Datenschutz: Bayerische Krankenhausreform erleichtert IT-Auslagerungen

[IITR – 05.09.22] „Der rasant fortschreitende Digitalisierungsprozess betrifft auch die Krankenhäuser in Bayern. Dies erfordert in einzelnen Punkten eine kurzfristige Anpassung der bayerischen Vorschriften zum Datenschutz im Krankenhaus. Ziel der Änderung in Art. 27 Abs. 4 Bayerisches Krankenhausgesetz (BayKrG) ist, den Krankenhäusern eine in Bezug auf Digitalisierung und Innovation moderne, IT-gestützte Patientenversorgung zu ermöglichen und zugleich ein hohes Datenschutzniveau im Krankenhaus zu gewährleisten. Mit Blick auf die gestiegenen Anforderungen an die IT-Sicherheit sind für die Zukunft vor allem die Möglichkeiten der Externalisierung von Gesundheitsdaten von Patientinnen und Patienten zu berücksichtigen.“ (Drucksache 18/19685, Seite 2)

Mit dieser Gesetzesbegründung leitet der bayerische Gesetzgeber die Gesetzesreform des Bayerischen Krankenhausgesetzes (kurz: BayKrG) ein.

Problematisch war bislang, dass es Krankenhäusern des bayerischen Freistaats rechtlich unmöglich war, mit anderen Parteien als Krankenhäusern Auftragsverarbeitungsvereinbarungen zu schließen, was diese in ihren Handlungsmöglichkeiten extrem einschränkte.

„Diese nicht mehr ganz zeitgemäße Vorgabe […] hat der bayerische Gesetzgeber durch die am 1. Juni 2022 in Kraft getretene Novelle des Gesundheitsdienstgesetzes (GDG) aufgehoben. Das hat zur Folge, dass Auftragsverarbeitungsverhältnisse insoweit nun auch mit anderen Auftragsverarbeitern als Krankenhäusern begründet werden dürfen. Der […] verbleibende Regelungsbestand wird weiterhin durch die allgemeinen Regelungen der Datenschutz-Grundverordnung (DSGVO) zur Auftragsverarbeitung ergänzt; ein regelungsloser Zustand tritt nicht ein.“ (So der Bayerische Landesbeauftragte für Datenschutz in einer Mitteilung.)

Mehr Spielraum für Bay. Krankenhäuser in Zusammenarbeit mit IT-Dienstleistern

Sinn und Zweck der neugewählten Regelung ist es, den betroffenen Krankenhäusern mehr Spielraum zu gewähren, in den verschiedenen Bereichen – und insbesondere in der IT – mit Dienstleistern zusammenarbeiten zu können, die nicht gezwungenermaßen andere Krankenhäuser sein müssen.

Der bayerische Freistaat hat seinen Krankenhäusern also die Möglichkeit geboten, sich in speziellen Bereichen externer Unterstützung zu bedienen. Besonders spezialisierte Bereiche wie die IT-Sicherheit oder die IT-Infrastruktur im Allgemeinen sind dermaßen komplex und kompliziert geworden, so dass die knappen internen Ressourcen den eigentlichen Anforderungen kaum gerecht werden können. Noch dazu, weil in Krankenhäuser sensible Patientendaten verarbeitet werden, die einen starken Schutz erfordern. Soweit vernünftig umgesetzt, profitieren von dieser Umgestaltung also ebenfalls die von der Datenverarbeitung Betroffenen.

Neugestaltung entbindet nicht von Regelungen der DSGVO

„Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.“ (Art. 27 Abs. 6 BayKrG)

Die Rahmenbedingungen zur Umsetzung werden durch die Datenschutzgrundverordnung festgelegt. Der neu geschaffene Art. 27 Abs. 6 BayKrG schreibt vor, dass Datenschutzvereinbarungen in Form von Auftragsverarbeitungsverträgen gegebenenfalls mit Dienstleistern zu schließen und darüber hinaus technische und organisatorische Maßnahmen zu treffen sind.

„Um ein einheitlich hohes Sicherheits- und Datenschutzniveau sicherzustellen, empfehle ich den beteiligten Verkehrskreisen nachdrücklich, möglichst zeitnah mit der Erarbeitung eines solchen Regelwerks zu beginnen.“ – So der Bayerische Landesbeauftragte für den Datenschutz. Außerdem betont auch er, wie wichtig in Krankenhäusern der Einsatz externer IT-Dienstleister ist, um höchste Standards zu garantieren:

• In Krankenhäusern werden große Mengen an Daten verarbeitet, welche die Gesundheit der Patientinnen und Patienten und damit deren intimsten Lebensbereich betreffen.
• Krankenhäuser sind nicht selten Opfer von Cybercrime-Attacken mit teilweise schwerwiegenden Folgen für die Patientinnen und Patienten. Eine Konzentration der Patientendatenverarbeitung auf wenige IT-Dienstleister erhöht die Attraktivität und damit die Eintrittswahrscheinlichkeit von Cybercrime-Angriffen in diesem Bereich.
• Im Krankenhausbereich sind mit zunehmender Digitalisierung sehr viele neue, innovative Formen der Verarbeitung von Patientendaten – oft unter Beteiligung mehrerer Stellen – zu beobachten. In diesem Zusammenhang ist es empfehlenswert, frühzeitig die jeweilige datenschutzrechtliche Rolle einer an der Verarbeitung beteiligten Stelle (…) mit ihren datenschutzrechtlichen Pflichten und Befugnissen zu identifizieren und die damit erforderlichen Nachweise und sonstigen Unterlagen zu erarbeiten.

Fazit: Ein Gewinn für Krankenhaus und Betroffene

Die bisherige Reglementierung der Gestaltungs- und Handlungsfreiheit verfehlte nahezu vollständig den eigentlichen Zweck, den Einsatz externer Dritter aus Sicherheitsgründen zu unterbinden und führte tragischerweise zum genauen Gegenteil. Sensible Strukturen wie Krankenhäuser sollten ihre personellen Ressourcen gezielt für ihre Kernbereiche einsetzen können, um ihre staatseigene Aufgabe bestmöglich erfüllen zu können. Die Entlastung, die diese Gesetzesänderung mit sich bringt, ist hierfür – zumindest für einen kleinen Teilbereich – ein sehr wichtiger Schritt.