Best Practices für Fernwartung in der Gesundheitsversorgung
Die Arbeitsgruppe Datenschutz & IT-Sicherheit des Bundesverband Gesundheits-IT e. V. hat ihre Best Practices für Fernwartung in der Gesundheitsversorgung veröffentlicht.
Unter Fernwartung werden im Folgenden Tätigkeiten zur Inspektion, Wartung, Pflege und Fehlerbehebung der in diesen Sektoren eingesetzten IT-Systeme verstanden. Diese Tätigkeiten finden in der Regel über eine Rechnerverbindung (Internet) statt.
Diese Best Practices beschreiben, wie der Schutz personenbezogener Daten gegen unrechtmäßige Verarbeitung im Rahmen der Fernwartung sowohl für den ambulanten als auch stationären Sektor gesichert werden sollten. Dabei bezieht sich die Ausarbeitung sowohl auf Patientendaten als auch auf Beschäftigtendaten.
Die Autoren gehen von der Prämisse aus, dass nicht bei jedem Fernwartungsvorgang Patientendaten verarbeitet werden müssen. Im Rahmen des Einspielens von Sicherheitsupdates zum genutzten Betriebssystem sei beispielsweise i. d. R. ein Zugriff auf Patientendaten nicht erforderlich und dürfe deshalb auch nicht erfolgen. Bei der Wartung der Anwendungsapplikation sei der Zugriff auf Patientendaten im Rahmen von Unterstützungsleistungen jedoch die Regel. Beispielsweise könnten Unstimmigkeiten in den Abrechnungsdaten bei einem konkreten Fall nur mit Überprüfung der in diesem Fall vorliegenden konkreten Daten beseitigt werden, die Beseitigung von Ungereimtheiten bei der Weitergabe von Patientendaten z. B. im Rahmen der gesetzlichen Qualitätssicherung oder einer Krebsregistermeldung erfordern den Zugriff auf die betroffenen Patientendaten.
Die Autoren adressieren mit den aufgestellten Best Practices die Sicherheit der Verarbeitung und betrachten daneben auch Regelungen zu anderen Tatbeständen wie beispielsweise Erlaubnistatbeständen oder dem Vorhandensein eines ggf. benötigten Vertrages zur Auftragsverarbeitung.
Die Autoren stellen eine Vielzahl von Anforderungen auf, die sie den jeweiligen Rollen zuordnen, die sie ermittelt haben. Es wird differenziert zwischen Anforderungen, die seitens des Verantwortlichen erfüllt werden müssen, Anforderungen, die seitens des Auftragsverarbeiters erfüllt werden müssen sowie Anforderungen, die sowohl Verantwortlicher als auch Auftragsverarbeiter adressieren.
Bundesverband Gesundheits-IT e. V.
Arbeitsgruppe Datenschutz & IT-Sicherheit
(Foto: bearsky23 – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Kündigung wegen mangelhafter Bearbeitung einer Whistleblower-Meldung
Das Arbeitsgericht Offenbach hat mit Urteil vom 25. November 2025 (Az. 1 Ca 136/25) in einem arbeitsrechtlich bedeutsamen Fall entschieden: Die außerordentliche fristlose Kündigung eines General Counsel eines Konzerns war unwirksam, die hilfsweise ordentliche Kündigung hingegen sozial gerechtfertigt. Sachverhalt Im Oktober 2023 ging beim Konzern eine Whistleblower-Meldung über mutmaßlich rechtswidrige Praktiken bei der Hauslos-Gewinnung in
Mehr erfahren -
Datenlöschung während laufendem Auskunftsverfahren unzulässig
Mit Gerichtsbescheid vom 21. Januar 2026 (Az. 29 K 7470/24) hat das Verwaltungsgericht Düsseldorf die Klage eines E-Mail-Marketing-Unternehmens gegen eine datenschutzrechtliche Verwarnung abgewiesen und damit eine praxisrelevante Klarstellung zum Verhältnis von Auskunftsanspruch und Löschpflicht nach DSGVO getroffen. Sachverhalt Nachdem ein Betroffener im August 2022 eine unverlangte Werbe-E-Mail erhalten hatte, stellte er beim absendenden Unternehmen eine
Mehr erfahren -
Kennzeichnungspflichten für KI-generierte Inhalte
Die Wettbewerbszentrale hat im Februar 2026 einen Leitfaden veröffentlicht, der Unternehmen Orientierung bei der wettbewerbsrechts- und KI-verordnungskonformen Nutzung KI-generierter Inhalte geben soll. Im Fokus stehen Kennzeichnungspflichten nach Art. 50 KI-VO (EU) 2024/1689, die ab dem 2. August 2026 vollumfänglich gelten. Deepfakes und KI-Bilder Betreiber – also alle Unternehmen und Selbstständigen, die KI-Systeme beruflich einsetzen –
Mehr erfahren
