Der Datenschutz in Krankenhäusern wird nicht nur über die DSGVO und/oder das BDSG geregelt, sondern es finden sich auch in den Landeskrankenhausgesetzen der einzelnen Bundesländer datenschutzrechtliche Regelungen. Dies führt dazu, dass die Vorgaben zu Patientendaten ganz unterschiedlich geregelt sein können. Insbesondere in Bayern waren die Handlungsmöglichkeiten in öffentlichen Krankenhäusern bei der Beauftragung von externen Dienstleistern bisher sehr beschränkt.
Rückblick
So hieß es in der bis zum 31. Mai 2022 gültigen Fassung des Art 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz bisher:
„Zur Verarbeitung oder Mikroverfilmung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, darf sich das Krankenhaus jedoch nur anderer Krankenhäuser bedienen.“
Dies hatte zur Folge, dass externe Dienstleister nur mit zusätzlichen Sicherheitsmaßnahmen zum Einsatz kommen durften. Eine elektronische Archivierung war beispielswiese nur möglich, wenn die Daten im Krankenhaus verschlüsselt wurden. Ein externer Entsorgungsdienstleister konnte nur dann in Anspruch genommen werden, wenn dieser von einem Klinikmitarbeiter begleitet wurde. Zweck war die Sicherstellung, dass die Daten jederzeit in Gewahrsam der Klinik standen. Gemeint ist hiermit sowohl die räumliche Zuordnung zum Krankenhaus, als auch die ausschließliche Verfügungsgewalt.
Ziel war es, den Kreis der Personen, welche Patientendaten verarbeiten, möglichst gering zu halten. Darüber hinaus sollte die Verarbeitung auf ausschließlich (medizinisch) qualifizierte Personen beschränkt sein.
Bayerische Krankenhäuser hatten somit bis vor kurzem faktisch nicht alle Möglichkeiten, die eigentlich seitens der DSGVO sowie im Rahmen der Regelung der Verschwiegenheitspflicht in § 203 StGB bereits gestattet waren.
Der Umbruch
Durch die Novelle des Gesundheitsdienstgesetzes (GDG) wurde diese Regelung nun aufgehoben, mit der Folge, dass Auftragsverarbeiter genutzt werden können, die keine Krankenhäuser sind.
Seitens bayerischer Krankenhäuser wurde dies begrüßt, insbesondere auf Grund der zunehmenden Digitalisierung und den damit verbundenen Herausforderungen. Gerade auch vor dem Hintergrund der zusätzlichen Dauerbelastung der letzten Jahre durch die Pandemie kann die Arbeit in den Krankenhäusern nun durch den Einsatz professioneller Dienstleister erheblich erleichtert werden.
Hierdurch sind nun auch Projekte wie das der Bayerische Krankenhausgesellschaft e.V. umsetzbar, mit dem den Kliniken die gemeinsame Nutzung von professionellen IT-Dienstleistungen ermöglicht werden soll, wie es auch bei anderen kritischen Infrastrukturen (KRITIS) schon weit verbreitet ist.
Sind Patientendaten durch die fehlende Regelung nun in Gefahr? Nein!
Denn selbstverständlich gelten auch weiterhin die allgemeinen Regelungen der DSGVO. Dies stellt auch der seit 1. Juni 2022 gültige Art 27 Abs. 6 BayKrG klar:
„Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“
Trotzdem muss man sich bewusst machen, – darauf weist auch der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hin – dass in Krankenhäusern große Mengen an Gesundheitsdaten verarbeitet werden, welche den intimsten Lebensbereich betreffen. Durch die Beauftragung externer Stellen wird auch der Kreis der Personen erweitert, welche diese sensiblen Daten verarbeiten, während die Kliniken gleichzeitig weniger Einfluss auf den Umgang mit den Patientendaten haben.
Auch wird nach Meinung des BayLfD dadurch natürlich Tür und Tor geöffnet für weitere Szenarien wie Cybercrime-Attacken auf Dienstleister, welche Gesundheitsdaten unterschiedlicher Stellen verarbeiten, sowie die Nutzung von Programmen seitens der Dienstleister, welche möglicherweise Daten in Drittländer ohne angemessenes Datenschutzniveau übermitteln.
Es ist deshalb unabdingbar, dass Auftragsverarbeitungsverträge abgeschlossen, Zusatzvereinbarungen in Bezug auf § 203 StGB getroffen sowie etwaige Datenschutz-Folgenabschätzungen und Risikoanalysen durchgeführt werden.
Es wird den Krankenhäusern darüber hinaus empfohlen, im Rahmen der Selbstverpflichtung ein einvernehmliches Regelwerk zu beschließen, welches die unabdingbaren technischen und organisatorischen Maßnahmen präzisiert, um die Vertraulichkeit, Integrität und Verfügbarkeit der Patientendaten gewährleisten zu können.
Gespannt sein darf man insbesondere auch, ob es ein Regelwerk zur Präzisierung der technischen und organisatorischen Maßnahmen seitens der Interessenvertretung der bayerischen Krankenhäuser und deren Spitzenverbände geben wird, wie in der Gesetzesbegründung vorgeschlagen wurde.
Fazit
Im Ergebnis kann man sagen, dass die Änderungen längst überfällig waren, um den Digitalisierungsprozess weiter voranbringen zu können und – wie seitens des Landesgesetzgebers selbst geplant – langfristig eine IT-gestützte Patientenversorgung mit hohem Datenschutzniveau zur Verfügung stellen zu können. Dies auch vor dem Hintergrund, dass Krankenhäuser seit diesem Jahr gemäß § 75c SGB V verpflichtet sind (wir haben berichtet) nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu implementieren.