Healthcare IT


Krankenhaus-Datenschutz

Alles in die Cloud?

Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Seit 2015 ist sie Mitglied im IDG-Expertennetzwerk.
Dr. Carolin Monsees ist Fachanwältin für IT-Recht und Salary-Partnerin bei der Wirtschaftskanzlei Taylor Wessing.
Wenn es um den Datenschutz geht, stehen Träger deutscher Krankenhäuser vor einem Wust von Bundes- und Landesgesetzen.
Viele Krankenhäuser betreiben aufgrund von Datenschutzbestimmungen eigene Rechenzentren.
Viele Krankenhäuser betreiben aufgrund von Datenschutzbestimmungen eigene Rechenzentren.
Foto: Yentafern - shutterstock.com

Die DigitalisierungDigitalisierung erfreute sich nicht nur als Thema im Bundestagswahlkampf 2021 großer Beliebtheit. Sie ist vom Bund für den KrankenhausbereichKrankenhausbereich bereits im Jahr 2020 zum Anlass genommen worden, den Krankenhauszukunftsfond mit einem Fördervolumen von bis zu 4,3 Milliarden Euro aufzusetzen. Das Ziel dieser Milliardenförderung ist die Vernetzung des Gesundheitssektors und damit die Verbesserung der Patientenversorgung, beispielsweise mittels digitaler Aufnahme- und Entlassprozesse oder sprachbasierter Patientendokumentation. Alles zu Digitalisierung auf CIO.de Top-Firmen der Branche Gesundheit

Die Datenschutzkonformität eines solchen Vorhabens ist Voraussetzung für dessen Förderungsfähigkeit. Und damit kommen wir zum Kern des Problems: Wie lassen sich digitale - zum Großteil Cloud-basierte - Vorhaben im Krankenhausbereich überhaupt mit dem derzeitigen Rechtsrahmen in Deutschland datenschutzkonform umsetzen?

Lesetipp: CIO des Jahres - Uniklinikum Frankfurt: Wie aus Wissen Gesundheit wird

Fragmentierte (landesrechtliche) Regelungen

Es stellt sich zunächst die Frage, welche datenschutzrechtlichen Regelungen überhaupt Anwendung finden. Insoweit kommt es nämlich nicht auf das konkrete Vorhaben an, sondern darauf, wer Träger des jeweiligen Krankenhauses ist. Abhängig davon, ob das Krankenhaus in staatlicher, privater oder kirchlicher Trägerschaft ist, müssen neben der Datenschutz-Grundverordnung (DSGVODSGVO) und Bundesgesetzen (z. B. Bundesdatenschutzgesetz, BDSG) auch die jeweiligen Landesdatenschutz- oder Landeskrankenhausgesetze sowie weiteres spezielles Landesgesetz beachtet werden. Alles zu DSGVO auf CIO.de

Je nach Einrichtung kommen weitere, noch speziellere datenschutzrechtliche Vorgaben hinzu. Beispiele dafür sind:

  • Landesgesetze für psychiatrische Einrichtungen oder den Maßregelvollzug,

  • Berufsordnungen der Ärzte

Auf Bundesebene spezielle Vorgaben aus:

  • dem Sozialgesetzbuch V (SGB V),

  • dem Strafgesetzbuch (z.B. ärztliche Schweigepflicht / Arztgeheimnis)

Mehr die IT-Sicherheit als den DatenschutzDatenschutz betreffend: Alles zu Datenschutz auf CIO.de

  • BSI-Gesetz,

  • BSI-KRITIS-Verordnung

  • (neu) dem Patientendaten-Schutz-Gesetz

Der Umstand, dass die Hierarchien und Anwendungsvorränge zwischen DSGVO, BDSG und den zum Teil stark fragmentierten landesrechtlichen Vorgaben nicht aufeinander abgestimmt sind, führt in diesem Bereich nicht wirklich zu einer Rechtssicherheit.

Internationale Cloud trifft auf deutsches Landesrecht

Der zersplitterte Rechtsrahmen und das Auffinden der anzuwendenden Regelung ist allerdings nur die erste Hürde, die Krankenhäuser in Deutschland bei der Umsetzung datenschutzkonformer Digitalisierungsvorhaben zu bewältigen haben. Die zweite Schwierigkeit liegt in der Umsetzung der (landesrechtlichen) Vorgaben, welche den Stand der heutigen Digitalisierung schlichtweg nicht mehr abbilden. Als Beispiel für diese Problematik sei eine Cloud-basierte Krankenhausanwendung eines Anbieters angeführt, mittels der ein Krankenhaus in privater Trägerschaft Patientendaten verarbeiten möchte:

Ausgehend von den Vorgaben der DSGVO würde der geneigte Datenschützer an Themen wie Auftragsverarbeitung, Drittlandtransfer und Standardvertragsklauseln denken. Allesamt datenschutzrechtliche Themen, die an sich schon sehr komplex sind und sich zudem in stetiger Entwicklung befinden.

Das Krankenhaus wird sich in diesem Beispiel zusätzlich noch mit den deutschen landesrechtlichen Vorgaben beschäftigen müssen. Konkrete Vorgaben für Cloud Services existieren zwar in keinem Bundesland, dafür finden sich divergierende Regelungen zum Einsatz von Auftragsverarbeitern (Anbieter, die personenbezogene Daten auf Weisung des Krankenhauses verarbeiten).

Während beispielsweise das Landeskrankenhausgesetz Niedersachsen keine spezifischen Vorgaben zum Cloud-Einsatz vorsieht, bedarf es in Sachsen zur Auftragserteilung der Zustimmung der zuständigen Behörde. Hier stellt sich die Frage, wie eine Klinik-Gruppe mit Krankenhäusern in beiden Bundesländern mit diesem Rechtsrahmen eine datenschutzkonforme sichere Lösung implementieren kann. Das Ergebnis ist derzeit wohl eher das Folgende: die größten rechtlichen Risiken versuchen zu umschiffen und dann, mit beiden Augen zugedrückt, Kurs in Richtung Digitalisierung nehmen.

Und genau in dieser Konsequenz liegt ein erhebliches Risiko. Ohne einen datenschutzrechtlich verständlichen und auf die heutige Zeit angepassten Rechtsrahmen werden die Kliniken ihre eigenen - ebenfalls voneinander divergierenden - Datenschutzstandards in Deutschland entwickeln. Hier ist der Gesetzgeber gefragt, durch klare Vorgaben sicherzustellen, dass der politisch intendierten und mit Milliarden Euro geförderten digitalen Vernetzung des Gesundheitswesens auch das gleiche Datenschutzniveau zu Grunde liegt.

Lesetipp: eHealth-Strategie - Charité forciert smarten Datenaustausch

Erste Erleichterung für bayrische Krankenhausträger

Eine erste Erleichterung hat es nun in Bayern gegeben. Nach der alten Rechtslage durften Patientendaten in Bayern, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, nur auf dem Gelände des Krankenhauses oder durch andere Krankenhäuser verarbeitet werden. Bei der Einführung von Cloud-basierten digitalen Vorhaben stellte diese Vorgabe die Krankenhäuser vor große Herausforderungen, da sie die Wahl von externen Dienstleistern ausschloss. Krankenhäuser mussten eine eigene IT-Infrastruktur mit Servern auf dem Krankenhausgelände betreiben.

Diese, die Krankenhäuser stark einschränkende Regelung gemäß Art. 27 Abs. 4 S. 6 Bayerisches Krankenhausgesetz (BayKrG), wurde mit Wirkung zum 1. Juni 2022 durch Art. 32c Nr. 2 lit. a Gesetz über den Öffentlichen Gesundheitsdienst (GDG) aufgehoben. Die bayrische Landesregierung und der Bayrische Landtag stellen jeweils ausdrücklich klar, dass es den bayrischen Krankenhäusern ermöglicht werden soll, eine Auftragsverarbeitung von Patientendaten auch durch externe IT-Dienstleister vornehmen zu lassen, die keine Krankenhäuser sind (Bayerischer Landtag, Drs. 18/19685, S. 3, 53; Bayerischer Landtag, Drs. 18/22430).

Die Neufassung des Art. 27 Abs. 6 BayKrG verweist nun ausdrücklich auf die Anforderungen der DSGVO zur Auftragsverarbeitung (Art. 28 DS-GVO) und Sicherheit der Verarbeitung (Art. 32 DSGVO). Weiterhin wird klargestellt, dass im Krankenhausbereich ein besonderes Augenmerk auf die Vertraulichkeit, Integrität und Verfügbarkeit der Patientendaten zu richten sei. Insoweit solle nach der Gesetzesbegründung (Bayerischer Landtag, Drs. 18/19685, S. 53) die Aufhebung der Einschränkung idealerweise durch ein einvernehmliches, selbstverpflichtendes Regelwerk kompensiert werden.

Dieses Regelwerk soll nach Maßgabe der DSGVO die technischen und organisatorischen Maßnahmen präzisieren und zu einem einheitlichen, hohen Schutzniveau führen. Der Bayrische Gesetzgeber schlägt vor, dass dieses auf Selbstverpflichtungsbasis durch die Interessensvertretung der Bayerischen Krankenhausträger und deren Spitzenverbände ins Leben gerufen werden soll, bei Bedarf unterstützt durch die zuständige Datenschutzaufsichtsbehörde. Wann ein solches Regelwerk entsteht, bleibt abzuwarten.

Für die Praxis hat die Änderung zur Folge, dass sich Bayrische Krankenhäuser künftig externer IT-Dienstleister außerhalb des Klinikgeländes bedienen können, selbstredend unter Einhaltung der Vorgaben der DSGVO, und unter Vereinbarung weiterer Sicherheitsmaßnahmen. Letzteres führt allerdings wieder zu neuen Unsicherheiten, solange es keine Regelwerke hierfür gibt.

Neuer Musterverträge für Cloud-Leistungen für die öffentliche Hand

Parallel wurden am 1. März 2022 neue Musterverträge für die öffentliche Hand zur Beschaffung von Cloud-Leistungen veröffentlicht, die sog. EVB-IT Cloud Verträge. Sie sind das Ergebnis eines intensiven Abstimmungsprozesses der öffentlichen Hand mit der IT-Wirtschaft, vertreten durch den Bitkom. Erstmalig kann die öffentliche Hand, und damit auch Krankenhäuser, auf standardisierte Einkaufsbedingungen für Cloud-Leistungen zurückgreifen, welche die hohen Anforderungen der öffentlichen Hand an Leistungsqualität, Daten- und IT-Sicherheit sowie Kontrollrechten bei deren Nutzung berücksichtigen.

Die EVB-IT Cloud Verträge bestehen aus

  • einem Vertragsmuster,

  • Einkaufsbedingungen (AGB),

  • einem fachlichen Kriterienkatalog und

  • einer Anlage zur partiellen Einbeziehung von Anbieter AGB.

Weiterhin setzen sie die vertraglichen Mindeststandards des Bundesamts für Sicherheit in der Informationstechnik und die Basisanforderungen des C5-Kataloges (Cloud ComputingCloud Computing ComplianceCompliance Criteria Catalogue) um. Bei der Umsetzung helfen die Hinweise zur Nutzung. Alles zu Cloud Computing auf CIO.de Alles zu Compliance auf CIO.de

Die neuesten rechtlichen Entwicklungen in Deutschland führen zu ersten Erleichterungen und sind als erster Schritt in Richtung Digitalisierung zu bewerten. Dennoch haben es Träger von Krankenhäusern in mehr als nur einem Bundesland in Deutschland aufgrund der divergierenden landesrechtlichen Regelungen und dadurch bedingten unklaren Rechtslage weiterhin schwer, Cloud-Dienste zu nutzen. (bw)

Zur Startseite