Bayern erlaubt Cloud-Computing für Krankenhäuser unter Datenschutzauflagen
Bayern erlaubt Cloud-Computing für Krankenhäuser unter Datenschutzauflagen (KH-IT Journal).
Etwas über einen Monat ist es mittlerweile her, dass der Münchener Landtag die bayerische Rechtsordnung zum Outsourcing bayerischer Krankenhaus-IT liberalisiert hat. Am 1. Juni 2022 ist das Gesetz über den Öffentlichen Gesundheitsdienst (GDG) in Kraft getreten. In Artikel 32c modifiziert es
Artikel 27 des Bayerischen Krankenhausgesetzes (BayKrG)1) – mit weitreichenden
Folgen.
Damit sind nun endlich auch Bayerische Krankenhäuser in der Lage, den
digitalisierten und vernetzten Teil ihrer Patientenversorgung auf den neuesten,
heutzutage meist cloudbasierten, technologischen Stand zu heben. Die
modifizierte Rechtsordnung gestattet ihnen einen weitgehend unbeschränkten
Zugriff auf die neuesten cloudbasierten digitalen Lösungen und Verfahren –
sofern diese sich nur an die datenschutzrechtlichen Vorgaben der DSGVO halten.
Letzteres ist von enormer Bedeutung. Handelt es sich bei den zu verarbeitenden
Informationen doch zu einem erheblichen Teil um personenbezogene oder
personenbeziehbare Daten.
Bisher war es bayerischen Krankenhäusern nicht erlaubt, Daten, die nicht
ausschließlich zur verwaltungsmäßigen Abwicklung der Behandlung eines Patienten
erforderlich sind, außerhalb des eigenen Betriebsgeländes – zum Beispiel durch
externe Cloud-Dienstleister – speichern und verarbeiten zu lassen. Der Einsatz
innovativer cloudbasierter Lösungen zur Anhebung der Effektivität und Effizienz
schied damit praktisch aus; bis jetzt. Mit der Gesetzesänderung ist es
bayerischen Krankenhäusern nun endlich gestattet, Daten in die Cloud zu
verlagern. Jedoch nur unter Auflagen. Denn Absatz 6 wurde modifiziert, seine
Datenschutzvorgaben spezifiziert:
„Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung
– DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO
(Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und
organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt
verwendet oder übermittelt werden können.“ (BayKrG, Art. 27, Absatz 6)
Datenschutzmaßnahmen müssen nun also ganz konkret im Hinblick auf die Artikel
28 und 32 der DSGVO implementiert und umgesetzt werden. Das hat zur Konsequenz,
dass Krankenhäuser mit ihrem IT-Outsourcing-Anbieter einen
Auftragsverarbeitungsvertrag abzuschließen und ein gemeinsames
Sicherheitskonzept zu entwickeln haben, das dann auch implementiert und
nachgewiesen werden muss. Das Mehr an Freiheit, das bayerische Krankenhäuser
mit der neuen Rechtsordnung erhalten, ist dementsprechend auch mit einigen
datenschutzrechtlichen Auflagen verknüpft.
Um Patientendaten gesetzeskonform in der Cloud speichern und verarbeiten zu
können, werden Kliniken nicht um Cloud-Lösungen, die über Features wie Security
by Design, Privacy by Design und eine clientseitige
Ende-zu-Ende-Verschlüsselung verfügen, herumkommen. Denn der Cloud-Anbieter
sollte sich zu keinem Zeitpunkt einen Zugang zu oder gar einen Zugriff auf die
personenbezogenen und personenbeziehbaren Daten seiner Nutzer verschaffen
können.
Die Lösungen müssen in der Lage sein, Zugangs- und Zugriffsberechtigungen
individuell auf einzelne Nutzer zugeschnitten zu vergeben. Als Motto gilt hier,
so viele Berechtigungen wie nötig, so wenige wie möglich. Nur so werden
bayerische Krankenhäuser die Forderung aus Absatz 6, dass „Patientendaten nicht
unberechtigt verwendet oder übermittelt werden können“, effektiv sicherstellen
können. Mit cloudbasierten IT-Lösungen, die solche und ähnliche
Datenschutzfeatures zur Basis haben, wird die Bayerische Krankenhaus-IT
definitiv ohne Bedenken gesetzeskonform von der Liberalisierung des BayKrG
profitieren können.
1). Absatz 4, Satz 6 wurde aufgehoben, Absatz 6 umgeschrieben.
Über den Autor Thomas Haberl, Director Key Account, DRACOON GmbH
Thomas Haberl fungiert als Director Key Account bei DRACOON und hat das
Unternehmen praktisch mit aus der Taufe gehoben. Er gilt als Experte, wenn es
um die Digitalisierung im Gesundheitswesen geht und hat bereits viele Kliniken
und Unternehmen aus dem Healthcare-Bereich erfolgreich unterstützt.
Quelle: Pressebox, 13.07.2022
