Die Gewährleistung der Datenschutz-Compliance im Krankenhausbereich stellt also eine wesentliche Voraussetzung für die finanzielle Förderung dar. Die Praxis zeigt allerdings, dass der Datenschutz auch in diesem Kontext komplexe rechtliche Fragestellungen aufwirft. Die datenschutzrechtlichen Regelungen für die Verarbeitung von Gesundheitsdaten in Krankenhäusern befinden sich nicht nur in unterschiedlichen Gesetzen wie der Datenschutz-Grundverordnung (DS-GVO), dem Kirchlichem Datenschutzgesetz (KDG), dem Evangelischen Datenschutzgesetz (DSG-EKD), dem Bundesdatenschutzgesetz (BDSG) und dem Fünften Sozialgesetzbuch (SGB V), sondern auch in den Krankenhaus- und Psychiatriegesetzen der Bundesländer.
Angesichts der ausdrücklichen Einbindung der datenschutzrechtlichen Compliance im KHZG als Bedingung für die Förderung digitaler Projekte mussten entsprechende Erklärungen im Förderungsantrag der Krankenhäuser enthalten sein. Als wichtigste Datenschutzthemen im Zusammenhang mit der Digitalisierung im Krankenhaussektor haben sich dabei die folgenden Punkte herausgestellt:
Speicherung von Patientendaten in der Cloud
Die datenschutzrechtlichen Regelungen zum Umgang mit Cloud-Systemen im Krankenhausbereich sind stark fragmentiert und variieren je nach Bundesland. Die uneinheitlichen Regelungen der Bundesländer stellen derzeit eine große Herausforderung für den Einsatz digitaler (Cloud-)Lösungen im Krankenhaussektor dar. Während in manchen Bundesländern die allgemeinen Vorgaben der DS-GVO Anwendung finden, sehen andere Bundesländer besondere Regelungen für den Einsatz von Cloud-Anbietern als Auftragsverarbeiter in den Landeskrankenhausgesetzen vor. Insbesondere Bayern und Sachsen haben strenge Vorgaben, wonach die Auslagerung von Patientendaten an einen anderen Krankenhausträger als Auftragsverarbeiter nur unter bestimmten Bedingungen zulässig ist oder eine vorherige Zustimmung der Datenschutzbehörde erforderlich macht. Darüber hinaus müssen beim Thema „Cloud“ auch strafrechtliche Aspekte berücksichtigt werden, insbesondere im Hinblick auf die ärztliche Schweigepflicht i. S. d. § 203 StGB. Die Übermittlung von Patientendaten, die dem ärztlichen Berufsgeheimnis unterliegen, an Cloud-Anbieter ist nur unter engen Voraussetzungen zulässig.
Datenschutz-Folgenabschätzung
Vorhaben wie Plattformen für Patienten, digitale Unterstützung bei der Medikation oder automatisierte Behandlungsdokumentationen beinhalten in der Regel die Verarbeitung besonders geschützter gesundheitsbezogener Daten. Solche Verarbeitungsvorgänge werden gemäß Art. 35 Abs. 4 DS-GVO in der „Black List“ der deutschen Datenschutzbehörden aufgeführt. Eine Datenschutz-Folgenabschätzung ist für die auf dieser Liste genannten Verarbeitungsvorgänge verpflichtend. Ein Beispiel für einen Anwendungsfall sind telemedizinische Anwendungen wie zum Beispiel Videotelefonie im Arzt-Patienten-Verhältnis mittels einer App-Anwendung. Bei allen anderen Systemen oder Programmen, die nicht auf der „Black List“ stehen, ist es erforderlich, eine sogenannte Schwellwertanalyse durchzuführen, um zu prüfen, ob auch nicht für diese Verarbeitungstätigkeiten eine Datenschutz-Folgenabschätzung durchzuführen ist.
Auswahl von Dienstleistern im Hinblick auf Datenschutz
Bei der Bewertung der Dienstleister im Hinblick auf den Datenschutz ist zu prüfen, ob Datenübermittlungen stattfinden, beispielsweise durch die Verwendung personalisierter Zugangsdaten oder die Wartung der digitalen Produkte durch den Anbieter. Besondere Vorsicht ist geboten, wenn der Anbieter potenziellen Zugriff auf Patienten- und Gesundheitsdaten hat. In solchen Fällen ist eine vertragliche Vereinbarung zum Datenschutz, ein sogenannter Auftragsverarbeitungsvertrag, erforderlich. Wenn der Anbieter oder einer seiner Unterauftragnehmer seinen Sitz im Ausland hat, ist zu prüfen, ob ein Angemessenheitsbeschluss der Europäische Union vorliegt. (Beispielsweise gibt es seit wenigen Wochen wieder einen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA.) Andernfalls müssen gegebenenfalls Standardvertragsklauseln abgeschlossen werden. Es ist jedoch zu beachten, dass selbst bei Abschluss solcher Klauseln zusätzliche technische oder organisatorische Maßnahmen erforderlich sein können, um ein angemessenes Datenschutzniveau gemäß der aktuellen Rechtsprechung des Europäischen Gerichtshofs sicherzustellen.
Automatisierte Entscheidungsfindung
Das KHZG fördert explizit die Einführung teil- oder vollautomatisierter klinischer Entscheidungsunterstützungssysteme, die klinische Leistungserbringer bei Behandlungsentscheidungen durch automatisierte Hinweise und Empfehlungen unterstützen und somit die Versorgungsqualität verbessern sollen. Bei der Implementierung solcher Systeme ist zu prüfen, ob sie gegebenenfalls eine automatisierte Entscheidungsfindung im Einzelfall darstellen, die gemäß Art. 22 DS-GVO nur unter bestimmten Bedingungen zulässig ist. Es könnte erforderlich sein, weitere Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der Patienten zu ergreifen.
Allgemeine Datenschutz-Compliance
Für die Förderfähigkeit neuer Digitalisierungsprojekte ist die Dokumentation der allgemeinen Datenschutz-Compliance unerlässlich. Dies beinhaltet auch die Erfüllung der Anforderungen an Rollen- und Berechtigungskonzepte, wie es in der Orientierungshilfe Krankenhausinformationssysteme beschrieben wird, die Implementierung von Löschkonzepten (unter Berücksichtigung landesrechtlicher Regelungen) sowie die Erstellung oder Aktualisierung von Datenschutzhinweisen für Mitarbeiter und Patienten. Die Einbeziehung des betrieblichen Datenschutzbeauftragten und die Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten (VVT) gehören ebenfalls zu den Aufgaben, die Krankenhäuser im Hinblick auf förderfähige Digitalprojekte gemäß dem KHZG zu erfüllen haben.
Praxis-Hinweis
Die Förderung von digitalen Vorhaben im Krankenhaussektor setzt die Einhaltung zahlreicher datenschutzrechtlicher Vorschriften voraus, die in verschiedenen Gesetzen festgeschrieben sind und sich je nach Bundesland unterscheiden können. Um die Digitalisierung voranzutreiben und einheitliche Standards für den Schutz der Patientendaten zu schaffen, ist eine Harmonisierung der gesetzlichen Vorgaben dringend geboten. Bei der datenschutzrechtlichen Bewertung von Fördervorhaben in Ihrer Einrichtung unterstützen wir Sie gern – bitte sprechen Sie uns an.
