§ 18 ÖGDG - Verarbeitung
Bibliographie
- Titel
- Gesetz über den öffentlichen Gesundheitsdienst (Gesundheitsdienstgesetz - ÖGDG)
- Amtliche Abkürzung
- ÖGDG
- Normtyp
- Gesetz
- Normgeber
- Baden-Württemberg
- Gliederungs-Nr.
- 2120
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. 5. 2016, S. 1, zuletzt ber. ABl. L 074 vom 4. 3. 2021, S. 35) ist die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig, wenn sie zur Erfüllung einer in der Zuständigkeit der verarbeitenden Stelle liegenden Aufgabe erforderlich ist und
- 1.
die Verarbeitung für Zwecke der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit von Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsoder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
- 2.
die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist,
- 3.
die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist sowie die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen, oder
- 4.
die Verarbeitung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich ist, die Zwecke auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden können und die Interessen der öffentlichen Stelle an der Durchführung des Forschungs- oder Statistikvorhabens die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung überwiegen.
(2) In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
- 1.
technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
- 2.
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
- 3.
Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
- 4.
Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
- 5.
Pseudonymisierung personenbezogener Daten,
- 6.
Verschlüsselung personenbezogener Daten,
- 7.
Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
- 8.
zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
- 9.
spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.
(3) Die Verarbeitung personenbezogener Daten nach Absatz 1 zu einem anderen Zweck als demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des § 5 Absatz 1 LDSG und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 gegebenenfalls in Verbindung mit Absatz 1 vorliegt. § 5 Absatz 1 Nummer 3 LDSG gilt nicht für personenbezogene Daten, die von Gesundheitsämtern im Zusammenhang mit einer Beratung verarbeitet werden.
(4) § 5 Absatz 1 Nummer 4 und Absatz 2 LDSG finden keine Anwendung.
(5) Personenbezogene Daten einschließlich der Dokumentation sind für die Dauer von zehn Jahren nach Abschluss der Maßnahme oder der Durchführung einer Untersuchung aufzubewahren, es sei denn, dass ihre Kenntnis bereits zuvor für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist. Soweit nach anderen Vorschriften abweichende Aufbewahrungsfristen bestehen, finden diese Anwendung.