gekommen, das uns administrative Zugangsdaten ohne wenn und aber zustehen.

Ich bin nun in weiterer Kommunikation mit dem Anbieter der RIS Software. Sollte dieser weiterhin nicht einlenken, wird unser Datenschutzbeauftragte den Fall an den Hessischen Datenschutzbeauftragten weitergeben, welcher unseren Anbieter dann "überzeugt" (was wohl mit einem Bußgeld für den Anbieter verbunden sein könnte).
lcer00
lcer00 07.03.2021 um 19:19:04 Uhr
Goto Top
Hallo,
Zitat von @m-jelinski:

Der Vorgang wurde nun durch 2 externe Datenschutzbeauftragte unabhängig voneinander geprüft. Beide sind zu dem eindeutigen Schluss gekommen, das uns administrative Zugangsdaten ohne wenn und aber zustehen.
ist da einer der beiden Jurist? Ich würde das nicht ohne (fach)juristische Beratung eskalieren.

Grüße

lcer
MacLeod
MacLeod 07.03.2021 um 19:59:09 Uhr
Goto Top
Wollte ich auch gerade sagen. Datenschutzbeauftragter zu sein bedeutet keinerlei juristische Qualifikation. Sieht man ja daran wer in manchen Firmen den DB machen muss. Also bitte juristischen Rat holen, der fundiert ist.
Aber egal, wenn das wirklich ein Marktführer in der Softwarebranche ist wird er sich lieber von euch als Kunden trennen, anstatt sein Datenbankkonzept zu durchlöchern. So etwas stellt sicherlich einen außerordentlichen Kündigungsgrund dar. Für beide Seiten.