Video Tipp

Die Geschichte der Health-IT

TV-Beitrag auf Youtube

Aktuelle News
Weitere News
Vor-Ort-Reportagen
Service
RSS-Feed Aktuelle News
Multimedia
 
  







Veröffentlicht: 24.05.2017


EU-Datenschutz in den deutschen

Krankenhäusern

Neue Regelungen ändern das Spiel


Am 25. Mai 2018 tritt die Europäische Datenschutz-Grundverordnung (EU DS-GVO) in Kraft. Sie gilt für die gesamte EU, also auch für Deutschland. Und es bedarf keiner weiteren Rechtsakte. Viele Krankenhäuser kämpfen noch mit der Umsetzung der 2011 in ihrer ersten Fassung veröffentlichten Orientierungshilfe Krankenhausinformationssysteme (OH KIS). Was bedeutet die EU DS-GVO für die deutsche Krankenhäuser, insbesondere für die IT-Systeme? Von Jürgen Flemming, Leiter Projektmanagement und Organisation, Vinzenz von Paul Kliniken gGmbH, Stuttgart

Zunächst einmal: ebenso wie die bisherigen Datenschutzgesetze auf Bundes- und Landesebene stellt die EU DS-GVO eine Verbotsregelung mit Erlaubnisvorbehalt dar. Das bedeutet, dass personenbezogene Daten und insbesondere Gesundheitsdaten nur unter Einhaltung recht eng definierter Rahmenbedingungen erfasst, gespeichert und verarbeitet werden dürfen.
Trotzdem – viele Fragen zur Reichweite und Umsetzung der DS-GVO sind auch heute noch offen. Dazu trägt auch bei, dass die DS-GVO auch durch mögliche und teilweise notwendige Ergänzungen auf nationaler Ebene erweitert werden kann.
Die „Gemeinsame Empfehlung bzgl. Des Umgangs mit der EU Datenschutz-Grundverordnung (DS-GVO) im Gesundheitswesen“ spricht von ca. 300 Gesetzen, Richtlinien und Verordnungen, die an die DS-GVO anzupassen sind. Immerhin liegt inzwischen eine Anpassung des Bundesdatenschutzgesetzes (BDSG) vor – auch wenn deren juristische Halbwertszeit von manchen Fachleuten als sehr überschaubar bezeichnet wird. Die notwendigen Änderungen an z.B. den Landesdatenschutzgesetzen, den Landeskrankenhausgesetzen und weiteren Regelungen und Vorschriften wird mehr oder weniger intensiv gearbeitet. Dennoch ist es verdächtig still um dieses Thema, auch wenn in dem einen oder anderen Bundesland die jeweilige Datenschutzaufsicht derzeit sehr robust unterwegs ist, um wenigstens die Einhaltung der OH KIS vor Inkraftreten der DS-GVO durchzusetzen. Dabei scheinen sich die Aufsichtsbehörden teilweise sehr weit in den Verfügungsbereich der jeweiligen Krankenhaus-IT hinein zu begeben, um ihre Forderungen wirksam durchzusetzen.
Ob eine Aufsichtsbehörde tatsächlich einem Krankenhaus vorschreiben kann, als Browser nur ein ganz bestimmtes Produkt in einer genau definierten Version einzusetzen, erscheint mehr als fraglich. Dass sich nach mehr als 5 Jahren OH KIS immer noch einige Krankenhäuser gar nicht um diese Vorgaben kümmern, ist allerdings auch mehr als bedenklich. Ob der Mangel an Investitionsmitteln, die Risikobereitschaft der Geschäftsführung oder schlichtes Unverständnis die Ursache für solche Missstände sind, bleibt dahingestellt.

Neue Regelungen ab Mai 2018


Ab Mai 2018 ändert sich das Spiel. Nachfolgend finden Sie einige willkürlich herausgegriffene Themen, die uns beim Wechsel auf die EU DS-GVO voraussichtlich sehr beschäftigen werden (meist als Zitate aus „Gemeinsame Empfehlung bzgl. Des Umgangs mit der EU Datenschutz-Grundverordnung (DS-GVO) im Gesundheitswesen“ ) :

Für die Verarbeitung der Daten Verantwortlicher: Dies ist die „natürliche oder juristische Person, … die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Wenn das Krankenhaus seine Patientendaten außerhalb des eigenen Hauses speichert (z.B. Cloud), kann dieser für die Verarbeitung Verantwortlich durchaus auch der Cloud-Betreiber sein.

Rahmenbedingungen für die Verarbeitung personenbezogener Daten: Interessant ist die Auflistung der lt. DS-GVO zu berücksichtigenden Grundsätze: Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, sowie Rechenschaftspflicht.
Spannend ist hier die Zweckbindung: so dürfen die personenbezogenen Daten nur für „festgelegte, eindeutige und legitime Zwecke“ (Zweckbindung) erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Allerdings dürfen diese dürfen prinzipiell zu anderen Zwecken verarbeitet werden (Zweckänderung), wenn diese neuen Zwecke mit den Zwecken, zu welchen die Daten ursprünglich erhoben wurden, vereinbar sind. Die Verwendung für Archivierung, wissenschaftliche und statistische Zwecke ist nicht ausgeschlossen.

Verarbeitung der personenbezogenen Daten durch Fachpersonal: Die DS-GVO schreibt vor, dass „Daten von Fachpersonal oder unter dessen Verantwortung“ verarbeitet werden müssen. Hier besteht die Verbindung zum § 203 Abs. 1 Ziff 1. StGB – der Regelung für Berufsgeheimnisträger, wie Ärzte, Apotheker, Rechtsanwälte, Notare,… In § 302 wird geregelt, dass die berufsmäßigen Gehilfen dieses Personenkreises diesen gleich gestellt werden. Im Frühjahr 2017 gibt es erfolgversprechende Bemühungen, den § 203 so anzupassen, dass künftig auch Dienstleister als berufsmäßige Gehilfen gelten, die z.B. das KIS im Rahmen eines Wartungsvertrages betreuen.

Einwilligungserklärungen: Für Erwachsene gilt, u.a. dass die Einwilligung in die Speicherung und Verarbeitung personenbezogener Daten „freiwillig, spezifisch, informiert und eindeutig” sein muss. Zu den Inhalten der Einwilligungserklärung macht die DS-GVO sehr genaue Angaben, die vermutlich allen Beteiligten das Leben leichter machen werden….
Eine wesentliche Änderung besteht aber im möglichen Verzicht auf die Schriftform der Einwilligungserklärung. Das bedeutet, dass die Einwilligung auch per Mail oder mündlich erklärt werden kann. Ungeachtet dessen muss der Datenverarbeiter aber jederzeit nachweisen können, dass der Betroffene seine Einwilligung rechtskonform erklärt hat.

Gesetzliche Erlaubnistatbestände zur Erfassung, Speicherung und Verarbeitung personenbezogener Daten: Krankenhäuser dürfen Patientendaten zur Behandlung von Patienten erfassen, speichern und verarbeiten, sowie zur Abrechnung der erbrachten Leistungen, zur Geltendmachung von Rechtsansprüchen, für die gesetzlich geforderte Qualitätssicherung, für öffentliche Archive und die Gesundheitsstatistik, sowie die wissenschaftliche und historische Forschung.

Information der Betroffenen: Auch hier gibt die DS-GVO sehr genau vor, welche Informationen dem Betroffenen (Patienten) zur Verfügung gestellt werden müssen. Dieser Detailreichtum dürfte es wiederum einfacher machen, in den Prozessen und Systemen für die notwendigen Informationen zu sorgen.

Zeitrahmen der Auskunftserteilung: Dem Betroffenen ist innerhalb eines Monats nach Eingang des Antrags Auskunft zu erteilen. In begründeten Einzelfällen kann diese Frist um zwei Monate verlängert werden, allerdings ist dem Betroffenen innerhalb von 4 Wochen nach Antragsstellung mitzuteilen, dass und warum es zu Verzögerungen kommt.

Informationspflicht bei Zweckänderung: Sofern die erfassten personenbezogenen Daten zu einem anderen als dem ursprünglich vereinbarten Zweck verwendet werden sollen, muss der Betroffene vor (!!) der Zweckänderung informiert werden. Man könnte hier herauslesen, dass eine erneute Zustimmung unter bestimmten Voraussetzungen nicht erforderlich ist…

Recht auf Löschen: Bereits in der OH KIS wurde gefordert, dass auf Anforderung des Patienten seine Daten in den Systemen des Krankenhauses gelöscht werden müssen. Die DS-GVO beschreibt dieses Recht ausführlich in Art. 17. Dies dürfte vor allem eintreffen, wenn der Betroffene (Patient) seine Einwilligung zu Erfassung, Speicherung und Verarbeitung seiner Daten widerruft. Sofern der Verarbeiter zur Löschung der Daten verpflichtet ist und die zu löschenden Daten vorher öffentlich zugänglich waren, so „trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen“, um andere für die Datenverarbeitung Verantwortliche („Dritte“) darüber zu informieren, dass die Löschung aller Links zu diesen personenbezogenen Daten als auch die Löschung aller Kopien oder Replikationen dieser personenbezogenen Daten zu erfolgen hat.
Eine wesentliche Ausnahme von der Verpflichtung zur Löschung dieser Daten besteht in der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese Formulierung lässt viel Interpretationsspielraum, gerade wenn es um archivierte Patientendaten geht.

Recht auf Datenübertragbarkeit: Die DS-GVO führt erstmals das Recht des Betroffenen auf Datenübertragbarkeit ein. Der Betroffene hat zum einen das Recht, seine, bei einem Dienstanbieter gespeicherten Bestandsdaten, in einer maschinenlesbaren Form zu erhalten, um sie so auf einen anderen Dienstanbieter übertragen zu können. Betroffene haben weiterhin das Recht, Bestandsdaten (z. B. Profile) zwischen Dienstanbietern zu transferieren, d. h. einen direkten Datentransfer zwischen altem und neuem Dienstanbieter zu veranlassen, wobei die technische Umsetzung dieser gesetzlichen Regelung offen ist.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: auch bezeichnet als „Privacy by Design“. In Art. 25 wird sehr klar dem für die Datenverarbeitung Verantwortlichen die Verantwortung für eine datenschutzfreundliche Ausgestaltung der eingesetzten Systeme und Prozesse auferlegt. Die Hersteller der fürs Krankenhaus relevanten Systeme sind zunächst nicht verpflichtet, die privacy by design in ihren Produkten umzusetzen. Als Verantwortlicher sollte daher bei Neubeschaffungen genau dieses von den Herstellern eingefordert werden. Zusammen mit einer Folgenabschätzung (Risikobetrachtung gem. Art. 35 und 36) für die zur Auswahl stehenden Systeme kann sich der Verantwortlich zunächst entlasten.

Auftragsdatenverarbeitung: Wie bisher auch muss der Auftragnehmer sorgfältig ausgewählt werden, er muss ausreichend Garantien dafür bieten, dass die Vorgaben der DS-GVO eingehalten werden. Die Details der Auftragsdatenverarbeitung müssen in einem begleitenden Auftragsdatenverarbeitungsvertrag festgehalten werden. Vieles entspricht den bisherigen Vorgaben oder wurde bereits entsprechend geregelt. Allerdings müssen die ADV-Verhältnisse künftig durch einen schriftlich abgefassten Vertrag geregelt werden, während nach BDSG ein Auftrag ausreichend war.

Bußgelder: Das BDSG hatte Bußgelder bis 50.000 oder 300.000 Euro vorgesehen. Die DS-GVO sieht nun Bußgelder bis zu 20 Millionen Euro vor oder bis zu 4% des letztjährigen globalen Umsatzes eines Unternehmens.
Krankenhaus-IT in die Diskussionen einbeziehen
Wie bereits erwähnt, erhebt diese Liste keinen Anspruch auf Vollständigkeit. Für Interessierte ist die Lektüre der „Gemeinsame Empfehlung bzgl. des Umgangs mit der EU Datenschutz-Grundverordnung (DS-GVO) im Gesundheitswesen“ sehr zu empfehlen. Wer trockenen Stoff liebt, findet die EU DS-GVO auch unter folgendem Link.
An einigen Stellen der deutschen Krankenhauslandschaft wird bereits an den Umsetzungsfragen zur DS-GVO gearbeitet. Allerdings geschieht dies noch überwiegend in isolierten Kreisen und selten unter Einbezug der Krankenhaus-IT. Wohin das führt, durften wir 2011 mit Veröffentlichung der OH KIS erleben.
Wir sollten daher an den verschiedensten Stellen darauf hinwirken, dass die Krankenhaus-IT in die Diskussionen einbezogen wird und der im Rahmen der OH KIS erfolgreich aufgebaute Dialog zwischen Datenschutz und Krankenhäusern wieder aufgenommen wird. Gleichzeitig sollten wir versuchen, die Gelegenheit für klarere Regelungen zu nutzen, die dann auch besser in den Krankenhäusern umgesetzt werden können.




Jürgen Flemming, Leiter Projektmanagement und Organisation, Vinzenz von Paul Kliniken gGmbH, Stuttgart: „Wir sollten darauf hinwirken, dass die Krankenhaus-IT in die Diskussionen einbezogen wird und der im Rahmen der OH KIS erfolgreich aufgebaute Dialog zwischen Datenschutz und Krankenhäusern wieder aufgenommen wird.“


Kontakt-INFO

Die EU DS-GVO ist für Krankenhäuser ein Thema von Arbeitsgruppen bei den jeweiligen Landeskrankenhausgesellschaften (LKG), bzw. beim KH-IT-Leiter Verband. Dort ist Jürgen Flemming Ansprechpartner, da er die Arbeitsgruppe Datenschutz / OH KIS leitet.

Ansprechpartner
a) die jeweilige LKG
b) KH-IT-Leiter Verband, AG Datenschutz, Jürgen Flemming, juergen.Flemming@vinzenz.de

Drucker geeignete Seite Sende diesen Artikel einem Freund


Aktuelle Ausgabe


Diese Webseite verwendet Cookies. Näheres finden Sie in unserer Datenschutzerklärung.