Im Bundesland Berlin wird gerade eine wesentliche Änderung der Auftragsverarbeitung für Krankenhäuser auf den Weg gebracht. Die Datenschutzregeln im Gesundheitssektor werden vom Senat verschärft, was für ziemlichen Wirbel sorgt. Nicht ohne Grund findet UIMC. Tatsächlich plant der Senat des Stadtstaates, dass alle Krankenhäuser im Land Berlin ab dem 25. Oktober 2022 die Auftragsverarbeitung in Eigenregie oder über eine eigene Gesellschaft wahrnehmen müssen. Gelebte Praxis in vielen Unternehmen und somit auch in Krankenhäusern ist es, dass bei der Datenverarbeitung beispielsweise im Rahmen der Wartung und des Supports auf das Experten-Know-How von Dienstleistern und/oder Herstellern zurückgegriffen wird. „Sollte es zur gesetzlichen Änderung kommen, bedeutet das einige Veränderungen und Anpassungsprozesse“, erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein. Wo Haken und Widersprüchlichkeiten liegen könnten, skizzieren wir nachfolgend.
Patientendaten sind besonders sensible Daten. Deshalb ist die Vertraulichkeit nach Außen für das Krankenhaus ein strenges Gebot. Die Krankenhäuser haben dafür zu sorgen, dass nicht jeder Beschäftigte auf alle Patientendaten zugreifen kann. Vielmehr gilt das Prinzip: Jeder darf nur auf solche Daten zugreifen, die er für seine Aufgaben benötigt. Außerdem muss das Grundprinzip „Keine Datenverarbeitung ohne Erlaubnis“ gelebt werden. Ein weiterer Grundsatz ist die Zweckbindung: Daten sollen nur für definierte Zwecke erhoben und verarbeitet werden. Diese Regeln reichen der Berliner Stadtpolitik allerdings nicht. Der Berliner Senat (Landesregierung) plant stattdessen gesetzlich „aufzusatteln“.
Beispiel: § 24 Absatz 7 Berliner Krankenhausgesetz wurde aufgrund von Protesten aus der Branche bis zum 30.09.2022 zeitlich befristet zwar außer Kraft gesetzt, droht nun aber in wenigen Wochen Geltung zu erlangen. Was bedeutet das?
In diesem Paragrafen wird die Auftragsverarbeitung für Berliner Krankenhäuser geregelt. So ist dort unter anderem zu lesen, dass Berliner Kliniken die Datenverarbeitung von „genetischen Daten und Gesundheitsdaten“ nur an externe Dienstleister geben dürfen, wenn diese „der gleichen Unternehmensgruppe“ oder zu einem anderen Krankenhaus gehören. Das Zurückgreifen auf Expertenwissen der Hersteller oder spezialisierter Dienstleister (das Wissen bezieht sich oftmals auch auf Datenschutz und IT-Sicherheit) wird damit unmöglich. Das Vorhalten dieses Know Hows ist für viele Krankenhäuser alleine ob der Vielzahl an verschiedenen Anwendungen und IT-Systeme kaum möglich.
Der eigentliche Widerspruch, die eigentliche Posse, besteht zum Krankenhauszukunftsgesetz (KHZG). Mit diesem Fördergesetz von Bund und Ländern sollten gerade Krankenhäuser digital fit, sicher und datenschutzkonform aufgestellt werden. Bemerkenswert: Das Land Berlin plant Projekte im Rahmen des KHZG mit 60 Mio. Euro Eigenmitteln zu fördern. Die Gelder sollen im Sommer bewilligt werden. Im Herbst werden dann aber geförderte Projekte wieder eingestampft werden müssen, weil sie dann dem Berliner Datenschutzgesetz widersprechen. „Das erscheint skurril und schreit nach einer pragmatischen Lösung im Sinne aller Akteure des Gesundheitswesens. Außerdem geht es um einen effizienten Finanzmitteleinsatz. Auch scheint die Verbesserung von Verfügbarkeit, Integrität und Vertraulichkeit ohne Expertenwissen noch schwieriger zu werden“, betont Dr. Jörn Voßbein.
Übrigens: Die Position der Berliner Datenschützer lautet: Die Einschränkungen in Paragraf 24 Abs. 7 sollen verhindern, dass global agierende externe Dienstleister mit der Auftragsverarbeitung betraut werden. Die Einschränkungen betreffen aber gleichermaßen europäische, deutsche und auch Berliner Dienstleister.
Patientendaten sind besonders sensible Daten. Deshalb ist die Vertraulichkeit nach Außen für das Krankenhaus ein strenges Gebot. Die Krankenhäuser haben dafür zu sorgen, dass nicht jeder Beschäftigte auf alle Patientendaten zugreifen kann. Vielmehr gilt das Prinzip: Jeder darf nur auf solche Daten zugreifen, die er für seine Aufgaben benötigt. Außerdem muss das Grundprinzip „Keine Datenverarbeitung ohne Erlaubnis“ gelebt werden. Ein weiterer Grundsatz ist die Zweckbindung: Daten sollen nur für definierte Zwecke erhoben und verarbeitet werden. Diese Regeln reichen der Berliner Stadtpolitik allerdings nicht. Der Berliner Senat (Landesregierung) plant stattdessen gesetzlich „aufzusatteln“.
Beispiel: § 24 Absatz 7 Berliner Krankenhausgesetz wurde aufgrund von Protesten aus der Branche bis zum 30.09.2022 zeitlich befristet zwar außer Kraft gesetzt, droht nun aber in wenigen Wochen Geltung zu erlangen. Was bedeutet das?
In diesem Paragrafen wird die Auftragsverarbeitung für Berliner Krankenhäuser geregelt. So ist dort unter anderem zu lesen, dass Berliner Kliniken die Datenverarbeitung von „genetischen Daten und Gesundheitsdaten“ nur an externe Dienstleister geben dürfen, wenn diese „der gleichen Unternehmensgruppe“ oder zu einem anderen Krankenhaus gehören. Das Zurückgreifen auf Expertenwissen der Hersteller oder spezialisierter Dienstleister (das Wissen bezieht sich oftmals auch auf Datenschutz und IT-Sicherheit) wird damit unmöglich. Das Vorhalten dieses Know Hows ist für viele Krankenhäuser alleine ob der Vielzahl an verschiedenen Anwendungen und IT-Systeme kaum möglich.
Der eigentliche Widerspruch, die eigentliche Posse, besteht zum Krankenhauszukunftsgesetz (KHZG). Mit diesem Fördergesetz von Bund und Ländern sollten gerade Krankenhäuser digital fit, sicher und datenschutzkonform aufgestellt werden. Bemerkenswert: Das Land Berlin plant Projekte im Rahmen des KHZG mit 60 Mio. Euro Eigenmitteln zu fördern. Die Gelder sollen im Sommer bewilligt werden. Im Herbst werden dann aber geförderte Projekte wieder eingestampft werden müssen, weil sie dann dem Berliner Datenschutzgesetz widersprechen. „Das erscheint skurril und schreit nach einer pragmatischen Lösung im Sinne aller Akteure des Gesundheitswesens. Außerdem geht es um einen effizienten Finanzmitteleinsatz. Auch scheint die Verbesserung von Verfügbarkeit, Integrität und Vertraulichkeit ohne Expertenwissen noch schwieriger zu werden“, betont Dr. Jörn Voßbein.
Übrigens: Die Position der Berliner Datenschützer lautet: Die Einschränkungen in Paragraf 24 Abs. 7 sollen verhindern, dass global agierende externe Dienstleister mit der Auftragsverarbeitung betraut werden. Die Einschränkungen betreffen aber gleichermaßen europäische, deutsche und auch Berliner Dienstleister.
